VPC Service Controls 可為資源提供服務層級的 perimeter,防止資料遭竊,進而提升安全防護機制。 Google Cloud
如果貴機構在服務範圍內保護資源,Security Command Center 服務需要適當的輸入或輸出規則,才能掃描資源、監控記錄串流,以及跨範圍界線匯出發現項目。
如果 VPC Service Controls perimeter 限制了安全中心服務代理程式的存取權,Security Command Center 的部分功能可能無法正常運作,包括 Event Threat Detection 和持續匯出發現項目等威脅偵測服務。為避免設定錯誤和偵測遺漏,請確保輸入和輸出政策授予 Security Center 服務代理程式必要 API 的存取權。
如果安全狀態分析偵測到服務範圍限制會封鎖掃描或服務,就會產生 VPC Service Controls Restriction (VPC_SC_RESTRICTION) 錯誤發現項目。
支援的服務和設定指南
下表列出支援 VPC Service Controls 服務範圍的 Security Command Center 服務和功能,並提供相關指南的連結,說明如何設定範圍存取權。
| 服務或功能 | 設定指南 |
|---|---|
| Security Health Analytics | 掃描受 service perimeter 保護的專案 |
| Event Threat Detection | 允許 Event Threat Detection 存取 VPC Service Controls perimeter |
| 虛擬機器威脅偵測 | 允許 VM 威脅偵測存取 VPC Service Controls 範圍 |
| Container Threat Detection | 掃描受 service perimeter 保護的專案 |
| Mandiant Attack Surface Management | 搭配 VPC Service Controls 使用 Mandiant Attack Surface Management |
| Google Cloud安全漏洞評估 | 允許「安全漏洞評估 for Google Cloud 」存取 VPC Service Controls perimeter |
| Compliance Manager | 搭配 VPC Service Controls 使用 Compliance Manager |
| Assured Open Source Software | 設定 Assured Open Source Software (Assured OSS) 對 VPC Service Controls 的支援 |
| 將發現項目通知傳送至 Pub/Sub | 授予 perimeter 存取權,以便尋找通知 |
| 持續匯出至 BigQuery | 授予 BigQuery 匯出作業的周邊存取權 |