Eseguire l'onboarding di un'istanza Google SecOps
Questo documento descrive come eseguire l'onboarding (il deployment) di un'istanza di Google SecOps (SIEM e SOAR) e attivare le funzionalità di Google SecOps in base al livello del pacchetto Google SecOps e ai diritti. Questi passaggi di onboarding si applicano ai seguenti pacchetti Google SecOps: Standard, Enterprise ed Enterprise Plus.
Il tuo esperto in materia di onboarding designato, chiamato anche esperto in materia di Google SecOps o amministratore della fatturazione, esegue la procedura di onboarding. Questa persona funge da punto di contatto principale della tua organizzazione per Google SecOps.
Prerequisiti
Prima di poter eseguire l'onboarding di una nuova istanza Google SecOps, assicurati che la tua organizzazione soddisfi i seguenti prerequisiti:
Una registrazione attiva per uno dei seguenti pacchetti Google SecOps: Standard, Enterprise o Enterprise Plus.
Un contratto Google SecOps firmato dalla tua organizzazione. Questo contratto ti autorizza a eseguire il provisioning di ogni nuova istanza di Google SecOps.
Esegui il deployment di una nuova istanza Google SecOps
Per eseguire il deployment di una nuova istanza di Google SecOps:
Firma il contratto Google SecOps.
Il provisioning di una nuova istanza Google SecOps inizia quando la tua organizzazione firma un contratto Google SecOps. Questa azione attiva il flusso di lavoro di onboarding interno di Google e registra i dettagli del contratto nel sistema di Google, inclusi l'account di fatturazione e l'indirizzo email dell'esperto di onboarding.
Prepara l'ambiente per l'onboarding.
L'esperto in materia di onboarding deve preparare l'ambiente prima di eseguire l'onboarding di una nuova istanza di Google SecOps.
Facoltativo. Contatta l'assistenza per implementare istanze aggiuntive.
Preparare l'ambiente per l'onboarding
L'esperto in materia di onboarding deve preparare l'ambiente prima di eseguire l'onboarding di un'istanza Google SecOps, come descritto in queste sezioni:
- Concedi le autorizzazioni per eseguire l'onboarding.
- (Facoltativo) Configura una cartella Assured Workloads.
- Crea un progetto Google Cloud (facoltativo).
- Configura un progetto Google Cloud .
- Configura un provider di identità.
Concedere le autorizzazioni per eseguire l'onboarding
Per ogni nuova istanza di Google SecOps, concedi i ruoli e le autorizzazioni di onboarding richiesti all'esperto in materia di onboarding, come descritto in Ruoli e autorizzazioni richiesti.
(Facoltativo) Configura una cartella Assured Workloads
Per creare una cartella Assured Workloads:
- Vai alla pagina Crea una nuova cartella Assured Workloads.
- Nell'elenco, seleziona il tipo di pacchetto di controlli* che vuoi applicare alla cartella Assured Workloads.
- Assicurati di disporre delle autorizzazioni necessarie elencate nella sezione Ruoli IAM richiesti.
Segui i passaggi descritti nella sezione Creare una cartella Assured Workloads per….
Quando configuri la cartella, tieni presente queste linee guida:
Un tenant (istanza) controllato per la conformità è un tenant che deve essere conforme a uno o più dei seguenti standard di controllo della conformità: FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1 o DRZ_ADVANCED.
Tutti i file associati a un tenant controllato per la conformità devono risiedere in una cartella Assured Workloads configurata per lo standard di controllo della conformità appropriato.
Una cartella Assured Workloads viene creata a livello di organizzazione.
Un'organizzazione può creare più cartelle Assured Workloads, ognuna dedicata a un pacchetto di controlli di conformità specifico in base ai propri requisiti. Ad esempio, una cartella può supportare istanze FedRAMP_MODERATE, mentre un'altra istanze FedRAMP_HIGH.
