Mit einem Sicherheitsstatus können Sie den Sicherheitsstatus Ihrer Cloud-Assets, einschließlich Ihres Cloud-Netzwerks und Ihrer Cloud-Dienste, definieren und verwalten. Mithilfe eines Sicherheitsstatus können Sie Ihre aktuelle Cloud-Sicherheit anhand definierter Benchmarks bewerten. So können Sie das für Ihre Organisation erforderliche Sicherheitsniveau aufrechterhalten. Mithilfe des Sicherheitsstatus können Sie Abweichungen von Ihrem definierten Benchmark erkennen und beheben. Wenn Sie einen Sicherheitsstatus definieren und beibehalten, der den Sicherheitsanforderungen Ihres Unternehmens entspricht, können Sie die Cybersicherheitsrisiken für Ihr Unternehmen reduzieren und dazu beitragen, Angriffe zu verhindern.
In Google Cloud können Sie den Dienst zum Sicherheitsstatus im Security Command Center verwenden, um einen Sicherheitsstatus zu definieren und bereitzustellen, den Sicherheitsstatus Ihrer Google Cloud-Ressourcen zu überwachen und Abweichungen (oder nicht autorisierte Änderungen) von Ihrem definierten Status zu beheben.
Dienst zum Sicherheitsstatus – Übersicht
Der Dienst zum Bestimmen des Sicherheitsstatus ist ein integrierter Dienst für das Security Command Center, mit dem Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud definieren, bewerten und überwachen können. Der Dienst zur Bewertung der Sicherheitslage ist nur verfügbar, wenn Sie ein Abo für die Premium- oder Enterprise-Stufe von Security Command Center erwerben und Security Command Center auf Organisationsebene aktivieren.
Mit dem Dienst zur Sicherheitskonfiguration können Sie Folgendes erreichen:
Sorgen Sie dafür, dass Ihre Arbeitslasten den Sicherheitsstandards, Compliance-Verordnungen und den benutzerdefinierten Sicherheitsanforderungen Ihrer Organisation entsprechen.
Wenden Sie Ihre Sicherheitskontrollen auf Google Cloud-Projekte, ‑Ordner oder ‑Organisationen an, bevor Sie Arbeitslasten bereitstellen.
Überwachen Sie kontinuierlich Abweichungen von Ihren definierten Sicherheitskontrollen und beheben Sie diese.
Der Dienst zur Bewertung der Sicherheitslage wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.
Komponenten des Dienstes für den Sicherheitsstatus
Der Dienst zum Bestimmen des Sicherheitsstatus umfasst die folgenden Komponenten:
Sicherheitsstatus: Eine oder mehrere Richtliniensätze, die die präventiven und erkennungsbezogenen Kontrollen erzwingen, die Ihre Organisation benötigt, um ihren Sicherheitsstandard einzuhalten. Sie können Postures auf Organisations-, Ordner- oder Projektebene bereitstellen. Eine Liste der Körperhaltungsvorlagen finden Sie unter Vordefinierte Körperhaltungsvorlagen.
Richtliniengruppen: Eine Reihe von Sicherheitsanforderungen und zugehörigen Steuerelementen in Google Cloud. In der Regel besteht ein Richtliniensatz aus allen Richtlinien, mit denen Sie die Anforderungen eines bestimmten Sicherheitsstandards oder einer bestimmten Compliance-Verordnung erfüllen können.
Richtlinie: Eine bestimmte Einschränkung, die das Verhalten von Ressourcen in Google Cloud steuert oder überwacht. Richtlinien können präventiv (z. B. Einschränkungen von Organisationsrichtlinien) oder prüfend (z. B. Security Health Analytics-Detektoren) sein. Folgende Richtlinien werden unterstützt:
Einschränkungen für Organisationsrichtlinien, einschließlich benutzerdefinierter Einschränkungen
Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Module
Bereitstellung der Sicherheitskonfiguration: Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie sie auf die Organisation, die Ordner oder die Projekte anwenden, die Sie mithilfe der Sicherheitskonfiguration verwalten möchten.
