Configura i Controlli di servizio VPC per Google Security Operations

Google Cloud I Controlli di servizio VPC ti consentono di configurare un perimetro di servizio per proteggerti dall'esfiltrazione di dati. Configura Google Security Operations con Controlli di servizio VPC in modo che Google SecOps possa accedere a risorse e servizi al di fuori del suo perimetro di servizio.

Prima di iniziare

• Assicurati di disporre dei ruoli necessari per configurare i Controlli di servizio VPC a livello di organizzazione.

Limitazioni

• I Controlli di servizio VPC supportano solo l'autenticazione dell'identità e le funzionalità Bring Your Own Identity (BYOID) e Workforce Identity Federation di Google SecOps. Google Cloud
• Per utilizzare i Controlli di servizio VPC, deve essere abilitata la funzionalità RBAC di Google SecOps.
• Controlli di servizio VPC supporta solo le API Google SecOps chronicle.googleapis.com e chronicleservicemanager.googleapis.com. Puoi continuare a utilizzare altre API Google SecOps, ma potresti dover configurare regole speciali per continuare a utilizzarle e i dati e i servizi che utilizzano queste altre API non sono protetti dalle limitazioni del perimetro dei Controlli di servizio VPC.
• I controlli di servizio VPC supportano l'esportazione dei dati del modello unificato dei dati (UDM) di Google SecOps solo in un progetto BigQuery autogestito o utilizzando l'esportazione avanzata di BigQuery. Puoi continuare a utilizzare altri metodi di esportazione di Google SecOps, ma potresti dover configurare regole speciali per continuare a utilizzarli e l'esportazione di dati utilizzando questi metodi non è protetta dalle limitazioni del perimetro dei Controlli di servizio VPC. Per saperne di più, contatta il tuo rappresentante Google SecOps.
• Controlli di servizio VPC non supporta Cloud Monitoring. Tuttavia, per impedire l'accesso non conforme, puoi revocare le autorizzazioni per visualizzare i dati di Cloud Monitoring. Puoi continuare a utilizzare Cloud Monitoring, ma potresti dover configurare regole speciali per continuare a utilizzarlo e la trasmissione dei dati non è protetta dalle limitazioni del perimetro dei Controlli di servizio VPC. Per saperne di più, contatta il tuo rappresentante Google SecOps.
• Controlli di servizio VPC non supporta i dashboard di Looker. Controlli di servizio VPC supporta solo le dashboard di Google SecOps. Puoi continuare a utilizzare le dashboard di Looker, ma potresti dover configurare regole speciali per continuare a utilizzarle e le dashboard di Looker non sono protette dalle limitazioni del perimetro dei Controlli di servizio VPC.
• Controlli di servizio VPC non supporta i feed Xenon. Devi creare i feed Cloud Storage con il tipo di origine GOOGLE_CLOUD_STORAGE_V2. Puoi continuare a utilizzare i feed Xenon, ma potresti dover configurare regole speciali per continuare a utilizzarli e il loro utilizzo non è protetto dalle limitazioni del perimetro dei Controlli di servizio VPC.
• Controlli di servizio VPC non supporta la convalida della sicurezza di Google SecOps per testare la sicurezza simulando attacchi nel tuo ambiente Google Cloud . Puoi continuare a utilizzare la convalida della sicurezza, ma potresti dover configurare regole speciali per continuare a utilizzarla e il suo utilizzo non è protetto dalle limitazioni del perimetro dei Controlli di servizio VPC.
• Controlli di servizio VPC non supporta DataTap.
• Se utilizzi le chiavi di crittografia gestite dal cliente (CMEK), Google consiglia vivamente di mantenere il progetto Cloud Key Management Service nello stesso perimetro del progetto Google Cloud o di conservare le chiavi all'interno del progetto Google Cloud stesso.

Configura le regole in entrata e in uscita

Configura le regole in entrata e in uscita in base alla configurazione del perimetro di servizio. Per saperne di più, consulta la panoramica del perimetro di servizio.

