Configurazione dei Controlli di servizio VPC

Supportato in:

Questa guida descrive come configurare i Controlli di servizio VPC per Google Security Operations.

I Controlli di servizio VPC ti consentono di configurare un perimetro di servizio per proteggerti dall'esfiltrazione di dati. Configura Google Security Operations con i Controlli di servizio VPC in modo che Google SecOps possa accedere a risorse e servizi al di fuori del suo perimetro di servizio.

Per saperne di più sui Controlli di servizio VPC, consulta la sezione Panoramica dei Controlli di servizio VPC. Puoi anche visualizzare la voce Google Security Operations nella tabella dei prodotti supportati dai Controlli di servizio VPC.

Prima di iniziare

  • Assicurati di disporre dei ruoli richiesti per configurare i Controlli di servizio VPC a livello di organizzazione.
  • Per utilizzare Google SecOps con i Controlli di servizio VPC, puoi utilizzare solo le funzionalità conformi ai Controlli di servizio VPC. Di seguito sono elencate le funzionalità conformi ai Controlli di servizio VPC:

    • Google SecOps con i Controlli di servizio VPC supporta solo Google Cloud l'autenticazione dell'identità, i provider di identità di terze parti e Workforce Identity Federation.
    • Per utilizzare i Controlli di servizio VPC con Google SecOps, devi attivare il controllo dell'accesso basato sui ruoli (RBAC) funzionalità di Google SecOps.
    • Google SecOps con i Controlli di servizio VPC supporta solo le seguenti API pubbliche:

      • chronicle.googleapis.com
      • chronicleservicemanager.googleapis.com

      Per eseguire l'onboarding ai Controlli di servizio VPC, devi eseguire la migrazione di tutti gli endpoint corrispondenti all'API chronicle.googleapis.com.

    • Google SecOps con i Controlli di servizio VPC supporta l'esportazione dei dati del modello di dati unificato (UDM) di Google SecOps solo in un progetto BigQuery autogestito o utilizzando BigQuery Export avanzato.

    • I Controlli di servizio VPC supportano solo le dashboard di Google SecOps.

    • Puoi creare feed Cloud Storage solo con il GOOGLE_CLOUD_STORAGE_V2 tipo di origine utilizzando i connettori v2.

    • Quando crei nuovi abbonamenti Pub/Sub quando Google SecOps è limitato all'interno di un perimetro dei Controlli di servizio VPC, Google SecOps richiede di scrivere i log in Cloud Storage e di utilizzare GOOGLE_CLOUD_STORAGE_V2 o GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN anziché i feed CLOUD_PUB_SUB.

  • Per un'istanza di Google SecOps che utilizza chiavi di crittografia gestite dal cliente (CMEK), Google consiglia vivamente di mantenere il progetto Cloud Key Management Service nello stesso perimetro del progetto collegato a Google SecOps Google Cloud o di conservare le chiavi all'interno del progetto collegato a Google SecOps Google Cloud .

Limitazioni

  • L'endpoint API Chronicle di Google SecOps ImportPushLogs non supporta i Controlli di servizio VPC. Tuttavia, questa limitazione non comporta un rischio di esfiltrazione dei dati, perché l'endpoint ImportPushLogs viene utilizzato solo per il push dei dati in un'istanza di Google SecOps, non per l'accesso ai dati.

  • Google SecOps con i Controlli di servizio VPC non supporta le dashboard di Looker.

  • Google Cloud Pub/Sub non supporta la creazione di un nuovo abbonamento Pub/Sub che utilizza gli endpoint dell'API Chronicle per importare i log (voce Pub/Sub nella tabella dei prodotti supportati dai Controlli di servizio VPC). Tuttavia, tutti gli abbonamenti Pub/Sub esistenti (creati prima di spostare Google Cloud il progetto all'interno del perimetro dei Controlli di servizio VPC) continueranno a importare i log come previsto.

  • Google SecOps con i Controlli di servizio VPC non supporta i connettori di feed API di bucket cloud legacy e di terze parti.

Configurare le regole in entrata e in uscita

Configura le regole in entrata e in uscita in base alla configurazione del perimetro di servizio. Per saperne di più, consulta la sezione Panoramica del perimetro di servizio.