Das folgende Diagramm zeigt die Komponenten einer Beispiel-Sicherheitsposition.
Vordefinierte Posture-Vorlagen
Der Dienst zur Sicherheitskonfiguration umfasst vordefinierte Statusvorlagen, die einem Compliancestandard oder einem von Google empfohlenen Standard wie den Empfehlungen des Blueprints für Google Cloud-Unternehmensgrundlagen entsprechen. Mit diesen Vorlagen können Sie Sicherheitspositionen erstellen, die für Ihr Unternehmen gelten. In der folgenden Tabelle werden die Körperhaltungsvorlagen beschrieben.
| Posture-Vorlage | Name der Vorlage | Beschreibung |
|---|---|---|
| Integrierte Sicherheit, Grundlagen | secure_by_default_essential |
In dieser Vorlage sind die Richtlinien implementiert, mit denen häufige Fehlkonfigurationen und Sicherheitsprobleme durch Standardeinstellungen vermieden werden können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Integrierte Sicherheit, erweitert | secure_by_default_extended |
In dieser Vorlage sind die Richtlinien implementiert, mit denen häufige Fehlkonfigurationen und Sicherheitsprobleme durch Standardeinstellungen vermieden werden können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| Empfehlungen für sichere KI | secure_ai_essential |
In dieser Vorlage sind Richtlinien implementiert, mit denen Sie Gemini- und Vertex AI-Arbeitslasten schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Empfehlungen für sichere KI, erweitert | secure_ai_extended |
In dieser Vorlage sind Richtlinien implementiert, mit denen Sie Gemini- und Vertex AI-Arbeitslasten schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| BigQuery-Empfehlungen, Grundlagen | big_query_essential |
In dieser Vorlage werden Richtlinien implementiert, mit denen Sie BigQuery schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Cloud Storage-Empfehlungen, Grundlagen | cloud_storage_essential |
In dieser Vorlage werden Richtlinien implementiert, mit denen Sie Cloud Storage schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Cloud Storage-Empfehlungen, erweitert | cloud_storage_extended |
In dieser Vorlage werden Richtlinien implementiert, mit denen Sie Cloud Storage schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| VPC-Empfehlungen, Grundlagen | vpc_networking_essential |
In dieser Vorlage werden Richtlinien implementiert, mit denen Sie Ihre Virtual Private Cloud (VPC) schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Erweiterte VPC-Empfehlungen | vpc_networking_extended |
Diese Vorlage implementiert Richtlinien, mit denen Sie Ihre VPC schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| Empfehlungen des Center for Internet Security (CIS) für den Google Cloud Computing Platform Benchmark v2.0.0 | cis_2_0 |
In dieser Vorlage sind Richtlinien implementiert, mit denen Sie erkennen können, ob Ihre Google Cloud-Umgebung nicht dem CIS Google Cloud Computing Platform Benchmark v2.0.0 entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| NIST SP 800-53-Standardempfehlungen | nist_800_53 |
In dieser Vorlage sind Richtlinien implementiert, mit denen Sie erkennen können, ob Ihre Google Cloud-Umgebung nicht den Standards SP 800-53 des National Institute of Standards and Technology (NIST) entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Empfehlungen des ISO 27001-Standards | iso_27001 |
In dieser Vorlage sind Richtlinien implementiert, mit denen Sie erkennen können, ob Ihre Google Cloud-Umgebung nicht dem ISO 27001-Standard der International Organization for Standardization (ISO) entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Empfehlungen zum PCI-DSS-Standard | pci_dss_v_3_2_1 |
Diese Vorlage implementiert Richtlinien, mit denen Sie erkennen können, ob Ihre Google Cloud-Umgebung nicht den PCI DSS-Versionen 3.2.1 und 1.0 (Payment Card Industry Data Security Standard) entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen. |
Sicherheitsstatus bereitstellen und Abweichungen überwachen
Wenn Sie eine Haltung mit allen zugehörigen Richtlinien für eine Google Cloud-Ressource erzwingen möchten, müssen Sie die Haltung bereitstellen. Sie können angeben, auf welche Ebene der Ressourcenhierarchie (Organisation, Ordner oder Projekt) sich die Haltung bezieht. Sie können für jede Organisation, jeden Ordner oder jedes Projekt nur eine Posture bereitstellen.