Tieni in considerazione queste linee guida quando esegui il deployment di un tenant (istanza) controllato per la conformità:
Devi collegare il tenant (istanza) controllato per la conformità a un progetto che si trova all'interno di una cartella Assured Workloads. Google Cloud
Se prevedi di creare un nuovo progetto Google Cloud per la tua istanza di Google SecOps, devi creare il progetto all'interno di una cartella Assured Workloads configurata per il pacchetto di controlli di conformità richiesto.
Se la tua organizzazione non ha una cartella Assured Workloads, devi crearne una.
Crea un progetto Google Cloud (facoltativo)
Ogni nuova istanza di Google SecOps deve essere collegata a un progetto Google Cloud . Puoi utilizzare un progetto Google Cloud esistente o crearne uno nuovo.
Per creare un nuovo Google Cloud progetto:
Per un tenant (istanza) conforme a FedRAMP, crea il progetto all'interno della cartella Assured Workloads della tua organizzazione. Se la tua organizzazione non dispone di una cartella Assured Workloads per il pacchetto di controlli richiesto, creane una.
Segui i passaggi descritti in Creare un progetto.
Configurare un progetto Google Cloud
Un progetto Google Cloud funge da livello di controllo per l'istanza di Google SecOps collegata.
Per configurarlo correttamente, segui i passaggi descritti in Configurare un progetto Google Cloud per Google SecOps.
Configura un provider di identità
Configura un provider di identità per gestire utenti, gruppi e autenticazione per la tua istanza di Google SecOps.
Sono disponibili due opzioni supportate:
Opzione 1: Google Cloud Identità:
Utilizza questa opzione se hai un account Google Workspace o se sincronizzi le identità dal tuo IdP a Google Cloud.
Crea account utente gestiti per controllare l'accesso alle risorse Google Cloud e alla tua istanza di Google SecOps.
Definisci i criteri IAM utilizzando ruoli predefiniti o personalizzati per concedere l'accesso alle funzionalità a utenti e gruppi.
Per istruzioni dettagliate, vedi Configurare un Google Cloud identity provider.
Opzione 2: Federazione delle identità della forza lavoro:
Utilizza questa opzione se utilizzi un IdP di terze parti (ad esempio Okta o Azure AD).
Configura la federazione delle identità per la forza lavoro di Google e crea un pool di identità della forza lavoro. La federazione delle identità della forza lavoro di Google ti consente di concedere ai workload on-premise o multi-cloud l'accesso alle risorse Google Cloud , senza utilizzare le chiavi dell'account di servizio.
Per istruzioni dettagliate, vedi Configurare un provider di identità di terze parti.
Eseguire l'onboarding di una nuova istanza Google SecOps
Il sistema Google invia un'email di invito all'onboarding di Google SecOps al tuo esperto in materia di onboarding. Questa email include un link di attivazione per avviare la procedura di configurazione.
Dopo aver preparato l'ambiente per l'onboarding, l'esperto in materia di onboarding deve svolgere le seguenti operazioni:
- Fai clic sul link di attivazione nell'email di invito.
Esegui i passaggi descritti nelle sezioni seguenti per eseguire il deployment dell'istanza Google SecOps:
- Configura una nuova istanza di Google SecOps e collegala a un progetto Google Cloud .
- Configura il controllo dell'accesso alle funzionalità utilizzando IAM.
- Configura il controllo dell'accesso basato sui ruoli per gli utenti.
- Mappa i gruppi IdP ai controllo dell'accesso dell'accesso per completare l'implementazione.
Ruoli e autorizzazioni richiesti
Questa sezione elenca i ruoli e le autorizzazioni necessari per eseguire il deployment di un'istanza di Google SecOps. Concedi queste autorizzazioni all'esperto in materia di onboarding che esegue le attività di deployment:
- Tutti i ruoli e le autorizzazioni devono essere concessi a livello di progetto. Queste autorizzazioni si applicano solo al progetto Google Cloud specificato e all'istanza Google SecOps associata. Per eseguire il deployment di istanze aggiuntive, contatta l'assistenza.
