Neste tópico, descrevemos como aplicar as políticas de segurança usando o serviço de Zona de destino segura. O serviço Zona de destino segura permite que você acompanhe os recursos em uma zona de destino segura, identifique violações de políticas feitas a esses recursos e invoque ações de correção apropriadas.
O serviço Zona de destino segura usa sinais de entrada provenientes de uma variedade de serviços nativos do Google Cloud, incluindo o Cloud Asset Inventory, descobertas do Security Command Center, perímetros de serviço da VPC e registros de auditoria. Esses indicadores são validados em relação às políticas de segurança configuradas para o blueprint.
Se um evento ou um grupo de eventos violar uma política, o serviço Zona de destino segura considera isso como uma violação da política. Sempre que uma violação da política é identificada, isso é notificado como descobertas no Security Command Center. O serviço de Zona de destino segura determina as ações corretivas e de resposta para um subconjunto dessas violações de política com base no contexto e no caso de uso real.
Requisitos do nível Premium
O serviço da Zona de destino segura só pode ser ativado no nível Premium do Security Command Center. Quando ativado, esse serviço exibe descobertas se houver violações de política nos recursos do blueprint implantado, gera alertas correspondentes e realiza medidas de correção automáticas. Com a ajuda de entradas de registro de auditoria, é possível ver informações sobre quem causou a violação da política e quando ela ocorreu. Para mais informações sobre a lista de descobertas e remediações, consulte Como corrigir descobertas da Zona de destino segura.
Antes de começar
Para que o serviço Zona de destino segura identifique qual conjunto de recursos precisa ser monitorado, é preciso gerar e configurar o arquivo de plano do Terraform. O serviço Zona de destino segura exige que o arquivo de plano seja gerado em formato JSON. Para mais informações sobre como gerar o arquivo do plano do Terraform, consulte Plano do Terraform.
Permissões do IAM obrigatórias
Você precisa ter os seguintes papéis e permissões no nível da organização para usar o serviço Zona de destino segura:
| Descrição | Papel | Permissões |
|---|---|---|
| Permite visualizar todas as propriedades de uma instância de serviço da Zona de destino segura | securedlandingzone.googleapis.com/overwatchViewer |
cloudresourcemanager.googleapis.com/projects.get
cloudresourcemanager.googleapis.com/projects.list
securedlandingzone.googleapis.com/overwatches.get
securedlandingzone.googleapis.com/overwatches.list
securedlandingzone.googleapis.com/operations.get
securedlandingzone.googleapis.com/operations.list
|
| Permite ativar ou suspender uma instância de serviço da Zona de destino segura | securedlandingzone.googleapis.com/overwatchActivator |
cloudresourcemanager.googleapis.com/projects.get
cloudresourcemanager.googleapis.com/projects.list
securedlandingzone.googleapis.com/overwatches.activate
securedlandingzone.googleapis.com/overwatches.suspend
|
| Concede acesso total a uma instância de serviço da zona de destino segura | securedlandingzone.googleapis.com/overwatchAdmin |
securedlandingzone.googleapis.com/overwatches.create
securedlandingzone.googleapis.com/overwatches.update
securedlandingzone.googleapis.com/overwatches.delete
|
Ver os recursos que são monitorados pelo serviço Zona de Destino Segura
Depois de criar uma instância de serviço da Zona de destino segura, as marcações de segurança serão adicionadas aos recursos que estão sendo monitorados. Para ver os recursos no Security Command Center, use estas marcações de segurança.
Para ver a lista de recursos, faça o seguinte:
Acesse a página Recursos do Security Command Center no Console do Google Cloud.
Coloque o cursor no campo Filtro na parte superior da lista de recursos. Um menu será aberto.
Role até a parte inferior do menu e selecione Marcações de segurança.
Security marks:é adicionado ao campo Filtro e uma lista de marcações de segurança existentes é exibida.Na lista de marcações de segurança, role a tela até encontrar a marcação que foi criada para a instância do serviço da Zona de destino segura e selecione-a. A marcação de segurança é exibida no formato
securitymarks.marks.SLZ_SERVICE_INSTANCE_NAME, em queSLZ_SERVICE_INSTANCE_NAMEcorresponde ao nome da instância do serviço da Zona de destino segura.Se a marcação de segurança necessária não for exibida, no campo Filtro imediatamente após
Security marks:, insira o nome da instância da zona de destino segura.
A lista exibe todos os recursos vinculados a uma instância de serviço da Zona de destino segura.
