Consenti alla valutazione delle vulnerabilità per Google Cloud di accedere ai perimetri dei Controlli di servizio VPC

Questo documento descrive come aggiungere regole in entrata e in uscita per consentire a Vulnerability Assessment per Google Cloud di analizzare le VM nei perimetri dei Controlli di servizio VPC. Esegui questa attività se la tua organizzazione utilizza i Controlli di servizio VPC per limitare i servizi nei progetti che vuoi che Vulnerability Assessment for Google Cloud esegua la scansione. Per ulteriori informazioni su Vulnerability Assessment per Google Cloud, consulta Attivare e utilizzare Vulnerability Assessment per Google Cloud per Google Cloud.

Prima di iniziare

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore dell'utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Crea le regole per il traffico in uscita e in entrata

    Per consentire a Vulnerability Assessment per Google Cloud di analizzare le VM nei perimetri di Controlli di servizio VPC, aggiungi le regole di uscita e in entrata richieste in questi perimetri. Esegui questi passaggi per ogni perimetro che vuoi analizzare con la valutazione delle vulnerabilità. Google Cloud

    Per ulteriori informazioni, consulta la sezione Aggiornamento dei criteri in entrata e in uscita per un perimetro di servizio nella documentazione dei Controlli di servizio VPC.

    Console

    1. Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.

      Vai a Controlli di servizio VPC

    2. Seleziona la tua organizzazione o il tuo progetto.
    3. Se hai selezionato un'organizzazione, fai clic su Seleziona un criterio di accesso e poi seleziona il criterio di accesso associato al perimetro che vuoi aggiornare.

    4. Fai clic sul nome del perimetro da aggiornare.

      Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. Fai clic su Modifica perimetro.
    6. Fai clic su Criterio in uscita.
    7. Fai clic su Aggiungi una regola in uscita.

    8. Nella sezione DA, imposta i seguenti dettagli:

      1. Per Identità, seleziona Seleziona identità e gruppi.
      2. Fai clic su Aggiungi identità.

      3. Inserisci l'indirizzo email dell' agente di servizio del Centro sicurezza. L'indirizzo dell'agente di servizio ha il seguente formato: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Sostituisci ORGANIZATION_ID con l'ID organizzazione.

      4. Seleziona l'agente di servizio o premi INVIO, quindi fai clic su Aggiungi identità.

    9. Nella sezione A, imposta i seguenti dettagli:

      1. In Progetto, seleziona Tutti i progetti.
      2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.

      3. Fai clic su Aggiungi operazioni e poi aggiungi le seguenti operazioni:

        • Aggiungi il servizio compute.googleapis.com.
          1. Fai clic su Seleziona metodi.

          2. Seleziona il metodo DisksService.Insert.

          3. Fai clic su Aggiungi metodi selezionati.
    10. Fai clic su Criterio in entrata.
    11. Fai clic su Aggiungi una regola in entrata.

    12. Nella sezione DA, imposta i seguenti dettagli:

      1. Per Identità, seleziona Seleziona identità e gruppi.
      2. Fai clic su Aggiungi identità.

      3. Inserisci l'indirizzo email dell' agente di servizio del Centro sicurezza. L'indirizzo dell'agente di servizio ha il seguente formato: 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        Sostituisci ORGANIZATION_ID con l'ID organizzazione.

      4. Seleziona l'agente di servizio o premi INVIO, quindi fai clic su Aggiungi identità.
      5. In Origini, seleziona Tutte le origini.

    13. Nella sezione A, imposta i seguenti dettagli:

      1. In Progetto, seleziona Tutti i progetti.
      2. Per Operazioni o ruoli IAM, seleziona Seleziona operazioni.

      3. Fai clic su Aggiungi operazioni e poi aggiungi le seguenti operazioni:

        • Aggiungi il servizio compute.googleapis.com.
          1. Fai clic su Seleziona metodi.

          2. Seleziona i seguenti metodi:

            • DisksService.Insert
            • InstancesService.AggregatedList
            • InstancesService.List
          3. Fai clic su Aggiungi metodi selezionati.
    14. Fai clic su Salva.

    gcloud

    1. Se non è già impostato un progetto di quota, impostalo. Scegli un progetto in cui è abilitata l'API Access Context Manager. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      Sostituisci QUOTA_PROJECT_ID con l'ID del progetto che vuoi utilizzare per la fatturazione e la quota.

    2. Crea un file denominato egress-rule.yaml con i seguenti contenuti:

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

      Sostituisci ORGANIZATION_ID con l'ID organizzazione.

    3. Crea un file denominato ingress-rule.yaml con i seguenti contenuti:

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

      Sostituisci ORGANIZATION_ID con l'ID organizzazione.

    4. Aggiungi la regola in uscita al perimetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

      Sostituisci quanto segue:

      • PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    5. Aggiungi la regola in entrata al perimetro:

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      Sostituisci quanto segue:

      • PERIMETER_NAME: il nome del perimetro. Ad esempio, accessPolicies/1234567890/servicePerimeters/example_perimeter.

        Per trovare il perimetro di servizio che devi modificare, puoi controllare i log per le voci che mostrano violazioni di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER. In queste voci, controlla il campo servicePerimeterName: 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    Per ulteriori informazioni, consulta le regole di ingresso e uscita.