מתן הרשאה ל-VM Threat Detection לגשת לאזורים של VPC Service Controls

במאמר הזה מתואר איך להוסיף כללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) כדי לאפשר לזיהוי איומים במכונות וירטואליות לסרוק מכונות וירטואליות באזורים של VPC Service Controls. צריך לבצע את המשימה הזו אם הארגון שלכם משתמש ב-VPC Service Controls כדי להגביל את השירותים בפרויקטים שאתם רוצים ש-VM Threat Detection יסרוק. מידע נוסף על זיהוי איומים במכונות וירטואליות זמין במאמר סקירה כללית על זיהוי איומים במכונות וירטואליות.

לפני שמתחילים

צריך לוודא שיש לכם בארגון את התפקיד או התפקידים הבאים: עריכה של Access Context Manager ‏(roles/accesscontextmanager.policyEditor).

בדיקת התפקידים

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM
  2. בוחרים את הארגון.

  3. בעמודה Principal (חשבון המשתמש), מוצאים את כל השורות שבהן מופיע השם שלכם או של קבוצה שאתם נכללים בה. כדי לברר באילו קבוצות אתם נכללים, פנו לאדמין.

  4. בודקים את העמודה Role בכל השורות שבהן מצוין או מופיע השם שלכם, כדי לראות אם רשימת התפקידים כוללת את התפקידים הנדרשים.

מתן התפקידים

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM
  2. בוחרים את הארגון.
  3. לוחצים על Grant access.

  4. בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.

  5. לוחצים על Select a role ומחפשים את התפקיד.
  6. כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים אותם.
  7. לוחצים על Save.

יצירת כללים לתעבורת נתונים יוצאת (egress) ונכנסת (ingress)

כדי לאפשר ל-VM Threat Detection לסרוק את המכונות הווירטואליות באזורים של VPC Service Controls, צריך להוסיף את כללי תעבורת הנתונים היוצאת (egress) והנכנסת (ingress) הנדרשים באזורים האלה. מבצעים את השלבים האלה לכל גבול גזרה שרוצים ש-VM Threat Detection יסרוק.

מידע נוסף זמין במאמר עדכון של מדיניות כניסה ויציאה לגבולות גזרה לשירות במסמכי העזרה של VPC Service Controls.

המסוף

  1. נכנסים לדף VPC Service Controls במסוף Google Cloud .

    מעבר אל VPC Service Controls

  2. בוחרים את הארגון.

  3. ברשימה הנפתחת, בוחרים את מדיניות הגישה שמכילה את גבולות הגזרה לשירות שרוצים להעניק לו גישה.

    גבולות הגזרה לשירות שמשויכים למדיניות הגישה מופיעים ברשימה.

  4. לוחצים על השם של גבולות גזרה לשירות שרוצים לעדכן.

    כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים ערכים שמציינים RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרות. ברשומות האלה, בודקים את השדה servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. לוחצים על עריכה.

הוספת כלל לתעבורת נתונים יוצאת

  1. לוחצים על Egress policy (מדיניות יציאה).
  2. לוחצים על הוספת כלל ליציאה.

  3. בקטע מאת, מגדירים את הפרטים הבאים:

    1. בקטע זהויות > זהות, בוחרים באפשרות בחירת זהויות וקבוצות.
    2. לוחצים על הוספת זהויות.

    3. מזינים את כתובת האימייל שמזהה את סוכן השירות של Cloud Security Command Center. הכתובת הזו היא בפורמט הבא: 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      מחליפים את ORGANIZATION_ID במזהה הארגון.

    4. בוחרים את סוכן השירות או לוחצים על ENTER, ואז לוחצים על הוספת זהויות.

  4. בקטע To (אל), מגדירים את הפרטים הבאים:

    1. בקטע משאבים > פרויקטים, בוחרים באפשרות כל הפרויקטים.
    2. בקטע Operations or IAM roles (פעולות או תפקידי IAM), בוחרים באפשרות Select operations (בחירת פעולות).

    3. לוחצים על הוספת פעולות ומוסיפים את הפעולות הבאות:

      • מוסיפים את השירות compute.googleapis.com.
        1. לוחצים על בחירת אמצעי תשלום.

        2. בוחרים בשיטה DisksService.Insert.

        3. לוחצים על הוספת האמצעים שנבחרו.

הוספת כלל לכניסת תנועה

  1. לוחצים על Ingress policy (מדיניות כניסה).
  2. לוחצים על הוספת כלל תעבורה נכנסת.

  3. בקטע מאת, מגדירים את הפרטים הבאים:

    1. בקטע זהויות > זהות, בוחרים באפשרות בחירת זהויות וקבוצות.
    2. לוחצים על הוספת זהויות.

    3. מזינים את כתובת האימייל שמזהה את סוכן השירות של Cloud Security Command Center. הכתובת הזו היא בפורמט הבא: 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      מחליפים את ORGANIZATION_ID במזהה הארגון.

    4. בוחרים את סוכן השירות או לוחצים על ENTER, ואז לוחצים על הוספת זהויות.

  4. בקטע To (אל), מגדירים את הפרטים הבאים:

    1. בקטע משאבים > פרויקטים, בוחרים באפשרות כל הפרויקטים.
    2. בקטע Operations or IAM roles (פעולות או תפקידי IAM), בוחרים באפשרות Select operations (בחירת פעולות).

    3. לוחצים על הוספת פעולות ומוסיפים את הפעולות הבאות:

      • מוסיפים את השירות compute.googleapis.com.
        1. לוחצים על בחירת אמצעי תשלום.

        2. בוחרים באחת מהשיטות הבאות:

          • DisksService.Insert
          • InstancesService.AggregatedList
          • InstancesService.List
        3. לוחצים על הוספת האמצעים שנבחרו.
  5. לוחצים על Save.

gcloud

  1. אם עדיין לא הגדרתם פרויקט מכסת מכסות, תצטרכו להגדיר אותו. בוחרים פרויקט שבו מופעל Access Context Manager API. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    מחליפים את QUOTA_PROJECT_ID במזהה הפרויקט שבו רוצים להשתמש לחיוב ולמכסה.

  2. יוצרים קובץ בשם egress-rule.yaml עם התוכן הבא:

    - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

    מחליפים את ORGANIZATION_ID במזהה הארגון.

  3. יוצרים קובץ בשם ingress-rule.yaml עם התוכן הבא:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

    מחליפים את ORGANIZATION_ID במזהה הארגון.

  4. מוסיפים את כלל היציאה אל ההיקף:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

    מחליפים את מה שכתוב בשדות הבאים:

    • PERIMETER_NAME: שם ההיקף. לדוגמה: accessPolicies/1234567890/servicePerimeters/example_perimeter.

      כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים את הרשומות שבהן מופיע RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרה. ברשומות האלה, בודקים את השדה servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

  5. מוסיפים את כלל הכניסה להיקף:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    מחליפים את מה שכתוב בשדות הבאים:

    • PERIMETER_NAME: שם ההיקף. לדוגמה: accessPolicies/1234567890/servicePerimeters/example_perimeter.

      כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים את הרשומות שבהן מופיע RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרה. ברשומות האלה, בודקים את השדה servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

מידע נוסף על כללי כניסה ויציאה

המאמרים הבאים