Permite que la evaluación de vulnerabilidades para Google Cloud acceda a los perímetros de los Controles del servicio de VPC

En este documento, se describe cómo agregar reglas de entrada y salida para permitir que la evaluación de vulnerabilidades de Google Cloud analice las VMs de los perímetros de Controles del servicio de VPC. Realiza esta tarea si en tu organización usan los Controles del servicio de VPC con el objetivo de restringir los servicios en proyectos en los que quieres que la evaluación de vulnerabilidades analice Google Cloud . Para obtener más información sobre la evaluación de vulnerabilidades de Google Cloud, consulta Habilita y usa la evaluación de vulnerabilidades para Google Cloud y Google Cloud.

Antes de empezar

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Otorgar acceso.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige uno.
  6. Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
  7. Haz clic en Guardar.

    8. Crea las reglas de entrada y salida

    Para permitir que la evaluación de vulnerabilidades de Google Cloud analice las VMs de los perímetros de los Controles del servicio de VPC, agrega las reglas de entrada y salida necesarias en esos perímetros. Sigue estos pasos para cada perímetro en el que quieras que la evaluación de vulnerabilidades analice Google Cloud .

    Para obtener más información, consulta Actualiza las políticas de entrada y salida de un perímetro de servicio en la documentación de los Controles del servicio de VPC.

    Consola

    1. En la consola de Google Cloud , accede a la página Controles del servicio de VPC.

      Acceder a los Controles del servicio de VPC

    2. Elige tu organización o proyecto.

    3. En la lista desplegable, elige la política de acceso que contiene el perímetro de servicio al que quieres otorgar acceso.

      Los perímetros de servicio asociados a la política de acceso aparecen en la lista.

    4. Haz clic en el nombre del perímetro de servicio que quieres actualizar.

      Para buscar el perímetro de servicio que necesitas modificar, puedes revisar los registros en busca de entradas que muestren incumplimientos de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, revisa el campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. Haz clic en Editar.
    6. Haz clic en Política de salida.
    7. Haz clic en Agregar una regla de salida.

    8. En la sección De, configura los detalles que se indican a continuación:

      1. En Identidades > Identidad, elige Seleccionar identidades y grupos.
      2. Haz clic en Agregar identidades.

      3. Escribe la dirección de correo electrónico del agente de servicio de Cloud Security Command Center. La dirección del agente de servicio tiene el formato siguiente: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Reemplaza ORGANIZATION_ID por el ID de tu organización.

      4. Elige el agente de servicio o presiona INTRO y, luego, haz clic en Agregar identidades.

    9. En la sección Para, configura los detalles que se indican a continuación:

      1. En Recursos > Proyectos, elige Todos los proyectos.
      2. En Operaciones o roles de IAM, elige Operaciones seleccionadas.

      3. Haz clic en Agregar operaciones y, luego, agrega las operaciones siguientes:

        • Agrega el servicio compute.googleapis.com.
          1. Haz clic en Seleccionar métodos.

          2. Elige el método DisksService.Insert.

          3. Haz clic en Agregar métodos seleccionados.
    10. Haz clic en Política de entrada.
    11. Haz clic en Agregar una regla de entrada.

    12. En la sección De, configura los detalles que se indican a continuación:

      1. En Identidades > Identidad, elige Seleccionar identidades y grupos.
      2. Haz clic en Agregar identidades.

      3. Escribe la dirección de correo electrónico del agente de servicio del centro de seguridad. La dirección del agente de servicio tiene el formato siguiente: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Reemplaza ORGANIZATION_ID por el ID de tu organización.

      4. Elige el agente de servicio o presiona INTRO y, luego, haz clic en Agregar identidades.
      5. En Fuentes, elige Todas las fuentes.

    13. En la sección Para, configura los detalles que se indican a continuación:

      1. En Recursos > Proyectos, elige Todos los proyectos.
      2. En Operaciones o roles de IAM, elige Operaciones seleccionadas.

      3. Haz clic en Agregar operaciones y, luego, agrega las operaciones siguientes:

        • Agrega el servicio compute.googleapis.com.
          1. Haz clic en Seleccionar métodos.

          2. Elige los métodos siguientes:

            • DisksService.Insert
            • InstancesService.AggregatedList
            • InstancesService.List
          3. Haz clic en Agregar métodos seleccionados.
    14. Haz clic en Guardar.

    gcloud

    1. Si aún no configuraste un proyecto de cuota, hazlo. Elige un proyecto que tenga habilitada la API de Access Context Manager. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Reemplaza QUOTA_PROJECT_ID por el ID del proyecto que quieres usar para la facturación y la cuota.

    2. Crea un archivo llamado egress-rule.yaml con el contenido siguiente:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

      Reemplaza ORGANIZATION_ID por el ID de tu organización.

    3. Crea un archivo llamado ingress-rule.yaml con el contenido siguiente:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

      Reemplaza ORGANIZATION_ID por el ID de tu organización.

    4. Agrega la regla de salida al perímetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

      Reemplaza los parámetros que se indican a continuación:

      • PERIMETER_NAME: Es el nombre del perímetro. Por ejemplo: accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Para buscar el perímetro de servicio que necesitas modificar, puedes revisar los registros en busca de entradas que muestren incumplimientos de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, revisa el campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    5. Agrega la regla de entrada al perímetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      Reemplaza los parámetros que se indican a continuación:

      • PERIMETER_NAME: Es el nombre del perímetro. Por ejemplo: accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Para buscar el perímetro de servicio que necesitas modificar, puedes revisar los registros en busca de entradas que muestren incumplimientos de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. En esas entradas, revisa el campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    Consulta Reglas de entrada y salida para obtener más información.