Dienst "Secured Landing Zone" verwenden

In diesem Thema wird beschrieben, wie Sie Sicherheitsrichtlinien mithilfe des Dienstes "Secured Landing Zone" erzwingen. Mit dem Dienst "Secured Landing Zone" können Sie die Ressourcen in einer sicheren Landing-Zone verfolgen, Richtlinienverstöße an diesen Ressourcen ermitteln und entsprechende Maßnahmen ergreifen.

Der Secured Landing Zone-Dienst verwendet Eingabesignale, die aus einer Reihe nativer Google Cloud-Dienste stammen, darunter Cloud Asset Inventory, Security Command Center-Ergebnisse, VPC-Dienstperimeter und Audit-Logs. Diese Signale werden anhand der Sicherheitsrichtlinien validiert, die für den Blueprint konfiguriert wurden.

Wenn ein Ereignis oder eine Gruppe von Ereignissen gegen eine Richtlinie verstößt, betrachtet der Dienst der Secured Landing Zone den Richtlinienverstoß. Jedes Mal, wenn ein Richtlinienverstoß erkannt wird, werden dies als Ergebnisse in Security Command Center benachrichtigt. Der Secured Landing Zone-Dienst bestimmt Korrektur- und Antwortaktionen für einen Teil dieser Richtlinienverstöße anhand des tatsächlichen Anwendungsfalls und des Kontexts.

Anforderungen der Premium-Stufe

Der Secured Landing Zone-Dienst kann nur in der Premium-Stufe von Security Command Center aktiviert werden. Wenn dieser Dienst aktiviert ist, werden bei Richtlinienverstößen in den Ressourcen des bereitgestellten Blueprints Ergebnisse angezeigt, entsprechende Benachrichtigungen generiert und selektiv automatische Abhilfemaßnahmen ergriffen. Mit Audit-Logeinträgen können Sie Informationen darüber abrufen, wer den Richtlinienverstoß verursacht hat und wann er aufgetreten ist. Weitere Informationen zur Liste der Ergebnisse und Schutzmaßnahmen finden Sie unter Ergebnisse von Secured Landing Zone beheben.

Hinweise

Damit der Dienst "Secured Landing Zone" die zu überwachenden Ressourcen erkennen kann, müssen Sie die Terraform-Plandatei generieren und konfigurieren. Für den Dienst "Secured Landing Zone" muss die Plandatei im JSON-Format generiert werden. Weitere Informationen zum Generieren der Terraform-Plandatei finden Sie unter Terraform-Plan.

Erforderliche IAM-Berechtigungen

Sie benötigen die folgenden Rollen und Berechtigungen auf Organisationsebene, um den Dienst "Secured Landing Zone" verwenden zu können:

Beschreibung Rolle Berechtigungen
Ermöglicht die Anzeige aller Eigenschaften einer Dienstinstanz von Secured Landing Zone securedlandingzone.googleapis.com/overwatchViewer
    cloudresourcemanager.googleapis.com/projects.get cloudresourcemanager.googleapis.com/projects.list securedlandingzone.googleapis.com/overwatches.get securedlandingzone.googleapis.com/overwatches.list securedlandingzone.googleapis.com/operations.get securedlandingzone.googleapis.com/operations.list
Ermöglicht die Aktivierung oder Sperrung einer Secured Landing Zone-Dienstinstanz securedlandingzone.googleapis.com/overwatchActivator
    cloudresourcemanager.googleapis.com/projects.get cloudresourcemanager.googleapis.com/projects.list securedlandingzone.googleapis.com/overwatches.activate securedlandingzone.googleapis.com/overwatches.suspend
Vollzugriff auf eine Dienstinstanz der Secured Landing Zone securedlandingzone.googleapis.com/overwatchAdmin
    securedlandingzone.googleapis.com/overwatches.create securedlandingzone.googleapis.com/overwatches.update securedlandingzone.googleapis.com/overwatches.delete

Ressourcen ansehen, die vom Secured Landing Zone-Dienst überwacht werden

Nachdem Sie eine Dienstinstanz der Secured Landing Zone erstellt haben, werden den überwachten Ressourcen Sicherheitsmarkierungen hinzugefügt. Sie können diese Sicherheitsmarkierungen verwenden, um die Ressourcen in Security Command Center anzusehen.

