מתן אפשרות ל-הערכת נקודות חולשה for Google Cloud לגשת לגבולות גזרה של VPC Service Controls

במאמר הזה מוסבר איך להוסיף כללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) כדי לאפשר ל-הערכת נקודות חולשה for Google Cloud לסרוק VM-ים בהיקפי VPC Service Controls. צריך לבצע את המשימה הזו אם הארגון שלכם משתמש ב-VPC Service Controls כדי להגביל את השירותים בפרויקטים שאתם רוצים ש- Google Cloud הערכת נקודות חולשה יסרוק. מידע נוסף על הערכת נקודות חולשה ב- Google Cloudזמין במאמר הפעלה ושימוש בהערכת נקודות חולשה ב- Google Cloud עבור Google Cloud.

לפני שמתחילים

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    כניסה לדף IAM
  2. בוחרים את הארגון.
  3. לוחצים על ‎ Grant access.

  4. בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.

  5. לוחצים על בחירת תפקיד ומחפשים את התפקיד.
  6. כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים את כולם.
  7. לוחצים על Save.

    8. יצירת כללים לתעבורת נתונים יוצאת (egress) ונכנסת (ingress)

    כדי לאפשר ל-הערכת נקודות חולשה for Google Cloud לסרוק את ה-VMs באזורים של VPC Service Controls, צריך להוסיף את הכללים הנדרשים לתעבורת נתונים יוצאת ונכנסת באזורים האלה. מבצעים את השלבים האלה לכל היקף שרוצים לסרוק באמצעות Google Cloud הערכת נקודות חולשה.

    מידע נוסף זמין במאמר עדכון מדיניות תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) של גבולות גזרה לשירות במסמכי העזרה של VPC Service Controls.

    המסוף

    1. נכנסים לדף VPC Service Controls במסוף Google Cloud .

      מעבר אל VPC Service Controls

    2. בוחרים את הארגון.

    3. ברשימה הנפתחת, בוחרים את מדיניות הגישה שמכילה את גבולות הגזרה לשירות שרוצים להעניק לו גישה.

      גבולות הגזרה לשירות שמשויכים למדיניות הגישה מופיעים ברשימה.

    4. לוחצים על השם של גבולות הגזרה לשירות שרוצים לעדכן.

      כדי למצוא את גבולות הגזרה לשירות שצריך לשנות, אפשר לבדוק ביומנים ערכים שמציינים RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרות. ברשומות האלה, בודקים את השדה servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. לוחצים על עריכה.
    6. לוחצים על מדיניות יציאה.
    7. לוחצים על הוספת כלל ליציאה.

    8. בקטע מאת, מגדירים את הפרטים הבאים:

      1. בקטע זהויות > זהות, בוחרים באפשרות בחירת זהויות וקבוצות.
      2. לוחצים על הוספת זהויות.

      3. מזינים את כתובת האימייל שמזהה את סוכן השירות של Cloud Security Command Center. הכתובת הזו היא בפורמט הבא: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        מחליפים את ORGANIZATION_ID במזהה הארגון.

      4. בוחרים את סוכן השירות או לוחצים על ENTER, ואז לוחצים על הוספת זהויות.

    9. בקטע To (אל), מגדירים את הפרטים הבאים:

      1. בקטע Resources > Projects, בוחרים באפשרות All projects.
      2. בקטע Operations or IAM roles (פעולות או תפקידי IAM), בוחרים באפשרות Select operations (בחירת פעולות).

      3. לוחצים על הוספת פעולות ומוסיפים את הפעולות הבאות:

        • מוסיפים את השירות compute.googleapis.com.
          1. לוחצים על בחירת אמצעי תשלום.

          2. בוחרים בשיטה DisksService.Insert.

          3. לוחצים על הוספת האמצעים שנבחרו.
    10. לוחצים על Ingress policy (מדיניות כניסה).
    11. לוחצים על הוספת כלל תעבורה נכנסת.

    12. בקטע מאת, מגדירים את הפרטים הבאים:

      1. בקטע זהויות > זהות, בוחרים באפשרות בחירת זהויות וקבוצות.
      2. לוחצים על הוספת זהויות.

      3. מזינים את כתובת האימייל שמזהה את סוכן השירות של Cloud Security Command Center. הכתובת הזו היא בפורמט הבא: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        מחליפים את ORGANIZATION_ID במזהה הארגון.

      4. בוחרים את סוכן השירות או לוחצים על ENTER, ואז לוחצים על הוספת זהויות.

    13. בקטע To (אל), מגדירים את הפרטים הבאים:

      1. בקטע Resources > Projects, בוחרים באפשרות All projects.
      2. בקטע Operations or IAM roles (פעולות או תפקידי IAM), בוחרים באפשרות Select operations (בחירת פעולות).

      3. לוחצים על הוספת פעולות ומוסיפים את הפעולות הבאות:

        • מוסיפים את השירות compute.googleapis.com.
          1. לוחצים על בחירת אמצעי תשלום.

          2. בוחרים באחת מהשיטות הבאות:

            • DisksService.Insert
            • InstancesService.AggregatedList
            • InstancesService.List
          3. לוחצים על הוספת האמצעים שנבחרו.
    14. לוחצים על Save.

    gcloud

    1. אם עדיין לא הגדרתם פרויקט מכסת מכסות, תצטרכו להגדיר אותו. בוחרים פרויקט שבו מופעל Access Context Manager API. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      מחליפים את QUOTA_PROJECT_ID במזהה הפרויקט שבו רוצים להשתמש לחיוב ולמכסה.

    2. יוצרים קובץ בשם egress-rule.yaml עם התוכן הבא:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

      מחליפים את ORGANIZATION_ID במזהה הארגון.

    3. יוצרים קובץ בשם ingress-rule.yaml עם התוכן הבא:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

      מחליפים את ORGANIZATION_ID במזהה הארגון.

    4. מוסיפים את כלל היציאה להיקף:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

      מחליפים את מה שכתוב בשדות הבאים:

      • PERIMETER_NAME: שם ההיקף. לדוגמה: accessPolicies/1234567890/servicePerimeters/example_perimeter.

        כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים אם יש רשומות שבהן מופיע RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרה. ברשומות האלה, בודקים את השדה servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    5. מוסיפים את כלל הכניסה להיקף:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      מחליפים את מה שכתוב בשדות הבאים:

      • PERIMETER_NAME: שם ההיקף. לדוגמה: accessPolicies/1234567890/servicePerimeters/example_perimeter.

        כדי למצוא את גבולות הגזרה לשירות שרוצים לשנות, אפשר לבדוק ביומנים אם יש רשומות שבהן מופיע RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER הפרה. ברשומות האלה, בודקים את השדה servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    מידע נוסף זמין במאמר בנושא כללי כניסה ויציאה.