Integra Google Cloud IAM con Google SecOps

Questo documento spiega come integrare Google Cloud Identity and Access Management con Google Security Operations.

Casi d'uso

L'integrazione di Google Cloud IAM supporta i seguenti casi d'uso:

• Gestione automatica del ciclo di vita degli account di servizio: crea, attiva o disattiva automaticamente gli account di servizio durante le procedure di onboarding e offboarding per garantire che l'accesso venga concesso solo quando necessario.

• Risposta rapida agli incidenti di identità: elimina o disattiva immediatamente i ruoli e i service account compromessi durante un incidente di sicurezza per impedire l'accesso non autorizzato alle risorse cloud.

• Governance e arricchimento delle identità: arricchisci le entità utente in Google SecOps con metadati dettagliati dell'account di servizio, ad esempio nomi visualizzati e ID progetto, per fornire agli analisti un contesto immediato durante le indagini.

• Controllo e applicazione delle norme: recupera e controlla le norme di controllo dell'accesso per assicurarti che siano in linea con il principio del privilegio minimo e imposta programmaticamente nuove norme per correggere le modifiche non autorizzate.

• Gestione controllo dell'accesso basato sui ruoli (RBAC): crea e gestisci ruoli IAM personalizzati con set di autorizzazioni specifici in tutta l'organizzazione per mantenere il controllo granulare sull'accesso all'ambiente cloud.

Prima di iniziare

Prima di configurare l'integrazione Google Cloud IAM in Google SecOps, completa i seguenti passaggi preliminari:

1. Crea un ruolo IAM personalizzato: definisci un ruolo con le autorizzazioni specifiche richieste per gestire service account e ruoli.

2. Crea un service account: crea l'identità che l'integrazione utilizza per eseguire azioni.

3. Seleziona un metodo di autenticazione: scegli tra Workload Identity consigliato o una chiave JSON dell'account di servizio.

Creare e configurare un ruolo IAM personalizzato

Per mantenere il principio del privilegio minimo, completa i seguenti passaggi per creare un ruolo personalizzato contenente solo le autorizzazioni specifiche necessarie per questa integrazione:

1. Nella console Google Cloud , vai a IAM e amministrazione > Ruoli.

2. Fai clic su Crea ruolo.

3. Fornisci un titolo, una descrizione e un ID.

4. Imposta la Fase di avvio del ruolo su General Availability.

5. Fai clic su Aggiungi autorizzazioni e aggiungi le seguenti autorizzazioni specifiche:

   • iam.serviceAccounts.list
   • iam.serviceAccounts.create
   • iam.serviceAccounts.get
   • iam.serviceAccounts.getIamPolicy
   • iam.serviceAccounts.setIamPolicy
   • iam.serviceAccounts.disable
   • iam.serviceAccounts.enable
   • iam.serviceAccounts.delete
   • iam.roles.list
   • iam.roles.get
   • iam.roles.create
   • iam.roles.delete

6. Fai clic su Crea.

Crea un account di servizio

L'integrazione utilizza un account di servizio per autenticare ed eseguire azioni IAM all'interno del progetto.

Per creare un account di servizio, completa i seguenti passaggi:

1. Nella console Google Cloud , vai a IAM e amministrazione > Service account.

2. Fai clic su Crea account di servizio.

3. Inserisci un nome e una descrizione, quindi fai clic su Crea e continua.

4. Nella sezione Concedi a questo account di servizio l'accesso al progetto, assegna il ruolo personalizzato creato nel passaggio precedente a questo account di servizio. Fai clic su Fine.

Seleziona un metodo di autenticazione

Google SecOps supporta due percorsi di autenticazione per questa integrazione:

• Opzione 1: Workload Identity (consigliato): questo metodo utilizza token di breve durata tramite la rappresentazione dell'account di servizio. È più sicuro perché elimina la necessità di chiavi JSON di lunga durata.

• Opzione 2: chiave JSON del service account: questo metodo utilizza un file di chiavi statico. Utilizza questa opzione solo se non è disponibile unWorkload Identity nel tuo ambiente.

Eseguire l'autenticazione utilizzando un'Workload Identity (consigliato)

Per utilizzare unWorkload Identity, devi autorizzare la tua istanza Google SecOps a rappresentare l'account di servizio che hai creato.

1. In Google SecOps, vai a Content Hub > Response Integrations.

2. Seleziona l'integrazione Google Cloud IAM.

3. Inserisci l'email del tuo account di servizio nel campo Email di Workload Identity.

4. Fai clic su Salva e poi su Testa. Inizialmente è previsto che il test non vada a buon fine.

5. Fai clic su close_small accanto al test non riuscito per visualizzare il messaggio di errore.

6. Cerca l'indirizzo email univoco (nel formato gke-init-python@... o soar-python@...) che si trova quasi alla fine del messaggio di errore. Copia questo indirizzo.

