Usa la administración de la superficie de ataque de Mandiant con los Controles del servicio de VPC

En este documento, se describe cómo agregar reglas de entrada para permitir Mandiant Attack Surface Management dentro de los perímetros de los Controles del servicio de VPC. Para restringir los servicios en los proyectos que deseas que supervise Mandiant Attack Surface Management si tu organización usa los Controles del servicio de VPC, realiza esta tarea. Para obtener más información sobre Mandiant Attack Surface Management, consulta la descripción general de Mandiant Attack Surface Management.

Roles requeridos

Obtener los permisos que necesitas para usar la administración de la superficie de ataque de Mandiant dentro de los perímetros de los Controles del servicio de VPC , pídele a tu administrador que te otorgue el rol de IAM de Editor de Access Context Manager (roles/accesscontextmanager.policyEditor) en tu organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crea las reglas de entrada

Para permitir la administración de superficies de ataque de Mandiant en Security Command Center dentro de los perímetros de los Controles del servicio de VPC, agrega las reglas de entrada necesarias en esos perímetros. Realiza estos pasos para cada perímetro que desees que supervise Mandiant Attack Surface Management.

Para obtener más información, consulta Actualiza las políticas de entrada y salida para un perímetro de servicio.

Console

  1. En la consola de Google Cloud , ve a la página Controles del servicio de VPC.

    Ir a los Controles del servicio de VPC

  2. Selecciona tu organización o proyecto.

  3. En la lista desplegable, selecciona la política de acceso que contiene el perímetro de servicio al que deseas otorgar acceso.

    Los perímetros de servicio asociados con la política de acceso aparecen en la lista.

  4. Haz clic en el nombre del perímetro de servicio que deseas actualizar.

    Para encontrar el perímetro de servicio que necesitas modificar, puedes revisar los registros en busca de entradas que muestren incumplimientos de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, verifica el campo servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Haz clic en  Editar.
  6. Haz clic en Política de entrada.
  7. Haz clic en Agregar una regla de entrada.

  8. En la sección De, configura los siguientes detalles:

    1. En Identidades > Identidad, selecciona Seleccionar identidades y grupos.
    2. Haz clic en Agregar identidades.

    3. Ingresa la dirección de correo electrónico del agente de servicio del agente de servicio de Attack Surface Management. La dirección del agente de servicio tiene el siguiente formato: 

      service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com

      Reemplaza ORGANIZATION_ID por el ID de tu organización.

    4. Selecciona el agente de servicio o presiona INTRO y, luego, haz clic en Agregar identidades.
    5. En Fuentes, selecciona Todas las fuentes.

  9. En la sección Para, configura los siguientes detalles:

    1. En Recursos > Proyectos, selecciona Todos los proyectos.
    2. En Operaciones o roles de IAM, selecciona Seleccionar operaciones.

    3. Haz clic en Agregar operaciones y, luego, agrega las siguientes operaciones:

      • Agrega el servicio cloudasset.googleapis.com.
        1. Haz clic en Todos los métodos.
        2. Haz clic en Agregar todos los métodos.
      • Agrega el servicio cloudresourcemanager.googleapis.com.
        1. Haz clic en Todos los métodos.
        2. Haz clic en Agregar todos los métodos.
      • Agrega el servicio dns.googleapis.com.
        1. Haz clic en Todos los métodos.
        2. Haz clic en Agregar todos los métodos.
  10. Haz clic en Guardar.

gcloud

  1. Si aún no se configuró un proyecto de cuota, configúralo. Elige un proyecto que tenga habilitada la API de Access Context Manager. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Reemplaza QUOTA_PROJECT_ID por el ID del proyecto que deseas usar para la facturación y la cuota.

  2. Crea un archivo llamado ingress-rule.yaml con el siguiente contenido:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    Reemplaza ORGANIZATION_ID por el ID de tu organización.

  3. Agrega la regla de entrada al perímetro:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Reemplaza lo siguiente:

    • PERIMETER_NAME: Es el nombre del perímetro. Por ejemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Para encontrar el perímetro de servicio que necesitas modificar, puedes revisar los registros en busca de entradas que muestren incumplimientos de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, verifica el campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Consulta las reglas de entrada y salida para obtener más información.

¿Qué sigue?