- Se esegui il deployment di un'altra istanza di Google SecOps in base a un contratto diverso, devi concedere un nuovo insieme di ruoli e autorizzazioni per quel deployment.
Concedi all'esperto in materia di onboarding i ruoli e le autorizzazioni elencati nelle seguenti sezioni:
- Autorizzazioni nell'account di fatturazione Google
- Ruoli IAM predefiniti
- Autorizzazioni per creare una cartella Assured Workloads
- Autorizzazioni per aggiungere un Google Cloud progetto
- Autorizzazioni per configurare un provider di identità
- Autorizzazioni per collegare un'istanza Google SecOps ai servizi Google Cloud
- Autorizzazioni per configurare controllo dell'accesso alle funzionalità utilizzando IAM
- Autorizzazioni per configurare il controllo dell'accesso ai dati
- Requisiti per le funzionalità avanzate di Google SecOps
Autorizzazioni nell'account di fatturazione Google
Concedi all'esperto in materia di onboarding l'autorizzazione billing.resourceAssociations.list per
l'account di fatturazione Google specificato nel contratto. Per i passaggi dettagliati, vedi
Aggiornare le autorizzazioni utente per un account di fatturazione Cloud.
Ruoli IAM predefiniti
Concedi all'esperto in materia di onboarding i seguenti ruoli IAM predefiniti:
Autorizzazioni per creare una cartella Assured Workloads
Concedi all'esperto in materia di onboarding il ruolo di
amministratore Assured Workloads (roles/assuredworkloads.admin), che contiene le autorizzazioni IAM minime
per creare e gestire le cartelle Assured Workloads.
Autorizzazioni per aggiungere un progetto Google Cloud
Concedi all'esperto in materia di onboarding le autorizzazioni di creazione del progetto necessarie per creare un progetto Google Cloud e abilitare l'API Chronicle:
Se l'esperto in materia di onboarding dispone delle autorizzazioni creatore di progetti (
resourcemanager.projects.create) a livello di organizzazione, non sono necessarie autorizzazioni aggiuntive.Se l'esperto in materia di onboarding non dispone delle autorizzazioni di creazione del progetto a livello di organizzazione, concedi i seguenti ruoli IAM a livello di progetto:
- Amministratore del servizio Chronicle (
roles/chroniclesm.admin) (se questo ruolo non è stato concesso in precedenza) - Editor (
roles/editor) - Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin) - Amministratore utilizzo servizi (
roles/serviceusage.serviceUsageAdmin)
- Amministratore del servizio Chronicle (
Autorizzazioni per configurare un provider di identità
Puoi utilizzare un IdP per gestire utenti, gruppi e autenticazione.
Concedi le seguenti autorizzazioni all'esperto in materia di onboarding per la configurazione di un IdP:
Autorizzazioni per configurare Cloud Identity o Google Workspace
Per Cloud Identity:
Se utilizzi Cloud Identity, concedi all'esperto in materia di onboarding i ruoli e le autorizzazioni descritti in Gestisci l'accesso a progetti, cartelle e organizzazioni.
Per Google Workspace:
Se utilizzi Google Workspace, l'esperto in materia di onboarding deve disporre di un account amministratore Cloud Identity e deve essere in grado di accedere alla Console di amministrazione.
Per saperne di più sull'utilizzo di Cloud Identity o Google Workspace come provider di identità, consulta Configurare il provider di identità. Google Cloud
Autorizzazioni per configurare un IdP di terze parti
Se utilizzi un IdP di terze parti (come Okta o Azure AD), configura la federazione delle identità per la forza lavoro insieme a un pool di identità per la forza lavoro per attivare l'autenticazione sicura.
Concedi all'esperto in materia di onboarding i seguenti ruoli e autorizzazioni IAM:
Editor (
roles/editor): Autorizzazioni Editor progetto per il progetto vincolato a Google SecOps.Autorizzazione Amministratore pool di identità della forza lavoro IAM (
roles/iam.workforcePoolAdmin) a livello di organizzazione.Utilizza il seguente esempio per impostare il ruolo
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminSostituisci quanto segue:
ORGANIZATION_ID: ID organizzazione numerico.USER_EMAIL: indirizzo email dell'amministratore.
