為 Google Security Operations 設定 VPC Service Controls

Google Cloud VPC Service Controls 可讓您設定服務範圍，防範資料遭竊。使用 VPC Service Controls 設定 Google Security Operations，讓 Google SecOps 存取服務範圍外的資源和服務。

事前準備

• 確認您在組織層級具備設定 VPC Service Controls 的必要角色。

限制

• VPC Service Controls 僅支援 Google Cloud 身分驗證和 Google SecOps 自帶身分 (BYOID) 與員工身分聯盟。
• 如要使用 VPC Service Controls，必須啟用 Google SecOps 功能 RBAC。
• VPC Service Controls 僅支援 Google SecOps chronicle.googleapis.com 和 chronicleservicemanager.googleapis.com API。您仍可繼續使用其他 Google SecOps API，但可能需要設定特殊規則才能繼續使用，且使用這些其他 API 的資料和服務不會受到 VPC Service Controls 範圍限制保護。
• VPC Service Controls 僅支援將 Google SecOps 統一資料模型 (UDM) 資料匯出至自行管理的 BigQuery 專案，或使用進階 BigQuery 匯出功能。您仍可使用其他 Google SecOps 匯出方法，但可能需要設定特殊規則才能繼續使用，且透過這些方法匯出資料時，不會受到 VPC Service Controls 範圍限制保護。如需更多資訊，請與您的 Google SecOps 代表聯絡。
• VPC Service Controls 不支援 Cloud Monitoring。不過，如要避免不符規定的存取行為，您可以撤銷查看 Cloud Monitoring 資料的權限。您可以繼續使用 Cloud Monitoring，但可能需要設定特殊規則才能繼續使用，且資料傳輸不會受到 VPC Service Controls 範圍限制保護。如需更多資訊，請洽詢 Google SecOps 代表。
• VPC Service Controls 不支援 Looker 資訊主頁。VPC Service Controls 僅支援 Google SecOps 資訊主頁。您仍可繼續使用 Looker 資訊主頁，但可能需要設定特殊規則才能繼續使用，且 Looker 資訊主頁不受 VPC Service Controls 範圍限制保護。
• VPC Service Controls 不支援 Xenon 資訊提供。您需要使用 GOOGLE_CLOUD_STORAGE_V2 來源類型建立 Cloud Storage 動態饋給。你仍可繼續使用 Xenon 動態消息，但可能需要設定特殊規則才能繼續使用，且使用 Xenon 動態消息時，VPC Service Controls 邊界限制不會提供保護。
• VPC Service Controls 不支援 Google SecOps Security Validation，因此無法在 Google Cloud 環境中模擬攻擊來測試安全性。您可以繼續使用安全性驗證，但可能需要設定特殊規則才能繼續使用，且安全性驗證的使用不受 VPC Service Controls perimeter 限制保護。
• VPC Service Controls 不支援 DataTap。
• 如果您使用客戶管理的加密金鑰 (CMEK)，Google 強烈建議您將 Cloud Key Management Service 專案與 Google Cloud 專案放在相同安全防護範圍內，或將金鑰放在 Google Cloud 專案本身。

設定輸入和輸出規則

根據服務範圍設定，設定輸入和輸出規則。詳情請參閱「Service perimeter 總覽」。

如果遇到 VPC Service Controls 相關問題，請使用 VPC Service Controls 違規分析工具進行偵錯和分析。詳情請參閱「在違規分析工具中診斷存取遭拒問題」。

設定 SOAR 規則

本節說明如何為 Google SecOps SOAR 設定 VPC Service Controls。

請為設定 Google SecOps 時指定的使用者帳戶完成下列工作： Google Cloud

1. 設定下列輸入規則：

   - ingressFrom:
       identityType: ANY_SERVICE_ACCOUNT
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: secretmanager.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   - ingressFrom:
       identities:
       - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: binaryauthorization.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   更改下列內容：

   • PROJECT_NUMBER：您的 Google Cloud SOAR 專案編號，可向 Google SecOps 代表索取

2. 設定下列輸出規則：

   - egressTo:
       operations:
       - serviceName: binaryauthorization.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/soar-infra-SOAR_REGION_ID
     egressFrom:
       identities:
         - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   更改下列內容：

   • SOAR_REGION_ID：Google 根據 SOAR 區域指派的代碼，您可以向 Google SecOps 代表索取
   • PROJECT_NUMBER：您 Google Cloud 自備專案 (BYOP) 的專案編號

設定 Google SecOps SIEM 的規則

本節說明如何為 Google SecOps SIEM 設定 VPC Service Controls。

為設定 Google SecOps 時指定的 Google Cloud 使用者帳戶設定下列輸出規則：

  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

更改下列內容：

• PROJECT_NUMBER：您的 Google Cloud 專案編號，可向 Google SecOps 代表索取

使用 Security Command Center 設定 Google SecOps 規則

本節說明如何透過 Security Command Center，為 Google SecOps 設定 VPC Service Controls。

請為設定 Google SecOps 時指定的使用者帳戶完成下列工作： Google Cloud

1. 設定下列輸入規則：

   - ingressFrom:
       identityType: ANY_IDENTITY
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   更改下列內容：

   • PROJECT_NUMBER：您的 Google Cloud 專案編號，可向 Google SecOps 代表索取

2. 設定下列輸出規則：

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   更改下列內容：

   • GOOGLE_ORGANIZATION_NUMBER：您的 Google Cloud 機構編號
   • PROJECT_NUMBER：您的 Google Cloud 專案編號，可向 Google SecOps 代表索取

如果客戶管理的加密金鑰來自其他專案，請設定規則

本節說明如何為 Google SecOps 設定 VPC Service Controls，前提是您使用其他專案的客戶自行管理的加密金鑰 (CMEK)。CMEK 是您擁有、管理及儲存在 Cloud Key Management Service 的加密金鑰。

為設定 Google SecOps 時指定的 Google Cloud 使用者帳戶設定下列輸出規則：

  - egressTo:
      operations:
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER
    egressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - resource: projects/PROJECT_NUMBER

更改下列內容：

• PROJECT_NUMBER：您的 Google Cloud 專案編號，可向 Google SecOps 代表索取
• CMEK_PROJECT_NUMBER：其他專案的專案編號

後續步驟

• 進一步瞭解 VPC Service Controls。
• 請參閱「VPC Service Controls 支援的產品表」中的 Google Security Operations 項目。