VM Threat Detection Zugriff auf VPC Service Controls-Perimeter gewähren

In diesem Dokument wird beschrieben, wie Sie Regeln für ein- und ausgehenden Traffic hinzufügen, damit Virtual Machine Threat Detection VMs in Ihren VPC Service Controls-Perimetern scannen kann. Führen Sie diese Aufgabe aus, wenn Ihre Organisation VPC Service Controls verwendet, um Dienste in Projekten einzuschränken, die von der VM-Gefahrenerkennung gescannt werden sollen. Weitere Informationen zur VM Threat Detection finden Sie unter VM Threat Detection – Übersicht.

Hinweis

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. Regeln für ausgehenden und eingehenden Traffic erstellen

    Damit VM Threat Detection die VMs in VPC Service Controls-Perimetern scannen kann, fügen Sie in diesen Perimetern die erforderlichen Regeln für ausgehenden und eingehenden Traffic hinzu. Führen Sie diese Schritte für jeden Perimeter aus, den VM Threat Detection scannen soll.

    Weitere Informationen finden Sie in der VPC Service Controls-Dokumentation unter Ein- und Ausstiegsrichtlinien für einen Dienstperimeter aktualisieren.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

      Zu „VPC Service Controls“

    2. Wählen Sie Ihre Organisation oder das Projekt aus.

    3. Wenn Sie eine Organisation ausgewählt haben, klicken Sie auf Zugriffsrichtlinie auswählen und wählen Sie die Zugriffsrichtlinie aus, die mit dem Perimeter verknüpft ist, den Sie aktualisieren möchten.

    4. Klicken Sie auf den Titel des Perimeters, den Sie aktualisieren möchten.

    5. Klicken Sie auf Perimeter bearbeiten.

    6. Klicken Sie auf Richtlinie für ausgehenden Traffic.

    7. Klicken Sie auf Regel hinzufügen.

    8. Legen Sie im Abschnitt FROM-Attribute des API-Clients die Felder so fest:

      1. Wählen Sie unter Identität die Option Identitäten und Gruppen auswählen aus.
      2. Geben Sie unter Add User/Service Account (Nutzer/Dienstkonto hinzufügen) den Namen des Security Center-Dienstmitarbeiters ein. Der Name des Kundenservicemitarbeiters hat folgendes Format:
      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

    9. Legen Sie im Abschnitt TO-Attribute von GCP-Diensten/-Ressourcen die Felder so fest:

      1. Wählen Sie für Projekt die Option Alle Projekte aus.
      2. Wählen Sie unter Dienste die Option Ausgewählte Dienste und dann den Dienst Compute Engine API aus.
      3. Wählen Sie unter Methoden die Option Ausgewählte Methode und dann die Methode DisksService.Insert aus.

    10. Klicken Sie auf Richtlinie für eingehenden Traffic.

    11. Klicken Sie auf Regel hinzufügen.

    12. Legen Sie im Abschnitt FROM-Attribute des API-Clients die Felder so fest:

      1. Wählen Sie unter Identität die Option Identitäten und Gruppen auswählen aus.
      2. Geben Sie unter Nutzer/Dienstkonto hinzufügen noch einmal den Namen des Security Center-Dienstmitarbeiters ein.
      3. Wählen Sie für Quelle die Option Alle Quellen aus.

    13. Legen Sie im Abschnitt TO-Attribute von GCP-Diensten/-Ressourcen die Felder so fest:

      1. Wählen Sie für Projekt die Option Alle Projekte aus.
      2. Wählen Sie unter Dienste die Option Ausgewählte Dienste und dann den Dienst Compute Engine API aus.

      3. Wählen Sie unter Methoden die Option Ausgewählte Methode und dann die folgenden Methoden aus:

        • DisksService.Insert
        • InstancesService.AggregatedList
        • InstancesService.List

    14. Klicken Sie auf Speichern.

    gcloud

    1. Legen Sie ein Kontingentprojekt fest, falls noch nicht geschehen. Wählen Sie ein Projekt aus, für das die Access Context Manager API aktiviert ist.

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Ersetzen Sie QUOTA_PROJECT_ID durch die ID des Projekts, das Sie für die Abrechnung und das Kontingent verwenden möchten.

    2. Erstellen Sie eine Datei mit dem Namen egress-rule.yaml und mit folgendem Inhalt:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - methodSelectors:
      - method: DisksService.Insert
      serviceName: compute.googleapis.com
    resources:
    - '*'

      Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

    3. Erstellen Sie eine Datei mit dem Namen ingress-rule.yaml und mit folgendem Inhalt:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
      serviceName: compute.googleapis.com
    resources:
    - '*'

    4. Fügen Sie die Regel für ausgehenden Traffic dem Perimeter hinzu:

      gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS_RULE_FILENAME

      Ersetzen Sie Folgendes:

      • PERIMETER_NAME: der Name des Perimeter, z. B. accessPolicies/1234567890/servicePerimeters/example_perimeter
      • EGRESS_RULE_FILENAME: der Name der Datei, die die ausgehende Regel enthält

    5. Fügen Sie die Regel für eingehenden Traffic dem Perimeter hinzu:

      gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS_RULE_FILENAME

      Ersetzen Sie Folgendes:

      • PERIMETER_NAME: der Name des Perimeter, z. B. accessPolicies/1234567890/servicePerimeters/example_perimeter
      • INGRESS_RULE_FILENAME: der Name der Datei, die die Ingress-Regel enthält

    Nächste Schritte