Se riscontri problemi con i Controlli di servizio VPC, utilizza lo strumento di analisi delle violazioni dei Controlli di servizio VPC per eseguire il debug e analizzare il problema. Per saperne di più, consulta Diagnostica un rifiuto dell'accesso nello strumento di analisi delle violazioni.

Configurare le regole per SOAR

Questa sezione descrive come configurare i Controlli di servizio VPC per Google SecOps SOAR.

Completa le seguenti attività per l'account utente Google Cloud che hai specificato durante la configurazione di Google SecOps:

1. Configura le seguenti regole in entrata:

   - ingressFrom:
       identityType: ANY_SERVICE_ACCOUNT
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: secretmanager.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   - ingressFrom:
       identities:
       - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: binaryauthorization.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Sostituisci quanto segue:

   • PROJECT_NUMBER: il numero del tuo progetto Google Cloud SOAR, che puoi ottenere dal tuo rappresentante Google SecOps

2. Configura la seguente regola di uscita:

   - egressTo:
       operations:
       - serviceName: binaryauthorization.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/soar-infra-SOAR_REGION_ID
     egressFrom:
       identities:
         - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Sostituisci quanto segue:

   • SOAR_REGION_ID: il codice assegnato da Google in base alla regione SOAR, che puoi ottenere dal tuo rappresentante Google SecOps
   • PROJECT_NUMBER: il numero del tuo progetto Google Cloud Bring Your Own Project (BYOP)

Configura la regola per Google SecOps SIEM

Questa sezione descrive come configurare i Controlli di servizio VPC per Google SecOps SIEM.

Configura la seguente regola di uscita per l'account utente Google Cloud che hai specificato durante la configurazione di Google SecOps:

  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

Sostituisci quanto segue:

• PROJECT_NUMBER: il tuo Google Cloud numero di progetto, che puoi ottenere dal tuo rappresentante Google SecOps

Configura le regole per Google SecOps con Security Command Center

Questa sezione descrive come configurare i Controlli di servizio VPC per Google SecOps con Security Command Center.

Completa le seguenti attività per l'account utente Google Cloud che hai specificato durante la configurazione di Google SecOps:

1. Configura la seguente regola in entrata:

   - ingressFrom:
       identityType: ANY_IDENTITY
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Sostituisci quanto segue:

   • PROJECT_NUMBER: il tuo Google Cloud numero di progetto, che puoi ottenere dal tuo rappresentante Google SecOps

2. Configura la seguente regola di uscita:

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Sostituisci quanto segue:

   • GOOGLE_ORGANIZATION_NUMBER: il tuo Google Cloud numero di organizzazione
   • PROJECT_NUMBER: il tuo Google Cloud numero di progetto, che puoi ottenere dal tuo rappresentante Google SecOps

Configura la regola quando la chiave di crittografia gestita dal cliente proviene da un progetto diverso

Questa sezione descrive come configurare i Controlli di servizio VPC per Google SecOps se utilizzi una chiave di crittografia gestita dal cliente (CMEK) di un progetto diverso. Le CMEK sono chiavi di crittografia di tua proprietà, che gestisci e memorizzi in Cloud Key Management Service.

Configura la seguente regola di uscita per l'account utente Google Cloud che hai specificato durante la configurazione di Google SecOps:

  - egressTo:
      operations:
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER
    egressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - resource: projects/PROJECT_NUMBER

Sostituisci quanto segue:

• PROJECT_NUMBER: il tuo Google Cloud numero di progetto, che puoi ottenere dal tuo rappresentante Google SecOps
• CMEK_PROJECT_NUMBER: il numero di progetto del progetto diverso

Passaggi successivi

• Scopri di più sui Controlli di servizio VPC
• Consulta la voce Google Security Operations nella tabella dei prodotti supportati dai Controlli di servizio VPC.