ניהול מצב האבטחה באמצעות אילוצים בהתאמה אישית

בדף הזה מוסבר איך להשתמש באילוצים מותאמים אישית של Organization Policy Service כדי להגביל פעולות ספציפיות במשאבים הבאים של Google Cloud :

  • securityposture.googleapis.com/Posture
  • securityposture.googleapis.com/PostureDeployment

מידע נוסף על מדיניות הארגון זמין במאמר בנושא מדיניות ארגונית בהתאמה אישית.

מידע על מדיניות הארגון ומגבלות

Google Cloud שירות של מדיניות הארגון מאפשר לכם לקבל שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. בתור אדמינים של מדיניות הארגון, אתם יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים שחלות על משאבים ב-Google Cloud ועל משאבים שנגזרים מהם בGoogle Cloud היררכיית המשאבים. אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.

ב-Organization Policy יש אילוצים מנוהלים מובנים לשירותים שונים של Google Cloud . עם זאת, אם אתם רוצים שליטה מדויקת יותר בשדות הספציפיים שמוגבלים במדיניות הארגון, אתם יכולים גם ליצור אילוצים בהתאמה אישית ולהשתמש בהם במדיניות הארגון.

העברה בירושה של מדיניות

כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Google Cloud המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.

יתרונות

אתם יכולים להשתמש במדיניות ארגונית מותאמת אישית עם תכונת מצב האבטחה כדי לבצע את הפעולות הבאות:

  • אישור יצירת תנוחה עם מצב מסוים
  • אפשר ליצור תנוחה עם סוג מסוים של מדיניות
  • אישור פריסת תנוחה למשאבי יעד מסוימים
  • אישור פריסת תנוחות ספציפיות

לפני שמתחילים

  • חשוב לוודא שאתם יודעים מהו מספר הארגון שלכם.
  • מתקינים ומפעילים את Google Cloud CLI.

    1. Install the Google Cloud CLI.

    2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

    3. To initialize the gcloud CLI, run the following command: 

      gcloud init

    • התפקידים הנדרשים

    כדי לקבל את ההרשאות שדרושות לניהול מדיניות ארגונית בהתאמה אישית, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Organization Policy Administrator (אדמין של מדיניות ארגונית) (roles/orgpolicy.policyAdmin) במשאב הארגון. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

    יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

    הגדרת אילוץ בהתאמה אישית

    אילוץ בהתאמה אישית מוגדר בקובץ YAML לפי המשאבים, השיטות, התנאים והפעולות שנתמכים על ידי השירות שבו אתם אוכפים את מדיניות הארגון. התנאים להגבלות המותאמות אישית מוגדרים באמצעות Common Expression Language ‏ (CEL). מידע נוסף על יצירת תנאים באילוצים מותאמים אישית באמצעות CEL זמין בקטע על CEL במאמר יצירה וניהול של אילוצים מותאמים אישית.

    המסוף

    כדי ליצור אילוץ בהתאמה אישית:

    1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

      מעבר אל מדיניות הארגון

    2. בבורר הפרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
    3. לוחצים על Custom constraint (הגבלה מותאמת אישית).
    4. בתיבה שם לתצוגה, מזינים שם שאנשים יכולים לקרוא למגבלה. השם הזה משמש בהודעות שגיאה, ואפשר להשתמש בו לצורך זיהוי וניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות המוצגים, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
    5. בתיבה מזהה האילוץ, מזינים את השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות גדולות וקטנות) או מספרים, למשל custom.disableGkeAutoUpgrade. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.), לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או מידע אישי רגיש במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
    6. בתיבה Description, מזינים תיאור קריא לאנשים של האילוץ. התיאור הזה משמש כהודעת שגיאה כשמתבצעת הפרה של המדיניות. לכלול פרטים על הסיבה להפרת המדיניות ואיך לפתור אותה. אל תכללו בתיאור פרטים אישיים מזהים (PII) או מידע אישי רגיש, כי הם עלולים להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 2,000 תווים.
    7. בתיבה Resource type, בוחרים את השם של משאב REST‏ Google Cloud שמכיל את האובייקט והשדה שרוצים להגביל – לדוגמה, container.googleapis.com/NodePool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
    8. בקטע שיטת אכיפה, בוחרים אם לאכוף את ההגבלה על שיטת REST‏ CREATE או על השיטות CREATE ו-UPDATE. אם אוכפים את המגבלה באמצעות השיטה UPDATE על משאב שמפר את המגבלה, מדיניות הארגון חוסמת שינויים במשאב הזה, אלא אם השינוי פותר את ההפרה.

      9. לא כל השירותים של Google Cloud תומכים בשתי השיטות. כדי לראות את השיטות הנתמכות לכל שירות, צריך לחפש את השירות בקטע שירותים נתמכים.

