Utilizzare Mandiant Attack Surface Management con i Controlli di servizio VPC

Questo documento descrive come aggiungere regole in entrata per consentire Mandiant Attack Surface Management all'interno dei perimetri dei Controlli di servizio VPC. Per limitare i servizi nei progetti che vuoi che Mandiant Attack Surface Management monitori se la tua organizzazione utilizza Controlli di servizio VPC, esegui questa attività. Per saperne di più su Mandiant Attack Surface Management, consulta la panoramica di Mandiant Attack Surface Management.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare Mandiant Attack Surface Management all'interno dei perimetri Controlli di servizio VPC. , chiedi all'amministratore di concederti il ruolo IAM Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor) nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea le regole in entrata

Per consentire Mandiant Attack Surface Management in Security Command Center all'interno dei perimetri Controlli di servizio VPC, aggiungi le regole di ingresso richieste in questi perimetri. Esegui questi passaggi per ogni perimetro che vuoi che Mandiant Attack Surface Management monitori.

Per saperne di più, consulta Aggiornamento delle policy di ingresso e di uscita per un perimetro di servizio.

Console

  1. Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Seleziona la tua organizzazione o il tuo progetto.

  3. Nell'elenco a discesa, seleziona il criterio di accesso che contiene il perimetro di servizio a cui vuoi concedere l'accesso.

    I perimetri di servizio associati al criterio di accesso vengono visualizzati nell'elenco.

  4. Fai clic sul nome del perimetro di servizio da aggiornare.

    Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Fai clic su Modifica.
  6. Fai clic su Criterio in entrata.
  7. Fai clic su Aggiungi una regola in entrata.

  8. Nella sezione Da, imposta i seguenti dettagli:

    1. Per Identità > Identità, seleziona Seleziona identità e gruppi.
    2. Fai clic su Aggiungi identità.

    3. Inserisci l'indirizzo email del service agent del servizio Attack Surface Management. L'indirizzo dell'agente di servizio ha il seguente formato: 

      service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com

      Sostituisci ORGANIZATION_ID con l'ID organizzazione.

    4. Seleziona l'agente di servizio o premi INVIO, quindi fai clic su Aggiungi identità.
    5. In Origini, seleziona Tutte le origini.

  9. Nella sezione A, imposta i seguenti dettagli:

    1. Per Risorse > Progetti, seleziona Tutti i progetti.
    2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.

    3. Fai clic su Aggiungi operazioni e poi aggiungi le seguenti operazioni:

      • Aggiungi il servizio cloudasset.googleapis.com.
        1. Fai clic su Tutti i metodi.
        2. Fai clic su Aggiungi tutti i metodi.
      • Aggiungi il servizio cloudresourcemanager.googleapis.com.
        1. Fai clic su Tutti i metodi.
        2. Fai clic su Aggiungi tutti i metodi.
      • Aggiungi il servizio dns.googleapis.com.
        1. Fai clic su Tutti i metodi.
        2. Fai clic su Aggiungi tutti i metodi.
  10. Fai clic su Salva.

gcloud

  1. Se non è già impostato un progetto di quota, impostalo. Scegli un progetto in cui è abilitata l'API Access Context Manager. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Sostituisci QUOTA_PROJECT_ID con l'ID del progetto che vuoi utilizzare per la fatturazione e la quota.

  2. Crea un file denominato ingress-rule.yaml con i seguenti contenuti:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    Sostituisci ORGANIZATION_ID con l'ID organizzazione.

  3. Aggiungi la regola in entrata al perimetro:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Sostituisci quanto segue:

    • PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Per ulteriori informazioni, consulta le regole di ingresso e uscita.

Passaggi successivi