Consenti alla valutazione delle vulnerabilità per Google Cloud di accedere ai perimetri dei Controlli di servizio VPC

Questo documento descrive come aggiungere regole in entrata e in uscita per consentire a Valutazione di vulnerabilità for Google Cloud di eseguire la scansione delle VM nei perimetri dei Controlli di servizio VPC. Esegui questa attività se la tua organizzazione utilizza i Controlli di servizio VPC per limitare i servizi nei progetti che vuoi che Valutazione di vulnerabilità for Google Cloud esegua la scansione. Per saperne di più su Valutazione di vulnerabilità for Google Cloud, consulta Attivare e utilizzare Valutazione di vulnerabilità for Google Cloud per Google Cloud.

Prima di iniziare

Assicurati di avere il seguente ruolo o i seguenti ruoli nell'organizzazione: Gestore contesto accesso Editor (roles/accesscontextmanager.policyEditor).

Controlla i ruoli

  1. Nella Google Cloud console vai alla pagina IAM.

    Vai a IAM
  2. Seleziona l'organizzazione.

  3. Nella colonna Entità, trova tutte le righe che identificano te o un gruppo di cui fai parte. Per scoprire i gruppi di cui fai parte, contatta l' amministratore.

  4. Per tutte le righe che ti specificano o ti includono, controlla la colonna Ruolo per verificare se l'elenco dei ruoli include i ruoli richiesti.

Concedi i ruoli

  1. Nella Google Cloud console vai alla pagina IAM.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore dell'utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Fai clic su Seleziona un ruolo, quindi cerca il ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

Crea le regole in uscita e in entrata

Per consentire a Valutazione di vulnerabilità for Google Cloud di eseguire la scansione delle VM nei perimetri dei Controlli di servizio VPC, aggiungi le regole in uscita e in entrata richieste in questi perimetri. Esegui questi passaggi per ogni perimetro che vuoi che Vulnerability Assessment for Google Cloud esegua la scansione.

Per saperne di più, consulta Aggiornamento delle policy in entrata e in uscita per un perimetro di servizio nella documentazione relativa ai Controlli di servizio VPC.

Console

  1. Nella Google Cloud console, vai alla pagina Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Seleziona l'organizzazione.

  3. Nell'elenco a discesa, seleziona il criterio di accesso che contiene il perimetro di servizio a cui vuoi concedere l'accesso.

    I perimetri di servizio associati al criterio di accesso vengono visualizzati nell'elenco.

  4. Fai clic sul nome del perimetro di servizio che vuoi aggiornare.

    Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Fai clic su Modifica.

Aggiungi una regola in uscita

  1. Fai clic su Policy in uscita.
  2. Fai clic su Aggiungi una regola in uscita.

  3. Nella sezione Da, imposta i seguenti dettagli:

    1. Per Identità > Identità, seleziona Seleziona identità e gruppi.
    2. Fai clic su Aggiungi identità.

    3. Inserisci l'indirizzo email che identifica l'agente di servizio del Cloud Security Command Center. Questo indirizzo ha il seguente formato: 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

    4. Seleziona il service agent o premi INVIO, quindi fai clic su Aggiungi identità.

  4. Nella sezione A, imposta i seguenti dettagli:

    1. Per Risorse > Progetti, seleziona Tutti i progetti.
    2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.

    3. Fai clic su Aggiungi operazioni, quindi aggiungi le seguenti operazioni:

      • Aggiungi il servizio compute.googleapis.com.
        1. Fai clic su Seleziona metodi.

        2. Seleziona il DisksService.Insert metodo.

        3. Fai clic su Aggiungi metodi selezionati.

Aggiungi una regola in entrata

  1. Fai clic su Policy in entrata.
  2. Fai clic su Aggiungi una regola in entrata.

  3. Nella sezione Da, imposta i seguenti dettagli:

    1. Per Identità > Identità, seleziona Seleziona identità e gruppi.
    2. Fai clic su Aggiungi identità.

    3. Inserisci l'indirizzo email che identifica l'agente di servizio del Cloud Security Command Center. Questo indirizzo ha il seguente formato: 

      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

    4. Seleziona il service agent o premi INVIO, quindi fai clic su Aggiungi identità.

  4. Nella sezione A, imposta i seguenti dettagli:

    1. Per Risorse > Progetti, seleziona Tutti i progetti.
    2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.

    3. Fai clic su Aggiungi operazioni, quindi aggiungi le seguenti operazioni:

      • Aggiungi il servizio compute.googleapis.com.
        1. Fai clic su Seleziona metodi.

        2. Seleziona i seguenti metodi:

          • DisksService.Insert
          • InstancesService.AggregatedList
          • InstancesService.List
        3. Fai clic su Aggiungi metodi selezionati.
  5. Fai clic su Salva.

gcloud

  1. Se non è già impostato un progetto di quota, impostalo. Scegli un progetto in cui è abilitata l' API Gestore contesto accesso. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Sostituisci QUOTA_PROJECT_ID con l'ID del progetto che vuoi utilizzare per la fatturazione e la quota.

  2. Crea un file denominato egress-rule.yaml con i seguenti contenuti:

    - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

    Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

  3. Crea un file denominato ingress-rule.yaml con i seguenti contenuti:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

    Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

  4. Aggiungi la regola in uscita al perimetro:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

    Sostituisci quanto segue:

    • PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER violazioni. In queste voci, controlla il campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

  5. Aggiungi la regola in entrata al perimetro:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Sostituisci quanto segue:

    • PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER violazioni. In queste voci, controlla il campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Per saperne di più, consulta Regole in entrata e in uscita.