Google SecOps 用に VPC Service Controls を構成する
以下でサポートされています。
Google SecOps
Google Cloud VPC Service Controls を使用すると、データ漏洩を防ぐためのサービス境界を設定できます。VPC Service Controls を使用して Google Security Operations を構成し、Google SecOps がサービス境界外のリソースとサービスにアクセスできるようにします。
始める前に
- 組織レベルで VPC Service Controls を構成するために必要なロールがあることを確認します。
制限事項
- VPC Service Controls は、 Google Cloud ID 認証、サードパーティ ID プロバイダ、Workforce Identity 連携のみをサポートします。
- VPC Service Controls を使用するには、Google SecOps の機能 RBAC を有効にする必要があります。
- VPC Service Controls は、Google SecOps の
chronicle.googleapis.comAPI とchronicleservicemanager.googleapis.comAPI のみをサポートしています。他の Google SecOps API は引き続き使用できますが、引き続き使用するには特別なルールを構成する必要がある場合があります。また、これらの他の API を使用するデータとサービスは、VPC Service Controls 境界の制限によって保護されません。 - VPC Service Controls は、Google SecOps Unified Data Model(UDM)データの セルフマネージド BigQuery プロジェクトへのエクスポート、または 高度な BigQuery エクスポートの使用のみをサポートしています。他の Google SecOps エクスポート方法を引き続き使用できますが、それらを引き続き使用するには特別なルールを構成する必要がある場合があります。また、これらの方法でエクスポートされたデータは、VPC Service Controls の境界制限によって保護されません。詳細については、Google SecOps の担当者にお問い合わせください。
- VPC Service Controls は Cloud Monitoring をサポートしていません。ただし、非準拠のアクセスを防ぐために、Cloud Monitoring データを表示する権限を取り消すことができます。Cloud Monitoring を引き続き使用できますが、引き続き使用するには特別なルールを構成する必要がある場合があります。また、データ転送は VPC Service Controls の境界制限によって保護されません。詳細については、Google SecOps の担当者にお問い合わせください。
- VPC Service Controls は Looker ダッシュボードをサポートしていません。VPC Service Controls は、Google SecOps のダッシュボードのみをサポートします。Looker ダッシュボードは引き続き使用できますが、引き続き使用するには特別なルールを構成する必要がある場合があります。また、Looker ダッシュボードは VPC Service Controls の境界制限によって保護されません。
- VPC Service Controls は、以前のクラウド バケットとサードパーティ API フィード コネクタをサポートしていません。v2 コネクタを使用して、
GOOGLE_CLOUD_STORAGE_V2ソースタイプで Cloud Storage フィードを作成する必要があります。以前のクラウド バケットとサードパーティ API フィード コネクタで作成されたフィードは引き続き使用できますが、引き続き使用するには特別なルールを構成する必要がある場合があります。また、それらで作成されたフィードの使用は、VPC Service Controls の境界制限によって保護されません。 - VPC Service Controls は、 Google Cloud 環境で攻撃をシミュレートしてセキュリティをテストする Google SecOps Security Validation をサポートしていません。セキュリティ検証は引き続き使用できますが、引き続き使用するには特別なルールを構成する必要がある場合があります。また、セキュリティ検証の使用は VPC Service Controls の境界制限によって保護されません。
- VPC Service Controls は DataTap をサポートしていません。
- 顧客管理の暗号鍵(CMEK)を使用する場合は、Cloud Key Management Service プロジェクトを Google Cloud プロジェクトと同じ境界内に保持するか、鍵を Google Cloud プロジェクト自体の中に保持することを強くおすすめします。CMEK と Google Cloud プロジェクトを異なる VPC Service Controls 境界内に保持する必要がある場合は、Google SecOps の担当者にお問い合わせください。
上り(内向き)ルールと下り(外向き)ルールを構成する
サービス境界の構成に基づいて、上り(内向き)ルールと下り(外向き)ルールを構成します。詳細については、サービス境界の概要をご覧ください。
VPC Service Controls で問題が発生した場合は、VPC Service Controls 違反分析ツールを使用して問題をデバッグして分析します。詳細については、違反分析ツールでアクセス拒否を診断するをご覧ください。
SOAR のルールを構成する
このセクションでは、プラットフォームの SOAR 側で VPC Service Controls を構成する方法について説明します。
Google SecOps の設定時に指定した Google Cloud ユーザー アカウントに、次の上り(内向き)ルールを構成します。
- ingressFrom:
identityType: ANY_SERVICE_ACCOUNT
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
- ingressFrom:
identities:
- user:malachite-data-plane-api@prod.google.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: trafficdirector.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
PROJECT_NUMBER は、使用する Google Cloud Bring Your Own Project(BYOP)プロジェクト番号に置き換えます。
SIEM のルールを構成する
このセクションでは、プラットフォームの SIEM 側で VPC Service Controls を構成する方法について説明します。
Google SecOps の設定時に指定した Google Cloud ユーザー アカウントに次のルールを構成します。
- ingressFrom:
identities:
- serviceAccount:malachite-advanced-bq-exporter@system.gserviceaccount.com
- serviceAccount:malachite-data-export-service@system.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: analyticshub.googleapis.com
methodSelectors:
- method: "*"
- serviceName: bigquery.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
- ingressFrom:
identities:
- serviceAccount:service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: chronicle.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
- egressTo:
operations:
- serviceName: pubsub.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/389186463911
egressFrom:
identities:
- user: "*"
sources:
- resource: PROJECT_NUMBER
PROJECT_NUMBER は、Google SecOps にリンクされた Google Cloud プロジェクト番号に置き換えます。
Security Command Center で Google SecOps のルールを構成する
このセクションでは、Security Command Center を使用して Google SecOps 用に VPC Service Controls を構成する方法について説明します。
Google SecOps の設定時に指定した Google Cloud ユーザー アカウントに対して、次のタスクを完了します。
次の上り(内向き)ルールを構成します。
- ingressFrom: identities: - serviceAccount: service-PROJECT_NUMBER@gcp-sa-securitycenter.iam.gserviceaccount.com sources: - accessLevel: "*" ingressTo: operations: - serviceName: compute.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBERPROJECT_NUMBERは、Google SecOps にリンクされた Google Cloud プロジェクト番号に置き換えます。次の下り(外向き)ルールを構成します。
- egressTo: operations: - serviceName: pubsub.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" resources: - "*" egressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com sources: - resource: projects/PROJECT_NUMBER次のように置き換えます。
GOOGLE_ORGANIZATION_NUMBER: Google Cloud 組織番号PROJECT_NUMBER: Google SecOps にリンクされた Google Cloud プロジェクト番号
顧客管理の暗号鍵(CMEK)のルールを構成する
このセクションでは、顧客管理の暗号鍵(CMEK)を使用して Google SecOps 用に VPC Service Controls を構成する方法について説明します。CMEK は、ユーザーが所有、管理し、Cloud Key Management Service に保存する暗号鍵です。
次の上り(内向き)ルールを構成します。
- ingressFrom:
identities:
- serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
- serviceName: cloudkms.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/CMEK_PROJECT_NUMBER
次のように置き換えます。
SECRET_MANAGER_PROJECT_NUMBER: Google が一部の取り込み機能のシークレットの保存に使用するプロジェクト。これは Google SecOps の担当者から取得できます。CMEK_PROJECT_NUMBER: CMEK を保存するプロジェクト番号
次のステップ
- VPC Service Controls の詳細を確認する。
- VPC Service Controls でサポートされているプロダクトの表の Google Security Operations エントリを確認する。