Questo argomento descrive come applicare i criteri di sicurezza utilizzando il servizio Secured Landing Zone. Il servizio Secured Landing Zone consente di tenere traccia delle risorse in una zona di destinazione protetta, identificare le violazioni dei criteri apportate a queste risorse e richiamare le azioni di correzione appropriate.
Il servizio Secured Landing Zone utilizza indicatori di input provenienti da una gamma di servizi Google Cloud nativi, tra cui Cloud Asset Inventory, risultati di Security Command Center, perimetri di servizio VPC e audit log. Questi indicatori vengono convalidati in base ai criteri di sicurezza configurati per il progetto base.
Se un evento o un gruppo di eventi viola un criterio, il servizio Secured Landing Zone lo considera come una violazione delle norme. Ogni volta che viene identificata una violazione dei criteri, questa viene notificata come risultato in Security Command Center. Il servizio Secured Landing Zone determina le azioni correttive e di risposta per un sottoinsieme di queste violazioni dei criteri in base al caso d'uso e al contesto effettivi.
Requisiti del livello Premium
Il servizio Secured Landing Zone può essere abilitato solo nel livello Premium di Security Command Center. Se abilitato, questo servizio mostra risultati in caso di violazioni dei criteri nelle risorse del progetto base di cui è stato eseguito il deployment, genera avvisi corrispondenti e esegue in modo selettivo azioni di correzione automatica. Con l'aiuto delle voci dei log di controllo, puoi visualizzare le informazioni su chi ha causato la violazione dei criteri e quando si è verificata. Per saperne di più sull'elenco dei risultati e dei rimedi, vedi Come risolvere i problemi relativi ai risultati della sezione Secured Landing Zone.
Prima di iniziare
Affinché il servizio Secured Landing Zone identifichi il set di risorse che deve essere monitorato, devi generare e configurare il file del piano Terraform. Il servizio Secured Landing Zone richiede che il file del piano sia generato in formato JSON. Per saperne di più su come generare il file del piano Terraform, consulta il piano Terraform
Autorizzazioni IAM richieste
Per poter utilizzare il servizio Secured Landing Zone, devi disporre dei ruoli e delle autorizzazioni seguenti a livello di organizzazione:
| Descrizione | Ruolo | Autorizzazioni |
|---|---|---|
| Consente di visualizzare tutte le proprietà di un'istanza di servizio Secured Landing Zone | securedlandingzone.googleapis.com/overwatchViewer |
cloudresourcemanager.googleapis.com/projects.get
cloudresourcemanager.googleapis.com/projects.list
securedlandingzone.googleapis.com/overwatches.get
securedlandingzone.googleapis.com/overwatches.list
securedlandingzone.googleapis.com/operations.get
securedlandingzone.googleapis.com/operations.list
|
| Consente di attivare o sospendere un'istanza del servizio Secured Landing Zone | securedlandingzone.googleapis.com/overwatchActivator |
cloudresourcemanager.googleapis.com/projects.get
cloudresourcemanager.googleapis.com/projects.list
securedlandingzone.googleapis.com/overwatches.activate
securedlandingzone.googleapis.com/overwatches.suspend
|
| Fornisce l'accesso completo a un'istanza del servizio Secured Landing Zone | securedlandingzone.googleapis.com/overwatchAdmin |
securedlandingzone.googleapis.com/overwatches.create
securedlandingzone.googleapis.com/overwatches.update
securedlandingzone.googleapis.com/overwatches.delete
|
Visualizza le risorse monitorate dal servizio Secured Landing Zone
Dopo aver creato un'istanza del servizio Secured Landing Zone, i contrassegni di sicurezza vengono aggiunti alle risorse monitorate. Per visualizzare le risorse in Security Command Center, puoi utilizzare questi contrassegni di sicurezza.
Per visualizzare l'elenco delle risorse:
Vai alla pagina Asset di Security Command Center nella console Google Cloud.
Posiziona il cursore sul campo Filtro in cima all'elenco di asset. Si apre un menu.
Scorri fino in fondo al menu e seleziona Contrassegni di sicurezza. Il campo
Security marks:viene aggiunto al campo Filtro e viene visualizzato un elenco di contrassegni di sicurezza esistenti.Nell'elenco visualizzato dei contrassegni di sicurezza, scorri per trovare il contrassegno di sicurezza creato per l'istanza del servizio Secured Landing Zone e selezionalo. Il contrassegno di sicurezza viene visualizzato nel formato
securitymarks.marks.SLZ_SERVICE_INSTANCE_NAME, doveSLZ_SERVICE_INSTANCE_NAMEcorrisponde al nome dell'istanza del servizio Secured Landing Zone.Se non vedi il contrassegno di sicurezza di cui hai bisogno, nel campo Filtro subito dopo
Security marks:, inserisci il nome dell'istanza della tua zona di destinazione protetta.
