Instellingen gebruiker voor GCP security audits

Een gedeelte van de security audit op Google Cloud Platform (GCP) omgevingen vinden geautomatiseerd plaats. Hiervoor hebben we een API user nodig met de juiste instellingen. De gebruiker die we aanmaken heeft alleen lees-rechten op de instellingen, zodat we deze kunnen reviewen. In dit artikel leggen we uit hoe deze gebruiker geconfigureerd dient te worden.

AWS instellingen

Audit rol aanmaken

Log in op Google Cloud console en activeer de Cloud Shell. Maak vervolgens een bestand aan genaamd cyberant-audit-role.yaml.

Geef de inhoud van dit bestand de volgende inhoud:

name: roles/CyberAntCSPMSecurityAudit
title: CyberAnt CSPM Security Audit
includedPermissions:
  - cloudasset.assets.listResource
  - cloudkms.cryptoKeys.list
  - cloudkms.keyRings.list
  - cloudsql.instances.list
  - cloudsql.users.list
  - compute.autoscalers.list
  - compute.backendServices.list
  - compute.disks.list
  - compute.firewalls.list
  - compute.healthChecks.list
  - compute.instanceGroups.list
  - compute.instances.getIamPolicy
  - compute.instances.list
  - compute.networks.list
  - compute.projects.get
  - compute.securityPolicies.list
  - compute.subnetworks.list
  - compute.targetHttpProxies.list
  - container.clusters.list
  - dns.managedZones.list
  - iam.serviceAccountKeys.list
  - iam.serviceAccounts.list
  - logging.logMetrics.list
  - logging.sinks.list
  - monitoring.alertPolicies.list
  - resourcemanager.folders.get
  - resourcemanager.folders.getIamPolicy
  - resourcemanager.folders.list
  - resourcemanager.hierarchyNodes.listTagBindings
  - resourcemanager.organizations.get
  - resourcemanager.organizations.getIamPolicy
  - resourcemanager.projects.get
  - resourcemanager.projects.getIamPolicy
  - resourcemanager.projects.list
  - resourcemanager.resourceTagBindings.list
  - resourcemanager.tagKeys.get
  - resourcemanager.tagKeys.getIamPolicy
  - resourcemanager.tagKeys.list
  - resourcemanager.tagValues.get
  - resourcemanager.tagValues.getIamPolicy
  - resourcemanager.tagValues.list
  - storage.buckets.getIamPolicy
  - storage.buckets.list
stage: GA

Voer vervolgens het volgende commando uit:

gcloud iam roles create CyberAntCSPMSecurityAudit –organization=YOUR_ORGANIZATION_ID –file=cyberant-security-audit-role.yaml

Service account aanmaken

Log into your Google Cloud console and navigate to IAM Admin > Service Accounts.
Click on “Create Service Account”.
Enter “CloudSploit” in the “Service account name”, then enter “CloudSploit API Access” in the description.
Click on Continue.
Select the role: Custom > CyberAnt CSPM Security Audit.
Click on Continue.
Click on “Create Key”.
Leave the default JSON selected.
Click on “Create”.
The key will be downloaded to your machine.
Open the JSON key file, in a text editor and copy the Project Id, Client Email and Private Key values into the index.js file or move the JSON key file to a safe location; you can reference it in your config.js file later.