Mengizinkan Deteksi Ancaman VM mengakses perimeter Kontrol Layanan VPC

Dokumen ini menjelaskan cara menambahkan aturan ingress dan egress untuk mengizinkan Virtual Machine Threat Detection memindai VM dalam perimeter Kontrol Layanan VPC Anda. Lakukan tugas ini jika organisasi Anda menggunakan Kontrol Layanan VPC untuk membatasi layanan dalam project yang ingin Anda pindai dengan VM Threat Detection. Untuk mengetahui informasi selengkapnya tentang VM Threat Detection, lihat Ringkasan VM Threat Detection.

Sebelum memulai

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Grant access.

  4. Di kolom New principals, masukkan ID pengguna Anda. Biasanya, ini adalah alamat email untuk Akun Google.

  5. Klik Pilih peran, lalu telusuri peran.
  6. Untuk memberikan peran tambahan, klik Add another role, lalu tambahkan tiap peran tambahan.
  7. Klik Save.

    8. Buat aturan keluar dan masuk

    Untuk mengizinkan VM Threat Detection memindai VM dalam perimeter Kontrol Layanan VPC, tambahkan aturan egress dan ingress yang diperlukan dalam perimeter tersebut. Lakukan langkah-langkah ini untuk setiap perimeter yang ingin Anda pindai dengan Deteksi Ancaman VM.

    Untuk mengetahui informasi selengkapnya, lihat artikel Memperbarui kebijakan ingress dan egress untuk perimeter layanan dalam dokumentasi Kontrol Layanan VPC.

    Konsol

    1. Di konsol Google Cloud , buka halaman VPC Service Controls.

      Buka Kontrol Layanan VPC

    2. Pilih organisasi atau project Anda.

    3. Di menu drop-down, pilih kebijakan akses yang berisi perimeter layanan yang ingin Anda beri akses.

      Perimeter layanan yang terkait dengan kebijakan akses akan muncul dalam daftar.

    4. Klik nama perimeter layanan yang ingin Anda perbarui.

      Untuk menemukan perimeter layanan yang perlu diubah, Anda dapat memeriksa entri log yang menunjukkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dalam entri tersebut, periksa kolom servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. Klik Edit.
    6. Klik Kebijakan traffic keluar.
    7. Klik Add an egress rule.

    8. Di bagian Dari, tetapkan detail berikut:

      1. Untuk Identitas > Identitas, pilih Pilih identitas & grup.
      2. Klik Add identities.

      3. Masukkan alamat email Agen Layanan Cloud Security Command Center. Alamat agen layanan memiliki format berikut: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Ganti ORGANIZATION_ID dengan ID organisasi Anda.

      4. Pilih agen layanan atau tekan ENTER, lalu klik Tambahkan identitas.

    9. Di bagian Tujuan, tetapkan detail berikut:

      1. Untuk Resources > Projects, pilih All projects.
      2. Untuk Operations or IAM roles, pilih Select operations.

      3. Klik Tambahkan operasi, lalu tambahkan operasi berikut:

        • Tambahkan layanan compute.googleapis.com.
          1. Klik Pilih metode.

          2. Pilih metode DisksService.Insert.

          3. Klik Tambahkan metode yang dipilih.
    10. Klik Ingress policy.
    11. Klik Add an ingress rule.

    12. Di bagian Dari, tetapkan detail berikut:

      1. Untuk Identitas > Identitas, pilih Pilih identitas & grup.
      2. Klik Add identities.

      3. Masukkan alamat email agen layanan Pusat Keamanan. Alamat agen layanan memiliki format berikut: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Ganti ORGANIZATION_ID dengan ID organisasi Anda.

      4. Pilih agen layanan atau tekan ENTER, lalu klik Tambahkan identitas.
      5. Untuk Sumber, pilih Semua sumber.

    13. Di bagian Tujuan, tetapkan detail berikut:

      1. Untuk Resources > Projects, pilih All projects.
      2. Untuk Operations or IAM roles, pilih Select operations.

      3. Klik Tambahkan operasi, lalu tambahkan operasi berikut:

        • Tambahkan layanan compute.googleapis.com.
          1. Klik Pilih metode.

          2. Pilih metode berikut:

            • DisksService.Insert
            • InstancesService.AggregatedList
            • InstancesService.List
          3. Klik Tambahkan metode yang dipilih.
    14. Klik Simpan.

    gcloud

    1. Jika project kuota belum ditetapkan, tetapkan project kuota. Pilih project yang mengaktifkan Access Context Manager API. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Ganti QUOTA_PROJECT_ID dengan ID project yang ingin Anda gunakan untuk penagihan dan kuota.

    2. Buat file bernama egress-rule.yaml dengan konten berikut:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

      Ganti ORGANIZATION_ID dengan ID organisasi Anda.

    3. Buat file bernama ingress-rule.yaml dengan konten berikut:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

      Ganti ORGANIZATION_ID dengan ID organisasi Anda.

    4. Tambahkan aturan traffic keluar ke perimeter:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

      Ganti kode berikut:

      • PERIMETER_NAME: nama perimeter. Misalnya, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Untuk menemukan perimeter layanan yang perlu diubah, Anda dapat memeriksa log untuk menemukan entri yang menunjukkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dalam entri tersebut, periksa kolom servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    5. Tambahkan aturan ingress ke perimeter:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      Ganti kode berikut:

      • PERIMETER_NAME: nama perimeter. Misalnya, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Untuk menemukan perimeter layanan yang perlu diubah, Anda dapat memeriksa log untuk menemukan entri yang menunjukkan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dalam entri tersebut, periksa kolom servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    Lihat Aturan ingress dan egress untuk informasi selengkapnya.

    Langkah berikutnya