    9. כדי להגדיר תנאי, לוחצים על Edit condition.
      1. בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך, לדוגמה, resource.management.autoUpgrade == false. השדה הזה יכול להכיל עד 1,000 תווים. פרטים על השימוש ב-CEL זמינים במאמר בנושא Common Expression Language. מידע נוסף על משאבי השירות שאפשר להשתמש בהם באילוצים בהתאמה אישית זמין במאמר שירותים שתומכים באילוצים בהתאמה אישית.
      2. לוחצים על Save.
    10. בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי מתקיים.

      11. הפעולה deny (דחייה) פירושה שהפעולה ליצירה או לעדכון של המשאב נחסמת אם התנאי מחזיר את הערך true.

      הפעולה allow (אישור) פירושה שהפעולה ליצירה או לעדכון של המשאב מותרת רק אם התנאי מחזיר את הערך true. כל מקרה אחר, מלבד אלה שמפורטים במפורש בתנאי, נחסם.

    11. לוחצים על יצירת אילוץ.

      12. אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה למגבלה המותאמת אישית הזו.

    gcloud

    1. כדי ליצור אילוץ בהתאמה אישית, יוצרים קובץ YAML בפורמט הבא: 
      2. name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: RESOURCE_NAME
methodTypes:
  - CREATE
      - UPDATE       
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

      מחליפים את מה שכתוב בשדות הבאים:

      • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.
      • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות רישיות וקטנות) או מספרים, למשל, custom.LbTrafficExtensionDenyBodyEvents. השדה הזה יכול להכיל עד 70 תווים.
      • RESOURCE_NAME: השם המוגדר במלואו של המשאב Google Cloud שמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה: networkservices.googleapis.com/LbTrafficExtension.
      • CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. השדה הזה יכול להכיל עד 1,000 תווים. לדוגמה: "resource.extensionChains.all(value, value.extensions.all(value, value.supportedEvents.all(value, value.contains("BODY"))))".

        • מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים.

      • ACTION: הפעולה שיש לבצע אם התנאי condition מתקיים. הערכים האפשריים הם ALLOW ו-DENY.

        • פעולת ההרשאה פירושה שאם התנאי מקבל את הערך True, הפעולה ליצירה או לעדכון של המשאב מותרת. המשמעות היא שכל מקרה אחר, מלבד זה שמופיע במפורש בתנאי, ייחסם.

        הפעולה deny (דחייה) פירושה שאם התנאי מחזיר את הערך True, הפעולה ליצירה או לעדכון של המשאב נחסמת.

      • DISPLAY_NAME: שם קריא לאילוץ. השדה הזה יכול להכיל עד 200 תווים.
      • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה אם המדיניות תופר. השדה הזה יכול להכיל עד 2,000 תווים.
    2. אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון שלכם. כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה gcloud org-policies set-custom-constraint: 
      3. gcloud org-policies set-custom-constraint CONSTRAINT_PATH

      מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml.

      אחרי שהפעולה הזו תושלם, ההגבלות המותאמות אישית יהיו זמינות כמדיניות ארגונית ברשימת Google Cloud מדיניות הארגון.

    3. כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה gcloud org-policies list-custom-constraints: 
      4. gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

      מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.

      מידע נוסף זמין במאמר בנושא צפייה במדיניות הארגון.

    אכיפה של מדיניות ארגון מותאמת אישית

    כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Google Cloud .

    המסוף

    1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

      מעבר אל מדיניות הארגון

    2. בתפריט לבחירת פרויקט, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
    3. ברשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
    4. כדי להגדיר את מדיניות הארגון למשאב הזה, לוחצים על ניהול מדיניות.
    5. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
    6. לוחצים על Add a rule.
    7. בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
    8. אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף זמין במאמר הגדרת מדיניות ארגונית באמצעות תגים.
    9. לוחצים על בדיקת שינויים כדי לדמות את ההשפעה של מדיניות הארגון. מידע נוסף זמין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
    10. כדי לאכוף את המדיניות של הארגון במצב הרצת בדיקה, לוחצים על הגדרת המדיניות להרצת בדיקה. מידע נוסף מופיע במאמר יצירת מדיניות ארגונית במצב הרצה יבשה.
    11. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.

    gcloud

    1. כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ: 
      2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

      מחליפים את מה שכתוב בשדות הבאים:

      • PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ.
      • CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה, custom.LbTrafficExtensionDenyBodyEvents.
    2. כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל dryRunSpec: 
      3. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

      מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יכולות לעבור עד 15 דקות עד שהמדיניות תיכנס לתוקף.

    3. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה org-policies set-policy והדגל spec: 
      4. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

      מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יכולות לעבור עד 15 דקות עד שהמדיניות תיכנס לתוקף.

    בדיקה של מדיניות הארגון המותאמת אישית

    בדוגמה הבאה נוצר אילוץ מותאם אישית שמונע יצירה של מצב אבטחה עם סטטוס DRAFT.

