En este tema, se describe cómo aplicar políticas de seguridad mediante el servicio de Secured Landing Zone. El servicio de Secured Landing Zone te permite realizar un seguimiento de los recursos en una zona de destino segura, identificar los incumplimientos de políticas que se realizan en estos recursos e invocar las acciones de solución adecuadas.
El servicio de Secured Landing Zone usa señales de entrada que provienen de una variedad de servicios nativos de Google Cloud, incluidos Cloud Asset Inventory, los hallazgos de Security Command Center, los perímetros de servicio de VPC y los registros de auditoría. Estos indicadores se validan en función de las políticas de seguridad configuradas para el plano.
Si se detecta que un evento o un grupo de eventos infringen una política, el servicio de Secured Landing Zone lo considera un incumplimiento de política. Cada vez que se identifica un incumplimiento de política, esto se notifica como hallazgos en Security Command Center. El servicio de Secured Landing Zone determina las acciones correctivas y de respuesta para un subconjunto de estas infracciones de políticas según el caso de uso y el contexto reales.
Requisitos del nivel Premium
El servicio de Secured Landing Zone solo se puede habilitar en el nivel Premium de Security Command Center. Cuando está habilitado, este servicio muestra hallazgos si hay infracciones de políticas en los recursos del plano implementado, genera alertas correspondientes y toma acciones de solución automáticas de forma selectiva. Con la ayuda de las entradas de registro de auditoría, puedes ver información sobre quién causó el incumplimiento de política y cuándo ocurrió. Para obtener más información sobre la lista de hallazgos y soluciones, consulta Cómo corregir los hallazgos de Secured Landing Zone.
Antes de comenzar
Para que el servicio de Secured Landing Zone identifique qué conjunto de recursos se debe supervisar, debes generar y configurar el archivo del plan de Terraform. El servicio de Secured Landing Zone requiere que el archivo del plan se genere en un formato JSON. Si quieres obtener más información para generar el archivo del plan de Terraform, consulta Terraform plan.
Permisos de IAM obligatorios
Debes tener las siguientes funciones y permisos a nivel de la organización para poder usar el servicio de Secured Landing Zone:
| Descripción | Rol | Permisos |
|---|---|---|
| Te permite ver todas las propiedades de una instancia de servicio de Secured Landing Zone. | securedlandingzone.googleapis.com/overwatchViewer |
cloudresourcemanager.googleapis.com/projects.get
cloudresourcemanager.googleapis.com/projects.list
securedlandingzone.googleapis.com/overwatches.get
securedlandingzone.googleapis.com/overwatches.list
securedlandingzone.googleapis.com/operations.get
securedlandingzone.googleapis.com/operations.list
|
| Te permite activar o suspender una instancia de servicio de Secured Landing Zone | securedlandingzone.googleapis.com/overwatchActivator |
cloudresourcemanager.googleapis.com/projects.get
cloudresourcemanager.googleapis.com/projects.list
securedlandingzone.googleapis.com/overwatches.activate
securedlandingzone.googleapis.com/overwatches.suspend
|
| Proporciona acceso completo a una instancia de servicio de Secured Landing Zone | securedlandingzone.googleapis.com/overwatchAdmin |
securedlandingzone.googleapis.com/overwatches.create
securedlandingzone.googleapis.com/overwatches.update
securedlandingzone.googleapis.com/overwatches.delete
|
Visualiza los recursos que supervisa el servicio de Secured Landing Zone
Después de crear una instancia de servicio de Secured Landing Zone, las marcas de seguridad se agregan a los recursos que se supervisan. Para ver los recursos en Security Command Center, puedes usar estas marcas de seguridad.
Para ver la lista de recursos, haz lo siguiente:
Ve a la página Recursos de Security Command Center en la consola de Google Cloud.
Coloca el cursor en el campo Filtro de la parte superior de la lista de elementos. Se abrirá un menú.
Desplázate hasta el final del menú y selecciona Marcas de seguridad. Se agrega
Security marks:al campo Filtro y se muestra una lista de marcas de seguridad existentes.En la lista de marcas de seguridad que se muestra, desplázate hasta que encuentres la marca de seguridad que se creó para tu instancia del servicio de Secured Landing Zone y selecciónala. La marca de seguridad aparece en el formato
securitymarks.marks.SLZ_SERVICE_INSTANCE_NAME, en el queSLZ_SERVICE_INSTANCE_NAMEcorresponde al nombre de la instancia de servicio de Secured Landing Zone.Si no ves la marca de seguridad que necesitas, en el campo Filtro inmediatamente después de
Security marks:, ingresa el nombre de tu instancia de Zona de destino segura.
En la lista, se muestran todos los recursos vinculados a una instancia de servicio de Secured Landing Zone.
