En este documento, se describe cómo agregar reglas de entrada y salida para permitir que Virtual Machine Threat Detection analice las VMs en los perímetros de los Controles del servicio de VPC. Realiza esta tarea si tu organización usa Controles del servicio de VPC para restringir los servicios en los proyectos que deseas que VM Threat Detection analice. Para obtener más información sobre VM Threat Detection, consulta Descripción general de VM Threat Detection.
Antes de comenzar
Make sure that you have the following role or roles on the organization:
Access Context Manager Editor
(roles/accesscontextmanager.policyEditor).
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Ir a IAM - Selecciona la organización.
- Haz clic en Grant access.
-
En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.
- En la lista Seleccionar un rol, elige un rol.
- Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
- Haz clic en Guardar.
En la consola de Google Cloud, ve a la página Controles del servicio de VPC.
Selecciona tu organización o proyecto.
Si seleccionaste una organización, haz clic en Seleccionar una política de acceso y elige la política de acceso asociada con el perímetro que deseas actualizar.
Haz clic en el título del perímetro que deseas actualizar.
Haz clic en Editar perímetro.
Haz clic en Política de salida.
Haz clic en Agregar regla.
En la sección Atributos FROM del cliente de la API, configura los campos de la siguiente manera:
- En Identidad, selecciona Seleccionar identidades y grupos.
- En Agregar usuario o cuenta de servicio, ingresa el nombre del agente de servicio de Security Center. El nombre del agente de servicio tiene el siguiente formato:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.comReemplaza ORGANIZATION_ID por el ID de tu organización.
En la sección HASTA atributos de los servicios o recursos de GCP, configura los campos de la siguiente manera:
- En Proyecto, selecciona Todos los proyectos.
- En Servicios, selecciona Servicios seleccionados y, luego, el servicio API de Compute Engine.
- En Métodos, selecciona Método seleccionado y, luego, selecciona el método DisksService.Insert.
Haz clic en Política de entrada.
Haz clic en Agregar regla.
En la sección Atributos FROM del cliente de la API, configura los campos de la siguiente manera:
- En Identidad, selecciona Seleccionar identidades y grupos.
- En Agregar usuario o cuenta de servicio, vuelve a ingresar el nombre del agente de servicio de Security Center.
- En Fuente, selecciona Todas las fuentes.
En la sección HASTA atributos de los servicios o recursos de GCP, configura los campos de la siguiente manera:
- En Proyecto, selecciona Todos los proyectos.
- En Servicios, selecciona Servicios seleccionados y, luego, el servicio API de Compute Engine.
En Métodos, selecciona Método seleccionado y, luego, selecciona los siguientes métodos:
- DisksService.Insert
- InstancesService.AggregatedList
- InstancesService.List
Haz clic en Guardar.
Si aún no se configuró un proyecto de cuota, configúralo. Elige un proyecto que tenga habilitada la API de Access Context Manager.
gcloud config set billing/quota_project QUOTA_PROJECT_IDReemplaza QUOTA_PROJECT_ID por el ID del proyecto que deseas usar para la facturación y la cuota.
Crea un archivo llamado
egress-rule.yamlcon el siguiente contenido:- egressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com egressTo: operations: - methodSelectors: - method: DisksService.Insert serviceName: compute.googleapis.com resources: - '*'Reemplaza ORGANIZATION_ID por el ID de tu organización.
Crea un archivo llamado
ingress-rule.yamlcon el siguiente contenido:- ingressFrom: identities: - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com sources: - accessLevel: '*' ingressTo: operations: - methodSelectors: - method: DisksService.Insert - method: InstancesService.AggregatedList - method: InstancesService.List serviceName: compute.googleapis.com resources: - '*'Agrega la regla de salida al perímetro:
gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS_RULE_FILENAMEReemplaza lo siguiente:
- PERIMETER_NAME: Es el nombre del perímetro, por ejemplo,
accessPolicies/1234567890/servicePerimeters/example_perimeter. - EGRESS_RULE_FILENAME: Es el nombre del archivo que contiene la regla de salida.
- PERIMETER_NAME: Es el nombre del perímetro, por ejemplo,
Agrega la regla de entrada al perímetro:
gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS_RULE_FILENAMEReemplaza lo siguiente:
- PERIMETER_NAME: Es el nombre del perímetro, por ejemplo,
accessPolicies/1234567890/servicePerimeters/example_perimeter. - INGRESS_RULE_FILENAME: Es el nombre del archivo que contiene la regla de entrada.
- PERIMETER_NAME: Es el nombre del perímetro, por ejemplo,
- Obtén más información para usar VM Threat Detection.
Crea las reglas de entrada y salida
Para permitir que VM Threat Detection analice las VMs en los perímetros de los Controles del servicio de VPC, agrega las reglas de entrada y salida requeridas en esos perímetros. Realiza estos pasos para cada perímetro que desees que VM Threat Detection analice.
Para obtener más información, consulta Cómo actualizar las políticas de entrada y salida de un perímetro de servicio en la documentación de Controles del servicio de VPC.