Onboarding o migrazione di un'istanza Google Security Operations
Google Security Operations rimanda a un progetto Google Cloud fornito dal cliente per una maggiore integrazione con i servizi Google Cloud, come Identity and Access Management, Cloud Monitoring e Cloud Audit Logs. I clienti possono usare la federazione delle identità per la forza lavoro e IAM per l'autenticazione.
I seguenti documenti illustrano la procedura per l'onboarding di una nuova istanza Google Security Operations o la migrazione di un'istanza Google Security Operations esistente.
- Configurare un progetto Google Cloud per Google Security Operations
- Configurare un provider di identità di terze parti per Google Security Operations
- Collegare le operazioni di sicurezza di Google ai servizi Google Cloud
- Configurare il controllo dell'accesso alle funzionalità utilizzando IAM
Ruoli obbligatori
Le sezioni seguenti descrivono le autorizzazioni necessarie per ogni fase del processo di onboarding, menzionata nella sezione precedente.
Configurare un progetto Google Cloud per Google Security Operations
Per completare la procedura descritta in Configurare un progetto Google Cloud per Google Security Operations, devi disporre delle seguenti autorizzazioni IAM.
Se hai l'autorizzazione Autore progetto (resourcemanager.projects.create a livello di organizzazione, non sono necessarie autorizzazioni aggiuntive per creare un progetto e attivare l'API Chronicle.
Se non hai questa autorizzazione, devi disporre delle seguenti autorizzazioni a livello di progetto:
- Amministratore Chronicle Service (
roles/chroniclesm.admin) - Editor (
roles/editor) - Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin) - Amministratore Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configura Google Security Operations per un provider di identità di terze parti
Per completare i passaggi descritti in Configurare un provider di identità di terze parti per Google Security Operations, devi disporre delle seguenti autorizzazioni IAM.
Autorizzazioni Editor progetto per il progetto associato a Google Security Operations che hai creato in precedenza.
Autorizzazione Amministratore pool di forza lavoro IAM (
roles/iam.workforcePoolAdmin) a livello di organizzazione.Usa il comando seguente come esempio per impostare il ruolo
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminSostituisci quanto segue:
ORGANIZATION_ID: l'ID numerico dell'organizzazione.USER_EMAIL: l'indirizzo email dell'amministratore.
Collega un'istanza Google Security Operations ai servizi Google Cloud
Per completare i passaggi descritti in Collegare Google Security Operations ai servizi Google Cloud, devi disporre delle stesse autorizzazioni definite nella sezione Configurare un progetto Google Cloud per Google Security Operations.
Configura il controllo dell'accesso alle funzionalità utilizzando IAM
Per completare i passaggi descritti in Configurare il controllo dell'accesso dell'accesso alle funzionalità utilizzando IAM, devi disporre della seguente autorizzazione IAM a livello di progetto per concedere e modificare le associazioni dei ruoli IAM del progetto:
Per un esempio di come eseguire questa operazione, consulta Assegnare ruoli a utenti e gruppi.
Se prevedi di eseguire la migrazione di un'istanza Google Security Operations esistente a IAM, devi disporre delle stesse autorizzazioni definite nella sezione Configura Google Security Operations per un provider di identità di terze parti.
Requisiti delle funzionalità avanzate delle operazioni di sicurezza di Google
La seguente tabella elenca le funzionalità avanzate di Google Security Operations e le loro dipendenze da un progetto Google Cloud fornito dal cliente e dalla federazione delle identità della forza lavoro Google.
| Capacità | Piattaforma Google Cloud | Richiede un progetto Google Cloud? | Richiede la federazione delle identità per la forza lavoro? |
|---|---|---|---|
| Cloud Audit Logs: attività amministrative | Cloud Audit Logs | Sì | Sì |
| Cloud Audit Logs: accesso ai dati | Cloud Audit Logs | Sì | Sì |
| Fatturazione Cloud: abbonamento online o pagamento a consumo | Cloud Billing | Sì | No |
| API Google Security Operations: accesso generale, creazione e gestione delle credenziali utilizzando IdP di terze parti | API di Google Cloud | Sì | Sì |
| API Google Security Operations: accesso generale, creazione e gestione delle credenziali utilizzando Cloud Identity | API Google Cloud, Cloud Identity | Sì | Sì |
| Controlli conformi: CMEK | Cloud Key Management Service o Cloud External Key Manager | Sì | No |
| Controlli conformi: FedRAMP High o superiore | Assured Workloads | Sì | Sì |
| Controlli conformi: servizio criteri dell'organizzazione | Servizio Criteri dell'organizzazione | Sì | No |
| Controlli conformi: Controlli di servizio VPC | Controlli di servizio VPC | Sì | No |
| Gestione dei contatti: informative legali | Contatti necessari | Sì | No |
| Monitoraggio dello stato: interruzioni della pipeline di importazione | Cloud Monitoring | Sì | No |
| Importazione: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Sì | No |
| Controlli di accesso basati sui ruoli: dati | Identity and Access Management | Sì | Sì |
| Controlli dell'accesso basati sui ruoli: funzionalità o risorse | Identity and Access Management | Sì | Sì |
| Accesso per assistenza: invio della richiesta, monitoraggio | Assistenza clienti Google Cloud | Sì | No |
| Autenticazione SecOps unificata | Federazione delle identità per la forza lavoro Google | No | Sì |