So rufen Sie die Liste der Ressourcen auf:

  1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

    Zu Assets

  2. Platzieren Sie den Cursor oben in der Liste der Assets in das Feld Filter. Ein Menü wird geöffnet.

  3. Scrollen Sie im Menü nach unten und wählen Sie Sicherheitsmarkierungen aus. Security marks: wird dem Feld Filter hinzugefügt und eine Liste vorhandener Sicherheitsmarkierungen wird angezeigt.

  4. Scrollen Sie in der angezeigten Liste der Sicherheitsmarkierungen zu dem Sicherheitszeichen, das für Ihre Instanz des Dienstes Secured Landing Zone erstellt wurde, und wählen Sie es aus. Das Sicherheitszeichen wird im Format securitymarks.marks.SLZ_SERVICE_INSTANCE_NAME angezeigt, wobei SLZ_SERVICE_INSTANCE_NAME dem Namen der Dienstinstanz der Secured Landing Zone entspricht.

    Wenn das benötigte Sicherheitszeichen nicht angezeigt wird, geben Sie direkt nach Security marks: im Feld Filter den Namen Ihrer Secured Landing Zone-Instanz ein.

Die Liste zeigt alle Ressourcen an, die an eine Dienstinstanz der Secured Landing Zone gebunden sind.

Dienstinstanz der Secured Landing Zone testen

Nachdem Sie eine Dienstinstanz der Secured Landing Zone erstellt haben, können Sie einen Beispieltest durchführen, um zu prüfen, ob sie wie erwartet funktioniert. Dazu können Sie manuell einen Richtlinienverstoß erstellen.

Im Folgenden finden Sie einige Beispiele zum Erstellen eines Richtlinienverstoßes und zum Testen der Dienstinstanz der Secured Landing Zone.

Zugriffssteuerung für den Cloud Storage-Bucket ändern

Hier ist ein Beispiel für das Erstellen eines Zugriffsverstoßes. Die Sicherheitsrichtlinie in dem bereitgestellten Blueprint ermöglicht die Zugriffssteuerung über IAM-Berechtigungen auf Bucket-Ebene. Durch die Änderung einer detaillierten Zugriffssteuerung erhöhen Sie das Risiko der Daten-Exfiltration für den Cloud Storage-Bucket. Dies verstößt gegen die bereitgestellte Richtlinie, da der Zugriff auf Objekte jetzt auf einzelner Objektebene gewährt werden kann. So erstellen Sie einen Verstoß gegen die Zugriffssteuerung:

  1. Wechseln Sie in der Cloud Console zum Cloud Storage-Browser.

    Browser aufrufen

    Buckets, die Teil des aktuell ausgewählten Projekts sind, werden in der Browserliste angezeigt.
  2. Klicken Sie in der Liste der Buckets auf den Bucket Ihrer Wahl.
  3. Klicken Sie auf den Tab Berechtigungen.
  4. Klicken Sie im Feld Zugriffssteuerung auf Zum Link wechseln. Das Feld wird 90 Tage nach der Aktivierung des einheitlichen Zugriffs auf Bucket-Ebene nicht mehr angezeigt.
  5. Wählen Sie im angezeigten Dialogfeld die Option Detailgenau aus.
  6. Klicken Sie auf Speichern.

Informationen zum Ansehen der generierten Ergebnisse finden Sie unter Ergebnisse in Security Command Center ansehen.

