Autoriser VM Threat Detection à accéder aux périmètres VPC Service Controls

Ce document explique comment ajouter des règles d'entrée et de sortie pour permettre à Virtual Machine Threat Detection d'analyser les VM dans vos périmètres VPC Service Controls. Effectuez cette tâche si votre organisation utilise VPC Service Controls pour restreindre les services dans les projets que vous souhaitez que la détection des menaces sur les VM analyse. Pour en savoir plus sur VM Threat Detection, consultez la présentation de VM Threat Detection.

Avant de commencer

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Créer les règles d'entrée et de sortie

    Pour autoriser VM Threat Detection à analyser les VM dans les périmètres VPC Service Controls, ajoutez les règles d'entrée et de sortie requises dans ces périmètres. Effectuez ces étapes pour chaque périmètre que vous souhaitez analyser avec VM Threat Detection.

    Pour en savoir plus, consultez la section Mettre à jour les règles d'entrée et de sortie pour un périmètre de service dans la documentation de VPC Service Controls.

    Console

    1. Dans la console Google Cloud , accédez à la page VPC Service Controls.

      Accéder à VPC Service Controls

    2. Sélectionnez votre organisation ou votre projet.
    3. Si vous avez sélectionné une organisation, cliquez sur Sélectionner une règle d'accès, puis sélectionnez la règle d'accès associée au périmètre que vous souhaitez modifier.

    4. Cliquez sur le nom du périmètre que vous souhaitez mettre à jour.

      Pour trouver le périmètre de service que vous devez modifier, vous pouvez rechercher dans vos journaux les entrées indiquant des cas de non-respect de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dans ces entrées, vérifiez le champ servicePerimeterName : 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. Cliquez sur Modifier le périmètre.
    6. Cliquez sur Règle de sortie.
    7. Cliquez sur Ajouter une règle de sortie.

    8. Dans la section DE, définissez les détails suivants :

      1. Pour Identité, sélectionnez Sélectionner des identités et des groupes.
      2. Cliquez sur Ajouter des identités.

      3. Saisissez l'adresse e-mail de l' agent de service Security Center. L'adresse de l'agent de service est au format suivant : 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Remplacez ORGANIZATION_ID par votre ID d'organisation.

      4. Sélectionnez l'agent de service ou appuyez sur ENTRÉE, puis cliquez sur Ajouter des identités.

    9. Dans la section TO, définissez les détails suivants :

      1. Pour Projet, sélectionnez Tous les projets.
      2. Pour Opérations ou rôles IAM, sélectionnez Sélectionner des opérations.

      3. Cliquez sur Ajouter des opérations, puis ajoutez les opérations suivantes :

        • Ajoutez le service compute.googleapis.com.
          1. Cliquez sur Sélectionner des méthodes.

          2. Sélectionnez la méthode DisksService.Insert.

          3. Cliquez sur Ajouter les méthodes sélectionnées.
    10. Cliquez sur Règle d'entrée.
    11. Cliquez sur Ajouter une règle d'entrée.

    12. Dans la section DE, définissez les détails suivants :

      1. Pour Identité, sélectionnez Sélectionner des identités et des groupes.
      2. Cliquez sur Ajouter des identités.

      3. Saisissez l'adresse e-mail de l' agent de service Security Center. L'adresse de l'agent de service est au format suivant : 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Remplacez ORGANIZATION_ID par votre ID d'organisation.

      4. Sélectionnez l'agent de service ou appuyez sur ENTRÉE, puis cliquez sur Ajouter des identités.
      5. Pour Sources, sélectionnez Toutes les sources.

    13. Dans la section TO, définissez les détails suivants :

      1. Pour Projet, sélectionnez Tous les projets.
      2. Pour Opérations ou rôles IAM, sélectionnez Sélectionner des opérations.

      3. Cliquez sur Ajouter des opérations, puis ajoutez les opérations suivantes :

        • Ajoutez le service compute.googleapis.com.
          1. Cliquez sur Sélectionner des méthodes.

          2. Sélectionnez les méthodes suivantes :

            • DisksService.Insert
            • InstancesService.AggregatedList
            • InstancesService.List
          3. Cliquez sur Ajouter les méthodes sélectionnées.
    14. Cliquez sur Enregistrer.

    gcloud

    1. Si aucun projet de quota n'est déjà défini, définissez-en un. Choisissez un projet dans lequel l'API Access Context Manager est activée. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Remplacez QUOTA_PROJECT_ID par l'ID du projet que vous souhaitez utiliser pour la facturation et le quota.

    2. Créez un fichier nommé egress-rule.yaml avec le contenu suivant :

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

      Remplacez ORGANIZATION_ID par votre ID d'organisation.

    3. Créez un fichier nommé ingress-rule.yaml avec le contenu suivant :

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

      Remplacez ORGANIZATION_ID par votre ID d'organisation.

    4. Ajoutez la règle de sortie au périmètre :

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

      Remplacez les éléments suivants :

      • PERIMETER_NAME : nom du périmètre. Par exemple, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Pour trouver le périmètre de service que vous devez modifier, vous pouvez rechercher dans vos journaux les entrées indiquant des cas de non-respect de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dans ces entrées, vérifiez le champ servicePerimeterName : 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    5. Ajoutez la règle d'entrée au périmètre :

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      Remplacez les éléments suivants :

      • PERIMETER_NAME : nom du périmètre. Par exemple, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Pour trouver le périmètre de service que vous devez modifier, vous pouvez rechercher dans vos journaux les entrées indiquant des cas de non-respect de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. Dans ces entrées, vérifiez le champ servicePerimeterName : 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    Pour en savoir plus, consultez Règles d'entrée et de sortie.

    Étapes suivantes