VPC 서비스 제어와 함께 Mandiant Attack Surface Management 사용

이 문서에서는 VPC 서비스 제어 경계 내에서 Mandiant Attack Surface Management를 허용하는 인그레스 규칙을 추가하는 방법을 설명합니다. 조직에서 VPC 서비스 제어를 사용하는 경우 Mandiant Attack Surface Management에서 모니터링할 프로젝트의 서비스를 제한하려면 이 작업을 실행하세요. Mandiant Attack Surface Management에 대한 자세한 내용은 Mandiant Attack Surface Management 개요를 참고하세요.

필요한 역할

VPC 서비스 제어 경계 내에서 Mandiant Attack Surface Management를 사용하는 데 필요한 권한을 얻으려면 다음 단계를 따르세요. 조직에 대한 Access Context Manager 편집자 (roles/accesscontextmanager.policyEditor) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

인그레스 규칙 만들기

VPC 서비스 제어 경계 내의 Security Command Center에서 Mandiant Attack Surface Management를 허용하려면 해당 경계에 필요한 인그레스 규칙을 추가하세요. Mandiant Attack Surface Management에서 모니터링할 각 경계에 대해 이 단계를 수행합니다.

자세한 내용은 서비스 경계에 대한 인그레스 및 이그레스 정책 업데이트를 참고하세요.

콘솔

  1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

    VPC 서비스 제어로 이동

  2. 조직 또는 프로젝트를 선택합니다.

  3. 드롭다운 목록에서 액세스 권한을 부여할 서비스 경계가 포함된 액세스 정책을 선택합니다.

    액세스 정책과 연결된 서비스 경계가 목록에 표시됩니다.

  4. 업데이트할 서비스 경계의 이름을 클릭합니다.

    수정해야 하는 서비스 경계를 찾으려면 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 위반을 표시하는 항목의 로그를 확인하면 됩니다. 해당 항목에서 servicePerimeterName 필드를 확인합니다. 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. 수정을 클릭합니다.
  6. 인그레스 정책을 클릭합니다.
  7. 인그레스 규칙 추가를 클릭합니다.

  8. 보낸 사람 섹션에서 다음 세부정보를 설정합니다.

    1. ID > ID에서 ID 및 그룹 선택을 선택합니다.
    2. ID 추가를 클릭합니다.

    3. Attack Surface Management 서비스 에이전트의 이메일 주소를 입력합니다. 서비스 에이전트 주소의 형식은 다음과 같습니다. 

      service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com

      ORGANIZATION_ID를 조직 ID로 바꿉니다.

    4. 서비스 에이전트를 선택하거나 Enter 키를 누른 후 ID 추가를 클릭합니다.
    5. 소스에서 모든 소스를 선택합니다.

  9. 받는 사람 섹션에서 다음 세부정보를 설정합니다.

    1. 리소스 > 프로젝트에서 모든 프로젝트를 선택합니다.
    2. 작업 또는 IAM 역할에서 작업 선택을 선택합니다.

    3. 작업 추가를 클릭한 후 다음 작업을 추가합니다.

      • cloudasset.googleapis.com 서비스를 추가합니다.
        1. 모든 메서드를 클릭합니다.
        2. 모든 메서드 추가를 클릭합니다.
      • cloudresourcemanager.googleapis.com 서비스를 추가합니다.
        1. 모든 메서드를 클릭합니다.
        2. 모든 메서드 추가를 클릭합니다.
      • dns.googleapis.com 서비스를 추가합니다.
        1. 모든 메서드를 클릭합니다.
        2. 모든 메서드 추가를 클릭합니다.
  10. 저장을 클릭합니다.

gcloud

  1. 할당량 프로젝트가 아직 설정되지 않은 경우 설정합니다. Access Context Manager API가 사용 설정된 프로젝트를 선택합니다. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    QUOTA_PROJECT_ID를 결제 및 할당량에 사용하려는 프로젝트의 ID로 바꿉니다.

  2. 다음 콘텐츠로 ingress-rule.yaml라는 파일을 만듭니다.

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    ORGANIZATION_ID를 조직 ID로 바꿉니다.

  3. 경계에 인그레스 규칙을 추가합니다.

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    다음을 바꿉니다.

    • PERIMETER_NAME: 경계의 이름입니다. 예를 들면 accessPolicies/1234567890/servicePerimeters/example_perimeter입니다.

      수정해야 하는 서비스 경계를 찾으려면 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 위반을 표시하는 항목의 로그를 확인하면 됩니다. 해당 항목에서 servicePerimeterName 필드를 확인합니다. 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

자세한 내용은 인그레스 및 이그레스 규칙을 참조하세요.

다음 단계