Detaillierten Audit-Logmodus auf Projektebene deaktivieren

Hier ein Beispiel für die Deaktivierung des detaillierten Audit-Logmodus auf Projektebene. Die Sicherheitsrichtlinie im bereitgestellten Blueprint erzwingt detaillierte Anfrage- und Antwortinformationen für Cloud Storage-Vorgänge. Durch das Deaktivieren dieser Richtlinienerzwingung kann sie die Vollständigkeit der erfassten Daten einschränken und die regulatorische Compliance der Speicherressource beeinträchtigen. So deaktivieren Sie den detaillierten Audit-Logmodus auf Projektebene:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie das erforderliche Projekt aus dem Dropdown-Menü für Projekte aus.
  3. Filtern Sie die Liste nach dem Richtliniennamen mit dem Titel Detaillierter Audit-Logging-Modus.
  4. Klicken Sie auf die Richtlinie.
  5. Klicken Sie auf der Seite mit den Richtliniendetails auf Bearbeiten.
  6. Löschen Sie die Regel, wenn es eine vorhandene Erzwingungsregel gibt.
  7. Klicken Sie auf Regel hinzufügen.
  8. Klicken Sie auf Aus, um den detaillierten Audit-Logging-Modus zu deaktivieren.
  9. Speichern Sie die Änderungen.

Informationen zum Ansehen der generierten Ergebnisse finden Sie unter Ergebnisse in Security Command Center ansehen.

Ergebnisse in Security Command Center ansehen

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

    1. Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.

      Projektauswahl

    2. Klicken Sie in der Ansicht „Ergebnisse“ neben Anzeigen nach auf Quelltyp.

    3. Wählen Sie Sichere Landing-Zone aus. Ein aktives Ergebnis des Richtlinienverstoßes, den Sie erstellt haben, wird angezeigt.

    4. Klicken Sie in der Tabelle unter Kategorie auf den Ergebnisnamen, wenn Sie Details zu einem bestimmten Ergebnis sehen möchten.

    5. Klicken Sie zum Anzeigen der Audit-Loginformationen auf den Tab Quell-Properties. Die Audit-Logeinträge enthalten Informationen darüber, wer den Richtlinienverstoß verursacht hat und wann er aufgetreten ist.

    6. Aktualisieren Sie die Seite.

    7. Klicken Sie in der Ansicht „Ergebnisse“ neben Anzeigen nach auf Quelltyp. Sie können kein aktives Ergebnis mehr sehen, da das Ergebnis vom Dienst "Secured Landing Zone" korrigiert wurde. Die Audit-Logeinträge werden aktualisiert und enthalten Informationen darüber, wer den Richtlinienverstoß behoben hat und wann er behoben wurde.

Ergebnisse des Secured Landing Zone-Dienstes im Security Command Center ansehen

Jedes Mal, wenn der Dienst "Secured Landing Zone" einen Verstoß in den Sicherheitsrichtlinien eines bereitgestellten Blueprints erkennt, werden diese Ergebnisse im Security Command Center angezeigt. Weitere Informationen zum Erstellen von Ergebnissen finden Sie unter Ergebnisabfrage in der Google Cloud Console erstellen.

So rufen Sie die Ergebnisse des Secured Landing Zone-Dienstes für einen bestimmten Asset-Typ auf:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

    Zu Ergebnissen

  2. Wählen Sie im Bereich Schnellfilter Folgendes aus:

    • Wählen Sie im Abschnitt Anzeigename der Quelle die Option Secured Landing Zone aus.
    • Optional: Wählen Sie im Bereich Projekt-ID die ID des Projekts aus, in dem Assets angezeigt werden sollen.
    • Wählen Sie im Abschnitt Ressourcentyp den Ressourcentyp aus, den Sie sehen möchten.

Die Ergebnisliste im Bereich Ergebnisse der Abfrageergebnisse wird aktualisiert, sodass nur die Ergebnisse angezeigt werden, die Ihrer Auswahl entsprechen.