En este documento, se describe cómo agregar reglas de entrada y salida para permitir que la detección de amenazas a máquinas virtuales analice las VMs de los perímetros de los Controles del servicio de VPC. Realiza esta tarea si en tu organización usan los Controles del servicio de VPC con el objetivo de restringir los servicios en proyectos en los que quieres que la detección de amenazas a máquinas virtuales analice. Para obtener más información sobre la detección de amenazas a máquinas virtuales, consulta Descripción general de la detección de amenazas a máquinas virtuales.
Antes de comenzar
Asegúrate de tener los siguientes roles en la organización:
Editor de Access Context Manager
(roles/accesscontextmanager.policyEditor).
Verifica los roles
-
En la Google Cloud consola de, dirígete a la página IAM.
Ir a IAM - Selecciona la organización.
-
En la columna Principal, busca todas las filas que te identifiquen a ti o a un grupo en el que estés incluido. Para saber en qué grupos estás incluido, comunícate con el administrador.
- Para todas las filas que te especifiquen o incluyan, revisa la columna Rol para ver si la lista de roles incluye los roles necesarios.
Otorga los roles
-
En la Google Cloud consola de, dirígete a la página IAM.
Ir a IAM - Selecciona la organización.
- Haz clic en Grant access.
-
En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.
- Haz clic en Selecciona un rol y, luego, busca el rol.
- Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
- Haz clic en Guardar.
Crea las reglas de entrada y salida
Para permitir que la detección de amenazas a máquinas virtuales analice las VMs de los perímetros de los Controles del servicio de VPC, agrega las reglas de entrada y salida necesarias en esos perímetros. Realiza estos pasos para cada perímetro que quieras que analice la detección de amenazas a máquinas virtuales.
Para obtener más información, consulta Actualiza las políticas de entrada y salida de un perímetro de servicio en la documentación de los Controles del servicio de VPC.
Console
-
En la Google Cloud consola, ve a la página Controles del servicio de VPC.
- Selecciona tu organización.
-
En la lista desplegable, elige la política de acceso que contiene el perímetro de servicio al que quieres otorgar acceso.
Los perímetros de servicio asociados a la política de acceso aparecen en la lista.
-
Haz clic en el nombre del perímetro de servicio que quieres actualizar.
Para buscar el perímetro de servicio que necesitas modificar, puedes revisar los registros en busca de entradas que muestren incumplimientos de
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, revisa el camposervicePerimeterName:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
- Haz clic en Editar.
- Haz clic en Política de salida.
- Haz clic en Agregar una regla de salida.
-
En la sección De, configura los detalles que se indican a continuación:
- En Identidades > Identidad, elige Seleccionar identidades y grupos.
- Haz clic en Agregar identidades.
Ingresa la dirección de correo electrónico que identifica al agente de servicio de Cloud Security Command Center. Esta dirección tiene el siguiente formato:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Reemplaza
ORGANIZATION_IDpor el ID de tu organización.- Elige el agente de servicio o presiona ENTER y, luego, haz clic en Agregar identidades.
-
En la sección Para, configura los detalles que se indican a continuación:
- En Recursos > Proyectos, elige Todos los proyectos.
- En Operaciones o roles de IAM, elige Operaciones seleccionadas.
-
Haz clic en Agregar operaciones y, luego, agrega las operaciones siguientes:
- Agrega el servicio compute.googleapis.com.
- Haz clic en Seleccionar métodos.
-
Selecciona el DisksService.Insert método.
- Haz clic en Agregar métodos seleccionados.
- Agrega el servicio compute.googleapis.com.
- Haz clic en Política de entrada.
- Haz clic en Agregar una regla de entrada.
-
En la sección De, configura los detalles que se indican a continuación:
- En Identidades > Identidad, elige Seleccionar identidades y grupos.
- Haz clic en Agregar identidades.
Ingresa la dirección de correo electrónico que identifica al agente de servicio de Cloud Security Command Center. Esta dirección tiene el siguiente formato:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Reemplaza
ORGANIZATION_IDpor el ID de tu organización.- Elige el agente de servicio o presiona ENTER y, luego, haz clic en Agregar identidades.
-
En la sección Para, configura los detalles que se indican a continuación:
- En Recursos > Proyectos, elige Todos los proyectos.
- En Operaciones o roles de IAM, elige Operaciones seleccionadas.
-
Haz clic en Agregar operaciones y, luego, agrega las operaciones siguientes:
- Agrega el servicio compute.googleapis.com.
- Haz clic en Seleccionar métodos.
-
Selecciona los siguientes métodos:
- DisksService.Insert
- InstancesService.AggregatedList
- InstancesService.List
- Haz clic en Agregar métodos seleccionados.
- Agrega el servicio compute.googleapis.com.
- Haz clic en Guardar.
gcloud
-
Si aún no configuraste un proyecto de cuota, hazlo. Elige un proyecto que tenga habilitada la API de Access Context Manager.
gcloud config set billing/quota_project QUOTA_PROJECT_ID
Reemplaza
QUOTA_PROJECT_IDpor el ID del proyecto que quieres usar para la facturación y la cuota. -
Crea un archivo llamado
egress-rule.yamlcon el contenido siguiente:- egressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com egressTo: operations: - serviceName: compute.googleapis.com methodSelectors: - method: DisksService.Insert resources: - '*'
Reemplaza
ORGANIZATION_IDpor el ID de tu organización. -
Crea un archivo llamado
ingress-rule.yamlcon el contenido siguiente:- ingressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com sources: - accessLevel: '*' ingressTo: operations: - serviceName: compute.googleapis.com methodSelectors: - method: DisksService.Insert - method: InstancesService.AggregatedList - method: InstancesService.List resources: - '*'
Reemplaza
ORGANIZATION_IDpor el ID de tu organización. -
Agrega la regla de salida al perímetro:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --set-egress-policies=egress-rule.yaml
Reemplaza los parámetros que se indican a continuación:
-
PERIMETER_NAME: Es el nombre del perímetro. Por ejemplo:accessPolicies/1234567890/servicePerimeters/example_perimeter.Para buscar el perímetro de servicio que necesitas modificar, puedes revisar los registros en busca de entradas que muestren
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETERincumplimientos. En esas entradas, revisa el camposervicePerimeterName:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
-
-
Agrega la regla de entrada al perímetro:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --set-ingress-policies=ingress-rule.yaml
Reemplaza los parámetros que se indican a continuación:
-
PERIMETER_NAME: Es el nombre del perímetro. Por ejemplo:accessPolicies/1234567890/servicePerimeters/example_perimeter.Para buscar el perímetro de servicio que necesitas modificar, puedes revisar los registros en busca de entradas que muestren
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETERincumplimientos. En esas entradas, revisa el camposervicePerimeterName:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
-
Consulta Reglas de entrada y salida para obtener más información.
¿Qué sigue?
- Obtén información para usar la detección de amenazas a máquinas virtuales.