Use o Gestor de conformidade com os VPC Service Controls

Se ativar o Gestor de conformidade num perímetro de serviço do VPC Service Controls, tem de configurar regras de saída e entrada.

Pode ajustar as seguintes regras de entrada e saída de amostra para cumprir os requisitos da sua empresa.

Para informações sobre limitações, consulte o artigo Produtos compatíveis e limitações.

Antes de começar

1. Certifique-se de que tem as funções necessárias para configurar os VPC Service Controls ao nível da organização.

2. Para garantir o acesso a recursos existentes na organização ou nas pastas, atribua a função de administrador do Gestor de conformidade (roles/cloudsecuritycompliance.admin) ao nível da organização.

3. Certifique-se de que sabe o seguinte:

   • O endereço de email do agente de serviço de conformidade de segurança na nuvem (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com).

   • Os endereços de email dos utilizadores do Gestor de conformidade. Os utilizadores do Gestor de conformidade são as pessoas que administram o Gestor de conformidade e realizam atividades como auditorias.

4. Verifique se o agente do serviço de conformidade de segurança na nuvem tem as autorizações necessárias no perímetro para concluir uma auditoria. Para mais informações, consulte o artigo Audite o seu ambiente com o Gestor de conformidade.

Adicione regras de entrada e saída

1. Adicione a seguinte regra de entrada:

   - ingressFrom:
     identities:
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: securitycenter.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Substitua USER_EMAIL_ADDRESS pelo endereço de email do utilizador do Gestor de conformidade.

2. Adicione a seguinte regra de entrada para permitir que o Gestor de conformidade monitorize e audite os recursos na sua Google Cloud organização:

   - ingressFrom:
     identities:
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: cloudsecuritycompliance.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Substitua USER_EMAIL_ADDRESS pelo endereço de email do utilizador do Gestor de conformidade.

3. Configure a seguinte regra de entrada para executar auditorias para um projeto:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: cloudasset.googleapis.com
           methodSelectors:
             - method: "*"
       resources: "*"
   

   Substitua o seguinte:

   • USER_EMAIL_ADDRESS: o endereço de email do utilizador do Gestor de conformidade.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: o endereço de email do agente de serviço de conformidade de segurança do Google Cloud.

4. Configure a seguinte regra de entrada para executar auditorias para uma pasta:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
           - serviceName: "*"
       resources: "*"
   

   Substitua o seguinte:

   • USER_EMAIL_ADDRESS: o endereço de email do utilizador do Gestor de conformidade.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: o endereço de email do agente de serviço de conformidade de segurança do Google Cloud.

   É necessário um acesso amplo para permitir a auditoria de todos os recursos nos projetos na pasta.

5. Configure a seguinte regra de entrada para executar uma auditoria quando o contentor do Cloud Storage inscrito estiver dentro do perímetro:

   - ingressFrom:
     identities:
     - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
     - user: USER_EMAIL_ADDRESS
     sources:
         - accessLevel: "*"
     ingressTo:
       operations:
           - serviceName: storage.googleapis.com
             methodSelectors:
               - method: google.storage.buckets.getIamPolicy
               - method: google.storage.buckets.testIamPermissions
               - method: google.storage.objects.getIamPolicy
               - method: google.storage.buckets.setIamPolicy
               - method: google.storage.objects.setIamPolicy
               - method: google.storage.objects.create
               - method: google.storage.objects.get
     resources: "*"
   

   Substitua o seguinte:

   • USER_EMAIL_ADDRESS: o endereço de email do utilizador do Gestor de conformidade.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: o endereço de email do agente de serviço de conformidade de segurança do Google Cloud.

6. Configure a seguinte regra de saída para executar uma auditoria quando o contentor do Cloud Storage inscrito estiver dentro do perímetro:

   - egressFrom:
     identities:
       - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS
         - user: USER_EMAIL_ADDRESS
       sources:
         - accessLevel: "*"
     egressTo:
       operations:
           - serviceName: storage.googleapis.com
             methodSelectors:
               - method: google.storage.buckets.getIamPolicy
               - method: google.storage.buckets.testIamPermissions
               - method: google.storage.objects.getIamPolicy
               - method: google.storage.buckets.setIamPolicy
               - method: google.storage.objects.setIamPolicy
               - method: google.storage.objects.create
               - method: google.storage.objects.get
       resources: "*"
   

   Substitua o seguinte:

   • USER_EMAIL_ADDRESS: o endereço de email do utilizador do Gestor de conformidade.

   • COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: o endereço de email do agente de serviço de conformidade de segurança do Google Cloud.

O que se segue?

• Diagnostique problemas através da resolução de problemas do VPC Service Controls ou do analisador de violações do VPC Service Controls.