Use o Mandiant Attack Surface Management com os VPC Service Controls

Este documento descreve como adicionar regras de entrada para permitir o Mandiant Attack Surface Management nos perímetros do VPC Service Controls. Para restringir os serviços nos projetos que quer que o Mandiant Attack Surface Management monitorize se a sua organização usar os VPC Service Controls, execute esta tarefa. Para mais informações sobre o Mandiant Attack Surface Management, consulte o artigo Vista geral do Mandiant Attack Surface Management.

Funções necessárias

Para receber as autorizações de que precisa para usar o Mandiant Attack Surface Management nos perímetros dos VPC Service Controls. , peça ao seu administrador para lhe conceder a função de IAM de editor do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyEditor) na sua organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Crie as regras de entrada

Para permitir a gestão da superfície de ataque da Mandiant no Security Command Center nos perímetros dos VPC Service Controls, adicione as regras de entrada necessárias nesses perímetros. Execute estes passos para cada perímetro que quer que o Mandiant Attack Surface Management monitorize.

Para mais informações, consulte o artigo Atualizar políticas de entrada e saída para um perímetro de serviço.

Consola

  1. Na Google Cloud consola, aceda à página VPC Service Controls.

    Aceda aos VPC Service Controls

  2. Selecione a sua organização ou projeto.

  3. Na lista pendente, selecione a política de acesso que contém o perímetro de serviço ao qual quer conceder acesso.

    Os perímetros de serviço associados à política de acesso aparecem na lista.

  4. Clique no nome do perímetro de serviço que quer atualizar.

    Para encontrar o perímetro de serviço que tem de modificar, pode verificar as entradas nos registos que mostram violações de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Nessas entradas, verifique o campo servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Clique em Editar.
  6. Clique em Política de entrada.
  7. Clique em Adicionar uma regra de entrada.

  8. Na secção De, defina os seguintes detalhes:

    1. Em Identidades > Identidade, selecione Selecionar identidades e grupos.
    2. Clique em Adicionar identidades.

    3. Introduza o endereço de email do agente de serviço do serviço de gestão da superfície de ataque. A morada do agente de serviço tem o seguinte formato: 

      service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com

      Substitua ORGANIZATION_ID pelo ID da sua organização.

    4. Selecione o agente de serviços ou prima ENTER e, de seguida, clique em Adicionar identidades.
    5. Em Fontes, selecione Todas as fontes.

  9. Na secção Para, defina os seguintes detalhes:

    1. Em Recursos > Projetos, selecione Todos os projetos.
    2. Para Funções de operações ou do IAM, selecione Selecionar operações.

    3. Clique em Adicionar operações e, de seguida, adicione as seguintes operações:

      • Adicione o serviço cloudasset.googleapis.com.
        1. Clique em Todos os métodos.
        2. Clique em Adicionar todos os métodos.
      • Adicione o serviço cloudresourcemanager.googleapis.com.
        1. Clique em Todos os métodos.
        2. Clique em Adicionar todos os métodos.
      • Adicione o serviço dns.googleapis.com.
        1. Clique em Todos os métodos.
        2. Clique em Adicionar todos os métodos.
  10. Clique em Guardar.

gcloud

  1. Se ainda não tiver sido definido um projeto de quota, defina-o. Escolha um projeto que tenha a API Access Context Manager ativada. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Substitua QUOTA_PROJECT_ID pelo ID do projeto que quer usar para faturação e quota.

  2. Crie um ficheiro denominado ingress-rule.yaml com o seguinte conteúdo:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    Substitua ORGANIZATION_ID pelo ID da sua organização.

  3. Adicione a regra de entrada ao perímetro:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Substitua o seguinte:

    • PERIMETER_NAME: o nome do perímetro. Por exemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Para encontrar o perímetro de serviço que tem de modificar, pode verificar as entradas nos registos que mostram violações de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Nessas entradas, verifique o campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Consulte as Regras de entrada e saída para mais informações.

O que se segue?