Se riscontri problemi con i Controlli di servizio VPC, utilizza lo strumento di analisi delle violazioni dei Controlli di servizio VPC per eseguire il debug e analizzare il problema. Per saperne di più, consulta la sezione Diagnostica un rifiuto dell'accesso nello strumento di analisi delle violazioni.

Configurare la regola in entrata per SOAR

Questa sezione descrive come configurare i Controlli di servizio VPC per la parte SOAR della piattaforma.

Configura la seguente regola in entrata per l'account utente Google Cloud che hai specificato quando hai configurato Google SecOps:

  - ingressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Sostituisci PROJECT_NUMBER con il numero del progetto collegato a Google SecOps Google Cloud .

Configurare le regole per SIEM

Questa sezione descrive come configurare i Controlli di servizio VPC per la parte SIEM della piattaforma.

Regola in entrata per BigQuery Export avanzato

Se utilizzi la funzionalità BigQuery Export avanzato, configura la seguente regola per l' Google Cloud account utente che hai specificato quando hai configurato Google SecOps:

    - ingressFrom:
      identities:
      - serviceAccount:malachite-bq-export-entity-graph-batch-adv-bq@system.gserviceaccount.com
      - serviceAccount:malachite-customer-monitoring-exporter@system.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: bigquery.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Sostituisci PROJECT_NUMBER con il numero del progetto collegato a Google SecOps Google Cloud .

Regola in entrata per le tabelle di dati

Se utilizzi le tabelle di dati, configura la seguente regola per l' Google Cloud account utente che hai specificato quando hai configurato Google SecOps:

  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: storage.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Sostituisci PROJECT_NUMBER con il numero del progetto collegato a Google SecOps Google Cloud .

Configurare le regole per Google SecOps con Security Command Center

Questa sezione descrive come configurare i Controlli di servizio VPC per Google SecOps con Security Command Center.

I service account nelle seguenti regole vengono creati solo durante il provisioning di Google SecOps, pertanto devi configurare le regole di Security Command Center dopo il provisioning, ma prima di iniziare a utilizzare Security Command Center.

Completa le seguenti attività per l' Google Cloud account utente che hai specificato quando hai configurato Google SecOps:

  1. Configura la seguente regola in entrata:

    - ingressFrom:
        identities:
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com
        sources:
        - accessLevel: "*"
      ingressTo:
        operations:
        - serviceName: chronicle.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: securitycenter.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: compute.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: cloudasset.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: monitoring.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: iam.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: orgpolicy.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: serviceusage.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: dns.googleapis.com
          methodSelectors:
          - method: "*"
        resources:
        - projects/PROJECT_NUMBER
    

    Sostituisci quanto segue:

    • GOOGLE_ORGANIZATION_NUMBER: il numero dell' Google Cloud organizzazione
    • PROJECT_NUMBER: il numero del progetto collegato a Google SecOps Google Cloud
  2. Configura la seguente regola in uscita:

    - egressTo:
        operations:
        - serviceName: pubsub.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: securitycenter.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: cloudasset.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: iam.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: compute.googleapis.com
          methodSelectors:
          - method: "*"
        resources:
        - "*"
      egressFrom:
        identities:
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
        sources:
        - resource: projects/PROJECT_NUMBER
    

    Sostituisci quanto segue:

    • GOOGLE_ORGANIZATION_NUMBER: il numero dell' Google Cloud organizzazione
    • PROJECT_NUMBER: il numero del progetto collegato a Google SecOps Google Cloud

Configurare la regola in entrata per le chiavi di crittografia gestite dal cliente (CMEK)

Questa sezione descrive come configurare i Controlli di servizio VPC per Google SecOps con chiavi di crittografia gestite dal cliente (CMEK). Le CMEK sono chiavi di crittografia di tua proprietà, che gestisci e archivi in Cloud Key Management Service.

Configura la seguente regola in entrata:

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER 

Sostituisci quanto segue:

  • SECRET_MANAGER_PROJECT_NUMBER: il progetto utilizzato da Google per archiviare i secret per alcune funzionalità di importazione, che puoi ottenere dal tuo rappresentante Google SecOps
  • CMEK_PROJECT_NUMBER: il numero del progetto che memorizza le CMEK