Haltungen werden von untergeordneten Ordnern und Projekten übernommen. Wenn Sie also Postures auf Organisations- und Projektebene bereitstellen, gelten alle Richtlinien in beiden Postures für die Ressourcen im Projekt. Wenn es Unterschiede bei den Richtliniendefinitionen gibt (z. B. ist eine Richtlinie auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt), wird die Position auf der niedrigeren Ebene von den Ressourcen in diesem Projekt verwendet.
Wir empfehlen, eine Haltung auf Organisationsebene zu implementieren, die Richtlinien enthält, die für Ihr gesamtes Unternehmen gelten können. Anschließend können Sie strengere Richtlinien auf Ordner oder Projekte anwenden, für die dies erforderlich ist. Wenn Sie beispielsweise den Enterprise Foundations-Blueprint zum Einrichten Ihrer Infrastruktur verwenden, erstellen Sie bestimmte Projekte (z. B. prj-c-kms), die speziell zum Speichern der Verschlüsselungsschlüssel für alle Projekte in einem Ordner erstellt wurden. Sie können mit einer Sicherheitskonfiguration die Einschränkung der constraints/gcp.restrictCmekCryptoKeyProjects-Organisationsrichtlinie für den Ordner common und die Umgebungsordner (development, nonproduction und production) so festlegen, dass alle Projekte nur Schlüssel aus den Schlüsselprojekten verwenden.
Nachdem Sie die Bewertung bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von der definierten Bewertung überwachen. Abweichungen werden im Security Command Center als Ergebnisse gemeldet, die Sie prüfen, filtern und beheben können. Außerdem können Sie diese Ergebnisse genauso wie andere Ergebnisse aus dem Security Command Center exportieren. Weitere Informationen finden Sie unter Integrationsoptionen und Security Command Center-Daten exportieren.
Sicherheitspositionen mit Vertex AI und Gemini verwenden
Mit Sicherheitspositionen können Sie die Sicherheit Ihrer KI-Arbeitslasten aufrechterhalten. Der Dienst zum Sicherheitsstatus umfasst Folgendes:
Vordefinierte Vorlagen für die Sicherheitsposition, die speziell für KI-Arbeitslasten entwickelt wurden.
Ein Bereich auf der Seite Übersicht, in dem Sie nach Sicherheitslücken suchen können, die von den benutzerdefinierten Security Health Analytics-Modulen für KI gefunden wurden, und in dem Sie Abweichungen von den Vertex AI-Organisationsrichtlinien sehen können, die in einer Posture definiert sind.
Dienst zum Sicherheitsstatus mit AWS verwenden
Wenn Sie Security Command Center Enterprise mit AWS zur Erkennung von Sicherheitslücken verbinden, enthält der Security Health Analytics-Dienst integrierte Sensoren, mit denen Ihre AWS-Umgebung überwacht und Ergebnisse erstellt werden können.
Wenn Sie eine Posture-Datei erstellen oder ändern, können Sie Security Health Analytics-Detektoren einschließen, die speziell für AWS gelten. Sie müssen diese Datei auf Organisationsebene bereitstellen.
Limits für den Dienst zum Bestimmen des Sicherheitsstatus
Für den Dienst zum Bestimmen des Sicherheitsstatus gelten die folgenden Einschränkungen:
- Maximal 100 Posen in einer Organisation.
- Maximal 400 Richtlinien in einer Posture.
- Maximal 1.000 Bereitstellungen für die Gerätesicherheit in einer Organisation.