Configura i Controlli di servizio VPC per Google SecOps

Google Cloud I Controlli di servizio VPC ti consentono di configurare un perimetro di servizio per proteggerti dall'esfiltrazione di dati. Configura Google Security Operations con Controlli di servizio VPC in modo che Google SecOps possa accedere a risorse e servizi al di fuori del suo perimetro di servizio.

Prima di iniziare

• Assicurati di disporre dei ruoli necessari per configurare i Controlli di servizio VPC a livello di organizzazione.

Limitazioni

• Controlli di servizio VPC supporta solo l'autenticazione dell'identità, i provider di identità di terze parti e la federazione delle identità per la forza lavoro. Google Cloud
• Per utilizzare i Controlli di servizio VPC, deve essere abilitata la funzionalità RBAC di Google SecOps.
• Controlli di servizio VPC supporta solo le API Google SecOps chronicle.googleapis.com e chronicleservicemanager.googleapis.com. Puoi continuare a utilizzare altre API Google SecOps, ma potresti dover configurare regole speciali per continuare a utilizzarle e i dati e i servizi che utilizzano queste altre API non sono protetti dalle limitazioni del perimetro dei Controlli di servizio VPC.
• I controlli di servizio VPC supportano l'esportazione dei dati del modello unificato dei dati (UDM) di Google SecOps solo in un progetto BigQuery autogestito o utilizzando l'esportazione avanzata di BigQuery. Puoi continuare a utilizzare altri metodi di esportazione di Google SecOps, ma potresti dover configurare regole speciali per continuare a utilizzarli e l'esportazione di dati utilizzando questi metodi non è protetta dalle limitazioni del perimetro dei Controlli di servizio VPC. Per saperne di più, contatta il tuo rappresentante Google SecOps.
• Controlli di servizio VPC non supporta Cloud Monitoring. Tuttavia, per impedire l'accesso non conforme, puoi revocare le autorizzazioni per visualizzare i dati di Cloud Monitoring. Puoi continuare a utilizzare Cloud Monitoring, ma potresti dover configurare regole speciali per continuare a utilizzarlo e la trasmissione dei dati non è protetta dalle limitazioni del perimetro dei Controlli di servizio VPC. Per saperne di più, contatta il tuo rappresentante Google SecOps.
• Controlli di servizio VPC non supporta i dashboard di Looker. Controlli di servizio VPC supporta solo le dashboard di Google SecOps. Puoi continuare a utilizzare le dashboard di Looker, ma potresti dover configurare regole speciali per continuare a utilizzarle e le dashboard di Looker non sono protette dalle limitazioni del perimetro dei Controlli di servizio VPC.
• Controlli di servizio VPC non supporta i connettori legacy di bucket cloud e feed API di terze parti. Devi creare i feed Cloud Storage con il tipo di origine GOOGLE_CLOUD_STORAGE_V2 utilizzando i connettori v2. Puoi continuare a utilizzare i feed creati con il bucket cloud legacy e i connettori di feed API di terze parti, ma potresti dover configurare regole speciali per continuare a utilizzarli e l'utilizzo dei feed creati con questi connettori non è protetto dalle limitazioni del perimetro dei Controlli di servizio VPC.
• Controlli di servizio VPC non supporta la convalida della sicurezza di Google SecOps per testare la sicurezza simulando attacchi nel tuo ambiente Google Cloud . Puoi continuare a utilizzare la convalida della sicurezza, ma potresti dover configurare regole speciali per continuare a utilizzarla e il suo utilizzo non è protetto dalle limitazioni del perimetro dei Controlli di servizio VPC.
• Controlli di servizio VPC non supporta DataTap.
• Se utilizzi le chiavi di crittografia gestite dal cliente (CMEK), Google consiglia vivamente di mantenere il progetto Cloud Key Management Service nello stesso perimetro del progetto Google Cloud o di conservare le chiavi all'interno del progetto Google Cloud stesso. Se hai l'esigenza di mantenere le chiavi CMEK e il tuo progetto Google Cloud in perimetri di Controlli di servizio VPC diversi, contatta il tuo rappresentante di Google SecOps.

Configura le regole in entrata e in uscita

Configura le regole in entrata e in uscita in base alla configurazione del perimetro di servizio. Per saperne di più, consulta la panoramica del perimetro di servizio.

Se riscontri problemi con i Controlli di servizio VPC, utilizza lo strumento di analisi delle violazioni dei Controlli di servizio VPC per eseguire il debug e analizzare il problema. Per saperne di più, consulta Diagnostica un rifiuto dell'accesso nello strumento di analisi delle violazioni.

Configurare le regole per SOAR

Questa sezione descrive come configurare i Controlli di servizio VPC per la parte SOAR della piattaforma.

Configura le seguenti regole di ingresso per l'account utente Google Cloud che hai specificato durante la configurazione di Google SecOps:

  - ingressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: trafficdirector.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Sostituisci PROJECT_NUMBER con il numero del tuo progetto BYOP (Bring Your Own Project) Google Cloud .

Configura le regole per SIEM

Questa sezione descrive come configurare i Controlli di servizio VPC per la parte SIEM della piattaforma.

Configura le seguenti regole per l'account utente Google Cloud che hai specificato durante la configurazione di Google SecOps:

  - ingressFrom:
      identities:
      - serviceAccount:malachite-advanced-bq-exporter@system.gserviceaccount.com
      - serviceAccount:malachite-data-export-service@system.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: analyticshub.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: bigquery.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - ingressFrom:
      identities:
      - serviceAccount:service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: chronicle.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

Sostituisci PROJECT_NUMBER con il numero del progetto Google Cloud collegato a Google SecOps.

Configura le regole per Google SecOps con Security Command Center

Questa sezione descrive come configurare i Controlli di servizio VPC per Google SecOps con Security Command Center.

Completa le seguenti attività per l'account utente Google Cloud che hai specificato durante la configurazione di Google SecOps:

1. Configura la seguente regola in entrata:

   - ingressFrom:
       identities:
       - serviceAccount: service-PROJECT_NUMBER@gcp-sa-securitycenter.iam.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Sostituisci PROJECT_NUMBER con il numero del progetto Google Cloud collegato a Google SecOps.

2. Configura la seguente regola di uscita:

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Sostituisci quanto segue:

   • GOOGLE_ORGANIZATION_NUMBER: il tuo Google Cloud numero di organizzazione
   • PROJECT_NUMBER: il numero del tuo progetto Google Cloud collegato a Google SecOps

Configura la regola per le chiavi di crittografia gestite dal cliente (CMEK)

Questa sezione descrive come configurare i Controlli di servizio VPC per Google SecOps con chiavi di crittografia gestite dal cliente (CMEK). Le CMEK sono chiavi di crittografia di tua proprietà, che gestisci e memorizzi in Cloud Key Management Service.

Configura la seguente regola in entrata:

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER 

Sostituisci quanto segue:

• SECRET_MANAGER_PROJECT_NUMBER: il progetto che Google utilizza per archiviare i secret per alcune funzionalità di importazione, che puoi ottenere dal tuo rappresentante Google SecOps
• CMEK_PROJECT_NUMBER: il numero del progetto che archivia le chiavi CMEK

Passaggi successivi

• Scopri di più sui Controlli di servizio VPC
• Consulta la voce Google Security Operations nella tabella dei prodotti supportati dai Controlli di servizio VPC.