Concedere le autorizzazioni di rappresentazione

Una volta recuperata l'identità univoca per la tua istanza di Google SecOps, devi autorizzarla ad accedere alle tue risorse Google Cloud . Questo passaggio attiva la simulazione dell'identità del account di servizio, consentendo alla piattaforma di generare token di breve durata e agire per tuo conto senza la necessità di chiavi statiche.

1. Nella console Google Cloud , vai a IAM e amministrazione > Service account.

2. Seleziona il account di servizio che hai creato per questa integrazione.

3. Vai alla scheda Autorizzazioni e fai clic su Concedi l'accesso.

4. Incolla l'indirizzo email univoco che hai copiato nel campo Nuove entità.

5. Assegna il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator). Fai clic su Salva.

Esegui l'autenticazione usando una chiave JSON

Se l'utilizzo di un'Workload Identity non è disponibile nel tuo ambiente, puoi autenticare l'integrazione utilizzando una chiave JSON dell'account di servizio. Questo metodo si basa su un file secret statico di lunga durata per stabilire la connessione tra la piattaforma e le tue risorse Google Cloud .

1. Nella Google Cloud console, vai a IAM e amministrazione > Service account e seleziona il tuo account di servizio.

2. Vai alla scheda Chiavi.

3. Fai clic su Aggiungi chiave > Crea nuova chiave.

4. Seleziona JSON come tipo di chiave e fai clic su Crea. Il file viene scaricato sul computer.

5. Copia l'intero contenuto del file JSON.

6. Quando configuri questa integrazione nella piattaforma, incolla i contenuti nel campo Contenuto del file JSON dell'account di servizio.

Parametri di integrazione

L'integrazione Google Cloud IAM richiede i seguenti parametri:

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.

Azioni

Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.

Creazione ruolo

Crea un ruolo Identity and Access Management.

Parametri

Run On

L'azione non viene eseguita sulle entità.

Esempio di JSON per la policy del ruolo

{
   "name": "projects/silver-shift-275007/roles/iam_test_role_api",
   "title": "iam_test_role_api",
   "description": "test role",
   "includedPermissions": [
       "storagetransfer.projects.getServiceAccount"
   ],
   "stage": "GA",
   "etag": "BwXBu1RHiPw="
}

Risultati dell'azione

Risultato script

Risultato JSON

{
   "name": "projects/[PROJECT_ID]/roles/[ROLE_NAME]",
   "title": "[ROLE_TITLE]",
   "description": "[ROLE_DESCRIPTION]",
   "includedPermissions": [
       "storagetransfer.projects.getServiceAccount"
   ],
   "stage": "GA",
   "etag": "[ETAG_VALUE]"
}

Bacheca casi

Crea il service account

Crea un service account Identity and Access Management.

Parametri

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Risultato JSON

{
   "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
   "projectId": "PROJECT_ID",
   "uniqueId": "UNIQUE_ID",
   "email": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
   "displayName": "SERVICE_ACCOUNT_DISPLAY_NAME",
   "etag": "ETAG_VALUE",
   "description": "SERVICE_ACCOUNT_DESCRIPTION",
   "oauth2ClientId": "UNIQUE_ID"
}

Bacheca casi

Elimina ruolo

Elimina un ruolo Identity and Access Management.

Parametri

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Risultato JSON

{
   "name": "projects/[PROJECT_ID]/roles/[ROLE_NAME]",
   "title": "[ROLE_TITLE]",
   "description": "[ROLE_DESCRIPTION]",
   "includedPermissions": [
       "storagetransfer.projects.getServiceAccount"
   ],
   "stage": "GA",
   "etag": "[ETAG_VALUE]",
   "deleted": true
}

Bacheca casi

Elimina service account

Elimina account di servizio. L'azione prevede l'email del account di servizio Identity and Access Management come entità utente Google SecOps.

Run On

Questa azione viene eseguita sull'entità Utente.

Risultati dell'azione

Risultato script

Bacheca casi

Disabilita service account

Disabilita account di servizio. L'azione prevede l'email del account di servizio Identity and Access Management come entità utente Google SecOps.

Run On

Questa azione viene eseguita sull'entità Utente.

Risultati dell'azione

Risultato script

Bacheca casi

Abilita service account

Abilita account di servizio. L'azione prevede l'email del account di servizio Identity and Access Management come entità utente Google SecOps.

Run On

Questa azione viene eseguita sull'entità Utente.

Risultati dell'azione

Risultato script

Bacheca casi

Arricchisci entità

Arricchisci le entità utente di Google SecOps con le informazioni sugli account di servizio di Identity and Access Management. L'azione prevede l'email del account di servizio Identity and Access Management come entità utente Google SecOps.

Run On

Questa azione viene eseguita sull'entità Utente.

