将 Mandiant Attack Surface Management 与 VPC Service Controls 搭配使用

本文档介绍了如何添加入站流量规则,以允许在 VPC Service Controls 边界内使用 Mandiant Attack Surface Management。如果您的组织使用 VPC Service Controls 来限制您希望 Mandiant Attack Surface Management 监控的项目中的服务,请执行此任务。如需详细了解 Mandiant Attack Surface Management,请参阅 Mandiant Attack Surface Management 概览

所需的角色

获取在 VPC Service Controls 边界内使用 Mandiant Attack Surface Management 所需的权限。,请让您的管理员为您授予贵组织的 Access Context Manager Editor (roles/accesscontextmanager.policyEditor) IAM 角色。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

创建入站流量规则

如需允许 VPC Service Controls 边界内的 Security Command Center 中的 Mandiant Attack Surface Management,请在这些边界中添加所需的入站规则。针对您希望 Mandiant Attack Surface Management 监控的每个边界执行这些步骤。

如需了解详情,请参阅更新服务边界的入站流量和出站流量政策

控制台

  1. 在 Google Cloud 控制台中,前往 VPC Service Controls 页面。

    转到 VPC Service Controls

  2. 选择您的组织或项目。

  3. 在下拉列表中,选择包含要授予访问权限的服务边界的访问权限政策。

    与访问权限政策关联的服务边界将显示在列表中。

  4. 点击要更新的服务边界的名称。

    如需查找您需要修改的服务边界,您可以查看日志中是否存在显示 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 违规行为的条目。在这些条目中,检查 servicePerimeterName 字段:

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. 点击 修改
  6. 点击入站流量政策
  7. 点击添加入站流量规则

  8. From 部分中,设置以下详细信息:

    1. 对于身份 > 身份,选择选择身份和群组
    2. 点击添加身份

    3. 输入 Attack Surface Management Service Agent 服务代理的电子邮件地址。 服务代理的地址采用以下格式: 

      service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com

      ORGANIZATION_ID 替换为您的组织 ID。

    4. 选择服务代理或按 ENTER 键,然后点击添加身份
    5. 来源部分,选择所有来源

  9. 目标部分中,设置以下详细信息:

    1. 对于资源 > 项目,选择所有项目
    2. 对于操作或 IAM 角色,请选择选择操作

    3. 点击添加操作,然后添加以下操作:

      • 添加 cloudasset.googleapis.com 服务。
        1. 点击所有方法
        2. 点击添加所有方法
      • 添加 cloudresourcemanager.googleapis.com 服务。
        1. 点击所有方法
        2. 点击添加所有方法
      • 添加 dns.googleapis.com 服务。
        1. 点击所有方法
        2. 点击添加所有方法
  10. 点击保存

gcloud

  1. 如果尚未设置配额项目,请进行设置。选择已启用 Access Context Manager API 的项目。

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    QUOTA_PROJECT_ID 替换为您要用于结算和配额的项目的 ID。

  2. 创建名为 ingress-rule.yaml 且包含以下内容的文件:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    ORGANIZATION_ID 替换为您的组织 ID。

  3. 将入站规则添加到边界:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    替换以下内容:

    • PERIMETER_NAME:边界的名称。例如 accessPolicies/1234567890/servicePerimeters/example_perimeter

      如需查找您需要修改的服务边界,您可以查看日志中是否存在显示 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 违规行为的条目。在这些条目中,检查 servicePerimeterName 字段:

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

如需了解详情,请参阅入站流量和出站流量规则

后续步骤