In diesem Dokument wird beschrieben, wie Sie Regeln für ein- und ausgehenden Traffic hinzufügen, damit Vulnerability Assessment für Google Cloud VMs in Ihren VPC Service Controls-Perimetern scannen kann. Führen Sie diese Aufgabe aus, wenn Ihre Organisation VPC Service Controls verwendet, um Dienste in Projekten einzuschränken, die Sie mit Vulnerability Assessment for Google Cloud scannen möchten. Weitere Informationen zur Sicherheitslückenbewertung für Google Cloudfinden Sie unter Sicherheitslückenbewertung für Google Cloud für Google Cloudaktivieren und verwenden.
Hinweis
Prüfen Sie, ob Sie die folgenden Rollen für die Organisation haben:
Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor).
Rollen prüfen
-
Rufen Sie in der Google Cloud Console die Seite IAM auf.
IAM aufrufen - Wählen Sie die Organisation aus.
-
Suchen Sie in der Spalte Hauptkonto nach allen Zeilen, in denen Sie oder eine Gruppe, zu der Sie gehören, angegeben sind. Fragen Sie Ihren Administrator, zu welchen Gruppen Sie gehören.
- Prüfen Sie in allen Zeilen, in denen Sie angegeben oder enthalten sind, die Spalte Rolle, um zu sehen, ob die Liste der Rollen die erforderlichen Rollen enthält.
Rollen zuweisen
-
Rufen Sie in der Google Cloud Console die Seite IAM auf.
IAM aufrufen - Wählen Sie die Organisation aus.
- Klicken Sie auf Zugriffsrechte erteilen.
-
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E‑Mail-Adresse eines Google-Kontos.
- Klicken Sie auf Rolle auswählen und suchen Sie nach der Rolle.
- Klicken Sie auf Weitere Rolle hinzufügen, wenn Sie weitere Rollen zuweisen möchten.
- Klicken Sie auf Speichern.
Regeln für ausgehenden und eingehenden Traffic erstellen
Damit Vulnerability Assessment für Google Cloud die VMs in VPC Service Controls-Perimetern scannen kann, fügen Sie diesen Perimetern die erforderlichen Regeln für ausgehenden und eingehenden Traffic hinzu. Führen Sie diese Schritte für jeden Perimeter aus, den die Sicherheitslückenbewertung Google Cloud scannen soll.
Weitere Informationen finden Sie in der Dokumentation zu VPC Service Controls unter Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren.
Console
Dienstperimeter aufrufen
-
Wechseln Sie in der Google Cloud Console zur Seite VPC Service Controls.
- Wählen Sie Ihre Organisation aus.
-
Wählen Sie in der Drop-down-Liste die Zugriffsrichtlinie aus, die den Dienstperimeter enthält, auf den Sie Zugriff gewähren möchten.
Die mit der Zugriffsrichtlinie verknüpften Dienstperimeter werden in der Liste angezeigt.
-
Klicken Sie auf den Namen des Dienstperimeters, den Sie aktualisieren möchten.
Um den Dienstperimeter zu finden, den Sie ändern müssen, können Sie Ihre Logs auf Einträge prüfen, die
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER-Verstöße enthalten. Prüfen Sie in diesen Einträgen das FeldservicePerimeterName:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
- Klicken Sie auf Bearbeiten.
Regel für ausgehenden Traffic hinzufügen
- Klicken Sie auf Richtlinie für ausgehenden Traffic.
- Klicken Sie auf Regel für ausgehenden Traffic hinzufügen.
-
Legen Sie im Abschnitt Von die folgenden Details fest:
- Wählen Sie unter Identitäten > Identität die Option Identitäten und Gruppen auswählen aus.
- Klicken Sie auf Identitäten hinzufügen.
Geben Sie die E-Mail-Adresse ein, die den Cloud Security Command Center-Dienst-Agent identifiziert. Diese Adresse hat das folgende Format:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Ersetzen Sie
ORGANIZATION_IDdurch Ihre Organisations-ID.- Wählen Sie den Service-Agent aus oder drücken Sie die EINGABETASTE und klicken Sie dann auf Identitäten hinzufügen.
-
Legen Sie im Abschnitt An die folgenden Details fest:
- Wählen Sie unter Ressourcen > Projekte die Option Alle Projekte aus.
- Wählen Sie unter Vorgänge oder IAM-Rollen die Option Vorgänge auswählen aus.