L'elenco mostra tutte le risorse collegate a un'istanza di servizio Secured Landing Zone.
Testa l'istanza del servizio Secured Landing Zone
Dopo aver creato un'istanza del servizio Secured Landing Zone, puoi eseguire un test di esempio per verificare se funziona come previsto. A questo scopo, puoi creare manualmente una violazione delle norme.
Ecco alcuni esempi su come creare una violazione dei criteri e testare l'istanza del servizio Secured Landing Zone.
Modifica il controllo dell'accesso al bucket Cloud Storage
Di seguito è riportato un esempio di violazione del controllo dell'accesso. Il criterio di sicurezza nel progetto base di cui è stato eseguito il deployment consente controllo dell'accesso tramite le autorizzazioni IAM a livello di bucket. Passando a un controllo dell'accesso granulare, aumenta il rischio di esfiltrazione di dati per il bucket Cloud Storage. Si tratta di una violazione del criterio di cui è stato eseguito il deployment perché ora è possibile concedere l'accesso agli oggetti a livello di singolo oggetto. Per creare una violazione controllo dell'accesso#39;accesso:
- Nella console Google Cloud, vai alla pagina Browser di Cloud Storage.
I bucket che fanno parte del progetto attualmente selezionato vengono visualizzati nell'elenco dei browser. - Nell'elenco dei bucket, fai clic sul bucket che preferisci.
- Fai clic sulla scheda Autorizzazioni.
- Nel campo Controllo accesso, fai clic sul link Passa a. Il campo scompare 90 giorni dopo l'attivazione dell'accesso uniforme a livello di bucket.
- Nella finestra di dialogo visualizzata, seleziona Granulare.
- Fai clic su Salva.
Per visualizzare i risultati generati, vedi Visualizzare i risultati in Security Command Center
Disabilita la modalità audit log dettagliato a livello di progetto
Ecco un esempio di disattivazione della modalità audit log dettagliata a livello di progetto. Il criterio di sicurezza nel progetto base di cui è stato eseguito il deployment applica informazioni dettagliate sulle richieste e sulle risposte per le operazioni di Cloud Storage. La disattivazione dell'applicazione di questo criterio può limitare la completezza dei dati acquisiti e influire sulla conformità normativa della risorsa di archiviazione. Per disabilitare la modalità audit log dettagliato a livello di progetto:
- Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.
- Seleziona il progetto richiesto dal menu a discesa del progetto.
- Filtra l'elenco in base al nome del criterio Modalità di audit logging dettagliata.
- Fai clic sul criterio.
- Nella pagina Dettagli norme, fai clic su Modifica.
- Se esiste già una regola di applicazione, eliminala.
- Fai clic su Aggiungi regola.
- Fai clic su Off per disattivare la modalità di audit logging dettagliata.
- Salva le modifiche.
Per visualizzare i risultati generati, vedi Visualizzare i risultati in Security Command Center
Visualizza i risultati in Security Command Center
Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona l'organizzazione o il progetto Google Cloud.
Nella pagina Risultati, accanto a Visualizza per, fai clic su Tipo di origine.
Seleziona Secured Landing Zone (Zona di destinazione protetta). Viene visualizzato un risultato attivo associato alla violazione delle norme che hai creato.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Categoria nella tabella.
Per visualizzare le informazioni del log di controllo, fai clic sulla scheda Proprietà sorgente. Le voci del log di controllo forniscono informazioni su chi ha causato la violazione del criterio e quando si è verificata.
Aggiorna la pagina.
Nella pagina Risultati, accanto a Visualizza per, fai clic su Tipo di origine. Non puoi più visualizzare un risultato attivo perché il risultato è stato risolto dal servizio Secured Landing Zone. Le voci dell'audit log vengono aggiornate per fornire informazioni su chi ha risolto la violazione dei criteri e quando è stata corretta.
Visualizza i risultati del servizio Secured Landing Zone in Security Command Center
Ogni volta che il servizio Secured Landing Zone identifica una violazione nei criteri di sicurezza di un progetto base di cui è stato eseguito il deployment, mostra questi risultati su Security Command Center. Per saperne di più su come creare i risultati, consulta Creare una query dei risultati nella console Google Cloud.
Per visualizzare i risultati del servizio Secured Landing Zone per un tipo di asset specifico:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Nel riquadro Filtri rapidi, seleziona quanto segue:
- Nella sezione Nome visualizzato dell'origine, seleziona Secured Landing Zone (Zona di destinazione protetta).
- (Facoltativo) Nella sezione ID progetto, seleziona l'ID del progetto in cui visualizzare gli asset.
- Nella sezione Tipo di risorsa, seleziona il tipo di risorsa che devi visualizzare.
L'elenco dei risultati nel riquadro Risultati delle query dei risultati viene aggiornato per mostrare solo i risultati che corrispondono alle tue selezioni.