VPC Service Controls 和 Security Command Center 總覽

VPC Service Controls 可為資源提供服務層級的 perimeter,防止資料遭竊,進而提升安全防護機制。 Google Cloud

如果貴機構在服務範圍內保護資源,Security Command Center 服務需要適當的輸入或輸出規則,才能掃描資源、監控記錄串流,以及跨範圍界線匯出發現項目。

如果 VPC Service Controls perimeter 限制了安全中心服務代理程式的存取權,Security Command Center 的部分功能可能無法正常運作,包括 Event Threat Detection 和持續匯出發現項目等威脅偵測服務。為避免設定錯誤和偵測遺漏,請確保輸入和輸出政策授予 Security Center 服務代理程式必要 API 的存取權。

如果安全狀態分析偵測到服務範圍限制會封鎖掃描或服務,就會產生 VPC Service Controls Restriction (VPC_SC_RESTRICTION) 錯誤發現項目。

支援的服務和設定指南

下表列出支援 VPC Service Controls 服務範圍的 Security Command Center 服務和功能,並提供相關指南的連結,說明如何設定範圍存取權。

服務或功能 設定指南
Security Health Analytics 掃描受 service perimeter 保護的專案
Event Threat Detection 允許 Event Threat Detection 存取 VPC Service Controls perimeter
虛擬機器威脅偵測 允許 VM 威脅偵測存取 VPC Service Controls 範圍
Container Threat Detection 掃描受 service perimeter 保護的專案
Mandiant Attack Surface Management 搭配 VPC Service Controls 使用 Mandiant Attack Surface Management
Google Cloud安全漏洞評估 允許「安全漏洞評估 for Google Cloud 」存取 VPC Service Controls perimeter
Compliance Manager 搭配 VPC Service Controls 使用 Compliance Manager
Assured Open Source Software 設定 Assured Open Source Software (Assured OSS) 對 VPC Service Controls 的支援
將發現項目通知傳送至 Pub/Sub 授予 perimeter 存取權,以便尋找通知
持續匯出至 BigQuery 授予 BigQuery 匯出作業的周邊存取權