Eseguire l'onboarding o la migrazione di un'istanza Google Security Operations
Google Security Operations si collega a un progetto Google Cloud fornito dal cliente per integrarsi più strettamente con i servizi Google Cloud, come Identity and Access Management, Cloud Monitoring e Cloud Audit Logs. I clienti possono utilizzare IAM e la federazione delle identità per la forza lavoro per autenticarsi utilizzando il proprio provider di identità esistente.
I seguenti documenti illustrano la procedura per eseguire l'onboarding di una nuova istanza Google Security Operations o la migrazione di un'istanza Google Security Operations esistente.
- Configurare un progetto Google Cloud per Google Security Operations
- Configurare un provider di identità di terze parti per Google Security Operations
- Collegare Google Security Operations ai servizi Google Cloud
- Configurare il controllo dell'accesso alle funzionalità utilizzando IAM
- Configurare il controllo dell'accesso ai dati
- Completa l'elenco di controllo per la configurazione di Google Cloud
Ruoli obbligatori
Le sezioni seguenti descrivono le autorizzazioni necessarie per ogni fase della procedura di onboarding, menzionata nella sezione precedente.
Configurare un progetto Google Cloud per Google Security Operations
Per completare i passaggi descritti in Configurare un progetto Google Cloud per Google Security Operations, devi disporre delle seguenti autorizzazioni IAM.
Se disponi dell'autorizzazione Creator di progetti (resourcemanager.projects.create)
a livello di organizzazione, non sono richieste autorizzazioni aggiuntive per creare un progetto e attivare l'API Chronicle.
Se non disponi di questa autorizzazione, hai bisogno delle seguenti autorizzazioni a livello di progetto:
- Amministratore del servizio Chronicle (
roles/chroniclesm.admin) - Editor (
roles/editor) - Amministratore IAM del progetto (
roles/resourcemanager.projectIamAdmin) - Amministratore dell'utilizzo del servizio (
roles/serviceusage.serviceUsageAdmin)
Configurare un provider di identità
Puoi utilizzare Cloud Identity, Google Workspace o un provider di identità di terze parti (ad esempio Okta o Azure AD) per gestire utenti, gruppi e autenticazione.
Autorizzazioni per configurare Cloud Identity o Google Workspace
Se utilizzi Cloud Identity, devi disporre dei ruoli e delle autorizzazioni descritti in Gestire l'accesso a progetti, cartelle e organizzazioni.
Se utilizzi Google Workspace, devi disporre di un account amministratore Cloud Identity ed essere in grado di accedere alla Console di amministrazione.
Per ulteriori informazioni sull'utilizzo di Cloud Identity o Google Workspace come provider di identità, consulta Configurare il provider di identità Google Cloud.
Autorizzazioni per configurare un provider di identità di terze parti
Se utilizzi un provider di identità di terze parti, dovrai configurare la federazione delle identità per la forza lavoro e un pool di identità per la forza lavoro.
Per completare i passaggi descritti in Configurare un provider di identità di terze parti per Google Security Operations, sono necessarie le seguenti autorizzazioni IAM.
Autorizzazioni Editor del progetto per il progetto associato a Google Security Operations che hai creato in precedenza.
L'autorizzazione Amministratore pool risorse umane IAM (
roles/iam.workforcePoolAdmin) a livello di organizzazione.Utilizza il seguente comando come esempio per impostare il ruolo
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminSostituisci quanto segue:
ORGANIZATION_ID: l'ID numerico dell'organizzazione.USER_EMAIL: l'indirizzo email dell'utente amministratore.
Autorizzazioni Visualizzatore organizzazione (
resourcemanager.organizations.get) a livello di organizzazione.
Per ulteriori informazioni, vedi Configurare un provider di identità di terze parti.
Collegare un'istanza di Google Security Operations ai servizi Google Cloud
Per completare i passaggi descritti in Collegare Google Security Operations ai servizi Google Cloud, devi disporre delle stesse autorizzazioni definite nella sezione Configurare un progetto Google Cloud per Google Security Operations.
Se prevedi di eseguire la migrazione di un'istanza Google SecOps esistente, devi disporre delle autorizzazioni per accedere a Google SecOps. Per un elenco dei ruoli predefiniti, consulta Ruoli predefiniti di Google SecOps in IAM
Configura il controllo dell'accesso alle funzionalità utilizzando IAM
Per completare i passaggi descritti in Configurare il controllo dell'accesso dell'accesso alle funzionalità utilizzando IAM, devi disporre della seguente autorizzazione IAM a livello di progetto per concedere e modificare le associazioni dei ruoli IAM del progetto:
Consulta Assegnare ruoli a utenti e gruppi per un esempio di come eseguire questa operazione.
Se prevedi di eseguire la migrazione di un'istanza Google Security Operations esistente a IAM, devi disporre delle stesse autorizzazioni definite nella sezione Configurare un provider di identità di terze parti per Google Security Operations.
Configura controllo dell'accesso ai dati
Per configurare il RBAC dei dati per gli utenti,
devi disporre dei ruoli Amministratore API Chronicle (roles/chronicle.admin) e visualizzatore ruoli (roles/iam.roleViewer). Per assegnare gli ambiti agli utenti, devi disporre del ruolo Amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin) o Amministratore sicurezza (roles/iam.securityAdmin).
Se non disponi dei ruoli richiesti, assegnali in IAM.
Requisiti delle funzionalità avanzate di Google Security Operations
La tabella seguente elenca le funzionalità avanzate di Google Security Operations e le relative dipendenze da un progetto Google Cloud fornito dal cliente e dalla federazione delle identità della forza lavoro di Google.
| Capacità | Basi di Google Cloud | Richiede un progetto Google Cloud? | È richiesta l'integrazione IAM? |
|---|---|---|---|
| Cloud Audit Logs: attività amministrative | Cloud Audit Logs | Sì | Sì |
| Cloud Audit Logs: accesso ai dati | Cloud Audit Logs | Sì | Sì |
| Fatturazione cloud: abbonamento online o pagamento a consumo | Cloud Billing | Sì | No |
| API Chronicle: accesso generale, creazione e gestione delle credenziali utilizzando un provider di identità di terze parti | API di Google Cloud | Sì | Sì |
| API Chronicle: accesso generale, creazione e gestione delle credenziali utilizzando Cloud Identity | API Google Cloud, Cloud Identity | Sì | Sì |
| Controlli conformi: CMEK | Cloud Key Management Service o Cloud External Key Manager | Sì | No |
| Controlli conformi: FedRAMP High o versioni successive | Assured Workloads | Sì | Sì |
| Controlli conformi: Servizio Criteri dell'organizzazione | Servizio Criteri dell'organizzazione | Sì | No |
| Controlli conformi: Controlli di servizio VPC | Controlli di servizio VPC | Sì | No |
| Gestione dei contatti: informative legali | Contatti fondamentali | Sì | No |
| Monitoraggio dell'integrità: interruzioni della pipeline di importazione | Cloud Monitoring | Sì | No |
| Importazione: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Sì | No |
| Controlli di accesso basati sui ruoli: dati | Identity and Access Management | Sì | Sì |
| Controlli di accesso basati sui ruoli: funzionalità o risorse | Identity and Access Management | Sì | Sì |
| Accesso all'assistenza: invio e monitoraggio delle richieste | Assistenza clienti Google Cloud | Sì | No |
| Autenticazione SecOps unificata | Federazione delle identità per la forza lavoro di Google | No | Sì |