Mengonfigurasi Kontrol Layanan VPC untuk Google Security Operations

Google Cloud Kontrol Layanan VPC memungkinkan Anda menyiapkan perimeter layanan untuk mencegah pemindahan data yang tidak sah. Konfigurasi Google Security Operations dengan VPC Service Controls agar Google SecOps dapat mengakses resource dan layanan di luar perimeter layanannya.

Sebelum memulai

• Pastikan Anda memiliki peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC di tingkat organisasi.

Batasan

• Kontrol Layanan VPC hanya mendukung Google Cloud Autentikasi identitas dan Google SecOps Bring Your Own Identity (BYOID) serta Workforce Identity Federation.
• Fitur RBAC Google SecOps harus diaktifkan untuk menggunakan Kontrol Layanan VPC.
• Kontrol Layanan VPC hanya mendukung Google SecOps API chronicle.googleapis.com dan chronicleservicemanager.googleapis.com. Anda dapat terus menggunakan Google SecOps API lainnya, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakannya, dan data serta layanan yang menggunakan API lainnya tersebut tidak dilindungi oleh batasan perimeter Kontrol Layanan VPC.
• VPC Service Controls hanya mendukung ekspor data Google SecOps Unified Data Model (UDM) ke project BigQuery yang dikelola sendiri atau menggunakan Ekspor BigQuery Lanjutan. Anda dapat terus menggunakan metode ekspor Google SecOps lainnya, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakannya, dan mengekspor data menggunakan metode tersebut tidak dilindungi oleh batasan perimeter Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, hubungi perwakilan Google SecOps Anda.
• Kontrol Layanan VPC tidak mendukung Cloud Monitoring. Namun, untuk mencegah akses yang tidak mematuhi kebijakan, Anda dapat mencabut izin untuk melihat data Cloud Monitoring. Anda dapat terus menggunakan Cloud Monitoring, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakannya, dan transmisi data tidak dilindungi oleh batasan perimeter Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, hubungi perwakilan Google SecOps Anda.
• Kontrol Layanan VPC tidak mendukung dasbor Looker. Kontrol Layanan VPC hanya mendukung Dasbor Google SecOps. Anda dapat terus menggunakan dasbor Looker, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakannya, dan dasbor Looker tidak dilindungi oleh batasan perimeter Kontrol Layanan VPC.
• Kontrol Layanan VPC tidak mendukung feed Xenon. Anda harus membuat feed Cloud Storage dengan jenis sumber GOOGLE_CLOUD_STORAGE_V2. Anda dapat terus menggunakan feed Xenon, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakan feed tersebut, dan penggunaan feed Xenon tidak dilindungi oleh batasan perimeter Kontrol Layanan VPC.
• Kontrol Layanan VPC tidak mendukung Validasi Keamanan Google SecOps untuk menguji keamanan Anda dengan menyimulasikan serangan di lingkungan Google Cloud Anda. Anda dapat terus menggunakan Validasi Keamanan, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakannya, dan penggunaan Validasi Keamanan tidak dilindungi oleh batasan perimeter Kontrol Layanan VPC.
• Kontrol Layanan VPC tidak mendukung DataTap.
• Jika Anda menggunakan kunci enkripsi yang dikelola pelanggan (CMEK), Google sangat menyarankan agar Anda menyimpan project Cloud Key Management Service di perimeter yang sama dengan project Google Cloud Anda atau menyimpan kunci Anda di dalam project Google Cloud itu sendiri.

Mengonfigurasi aturan ingress dan egress

Konfigurasi aturan ingress dan egress berdasarkan konfigurasi perimeter layanan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan perimeter layanan.

Jika Anda mengalami masalah dengan Kontrol Layanan VPC, gunakan penganalisis pelanggaran Kontrol Layanan VPC untuk men-debug dan menganalisis masalah tersebut. Untuk mengetahui informasi selengkapnya, lihat Mendiagnosis penolakan akses di penganalisis pelanggaran.

Mengonfigurasi aturan untuk SOAR

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk Google SecOps SOAR.

Selesaikan tugas berikut untuk akun pengguna Google Cloud yang Anda tentukan saat menyiapkan Google SecOps:

1. Konfigurasi aturan ingress berikut:

   - ingressFrom:
       identityType: ANY_SERVICE_ACCOUNT
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: secretmanager.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   - ingressFrom:
       identities:
       - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: binaryauthorization.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Ganti kode berikut:

   • PROJECT_NUMBER: nomor project Google Cloud SOAR Anda, yang bisa Anda dapatkan dari perwakilan Google SecOps Anda

2. Konfigurasi aturan keluar berikut:

   - egressTo:
       operations:
       - serviceName: binaryauthorization.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/soar-infra-SOAR_REGION_ID
     egressFrom:
       identities:
         - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Ganti kode berikut:

   • SOAR_REGION_ID: kode yang ditetapkan Google berdasarkan region SOAR, yang bisa Anda dapatkan dari perwakilan Google SecOps Anda
   • PROJECT_NUMBER: nomor project Google Cloud bring your own project (BYOP) Anda

Mengonfigurasi aturan untuk SIEM Google SecOps

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk Google SecOps SIEM.

Konfigurasi aturan keluar berikut untuk akun pengguna Google Cloud yang Anda tentukan saat menyiapkan Google SecOps:

  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

Ganti kode berikut:

• PROJECT_NUMBER: nomor project Google Cloud Anda, yang bisa Anda dapatkan dari perwakilan Google SecOps Anda

Mengonfigurasi aturan untuk Google SecOps dengan Security Command Center

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk Google SecOps dengan Security Command Center.

Selesaikan tugas berikut untuk akun pengguna Google Cloud yang Anda tentukan saat menyiapkan Google SecOps:

1. Konfigurasi aturan ingress berikut:

   - ingressFrom:
       identityType: ANY_IDENTITY
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Ganti kode berikut:

   • PROJECT_NUMBER: nomor project Google Cloud Anda, yang bisa Anda dapatkan dari perwakilan Google SecOps Anda

2. Konfigurasi aturan keluar berikut:

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Ganti kode berikut:

   • GOOGLE_ORGANIZATION_NUMBER: nomor organisasi Google Cloud Anda
   • PROJECT_NUMBER: nomor project Google Cloud Anda, yang bisa Anda dapatkan dari perwakilan Google SecOps Anda

Mengonfigurasi aturan saat kunci enkripsi yang dikelola pelanggan berasal dari project yang berbeda

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk Google SecOps jika Anda menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) dari project yang berbeda. CMEK adalah kunci enkripsi yang Anda miliki, kelola, dan simpan di Cloud Key Management Service.

Konfigurasi aturan keluar berikut untuk akun pengguna Google Cloud yang Anda tentukan saat menyiapkan Google SecOps:

  - egressTo:
      operations:
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER
    egressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - resource: projects/PROJECT_NUMBER

Ganti kode berikut:

• PROJECT_NUMBER: nomor project Google Cloud Anda, yang bisa Anda dapatkan dari perwakilan Google SecOps Anda
• CMEK_PROJECT_NUMBER: nomor project dari project yang berbeda

Langkah berikutnya

• Pelajari lebih lanjut Kontrol Layanan VPC.
• Lihat entri Google Security Operations di tabel produk yang didukung Kontrol Layanan VPC.