-
Klicken Sie auf Vorgänge hinzufügen und fügen Sie die folgenden Vorgänge hinzu:
- Fügen Sie den Dienst compute.googleapis.com hinzu.
- Klicken Sie auf Methoden auswählen.
-
Wählen Sie die Methode DisksService.Insert aus.
- Klicken Sie auf Ausgewählte Methoden hinzufügen.
- Fügen Sie den Dienst compute.googleapis.com hinzu.
Regel für eingehenden Traffic hinzufügen
- Klicken Sie auf Richtlinie für eingehenden Traffic.
- Klicken Sie auf Regel für eingehenden Traffic hinzufügen.
-
Legen Sie im Abschnitt Von die folgenden Details fest:
- Wählen Sie unter Identitäten > Identität die Option Identitäten und Gruppen auswählen aus.
- Klicken Sie auf Identitäten hinzufügen.
Geben Sie die E-Mail-Adresse ein, die den Cloud Security Command Center-Dienst-Agent identifiziert. Diese Adresse hat das folgende Format:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Ersetzen Sie
ORGANIZATION_IDdurch Ihre Organisations-ID.- Wählen Sie den Service-Agent aus oder drücken Sie die EINGABETASTE und klicken Sie dann auf Identitäten hinzufügen.
-
Legen Sie im Abschnitt An die folgenden Details fest:
- Wählen Sie unter Ressourcen > Projekte die Option Alle Projekte aus.
- Wählen Sie unter Vorgänge oder IAM-Rollen die Option Vorgänge auswählen aus.
-
Klicken Sie auf Vorgänge hinzufügen und fügen Sie die folgenden Vorgänge hinzu:
- Fügen Sie den Dienst compute.googleapis.com hinzu.
- Klicken Sie auf Methoden auswählen.
-
Wählen Sie die folgenden Methoden aus:
- DisksService.Insert
- InstancesService.AggregatedList
- InstancesService.List
- Klicken Sie auf Ausgewählte Methoden hinzufügen.
- Fügen Sie den Dienst compute.googleapis.com hinzu.
- Klicken Sie auf Speichern.
gcloud
-
Wenn noch kein Kontingentprojekt festgelegt ist, legen Sie es fest. Wählen Sie ein Projekt aus, für das die Access Context Manager API aktiviert ist.
gcloud config set billing/quota_project QUOTA_PROJECT_ID
Ersetzen Sie
QUOTA_PROJECT_IDdurch die ID des Projekts, das Sie für die Abrechnung und das Kontingent verwenden möchten. -
Erstellen Sie eine Datei mit dem Namen
egress-rule.yamlund mit folgendem Inhalt:- egressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com egressTo: operations: - serviceName: compute.googleapis.com methodSelectors: - method: DisksService.Insert resources: - '*'
Ersetzen Sie
ORGANIZATION_IDdurch Ihre Organisations-ID. -
Erstellen Sie eine Datei mit dem Namen
ingress-rule.yamlund mit folgendem Inhalt:- ingressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com sources: - accessLevel: '*' ingressTo: operations: - serviceName: compute.googleapis.com methodSelectors: - method: DisksService.Insert - method: InstancesService.AggregatedList - method: InstancesService.List resources: - '*'
Ersetzen Sie
ORGANIZATION_IDdurch Ihre Organisations-ID. -
Fügen Sie dem Perimeter die Regel für ausgehenden Traffic hinzu:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --set-egress-policies=egress-rule.yaml
Ersetzen Sie Folgendes:
-
PERIMETER_NAME: der Name des Perimeters. Beispiel:accessPolicies/1234567890/servicePerimeters/example_perimeter.Um den Dienstperimeter zu finden, den Sie ändern müssen, können Sie Ihre Logs auf Einträge prüfen, die
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER-Verstöße enthalten. Prüfen Sie in diesen Einträgen das FeldservicePerimeterName:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
-
-
Fügen Sie dem Perimeter die Regel für eingehenden Traffic hinzu:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --set-ingress-policies=ingress-rule.yaml
Ersetzen Sie Folgendes:
-
PERIMETER_NAME: der Name des Perimeters. Beispiel:accessPolicies/1234567890/servicePerimeters/example_perimeter.Um den Dienstperimeter zu finden, den Sie ändern müssen, können Sie Ihre Logs auf Einträge prüfen, die
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER-Verstöße enthalten. Prüfen Sie in diesen Einträgen das FeldservicePerimeterName:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
-
Weitere Informationen finden Sie unter Regeln für eingehenden und ausgehenden Traffic.