Risultati dell'azione

Risultato script

Risultato JSON

{
  "name": "projects/[PROJECT_ID]/serviceAccounts/[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
  "projectId": "[PROJECT_ID]",
  "uniqueId": "[UNIQUE_ID]",
  "email": "[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
  "displayName": "[DISPLAY_NAME]",
  "etag": "[ETAG]",
  "description": "[DESCRIPTION]",
  "oauth2ClientId": "[UNIQUE_ID]"
}

Arricchimento delle entità

Bacheca casi

Recupero criterio IAM per service account

Recupera la policy di controllo dell'accesso per il account di servizio. L'azione prevede l'email del account di servizio Identity and Access Management come entità utente Google SecOps. Tieni presente che la norma potrebbe essere vuota se non è assegnata alcuna norma alaccount di serviziot.

Run On

Questa azione viene eseguita sull'entità Utente.

Risultati dell'azione

Risultato script

Risultato JSON

{
   "version": 1,
   "etag": "[ETAG_VALUE]",
   "bindings": [
       {
           "role": "roles/iam.securityReviewer",
           "members": [
               "user:[USER_EMAIL]"
           ]
       }
   ]
}

Bacheca casi

Elenco dei ruoli

Elenca i ruoli Identity and Access Management in base ai criteri di ricerca specificati. Tieni presente che l'azione non funziona sulle entità Google SecOps.

Parametri

Run On

L'azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Risultato JSON

{
   "roles": [
       {
           "name": "roles/accessapproval.approver",
           "title": "Access Approval Approver",
           "description": "Ability to view or act on access approval requests and view configuration",
           "stage": "BETA",
           "etag": "[ETAG_VALUE]"
       },
       {
           "name": "roles/accessapproval.configEditor",
           "title": "Access Approval Config Editor",
           "description": "Ability update the Access Approval configuration",
           "stage": "BETA",
           "etag": "[ETAG_VALUE]"
       }
   ]
}

Bacheca casi

Elenco account di servizio

Elenca i service account del servizio Identity and Access Management in base ai criteri di ricerca specificati. Tieni presente che l'azione non funziona sulle entità Google SecOps.

Parametri

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Risultato JSON

{
  "accounts": [
    {
      "name": "projects/[PROJECT_ID]/serviceAccounts/[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
      "projectId": "[PROJECT_ID]",
      "uniqueId": "[UNIQUE_ID]",
      "email": "[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
      "displayName": "[DISPLAY_NAME]",
      "etag": "[ETAG_VALUE]",
      "description": "[SERVICE_ACCOUNT_DESCRIPTION]",
      "oauth2ClientId": "[UNIQUE_ID]"
    }
  ]
}

Bacheca casi

Dindin

Testa la connettività al servizio Identity and Access Management con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.

Parametri

N/D

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script

Bacheca casi

Ruota le chiavi del service account

Utilizza l'azione Ruota le chiavi del service account per ruotare le chiavi gestite dall'utente associate a unaccount di serviziot. Durante la rotazione, tutte le chiavi esistenti vengono eliminate e ne viene creata una nuova.

Questa azione viene eseguita sulle seguenti entità Google SecOps:

• Deployment

• Username

Input azione

L'azione Ruota le chiavi del service account richiede i seguenti parametri:

Output dell'azione

L'azione Ruota le chiavi del service account fornisce i seguenti output:

Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ruota le chiavi del service account:

[
    {
       "Entity": "123",
       "EntityResult": {
               "name": "projects/example-project/serviceAccounts/sample-sa@example-project.iam.gserviceaccount.com/keys/b333bbda7826af991a4d4cc4e3f83325103580ca",
               "validAfterTime": "2023-09-12T11:02:31Z",
               "validBeforeTime": "9999-12-31T23:59:59Z",
               "keyAlgorithm": "KEY_ALG_RSA_2048",
               "keyOrigin": "GOOGLE_PROVIDED",
               "keyType": "USER_MANAGED"
        }
    },
    {
       "Entity": "1234",
       "EntityResult": {
               "name": "projects/example-project/serviceAccounts/sample-sa@example-project.iam.gserviceaccount.com/keys/b333bbda7826af991a4d4cc4e3f83325103580ca",
               "validAfterTime": "2023-09-12T11:02:31Z",
               "validBeforeTime": "9999-12-31T23:59:59Z",
               "keyAlgorithm": "KEY_ALG_RSA_2048",
               "keyOrigin": "GOOGLE_PROVIDED",
               "keyType": "USER_MANAGED"
        }
    }
]

Messaggi di output

L'azione Ruota le chiavi del service account può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ruota le chiavi dell'account di servizio:

Impostazione criterio IAM per account di servizio

Imposta la policy di controllo dell'accesso sul account di servizio specificato. L'azione prevede l'email delaccount di serviziot Identity and Access Management come entità dell'account Google SecOps. Tieni presente che la policy fornita nell'azione sostituisce qualsiasi policy esistente.

Parametri

Run On

Questa azione viene eseguita sull'entità Account.

Risultati dell'azione

Risultato script

Risultato JSON

{
   "version": 1,
   "etag": "[ETAG_VALUE]",
   "bindings": [
       {
           "role": "roles/iam.securityReviewer",
           "members": [
               "user:[USER_EMAIL]"
           ]
       }
   ]
}

Bacheca casi

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.