將 Mandiant Attack Surface Management 與 VPC Service Controls 搭配使用

本文說明如何新增 Ingress 規則,允許 VPC Service Controls 範圍內的 Mandiant Attack Surface Management。如果貴機構使用 VPC Service Controls,請執行這項工作,限制您要 Mandiant Attack Surface Management 監控的專案中的服務。如要進一步瞭解 Mandiant Attack Surface Management,請參閱 Mandiant Attack Surface Management 總覽

必要的角色

如要取得在 VPC Service Controls 範圍內使用 Mandiant Attack Surface Management 的權限,, 請要求管理員授予您機構的 Access Context Manager 編輯者 (roles/accesscontextmanager.policyEditor) IAM 角色。 如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

建立 Ingress 規則

如要在 VPC Service Controls 範圍內,允許 Security Command Center 使用 Mandiant Attack Surface Management,請在這些範圍中新增必要的輸入規則。針對要讓 Mandiant Attack Surface Management 監控的每個周邊,執行下列步驟。

詳情請參閱更新服務安全防護範圍的輸入和輸出政策

控制台

  1. 在 Google Cloud 控制台中,前往「VPC Service Controls」頁面。

    前往 VPC Service Controls

  2. 選取您的機構或專案。

  3. 在下拉式清單中,選取要授予存取權的服務範圍所屬存取權政策。

    清單中會顯示與存取權政策相關聯的服務範圍。

  4. 按一下要更新的服務安全防護範圍名稱。

    如要找出需要修改的服務安全防護範圍,請檢查記錄檔中顯示 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 違規事項的項目。在這些項目中,檢查 servicePerimeterName 欄位: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. 按一下「Edit」(編輯)
  6. 按一下「輸入政策」
  7. 按一下「新增 Ingress 規則」

  8. 在「From」部分,設定下列詳細資料:

    1. 在「身分」>「身分」部分,選取「特定身分和群組」
    2. 按一下「新增身分」

    3. 輸入 Attack Surface Management 服務代理的電子郵件地址。 服務代理人的地址格式如下:

      service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com

      ORGANIZATION_ID 替換為機構 ID。

    4. 選取服務代理人或按 ENTER 鍵,然後按一下「新增身分」
    5. 在「來源」部分,選取「所有來源」

  9. 在「收件者」部分,設定下列詳細資料:

    1. 依序選取「資源」>「專案」>「所有專案」
    2. 在「作業或 IAM 角色」部分,選取「選取作業」

    3. 按一下「新增作業」,然後新增下列作業:

      • 新增 cloudasset.googleapis.com 服務。
        1. 按一下「所有方法」
        2. 按一下「新增所有方法」
      • 新增 cloudresourcemanager.googleapis.com 服務。
        1. 按一下「所有方法」
        2. 按一下「新增所有方法」
      • 新增 dns.googleapis.com 服務。
        1. 按一下「所有方法」
        2. 按一下「新增所有方法」
  10. 按一下 [儲存]

gcloud

  1. 如果尚未設定配額專案,請設定配額專案。選擇已啟用 Access Context Manager API 的專案。

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    QUOTA_PROJECT_ID 替換為您要用於帳單和配額的專案 ID。

  2. 建立名為 ingress-rule.yaml 的檔案,並在當中加入下列內容:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    ORGANIZATION_ID 替換為機構 ID。

  3. 將 Ingress 規則新增至範圍:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    更改下列內容:

    • PERIMETER_NAME:perimeter 的名稱。例如: accessPolicies/1234567890/servicePerimeters/example_perimeter

      如要找出需要修改的服務安全防護範圍,請檢查記錄檔中顯示 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 違規事項的項目。在這些項目中,檢查 servicePerimeterName 欄位: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

詳情請參閱「輸入和輸出規則」。

後續步驟