Utiliser Mandiant Attack Surface Management avec VPC Service Controls

Ce document explique comment ajouter des règles d'entrée pour autoriser Mandiant Attack Surface Management dans les périmètres VPC Service Controls. Pour limiter les services dans les projets que vous souhaitez que Mandiant Attack Surface Management surveille si votre organisation utilise VPC Service Controls, effectuez cette tâche. Pour en savoir plus sur Mandiant Attack Surface Management, consultez la présentation de Mandiant Attack Surface Management.

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser Mandiant Attack Surface Management dans les périmètres VPC Service Controls. , demandez à votre administrateur de vous accorder le rôle IAM Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor) dans votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer les règles d'entrée

Pour autoriser Mandiant Attack Surface Management dans Security Command Center dans les périmètres VPC Service Controls, ajoutez les règles d'entrée requises dans ces périmètres. Effectuez ces étapes pour chaque périmètre que vous souhaitez que Mandiant Attack Surface Management surveille.

Pour en savoir plus, consultez Mettre à jour les règles d'entrée et de sortie pour un périmètre de service.

Console

Accéder au périmètre de service

Dans la Google Cloud console, accédez à la page VPC Service Controls.

Accéder à VPC Service Controls
Sélectionner votre organisation.
Dans la liste déroulante, sélectionnez la règle d'accès contenant le périmètre de service auquel vous souhaitez accorder l'accès.

Les périmètres de service associés à la règle d'accès apparaissent dans la liste.
Cliquez sur le nom du périmètre de service que vous souhaitez modifier.

Pour trouver le périmètre de service que vous devez modifier, vous pouvez rechercher dans vos journaux les entrées indiquant des cas de non-respect de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dans ces entrées, vérifiez le champ servicePerimeterName :
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```
Cliquez sur Modifier.

Ajouter une règle d'entrée

Cliquez sur Règle d'entrée.
Cliquez sur Ajouter une règle d'entrée.
Dans la section From (De), définissez les détails suivants :
1. Pour Identities > Identity (Identités > Identité), sélectionnez Select identities & groups (Sélectionner des identités et des groupes).
2. Cliquez sur Add identities (Ajouter des identités).
3. Saisissez l'adresse e-mail qui identifie l'agent de service Attack Surface Management. Cette adresse est au format suivant :
```
service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
```
  Remplacez ORGANIZATION_ID par votre ID d'organisation.
4. Sélectionnez l'agent de service ou appuyez sur ENTER, puis cliquez sur Add identities (Ajouter des identités).
Dans la section To (À), définissez les détails suivants :
1. Pour Resources > Projects (Ressources > Projets), sélectionnez All projects (Tous les projets).
2. Pour Operations or IAM roles (Opérations ou rôles IAM), sélectionnez Select operations (Sélectionner des opérations).
3. Cliquez sur Add operations (Ajouter des opérations), puis ajoutez les opérations suivantes :
  - Ajoutez le service cloudasset.googleapis.com.
    1. Cliquez sur All methods (Toutes les méthodes).
    2. Cliquez sur Add all methods (Ajouter toutes les méthodes).
  - Ajoutez le service cloudresourcemanager.googleapis.com.
    1. Cliquez sur All methods (Toutes les méthodes).
    2. Cliquez sur Add all methods (Ajouter toutes les méthodes).
  - Ajoutez le service dns.googleapis.com.
    1. Cliquez sur All methods (Toutes les méthodes).
    2. Cliquez sur Add all methods (Ajouter toutes les méthodes).
Cliquez sur Enregistrer.

gcloud

Si aucun projet de quota n'est déjà défini, définissez-en un. Choisissez un projet pour lequel l' API Access Context Manager est activée.
```
gcloud config set billing/quota_project QUOTA_PROJECT_ID
```
Remplacez QUOTA_PROJECT_ID par l'ID du projet que vous souhaitez utiliser pour la facturation et le quota.

Créez un fichier nommé ingress-rule.yaml avec le contenu suivant :

- ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

Remplacez ORGANIZATION_ID par votre ID d'organisation.

Ajoutez la règle d'entrée au périmètre :
```
gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml
```
Remplacez les éléments suivants :
- PERIMETER_NAME : nom du périmètre. Exemple : accessPolicies/1234567890/servicePerimeters/example_perimeter.
  
  Pour trouver le périmètre de service que vous devez modifier, vous pouvez rechercher dans vos journaux les entrées indiquant des cas de non-respect de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dans ces entrées, vérifiez le champ servicePerimeterName :
```
accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
```

Pour plus d'informations, consultez la section Règles d'entrée et de sortie.

Étape suivante

En savoir plus sur Mandiant Attack Surface Management.