מתן גישה ל-Event Threat Detection ל-VPC Service Controls perimeters

במסמך הזה מוסבר איך להוסיף כללי Ingress כדי לאפשר ל-Event Threat Detection לעקוב אחרי זרמי רישום ב-Security Command Center בתוך גבולות גזרה של VPC Service Controls. מבצעים את המשימה הזו אם הארגון משתמש ב-VPC Service Controls כדי להגביל את השירותים בפרויקטים שרוצים ש-Event Threat Detection ינטר. מידע נוסף על Event Threat Detection זמין במאמר סקירה כללית על Event Threat Detection.

לפני שמתחילים

Make sure that you have the following role or roles on the organization: Cloud Asset Service Agent (roles/cloudasset.serviceAgent).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    כניסה לדף IAM
  2. בוחרים את הארגון.
  3. לוחצים על ‎ Grant access.

  4. בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.

  5. לוחצים על בחירת תפקיד ומחפשים את התפקיד.
  6. כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים את כולם.
  7. לוחצים על Save.

    8. יצירת כללי תעבורת נתונים נכנסת (ingress)

    כדי לאפשר ל-Event Threat Detection לעקוב אחרי זרמי רישום ביומן ב-Security Command Center בתוך היקפי VPC Service Controls, צריך להוסיף את כללי הכניסה הנדרשים להיקפים האלה. מבצעים את השלבים האלה לכל גבול גזרה שרוצים ש-Event Threat Detection ינטר.

    מידע נוסף זמין במאמר עדכון מדיניות תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) של גבולות גזרה לשירות במסמכי העזרה של VPC Service Controls.

    המסוף

    1. נכנסים לדף VPC Service Controls במסוף Google Cloud .

      מעבר אל VPC Service Controls

    2. בוחרים את הארגון.

    3. ברשימה הנפתחת, בוחרים את מדיניות הגישה שמכילה את גבולות הגזרה לשירות שרוצים להעניק לו גישה.

      גבולות הגזרה לשירות שמשויכים למדיניות הגישה מופיעים ברשימה.

    4. לוחצים על השם של גבולות הגזרה לשירות שרוצים לעדכן.

      כדי למצוא את גבולות הגזרה לשירות שצריך לשנות, אפשר לבדוק ביומנים ערכים שמציינים RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרות. ברשומות האלה, בודקים את השדה servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. לוחצים על עריכה.
    6. לוחצים על Ingress policy (מדיניות כניסה).
    7. לוחצים על הוספת כלל תעבורה נכנסת.

    8. בקטע מאת, מגדירים את הפרטים הבאים:

      1. בקטע זהויות > זהות, בוחרים באפשרות בחירת זהויות וקבוצות.
      2. לוחצים על הוספת זהויות.

      3. מזינים את כתובת האימייל שמזהה את סוכן השירות של Cloud Security Command Center. הכתובת הזו היא בפורמט הבא: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        מחליפים את ORGANIZATION_ID במזהה הארגון.

      4. בוחרים את סוכן השירות או לוחצים על ENTER, ואז לוחצים על הוספת זהויות.

    9. בקטע To (אל), מגדירים את הפרטים הבאים:

      1. בקטע Resources > Projects, בוחרים באפשרות All projects.
      2. בקטע Operations or IAM roles (פעולות או תפקידי IAM), בוחרים באפשרות Select operations (בחירת פעולות).

      3. לוחצים על הוספת פעולות ומוסיפים את הפעולות הבאות:

        • מוסיפים את השירות cloudasset.googleapis.com.
          1. לוחצים על כל השיטות.
          2. לוחצים על הוספת כל האמצעים.
    10. לוחצים על Save.

    gcloud

    1. אם עדיין לא הגדרתם פרויקט מכסת מכסות, תצטרכו להגדיר אותו. בוחרים פרויקט שבו מופעל Access Context Manager API. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      מחליפים את QUOTA_PROJECT_ID במזהה הפרויקט שבו רוצים להשתמש לחיוב ולמכסה.

    2. יוצרים קובץ בשם ingress-rule.yaml עם התוכן הבא:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

      מחליפים את ORGANIZATION_ID במזהה הארגון.

    3. מוסיפים את כלל הכניסה להיקף:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      מחליפים את מה שכתוב בשדות הבאים:

      • PERIMETER_NAME: שם ההיקף. לדוגמה: accessPolicies/1234567890/servicePerimeters/example_perimeter.

        כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים אם יש רשומות שבהן מופיע RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרה. ברשומות האלה, בודקים את השדה servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    מידע נוסף זמין במאמר בנושא כללי כניסה ויציאה.

    המאמרים הבאים