שימוש ב-Mandiant Attack Surface Management עם VPC Service Controls

המסוף

1. נכנסים לדף VPC Service Controls במסוף Google Cloud .

   מעבר אל VPC Service Controls

2. בוחרים את הארגון.

3. ברשימה הנפתחת, בוחרים את מדיניות הגישה שמכילה את גבולות הגזרה לשירות שרוצים להעניק לו גישה.

   גבולות הגזרה לשירות שמשויכים למדיניות הגישה מופיעים ברשימה.

4. לוחצים על השם של גבולות הגזרה לשירות שרוצים לעדכן.

   כדי למצוא את גבולות הגזרה לשירות שצריך לשנות, אפשר לבדוק ביומנים ערכים שמציינים RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרות. ברשומות האלה, בודקים את השדה servicePerimeterName:

   accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

5. לוחצים על edit עריכה.
6. לוחצים על Ingress policy (מדיניות כניסה).
7. לוחצים על הוספת כלל תעבורה נכנסת.

8. בקטע מאת, מגדירים את הפרטים הבאים:

   1. בקטע זהויות > זהות, בוחרים באפשרות בחירת זהויות וקבוצות.
   2. לוחצים על הוספת זהויות.

   3. מזינים את כתובת האימייל שמזהה את סוכן השירות של Attack Surface Management. הכתובת הזו היא בפורמט הבא:

      service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com

      מחליפים את ORGANIZATION_ID במזהה הארגון.

   4. בוחרים את סוכן השירות או לוחצים על ENTER, ואז לוחצים על הוספת זהויות.

9. בקטע To (אל), מגדירים את הפרטים הבאים:

   1. בקטע Resources > Projects, בוחרים באפשרות All projects.
   2. בקטע Operations or IAM roles (פעולות או תפקידי IAM), בוחרים באפשרות Select operations (בחירת פעולות).

   3. לוחצים על הוספת פעולות ומוסיפים את הפעולות הבאות:

      • מוסיפים את השירות cloudasset.googleapis.com.
        1. לוחצים על כל השיטות.
        2. לוחצים על הוספת כל האמצעים.
      • מוסיפים את השירות cloudresourcemanager.googleapis.com.
        1. לוחצים על כל השיטות.
        2. לוחצים על הוספת כל האמצעים.
      • מוסיפים את השירות dns.googleapis.com.
        1. לוחצים על כל השיטות.
        2. לוחצים על הוספת כל האמצעים.
10. לוחצים על Save.

gcloud

1. אם עדיין לא הגדרתם פרויקט מכסת מכסות, תצטרכו להגדיר אותו. בוחרים פרויקט שבו מופעל Access Context Manager API.

   gcloud config set billing/quota_project QUOTA_PROJECT_ID

   מחליפים את QUOTA_PROJECT_ID במזהה הפרויקט שבו רוצים להשתמש לחיוב ולמכסה.

2. יוצרים קובץ בשם ingress-rule.yaml עם התוכן הבא:

   - ingressFrom:
       identities:
       - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
       sources:
       - accessLevel: '*'
     ingressTo:
       operations:
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: '*'
       - serviceName: cloudresourcemanager.googleapis.com
         methodSelectors:
         - method: '*'
       - serviceName: dns.googleapis.com
         methodSelectors:
         - method: '*'
       resources:
       - '*'

   מחליפים את ORGANIZATION_ID במזהה הארגון.

3. מוסיפים את כלל הכניסה להיקף:

   gcloud access-context-manager perimeters update PERIMETER_NAME \
       --set-ingress-policies=ingress-rule.yaml

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫PERIMETER_NAME: שם ההיקף. לדוגמה: accessPolicies/1234567890/servicePerimeters/example_perimeter.

     כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים אם יש רשומות שבהן מופיע RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרה. ברשומות האלה, בודקים את השדה servicePerimeterName:

     accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

מידע נוסף זמין במאמר בנושא כללי כניסה ויציאה.