Google Security Operations の VPC Service Controls を構成する
以下でサポートされています。
Google SecOps
Google Cloud VPC Service Controls を使用すると、データ漏洩を防ぐためのサービス境界を設定できます。VPC Service Controls を使用して Google Security Operations を構成し、Google SecOps がサービス境界外のリソースとサービスにアクセスできるようにします。
始める前に
- 組織レベルで VPC Service Controls を構成するために必要なロールがあることを確認します。
制限事項
- VPC Service Controls は、 Google Cloud ID 認証と Google SecOps の Bring Your Own Identity(BYOID)および Workforce Identity 連携のみをサポートしています。
- VPC Service Controls を使用するには、Google SecOps の機能 RBAC を有効にする必要があります。
- VPC Service Controls は、Google SecOps の
chronicle.googleapis.comAPI とchronicleservicemanager.googleapis.comAPI のみをサポートしています。他の Google SecOps API は引き続き使用できますが、引き続き使用するには特別なルールを構成する必要がある場合があります。また、これらの他の API を使用するデータとサービスは、VPC Service Controls 境界の制限によって保護されません。 - VPC Service Controls は、Google SecOps Unified Data Model(UDM)データの セルフマネージド BigQuery プロジェクトへのエクスポート、または Advanced BigQuery Export を使用したエクスポートのみをサポートしています。他の Google SecOps エクスポート方法を引き続き使用できますが、それらを引き続き使用するには特別なルールを構成する必要がある場合があります。また、これらの方法を使用してエクスポートされたデータは、VPC Service Controls の境界制限によって保護されません。詳細については、Google SecOps の担当者にお問い合わせください。
- VPC Service Controls は Cloud Monitoring をサポートしていません。ただし、非準拠のアクセスを防ぐために、Cloud Monitoring データを表示する権限を取り消すことができます。Cloud Monitoring を引き続き使用できますが、引き続き使用するには特別なルールを構成する必要がある場合があります。また、データ転送は VPC Service Controls の境界制限によって保護されません。詳細については、Google SecOps の担当者にお問い合わせください。
- VPC Service Controls は Looker ダッシュボードをサポートしていません。VPC Service Controls は、Google SecOps のダッシュボードのみをサポートします。Looker ダッシュボードは引き続き使用できますが、引き続き使用するには特別なルールを構成する必要がある場合があります。また、Looker ダッシュボードは VPC Service Controls の境界制限によって保護されません。
- VPC Service Controls は Xenon フィードをサポートしていません。
GOOGLE_CLOUD_STORAGE_V2ソースタイプを使用して Cloud Storage フィードを作成する必要があります。Xenon フィードを引き続き使用できますが、これらのフィードを引き続き使用するには特別なルールを構成する必要がある場合があります。また、Xenon フィードの使用は VPC Service Controls の境界制限によって保護されません。 - VPC Service Controls は、 Google Cloud 環境で攻撃をシミュレートしてセキュリティをテストする Google SecOps Security Validation をサポートしていません。Security Validation は引き続き使用できますが、引き続き使用するには特別なルールを構成する必要がある場合があります。また、Security Validation の使用は VPC Service Controls の境界制限の対象外です。
- VPC Service Controls は DataTap をサポートしていません。
- 顧客管理の暗号鍵(CMEK)を使用する場合は、Cloud Key Management Service プロジェクトを Google Cloud プロジェクトと同じ境界内に保持するか、鍵を Google Cloud プロジェクト自体の中に保持することを強くおすすめします。
上り(内向き)ルールと下り(外向き)ルールを構成する
サービス境界の構成に基づいて、上り(内向き)ルールと下り(外向き)ルールを構成します。詳細については、サービス境界の概要をご覧ください。
VPC Service Controls で問題が発生した場合は、VPC Service Controls 違反分析ツールを使用して問題をデバッグして分析します。詳細については、違反分析ツールでアクセス拒否を診断するをご覧ください。
SOAR のルールを構成する
このセクションでは、Google SecOps SOAR 用に VPC Service Controls を構成する方法について説明します。
Google SecOps の設定時に指定した Google Cloud ユーザー アカウントに対して、次のタスクを完了します。
次の上り(内向き)ルールを構成します。