Autorizzazione Visualizzatore organizzazione (
resourcemanager.organizations.get) a livello di organizzazione.
Autorizzazioni per collegare un'istanza Google SecOps ai servizi Google Cloud
Concedi all'esperto in materia di onboarding le stesse autorizzazioni di Autorizzazioni per aggiungere un progetto. Google Cloud
Se prevedi di eseguire la migrazione di un'istanza Google SecOps esistente, devi disporre delle autorizzazioni per accedere a Google SecOps. Per un elenco dei ruoli predefiniti, consulta Ruoli predefiniti di Google SecOps in IAM.
Autorizzazioni per configurare il controllo dell'accesso alle funzionalità utilizzando IAM
Concedi il ruolo Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin) a livello di progetto all'esperto in materia di onboarding. Questa autorizzazione è necessaria per assegnare e modificare i binding dei ruoli IAM per il progetto.Assegna ruoli IAM agli utenti in base alle loro responsabilità. Per esempi, vedi Assegnare ruoli a utenti e gruppi.
Se prevedi di eseguire la migrazione di un'istanza Google SecOps esistente a IAM, concedi all'esperto in materia di onboarding le stesse autorizzazioni delle Autorizzazioni per configurare un provider di identità.
Autorizzazioni per configurare controllo dell'accesso ai dati
Concedi i seguenti ruoli IAM all'esperto in materia di onboarding:
- Ruoli Amministratore API Chronicle (
roles/chronicle.admin) e Visualizzatore ruoli (roles/iam.roleViewer) per la configurazione del controllo degli accessi basato sui ruoli per gli utenti. - Ruolo Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), per assegnare gli ambiti agli utenti.
Se non disponi dei ruoli richiesti, assegnali in IAM.
Requisiti per le funzionalità avanzate di Google SecOps
La tabella seguente elenca le funzionalità avanzate di Google SecOps e le relative dipendenze da un progetto Google Cloud fornito dal cliente e dalla federazione delle identità della forza lavoro di Google.
| Capacità | Google Cloud foundation | Richiede Google Cloud progetto? | Richiede l'integrazione IAM? |
|---|---|---|---|
| Cloud Audit Logs: attività amministrative | Cloud Audit Logs | Sì | Sì |
| Cloud Audit Logs: accesso ai dati | Cloud Audit Logs | Sì | Sì |
| Fatturazione Cloud: abbonamento online o pagamento a consumo | Cloud Billing | Sì | No |
| API Chronicle: accesso generale, creazione e gestione delle credenziali utilizzando IdP di terze parti | Google Cloud API | Sì | Sì |
| API Chronicle: accesso generale, creazione e gestione delle credenziali utilizzando Cloud Identity | Google Cloud API, Cloud Identity | Sì | Sì |
| Controlli conformi: CMEK | Cloud Key Management Service o Cloud External Key Manager | Sì | No |
| Controlli conformi: FedRAMP High o superiore | Assured Workloads | Sì | Sì |
| Controlli conformi: servizio Criteri dell'organizzazione | Servizio Criteri dell'organizzazione | Sì | No |
| Gestione dei contatti: informative legali | Contatti fondamentali | Sì | No |
| Monitoraggio dell'integrità: interruzioni della pipeline di importazione | Cloud Monitoring | Sì | No |
| Importazione: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Sì | No |
| Controlli dell'accesso basati sui ruoli: dati | Identity and Access Management | Sì | Sì |
| Controlli dell'accesso basati sui ruoli: funzionalità o risorse | Identity and Access Management | Sì | Sì |
| Accesso all'assistenza: invio e monitoraggio delle richieste | Assistenza clienti Google Cloud | Sì | No |
| Autenticazione SecOps unificata | Federazione delle identità per la forza lavoro di Google | No | Sì |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.