VPC Service Controls で Mandiant Attack Surface Management を使用する

このドキュメントでは、VPC Service Controls の境界内で Mandiant Attack Surface Management を許可するように上り(内向き)ルールを追加する方法について説明します。組織で VPC Service Controls を使用している場合に、Mandiant Attack Surface Management でモニタリングするプロジェクトのサービスを制限するには、このタスクを実行します。Mandiant Attack Surface Management の詳細については、Mandiant Attack Surface Management の概要をご覧ください。

必要なロール

VPC Service Controls の境界内で Mandiant Attack Surface Management を使用するために必要な権限を取得します。 組織に対する Access Context Manager 編集者 roles/accesscontextmanager.policyEditor)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

上り(内向き)ルールを作成する

VPC Service Controls 境界内の Security Command Center で Mandiant Attack Surface Management を使用できるようにするには、これらの境界に必要な上り(内向き)ルールを追加します。Mandiant Attack Surface Management でモニタリングする各境界に対して、次の操作を行います。

詳細については、サービス境界の上り(内向き)ポリシーと下り(外向き)ポリシーの更新をご覧ください。

コンソール

  1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

    [VPC Service Controls] に移動

  2. 組織またはプロジェクトを選択します。

  3. プルダウン リストで、アクセスを許可するサービス境界を含むアクセス ポリシーを選択します。

    アクセス ポリシーに関連付けられているサービス境界がリストに表示されます。

  4. 更新するサービス境界の名前をクリックします。

    変更する必要があるサービス境界を確認するには、ログで RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 違反を示すエントリを確認します。これらのエントリで、servicePerimeterName フィールドを確認します。

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. [ 編集] をクリックします。
  6. [上り(内向き)ポリシー] をクリックします。
  7. [上り(内向き)ルールを追加] をクリックします。

  8. [送信元] セクションで、次の詳細を設定します。

    1. [ID > ID] で、[選択されている ID とグループ] を選択します。
    2. [ID の追加] をクリックします。

    3. Attack Surface Management Service Agent サービス エージェントのメールアドレスを入力します。サービス エージェントのアドレスは次の形式です。

      service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com

      ORGANIZATION_ID は、実際の組織 ID に置き換えます。

    4. サービス エージェントを選択するか、Enter キーを押して、[ID を追加] をクリックします。
    5. [ソース] で [すべてのソース] を選択します。

  9. [宛先] セクションで、次の詳細を設定します。

    1. [リソース > プロジェクト] で、[すべてのプロジェクト] を選択します。
    2. [オペレーションまたは IAM ロール] で、[オペレーションを選択] を選択します。

    3. [オペレーションを追加] をクリックして、次のオペレーションを追加します。

      • cloudasset.googleapis.com サービスを追加します。
        1. [すべてのメソッド] をクリックします。
        2. [すべてのメソッドを追加] をクリックします。
      • cloudresourcemanager.googleapis.com サービスを追加します。
        1. [すべてのメソッド] をクリックします。
        2. [すべてのメソッドを追加] をクリックします。
      • dns.googleapis.com サービスを追加します。
        1. [すべてのメソッド] をクリックします。
        2. [すべてのメソッドを追加] をクリックします。
  10. [保存] をクリックします。

gcloud

  1. 割り当てプロジェクトがまだ設定されていない場合は、設定します。Access Context Manager API が有効になっているプロジェクトを選択します。

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    QUOTA_PROJECT_ID は、請求と割り当てに使用するプロジェクトの ID に置き換えます。

  2. 次の内容のファイルを ingress-rule.yaml という名前で作成します。

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    ORGANIZATION_ID は、実際の組織 ID に置き換えます。

  3. 上り(内向き)ルールを境界に追加します。

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    次のように置き換えます。

    • PERIMETER_NAME: 境界の名前。例: accessPolicies/1234567890/servicePerimeters/example_perimeter

      変更する必要があるサービス境界を確認するには、ログで RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 違反を示すエントリを確認します。これらのエントリで、servicePerimeterName フィールドを確認します。

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

詳細については、上り(内向き)ルールと下り(外向き)ルールをご覧ください。

次のステップ