Testar a instância do serviço de Zona de destino segura
Depois de criar uma instância de serviço de zona de destino segura, é possível realizar um teste de amostra para verificar se ele está funcionando conforme o esperado. Para fazer isso, crie manualmente uma violação da política.
Veja alguns exemplos de como criar uma violação da política e testar a instância de serviço da Zona de destino segura.
Alterar o controle de acesso do bucket do Cloud Storage
Veja um exemplo de como criar uma violação de controle de acesso. A política de segurança no blueprint implantado permite o controle de acesso por meio de permissões do IAM no nível do bucket. Ao alterar isso para um controle de acesso detalhado, você aumenta o risco de exfiltração de dados para o bucket do Cloud Storage. Isso viola a política implantada porque agora o acesso a objetos pode ser concedido no nível do objeto individual. Para criar uma violação de controle de acesso, faça o seguinte:
- No console do Google Cloud, acesse a página Navegador do Cloud Storage.
Os buckets que fazem parte do projeto selecionado no momento são exibidos na lista do navegador. - Na lista de buckets, clique no que você preferir.
- Clique na guia Permissões..
- No campo Controle de acesso, clique em Alternar para link. O campo desaparecerá 90 dias após a ativação do acesso uniforme no nível do bucket.
- Na caixa de diálogo exibida, selecione Detalhado.
- Clique em Salvar.
Para ver as descobertas geradas, consulte Ver as descobertas no Security Command Center.
Desativar o modo de registro de auditoria detalhado no nível do projeto
Veja um exemplo de desativação do modo de registro de auditoria detalhado no nível do projeto. A política de segurança no modelo implantado aplica informações detalhadas de solicitação e resposta para operações de armazenamento do Cloud. Ao desativar essa aplicação de política, ela pode limitar a integridade dos dados capturados e afetar a conformidade regulamentar do recurso de armazenamento. Para desativar o modo de registro de auditoria detalhado no nível do projeto, faça o seguinte:
- No console do Google Cloud, acesse a página Políticas da organização.
- Selecione o projeto necessário no menu suspenso.
- Filtre a lista pelo nome da política com o nome Modo de registro de auditoria detalhado.
- Clique na política.
- Na página Detalhes da política, clique em Editar.
- Se já houver uma regra de aplicação, exclua-a.
- Clique em Adicionar regra.
- Clique em Desativar para desativar o modo detalhado de registro de auditoria.
- Salve as alterações.
Para ver as descobertas geradas, consulte Ver as descobertas no Security Command Center.
Ver as descobertas no Security Command Center
No console do Google Cloud, acesse a página Descobertas do Security Command Center.
Se necessário, selecione o projeto ou a organização do Google Cloud.
Na página Descobertas, ao lado de Visualizar por, clique em Tipo de origem.
Selecione Zona de destino segura. Uma descoberta ativa associada à violação da política criada será exibida.
Para visualizar os detalhes de uma descoberta específica, clique no nome dela em categoria na tabela.
Para ver as informações do registro de auditoria, clique na guia Propriedades de origem. As entradas de registro de auditoria fornecem informações sobre quem causou a violação da política e quando ela ocorreu.
Atualize a página.
Na página Descobertas, ao lado de Visualizar por, clique em Tipo de origem. Não é mais possível ver uma descoberta ativa porque ela foi corrigida pelo serviço de Zona de destino segura. As entradas de registro de auditoria são atualizadas para fornecer informações sobre quem corrigiu a violação da política e quando ela foi corrigida.
Ver as descobertas do serviço Zona de destino segura no Security Command Center
Sempre que o serviço Zona de destino segura identifica uma violação nas políticas de segurança de um blueprint implantado, ele exibe essas descobertas no Security Command Center. Para mais informações sobre como criar descobertas, consulte Criar uma consulta de descobertas no Console do Google Cloud.
Para ver as descobertas do serviço Zona de destino segura para um tipo de recurso específico, faça o seguinte:
Acesse a página Descobertas do Security Command Center no Console do Google Cloud.
No painel Filtros rápidos, selecione as seguintes opções:
- Na seção Nome de exibição da fonte, selecione Zona de destino segura.
- Opcional: na seção ID do projeto, selecione o ID do projeto em que os recursos serão exibidos.
- Na seção Tipo de recurso, selecione o tipo de recurso que precisa ser exibido.
A lista de descobertas no painel Resultados da consulta de descobertas é atualizada para exibir apenas as descobertas que correspondem às suas seleções.