- ingressFrom: identityType: ANY_SERVICE_ACCOUNT sources: - accessLevel: "*" ingressTo: operations: - serviceName: secretmanager.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBER - ingressFrom: identities: - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com sources: - accessLevel: "*" ingressTo: operations: - serviceName: binaryauthorization.googleapis.com methodSelectors: - method: "*" - serviceName: monitoring.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBER次のように置き換えます。
PROJECT_NUMBER: Google Cloud SOAR プロジェクト番号。Google SecOps の担当者から取得できます。
次の下り(外向き)ルールを構成します。
- egressTo: operations: - serviceName: binaryauthorization.googleapis.com methodSelectors: - method: "*" - serviceName: monitoring.googleapis.com methodSelectors: - method: "*" resources: - projects/soar-infra-SOAR_REGION_ID egressFrom: identities: - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com sources: - resource: projects/PROJECT_NUMBER次のように置き換えます。
SOAR_REGION_ID: SOAR リージョンに基づいて Google が割り当てるコード。Google SecOps の担当者から取得できます。PROJECT_NUMBER: Google Cloud Bring Your Own Project(BYOP)プロジェクトの番号
Google SecOps SIEM のルールを構成する
このセクションでは、Google SecOps SIEM 用に VPC Service Controls を構成する方法について説明します。
Google SecOps の設定時に指定した Google Cloud ユーザー アカウントに、次の下り(外向き)ルールを構成します。
- egressTo:
operations:
- serviceName: pubsub.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/389186463911
egressFrom:
identities:
- user: "*"
sources:
- resource: PROJECT_NUMBER
次のように置き換えます。
PROJECT_NUMBER: Google Cloud プロジェクト番号。Google SecOps の担当者から取得できます。
Security Command Center で Google SecOps のルールを構成する
このセクションでは、Security Command Center を使用して Google SecOps 用に VPC Service Controls を構成する方法について説明します。
Google SecOps の設定時に指定した Google Cloud ユーザー アカウントに対して、次のタスクを完了します。
次の上り(内向き)ルールを構成します。
- ingressFrom: identityType: ANY_IDENTITY sources: - accessLevel: "*" ingressTo: operations: - serviceName: pubsub.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBER次のように置き換えます。
PROJECT_NUMBER: Google Cloud プロジェクト番号。Google SecOps の担当者から取得できます。
次の下り(外向き)ルールを構成します。
- egressTo: operations: - serviceName: pubsub.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" resources: - "*" egressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com sources: - resource: projects/PROJECT_NUMBER次のように置き換えます。
GOOGLE_ORGANIZATION_NUMBER: Google Cloud 組織番号PROJECT_NUMBER: Google Cloud プロジェクト番号。Google SecOps の担当者から取得できます。
顧客管理の暗号鍵が別のプロジェクトにある場合にルールを構成する
このセクションでは、別のプロジェクトの顧客管理の暗号鍵(CMEK)を使用する場合に、Google SecOps 用に VPC Service Controls を構成する方法について説明します。CMEK は、ユーザーが所有、管理し、Cloud Key Management Service に保存する暗号鍵です。
Google SecOps の設定時に指定した Google Cloud ユーザー アカウントに、次の下り(外向き)ルールを構成します。
- egressTo:
operations:
- serviceName: cloudkms.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/CMEK_PROJECT_NUMBER
egressFrom:
identityType: ANY_SERVICE_ACCOUNT
sources:
- resource: projects/PROJECT_NUMBER
次のように置き換えます。
PROJECT_NUMBER: Google Cloud プロジェクト番号。Google SecOps の担当者から取得できます。CMEK_PROJECT_NUMBER: 別のプロジェクトのプロジェクト番号
次のステップ
- VPC Service Controls の詳細を確認する。
- VPC Service Controls でサポートされているプロダクトの表の Google Security Operations エントリを確認する。