Como integrar ou migrar uma instância das Operações de Segurança do Google
As Operações de segurança do Google estão vinculadas a um projeto do Google Cloud fornecido pelo cliente para se integrar mais aos serviços do Google Cloud, como o Identity and Access Management, Cloud Monitoring e Registros de auditoria do Cloud. Os clientes podem usar o IAM e a federação de identidade de colaboradores para fazer a autenticação usando o provedor de identidade atual.
Os documentos a seguir orientam você durante o processo para integrar uma nova instância das Operações de Segurança do Google ou migrar uma instância atual.
- Configure um projeto do Google Cloud para as operações de segurança do Google
- Configurar um provedor de identidade de terceiros para as operações de segurança do Google
- Vincular as operações de segurança do Google aos serviços do Google Cloud
- Configurar o controle de acesso a recursos com o IAM
Funções exigidas
As seções abaixo descrevem as permissões necessárias para cada fase do processo de integração, mencionadas na seção anterior.
Configurar um projeto do Google Cloud para as operações de segurança do Google
Para concluir as etapas em Configurar um projeto do Google Cloud para as operações de segurança do Google, você precisa das permissões do IAM a seguir.
Se você tiver a permissão de criador de projetos (resourcemanager.projects.create
no nível da organização, não precisará de outras permissões
para criar um projeto e ativar a API Chronicle).
Se você não tiver essa permissão, precisará das seguintes permissões no nível do projeto:
- Administrador de serviço do Chronicle (
roles/chroniclesm.admin
) - Editor (
roles/editor
) - Administrador de IAM do projeto (
roles/resourcemanager.projectIamAdmin
) - Administrador do Service Usage (
roles/serviceusage.serviceUsageAdmin
)
Configurar as operações de segurança do Google para um provedor de identidade de terceiros
Para concluir as etapas em Configurar um provedor de identidade de terceiros para as operações de segurança do Google, você precisa das permissões do IAM a seguir.
Permissões de Editor do projeto para o projeto vinculado às Operações de segurança do Google que você criou anteriormente.
Permissão de Administrador de pool de força de trabalho do IAM (
roles/iam.workforcePoolAdmin
) no nível da organização.Use o comando a seguir como exemplo para definir o papel
roles/iam.workforcePoolAdmin
:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin
Substitua:
ORGANIZATION_ID
: o ID numérico da organização.USER_EMAIL
: o endereço de e-mail do usuário administrador.
Vincular uma instância de operações de segurança do Google aos serviços do Google Cloud
Para concluir as etapas em Vincular as operações de segurança do Google aos serviços do Google Cloud, você precisa das mesmas permissões definidas na seção Configurar um projeto do Google Cloud para as operações de segurança do Google.
Configurar o controle de acesso a recursos com o IAM
Para concluir as etapas em Configurar o controle de acesso a recursos usando o IAM, você precisa da permissão do IAM a seguir no nível do projeto para conceder e modificar as vinculações de papéis do IAM do projeto:
Consulte Atribuir funções a usuários e grupos para conferir um exemplo de como fazer isso.
Se você planeja migrar uma instância atual das Operações de segurança do Google para o IAM, vai precisar das mesmas permissões definidas na seção Configurar um provedor de identidade de terceiros do Google.
Requisitos de recursos avançados das Operações de Segurança do Google
A tabela a seguir lista os recursos avançados das Operações de segurança do Google e as dependências em um projeto do Google Cloud fornecido pelo cliente e na federação de identidade de colaboradores do Google.
Capacidade | Base do Google Cloud | Requer um projeto do Google Cloud? | Requer federação de identidade de colaboradores? |
---|---|---|---|
Registros de auditoria do Cloud: atividades administrativas | Registros de auditoria do Cloud | Sim | Sim |
Registros de auditoria do Cloud: acesso a dados | Registros de auditoria do Cloud | Sim | Sim |
Cloud Billing: assinatura on-line ou pagamento por utilização | Cloud Billing | Sim | No |
APIs de Operações de Segurança do Google: acesso geral, criação e gerenciamento de credenciais usando IdP de terceiros | APIs Google Cloud | Sim | Sim |
APIs Google Security Operations: acesso geral, criação e gerenciamento de credenciais usando o Cloud Identity | APIs do Google Cloud e Cloud Identity | Sim | Sim |
Controles em compliance: CMEK | Cloud Key Management Service ou Cloud External Key Manager | Sim | No |
Controles em compliance: FedRAMP High ou superior | Assured Workloads | Sim | Sim |
Controles em compliance: serviço de políticas da organização | Serviço de política da organização | Sim | No |
Controles em compliance: VPC Service Controls | VPC Service Controls | Sim | No |
Gerenciamento de contatos: declarações legais | Contatos essenciais | Sim | No |
Monitoramento de integridade: interrupções do pipeline de ingestão | Cloud Monitoring | Sim | No |
Ingestão: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Sim | No |
Controles de acesso com base em papéis: dados | Identity and Access Management | Sim | Sim |
Controles de acesso com base em papéis: funcionalidades ou recursos | Identity and Access Management | Sim | Sim |
Acesso ao suporte: envio de caso, acompanhamento | Cloud Customer Care | Sim | No |
Autenticação unificada de SecOps | Federação de identidade de colaboradores do Google | No | Sim |