Configurar o VPC Service Controls para o Google SecOps

Google Cloud O VPC Service Controls permite configurar um perímetro de serviço para evitar a exfiltração de dados. Configure o Google Security Operations com o VPC Service Controls para que o Google SecOps possa acessar recursos e serviços fora do perímetro de serviço.

Antes de começar

• Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.

Limitações

• O VPC Service Controls é compatível apenas com Google Cloud autenticação de identidade, provedores de identidade de terceiros e federação de identidade de colaboradores.
• O RBAC de recursos do Google SecOps precisa estar ativado para usar o VPC Service Controls.
• O VPC Service Controls é compatível apenas com as APIs chronicle.googleapis.com e chronicleservicemanager.googleapis.com do Google SecOps. Você pode continuar usando outras APIs do Google SecOps, mas talvez seja necessário configurar regras especiais para continuar usando-as. Além disso, os dados e serviços que usam essas outras APIs não são protegidos pelas restrições de perímetro do VPC Service Controls.
• O VPC Service Controls só permite a exportação de dados do modelo unificado de dados (UDM, na sigla em inglês) do Google SecOps para um projeto autogerenciado do BigQuery ou usando o BigQuery Export avançado. Você pode continuar usando outros métodos de exportação do Google SecOps, mas talvez seja necessário configurar regras especiais para continuar usando esses métodos. Além disso, a exportação de dados usando esses métodos não é protegida pelas restrições de perímetro do VPC Service Controls. Para mais informações, entre em contato com seu representante do Google SecOps.
• O VPC Service Controls não é compatível com o Cloud Monitoring. No entanto, para evitar o acesso sem compliance, é possível revogar as permissões de visualização dos dados do Cloud Monitoring. Você pode continuar usando o Cloud Monitoring, mas talvez seja necessário configurar regras especiais para continuar usando o serviço, e a transmissão de dados não é protegida pelas restrições de perímetro do VPC Service Controls. Para mais informações, entre em contato com seu representante do Google SecOps.
• O VPC Service Controls não é compatível com painéis do Looker. O VPC Service Controls é compatível apenas com os painéis do Google SecOps. Você pode continuar usando os painéis do Looker, mas talvez seja necessário configurar regras especiais para continuar usando-os. Além disso, os painéis do Looker não são protegidos pelas restrições de perímetro do VPC Service Controls.
• O VPC Service Controls não é compatível com o bucket de nuvem legada e os conectores de feed de API de terceiros. É necessário criar os feeds do Cloud Storage com o tipo de origem GOOGLE_CLOUD_STORAGE_V2 usando conectores da v2. Você pode continuar usando feeds criados com o bucket legado do Cloud e conectores de feed de API de terceiros, mas talvez seja necessário configurar regras especiais para continuar usando esses recursos. Além disso, o uso de feeds criados com eles não é protegido pelas restrições de perímetro do VPC Service Controls.
• O VPC Service Controls não é compatível com a validação de segurança do Google SecOps para testar a segurança simulando ataques no seu ambiente Google Cloud . Você pode continuar usando a validação de segurança, mas talvez seja necessário configurar regras especiais para isso. Além disso, o uso da validação de segurança não é protegido pelas restrições de perímetro do VPC Service Controls.
• O VPC Service Controls não é compatível com o DataTap.
• Se você usa chaves de criptografia gerenciadas pelo cliente (CMEK), o Google recomenda manter o projeto do Cloud Key Management Service no mesmo perímetro do projeto Google Cloud ou manter as chaves no próprio projeto Google Cloud . Se você precisar manter as CMEKs e o projeto Google Cloud em perímetros diferentes do VPC Service Controls, entre em contato com seu representante do Google SecOps.

Configurar as regras de entrada e saída

Configure regras de entrada e saída com base na configuração do perímetro de serviço. Para mais informações, consulte Visão geral do perímetro de serviço.

Se você tiver problemas com o VPC Service Controls, use o analisador de violações para depurar e analisar o problema. Para mais informações, consulte Diagnosticar uma negação de acesso no analisador de violações.

Configurar as regras para SOAR

Esta seção descreve como configurar o VPC Service Controls para o lado SOAR da plataforma.

Configure as seguintes regras de entrada para a conta de usuário Google Cloud especificada ao configurar o Google SecOps:

  - ingressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: trafficdirector.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Substitua PROJECT_NUMBER pelo número do seu projeto Google Cloud Bring Your Own Project (BYOP).

Configurar as regras para o SIEM

Nesta seção, descrevemos como configurar o VPC Service Controls para o lado do SIEM da plataforma.

Configure as seguintes regras para a conta de usuário Google Cloud especificada ao configurar o Google SecOps:

  - ingressFrom:
      identities:
      - serviceAccount:malachite-advanced-bq-exporter@system.gserviceaccount.com
      - serviceAccount:malachite-data-export-service@system.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: analyticshub.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: bigquery.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - ingressFrom:
      identities:
      - serviceAccount:service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: chronicle.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

Substitua PROJECT_NUMBER pelo número do projeto do Google SecOps Google Cloud .

Configurar as regras do Google SecOps com o Security Command Center

Nesta seção, descrevemos como configurar o VPC Service Controls para o Google SecOps com o Security Command Center.

Conclua as tarefas a seguir para a conta de usuário Google Cloud especificada ao configurar o Google SecOps:

1. Configure a seguinte regra de entrada:

   - ingressFrom:
       identities:
       - serviceAccount: service-PROJECT_NUMBER@gcp-sa-securitycenter.iam.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Substitua PROJECT_NUMBER pelo número do projeto do Google SecOps Google Cloud .

2. Configure a seguinte regra de saída:

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Substitua:

   • GOOGLE_ORGANIZATION_NUMBER: o número da sua Google Cloud organização
   • PROJECT_NUMBER: o número do projeto do Google SecOps vinculado ao Google Cloud

Configurar a regra para chaves de criptografia gerenciadas pelo cliente (CMEKs)

Nesta seção, descrevemos como configurar o VPC Service Controls para o Google SecOps com chaves de criptografia gerenciadas pelo cliente (CMEKs). As CMEKs são chaves de criptografia que você possui, gerencia e armazena no Cloud Key Management Service.

Configure a seguinte regra de entrada:

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER 

Substitua:

• SECRET_MANAGER_PROJECT_NUMBER: o projeto que o Google usa para armazenar segredos de alguns recursos de ingestão, que você pode receber do seu representante do Google SecOps
• CMEK_PROJECT_NUMBER: o número do projeto que armazena as CMEKs.

A seguir

• Saiba mais sobre o VPC Service Controls.
• Consulte a entrada do Google Security Operations na tabela de produtos compatíveis com o VPC Service Controls.