Permitir que a VM Threat Detection acesse os perímetros do VPC Service Controls

Neste documento, descrevemos como adicionar regras de entrada e saída para permitir que a Detecção de ameaças a máquinas virtuais analise VMs nos perímetros do VPC Service Controls. Realize esta tarefa se a sua organização usa o VPC Service Controls para restringir serviços em projetos que você quer que a Detecção de ameaças de VM verifique. Para mais informações sobre a VM Threat Detection, consulte Visão geral da VM Threat Detection.

Antes de começar

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.

    8. Criar as regras de saída e entrada

    Para permitir que a VM Threat Detection analise as VMs em perímetros do VPC Service Controls, adicione as regras de entrada e saída necessárias nesses perímetros. Siga estas etapas para cada perímetro que você quer que a VM Threat Detection analise.

    Para mais informações, consulte Atualizar políticas de entrada e saída para um perímetro de serviço na documentação do VPC Service Controls.

    Console

    1. No console do Google Cloud, acesse a página VPC Service Controls.

      Acessar o VPC Service Controls

    2. Selecione a organização ou o projeto.

    3. Se você selecionou uma organização, clique em Selecionar uma política de acesso e selecione a política de acesso associada ao perímetro que você quer atualizar.

    4. Clique no título do perímetro que você quer atualizar.

    5. Clique em Editar perímetro.

    6. Clique em Política de saída.

    7. Clique em Adicionar regra.

    8. Na seção Atributos FROM do cliente da API, defina os campos da seguinte maneira:

      1. Em Identidade, selecione Selecionar identidades e grupos.
      2. Em Add User/Service Account, insira o nome do agente de serviço da Central de segurança. O nome do agente de serviço tem o seguinte formato:
      service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

      SubstituaORGANIZATION_ID pelo ID da organização.

    9. Na seção Atributos "Para" de serviços/recursos do GCP, defina os campos da seguinte maneira:

      1. Em Projeto, selecione Todos os projetos.
      2. Em Serviços, selecione Serviços selecionados e, em seguida, selecione a API Compute Engine.
      3. Em Methods, selecione Selected method e o método DisksService.Insert.

    10. Clique em Política de entrada.

    11. Clique em Adicionar regra.

    12. Na seção Atributos FROM do cliente da API, defina os campos da seguinte maneira:

      1. Em Identidade, selecione Selecionar identidades e grupos.
      2. Em Add User/Service Account, insira novamente o nome do agente de serviço da Central de segurança.
      3. Em Origem, selecione Todas as fontes.

    13. Na seção Atributos "Para" de serviços/recursos do GCP, defina os campos da seguinte maneira:

      1. Em Projeto, selecione Todos os projetos.
      2. Em Serviços, selecione Serviços selecionados e, em seguida, selecione a API Compute Engine.

      3. Em Métodos, selecione Método selecionado e, em seguida, selecione os seguintes métodos:

        • DisksService.Insert
        • InstancesService.AggregatedList
        • InstancesService.List

    14. Clique em Salvar.

    gcloud

    1. Se um projeto de cota ainda não tiver sido definido, faça isso. Escolha um projeto com a API Access Context Manager ativada.

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Substitua QUOTA_PROJECT_ID pelo ID do projeto que você quer usar para faturamento e cota.

    2. Crie um arquivo chamado egress-rule.yaml com o seguinte conteúdo:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - methodSelectors:
      - method: DisksService.Insert
      serviceName: compute.googleapis.com
    resources:
    - '*'

      SubstituaORGANIZATION_ID pelo ID da organização.

    3. Crie um arquivo chamado ingress-rule.yaml com o seguinte conteúdo:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
      serviceName: compute.googleapis.com
    resources:
    - '*'

    4. Adicione a regra de saída ao perímetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS_RULE_FILENAME

      Substitua:

      • PERIMETER_NAME: o nome do perímetro, por exemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter
      • EGRESS_RULE_FILENAME: o nome do arquivo que contém a regra de saída

    5. Adicione a regra de entrada ao perímetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS_RULE_FILENAME

      Substitua:

      • PERIMETER_NAME: o nome do perímetro, por exemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter
      • INGRESS_RULE_FILENAME: o nome do arquivo que contém a regra de entrada

    A seguir