Prueba la instancia del servicio de Secured Landing Zone
Después de crear una instancia de servicio de Secured Landing Zone, puedes realizar una prueba de muestra para verificar que funcione como se esperaba. Para hacerlo, puedes crear un incumplimiento de política de forma manual.
A continuación, se incluyen algunos ejemplos sobre cómo crear un incumplimiento de política y probar la instancia del servicio de Secured Landing Zone.
Cambia el control de acceso del bucket de Cloud Storage
Este es un ejemplo de cómo crear un incumplimiento del control de acceso. La política de seguridad en el plano implementado permite el control de acceso a través de los permisos de IAM a nivel de bucket. Si cambias esto a un control de acceso detallado, aumentas el riesgo de robo de datos para el bucket de Cloud Storage. Esto infringe la política implementada porque el acceso a los objetos ahora se puede otorgar a nivel de objeto individual. Para crear una infracción del control de acceso, haz lo siguiente:
- En la consola de Google Cloud, ve a la página Navegador de Cloud Storage.
Los buckets que forman parte del proyecto que se encuentra seleccionado aparecen en la lista del navegador. - En la lista de buckets, haz clic en el bucket que prefieras.
- Haz clic en la pestaña Permisos.
- En el campo Control de acceso, haz clic en el vínculo Cambiar a. El campo desaparece 90 días después de la habilitación del acceso uniforme a nivel de bucket.
- En el cuadro de diálogo que aparece, selecciona Detallado.
- Haz clic en Guardar.
Para ver los hallazgos generados, consulta Visualiza los hallazgos en Security Command Center.
Inhabilita el modo de registro de auditoría detallado a nivel de proyecto
A continuación, se muestra un ejemplo de cómo inhabilitar el modo de registro de auditoría detallado a nivel de proyecto. La política de seguridad en el plano implementado aplica información detallada de solicitud y respuesta para las operaciones de Cloud Storage. Si inhabilitas esta aplicación de políticas, puedes limitar la integridad de los datos capturados y afectar el cumplimiento normativo del recurso de almacenamiento. Para inhabilitar el modo de registro de auditoría detallado a nivel de proyecto, haz lo siguiente:
- En la consola de Google Cloud, ve a la página Políticas de organización.
- Selecciona el proyecto requerido en el menú desplegable.
- Filtra la lista para el nombre de la política titulada Modo de registro de auditoría detallado.
- Haz clic en la política.
- En la página Detalles de la política, haz clic en Editar.
- Si hay una regla de aplicación existente, bórrala.
- Haga clic en Agregar regla.
- Haz clic en Desactivar para inhabilitar el modo de registro de auditoría detallado.
- Guarda los cambios.
Para ver los hallazgos generados, consulta Visualiza los hallazgos en Security Command Center.
Visualiza los hallazgos en Security Command Center
En la consola de Google Cloud, ve a la página Resultados de Security Command Center.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
En la página de Hallazgos, junto a Ver por, haz clic en Tipo de fuente.
Selecciona Secured Landing Zone. Se muestra un hallazgo activo asociado con el incumplimiento de política que creaste.
Para ver los detalles de un resultado específico, haz clic en el nombre del hallazgo en Categoría en la tabla.
Para ver la información del registro de auditoría, haz clic en la pestaña Propiedades de origen. Las entradas del registro de auditoría proporcionan información sobre quién causó el incumplimiento de política y cuándo ocurrió.
Actualiza la página.
En la página de Hallazgos, junto a Ver por, haz clic en Tipo de fuente. Ya no puedes ver un resultado activo porque el servicio de Secured Landing Zone lo corrigió. Las entradas de registro de auditoría se actualizan para proporcionar información sobre quién solucionó el incumplimiento de política y cuándo se corrigió.
Visualiza los hallazgos del servicio de Secured Landing Zone en Security Command Center
Cada vez que el servicio de Secured Landing Zone identifica una infracción en las políticas de seguridad de un plano implementado, muestra estos hallazgos en Security Command Center. Si deseas obtener más información para compilar resultados, consulta Crea una consulta de resultados en la consola de Google Cloud.
A fin de ver los hallazgos del servicio de Secured Landing Zone para un tipo de recurso específico, haz lo siguiente:
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
En el panel Filtros rápidos, selecciona lo siguiente:
- En la sección Nombre visible de la fuente, selecciona Zona de destino segura.
- Opcional: En la sección ID del proyecto, selecciona el ID del proyecto en el que deseas ver los recursos.
- En la sección Resource type, selecciona el tipo de recurso que necesitas ver.
La lista de resultados del panel Resultados de la consulta de resultados se actualiza para mostrar solo los resultados que coinciden con tus selecciones.