    יצירת האילוץ

    1. כדי להגדיר את האילוץ, יוצרים קובץ בשם constraint-active-postures.yaml עם התוכן הבא:

      name: organizations/ORGANIZATION_ID/customConstraints/custom.createActivePosturesOnly
resourceTypes:
- securityposture.googleapis.com/Posture
methodTypes:
- CREATE
- UPDATE
condition: resource.state.contains('ACTIVE')
actionType: ALLOW
displayName: Create only ACTIVE postures.
description: Create only ACTIVE postures.

      מחליפים את ORGANIZATION_ID במזהה הארגון.

    2. החלת האילוץ:

      gcloud org-policies set-custom-constraint ~/constraint-active-postures.yaml

    3. מוודאים שהאילוץ קיים:

      gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

      הפלט אמור להיראות כך:

      CUSTOM_CONSTRAINT ACTION_TYPE  METHOD_TYPES   RESOURCE_TYPES                                   DISPLAY_NAME
custom.Posture    ALLOW        CREATE,UPDATE  securityposture.googleapis.com/Posture           Create only ACTIVE postures.

    יצירת המדיניות

    1. יוצרים קובץ בשם policy-active-postures.yaml עם המדיניות הבאה:

      name: projects/PROJECT_ID/policies/custom.createActivePosturesOnly
spec:
  rules:
  - enforce: true

      מחליפים את PROJECT_ID במזהה הפרויקט.

    2. החלת המדיניות:

      gcloud org-policies set-policy ~/policy-active-postures.yaml

    3. מוודאים שהמדיניות קיימת:

      gcloud org-policies list --project=PROJECT_ID

      הפלט אמור להיראות כך:

      CONSTRAINT                       LIST_POLICY    BOOLEAN_POLICY    ETAG
custom.createActivePosturesOnly  -              SET               COCsm5QGENiXi2E=

    אחרי שמחילים את המדיניות, צריך לחכות בערך שתי דקות עד שהמדיניות תתחיל לאכוף את מצב האבטחה.

    בדיקת המדיניות

    כדי לבדוק את המדיניות, יוצרים מצב אבטחה עם הסטטוס DRAFT (טיוטה):

    gcloud scc postures create POSTURE_NAME \
    --posture-from-file=PATH_TO_POSTURE_YAML_FILE

    מחליפים את מה שכתוב בשדות הבאים:

    • POSTURE_NAME: שם ייחודי למצב האבטחה
    • PATH_TO_POSTURE_YAML_FILE: הנתיב לקובץ המצב

    הפלט אמור להיראות כך:

    ERROR: (google.cloud.securityposture.v1.SecurityPosture.CreatePosture)
FAILED_PRECONDITION: Operation denied by org policy on resource
'organizations/996122346870/locations/global':
["customConstraints/custom.createActivePosturesOnly":
"Create only ACTIVE postures."].

    דוגמאות למדיניות ארגון מותאמת אישית לתרחישי שימוש נפוצים

    בטבלה הזו מפורטות דוגמאות לתחביר של כמה אילוצים נפוצים בהתאמה אישית.

    תיאור תחביר של אילוצים
    דרישה שכל אמצעי האבטחה יהיו במצב פעיל 
        name: organizations/ORGANIZATION_ID/customConstraints/custom.createActivePosturesOnly
    resourceTypes:
    - securityposture.googleapis.com/Posture
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.state.contains('ACTIVE')"
    actionType: ALLOW
    displayName: Require all security posture to
    have ACTIVE state
    description: All security posture must have ACTIVE state

    משאבים נתמכים ב-Security Command Center

    בטבלה הבאה מפורטים המשאבים של Security Command Center שאפשר להפנות אליהם באילוצים בהתאמה אישית.

    משאב שדה
    securityposture.googleapis.com/Posture resource.annotations
    resource.description
    resource.name
    resource.policySets.description
    resource.policySets.policies.complianceStandards.control
    resource.policySets.policies.complianceStandards.standard
    resource.policySets.policies.constraint.orgPolicyConstraint.cannedConstraintId
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.allowAll
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.denyAll
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.enforce
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.parameters
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.resourceTypes.included
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.values.allowedValues
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.values.deniedValues
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.actionType
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.condition
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.description
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.displayName
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.methodTypes
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.name
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.resourceTypes
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.allowAll
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.denyAll
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.enforce
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.parameters
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.resourceTypes.included
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.values.allowedValues
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.values.deniedValues
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.config.customOutput.properties.name
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.config.description
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.config.recommendation
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.config.resourceSelector.resourceTypes
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.config.severity
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.displayName
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.moduleEnablementState
    resource.policySets.policies.constraint.securityHealthAnalyticsModule.moduleEnablementState
    resource.policySets.policies.constraint.securityHealthAnalyticsModule.moduleName
    resource.policySets.policies.description
    resource.policySets.policies.policyId
    resource.policySets.policySetId
    resource.state
    securityposture.googleapis.com/PostureDeployment resource.annotations
    resource.description
    resource.name
    resource.postureId
    resource.postureRevisionId
    resource.targetResource

    המאמרים הבאים