Incorporación o migración de una instancia de Operaciones de seguridad de Google
Google Security Operations se vincula a un proyecto de Google Cloud proporcionado por el cliente para integrarlo más estrechamente a los servicios de Google Cloud, como Identity and Access Management, Cloud Monitoring y Registros de auditoría de Cloud. Los clientes pueden usar IAM y la federación de identidades de personal para autenticarse con su proveedor de identidad existente.
En los siguientes documentos, se explica el proceso para incorporar una nueva instancia de Operaciones de seguridad de Google o migrar una instancia existente de Operaciones de seguridad de Google.
- Configura un proyecto de Google Cloud para las operaciones de seguridad de Google
- Configura un proveedor de identidad de terceros para las operaciones de seguridad de Google
- Vincula las operaciones de seguridad de Google con los servicios de Google Cloud
- Configurar el control de acceso a las funciones con la IAM
Funciones obligatorias
En las siguientes secciones, se describen los permisos que necesitas para cada fase del proceso de integración, como se mencionó en la sección anterior.
Configura un proyecto de Google Cloud para las operaciones de seguridad de Google
Para completar los pasos de Configura un proyecto de Google Cloud para las operaciones de seguridad de Google, necesitas los siguientes permisos de IAM.
Si tienes el permiso Creador de proyectos (resourcemanager.projects.create) a nivel de la organización, no se requieren permisos adicionales para crear un proyecto y habilitar la API de Chronicle.
Si no tienes este permiso, necesitas los siguientes permisos a nivel de proyecto:
- Administrador del servicio de Chronicle (
roles/chroniclesm.admin) - Editor (
roles/editor) - Administrador de IAM de proyecto (
roles/resourcemanager.projectIamAdmin) - Administrador de Service Usage (
roles/serviceusage.serviceUsageAdmin)
Configura las operaciones de seguridad de Google de un proveedor de identidad externo
Para completar los pasos de Configura un proveedor de identidad externo para las operaciones de seguridad de Google, necesitas los siguientes permisos de IAM.
Permisos de Editor de proyecto para el proyecto vinculado a las operaciones de seguridad de Google que creaste anteriormente
El permiso del administrador de grupos de trabajadores de IAM (
roles/iam.workforcePoolAdmin) a nivel de la organizaciónUsa el siguiente comando como ejemplo para establecer el rol
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminReemplaza lo siguiente:
ORGANIZATION_ID: Es el ID numérico de la organización.USER_EMAIL: Es la dirección de correo electrónico del usuario administrador.
Vincula una instancia de operaciones de seguridad de Google con los servicios de Google Cloud
Para completar los pasos de Vincula las operaciones de seguridad de Google con los servicios de Google Cloud, necesitas los mismos permisos definidos en la sección Configura un proyecto de Google Cloud para las operaciones de seguridad de Google.
Configurar el control de acceso a las funciones con la IAM
Para completar los pasos de Configura el control de acceso a las funciones mediante IAM, necesitas el siguiente permiso de IAM a nivel de proyecto para otorgar y modificar las vinculaciones de funciones de IAM del proyecto:
Consulta Cómo asignar roles a usuarios y grupos para ver un ejemplo de cómo hacerlo.
Si planeas migrar una instancia de operaciones de seguridad de Google existente a IAM, necesitas los mismos permisos definidos en la sección Operaciones de seguridad de Google para configurar un proveedor de identidad externo.
Requisitos sobre las funciones avanzadas de las Operaciones de seguridad de Google
En la siguiente tabla, se enumeran las capacidades avanzadas de las operaciones de seguridad de Google y sus dependencias en un proyecto de Google Cloud proporcionado por el cliente y la federación de identidades de personal de Google.
| Capacidades | Base de Google Cloud | ¿Se requiere el proyecto de Google Cloud? | ¿Se requiere federación de identidades de personal? |
|---|---|---|---|
| Registros de auditoría de Cloud: actividades administrativas | Registros de auditoría de Cloud | Sí | Sí |
| Registros de auditoría de Cloud: acceso a los datos | Registros de auditoría de Cloud | Sí | Sí |
| Facturación de Cloud: suscripción en línea o pago por uso | Facturación de Cloud | Sí | No |
| APIs de Google Security Operations: acceso general, creación y administración de credenciales con un IdP externo | APIs de Google Cloud | Sí | Sí |
| APIs de Google Security Operations: acceso general, creación y administración de credenciales con Cloud Identity | APIs de Google Cloud, Cloud Identity | Sí | Sí |
| Controles compatibles: CMEK | Cloud Key Management Service o Cloud External Key Manager | Sí | No |
| Controles que cumplen con las normas FedRAMP High o posteriores | Assured Workloads | Sí | Sí |
| Controles que cumplen: Servicio de políticas de la organización | Servicio de políticas de la organización | Sí | No |
| Controles compatibles: Controles del servicio de VPC | Controles del servicio de VPC | Sí | No |
| Administración de contactos: divulgaciones legales | Contactos esenciales | Sí | No |
| Supervisión de estado: Interrupciones de la canalización de transferencia | Cloud Monitoring | Sí | No |
| Transferencia: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Sí | No |
| Controles de acceso basados en funciones: datos | Identity and Access Management | Sí | Sí |
| Controles de acceso basados en roles: funciones o recursos | Identity and Access Management | Sí | Sí |
| Acceso al servicio de asistencia: envío de casos y seguimiento | Atención al cliente de Cloud | Sí | No |
| Autenticación de SecOps unificada | Federación de identidades de personal de Google | No | Sí |