Consenti a VM Threat Detection di accedere ai perimetri dei Controlli di servizio VPC

Questo documento descrive come aggiungere regole di traffico in entrata e in uscita per consentire a Virtual Machine Threat Detection di analizzare le VM nei perimetri dei Controlli di servizio VPC. Esegui questa attivitร  se la tua organizzazione utilizza Controlli di servizio VPC per limitare i servizi nei progetti che vuoi che VM Threat Detection esegua la scansione. Per ulteriori informazioni su VM Threat Detection, consulta la panoramica di VM Threat Detection.

Prima di iniziare

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entitร , inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Crea le regole per il traffico in uscita e in entrata

    Per consentire a VM Threat Detection di analizzare le VM nei perimetri Controlli di servizio VPC, aggiungi le regole di uscita e di ingresso richieste in questi perimetri. Esegui questi passaggi per ogni perimetro che vuoi che VM Threat Detection analizzi.

    Per ulteriori informazioni, consulta la sezione Aggiornamento dei criteri in entrata e in uscita per un perimetro di servizio nella documentazione di Controlli di servizio VPC.

    Console

    1. Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.

      Vai a Controlli di servizio VPC

    2. Seleziona la tua organizzazione o il tuo progetto.
    3. Se hai selezionato un'organizzazione, fai clic su Seleziona un criterio di accesso e poi seleziona il criterio di accesso associato al perimetro che vuoi aggiornare.

    4. Fai clic sul nome del perimetro da aggiornare.

      Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. Fai clic su Modifica perimetro.
    6. Fai clic su Criterio in uscita.
    7. Fai clic su Aggiungi una regola in uscita.

    8. Nella sezione DA, imposta i seguenti dettagli:

      1. Per Identitร , seleziona Seleziona identitร  e gruppi.
      2. Fai clic su Aggiungi identitร .

      3. Inserisci l'indirizzo email dell' agente di servizio del Centro sicurezza. L'indirizzo dell'agente di servizio ha il seguente formato: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Sostituisci ORGANIZATION_ID con l'ID organizzazione.

      4. Seleziona l'agente di servizio o premi INVIO, quindi fai clic su Aggiungi identitร .

    9. Nella sezione A, imposta i seguenti dettagli:

      1. In Progetto, seleziona Tutti i progetti.
      2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.

      3. Fai clic su Aggiungi operazioni e poi aggiungi le seguenti operazioni:

        • Aggiungi il servizio compute.googleapis.com.
          1. Fai clic su Seleziona metodi.

          2. Seleziona il metodo DisksService.Insert.

          3. Fai clic su Aggiungi metodi selezionati.
    10. Fai clic su Criterio in entrata.
    11. Fai clic su Aggiungi una regola in entrata.

    12. Nella sezione DA, imposta i seguenti dettagli:

      1. Per Identitร , seleziona Seleziona identitร  e gruppi.
      2. Fai clic su Aggiungi identitร .

      3. Inserisci l'indirizzo email dell' agente di servizio del Centro sicurezza. L'indirizzo dell'agente di servizio ha il seguente formato: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Sostituisci ORGANIZATION_ID con l'ID organizzazione.

      4. Seleziona l'agente di servizio o premi INVIO, quindi fai clic su Aggiungi identitร .
      5. In Origini, seleziona Tutte le origini.

    13. Nella sezione A, imposta i seguenti dettagli:

      1. In Progetto, seleziona Tutti i progetti.
      2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.

      3. Fai clic su Aggiungi operazioni e poi aggiungi le seguenti operazioni:

        • Aggiungi il servizio compute.googleapis.com.
          1. Fai clic su Seleziona metodi.

          2. Seleziona i seguenti metodi:

            • DisksService.Insert
            • InstancesService.AggregatedList
            • InstancesService.List
          3. Fai clic su Aggiungi metodi selezionati.
    14. Fai clic su Salva.

    gcloud

    1. Se non รจ giร  impostato un progetto di quota, impostalo. Scegli un progetto in cui รจ abilitata l'API Access Context Manager. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Sostituisci QUOTA_PROJECT_ID con l'ID del progetto che vuoi utilizzare per la fatturazione e la quota.

    2. Crea un file denominato egress-rule.yaml con i seguenti contenuti:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

      Sostituisci ORGANIZATION_ID con l'ID organizzazione.

    3. Crea un file denominato ingress-rule.yaml con i seguenti contenuti:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

      Sostituisci ORGANIZATION_ID con l'ID organizzazione.

    4. Aggiungi la regola in uscita al perimetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

      Sostituisci quanto segue:

      • PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    5. Aggiungi la regola in entrata al perimetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      Sostituisci quanto segue:

      • PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    Per ulteriori informazioni, consulta Regole di ingresso e uscita.

    Passaggi successivi