Security Command Center vous permet d'évaluer et d'améliorer la conformité de vos ressources sur Google Cloud avec les normes et les benchmarks de sécurité courants (collectivement désignés par le terme normes de sécurité), ainsi que des rapports sur la conformité de vos ressources sur Google Cloud.
Évaluer la conformité
Vous pouvez consulter rapidement le niveau de conformité de votre environnement cloud par rapport à une norme de sécurité donnée sur la page Conformité de la console Google Cloud.
La page Conformité présente toutes les normes de sécurité compatibles avec Security Command Center, ainsi que votre niveau de conformité avec chacune d'elles.
Votre niveau de conformité est mesuré par le nombre de recommandations ou de commandes d'une norme donnée que vous respectez. Cette valeur est affichée sous la forme d'un pourcentage du nombre total de contrôles évalués par Security Command Center pour la norme. Si Security Command Center ne détecte aucune faille ni erreur de configuration (collectivement, des failles) pour une commande particulière, ce contrôle est un contrôle passif.
Les services de détection des failles de Security Command Center, tels que Security Health Analytics et Web Security Scanner, surveillent les commandes en établissant un mappage optimal entre les détecteurs des services et les contrôles d'une norme.
Évaluer la conformité par rapport à une norme spécifique
Pour chaque norme, vous pouvez ouvrir la page Détails de la conformité afin d'en savoir plus sur les contrôles que Security Command Center vérifie pour la norme, sur le nombre de cas de non-respect détectés pour chaque contrôle et sur l'option permettant d'exporter un rapport de conformité pour la norme.
Vous pouvez trier la liste des règles en cliquant sur les en-têtes de colonne, y compris Commandes, qui trie la liste en fonction du numéro de la commande. Si une règle correspond à plusieurs commandes, le tri par numéro de contrôle permet de trier le numéro de contrôle le plus bas de la règle.
Pour afficher les résultats de Security Command Center actifs correspondant à une règle ou à une commande particulière, cliquez sur le nom de la règle dans la colonne Règles. La page Résultats s'ouvre et affiche les résultats filtrés en fonction de la catégorie de résultats correspondant à la règle.
Pour découvrir comment Security Command Center gère la conformité, consultez la page Gérer et surveiller la conformité.
Examiner les cas de non-conformité dans les résultats
Pour afficher les résultats individuels de chaque contrôle, cliquez sur le nom de la règle sur la page Détails de la conformité. La page Résultats s'ouvre et affiche les résultats du contrôle.
Pour afficher les détails d'un résultat particulier, y compris des recommandations sur la résolution du problème, sur la page Résultats, cliquez sur le nom dans la colonne Catégorie.
Pour en savoir plus sur la correction des résultats, consultez les pages Corriger les résultats de l'analyse de l'état de sécurité et Corriger les résultats de Web Security Scanner.
Créer des rapports sur la conformité
Sur la page Détails de la conformité d'une norme de conformité spécifique, vous pouvez exporter un rapport de conformité la concernant sous forme de fichier CSV.
Les rapports incluent les informations affichées sur la page Détails de la conformité et fournissent un lien clair entre chaque commande standard, et la règle et la catégorie de résultats de Security Command Center correspondantes. La gravité de chaque catégorie de résultat est également incluse.
Le rapport est un instantané à un moment précis du niveau de conformité de votre environnement cloud pour une norme particulière, à la date que vous spécifiez.
Les rapports de conformité de Security Command Center ne remplacent pas un audit de conformité, mais peuvent vous aider à maintenir l'état de conformité et à détecter les cas de non-conformité de manière précoce.
Définir le champ d'application d'un rapport de conformité
Security Command Center limite automatiquement les rapports de conformité au projet, au dossier ou à l'organisation que vous sélectionnez en haut de la page dans la console Google Cloud. Par exemple, si la vue de la console Google Cloud est définie sur un projet, le rapport de conformité n'inclut que les résultats associés à ce projet.
Si Security Command Center est actif au niveau de l'organisation et que votre vue est définie sur une organisation, le rapport de conformité inclut les résultats pour l'ensemble de l'organisation, y compris tous les projets qu'il contient. Si Security Command Center est actif au niveau du projet et que vous sélectionnez une organisation ou un dossier, la page Conformité ne s'affiche pas.
Exporter un rapport de conformité
Pour exporter un rapport au format CSV qui regroupe les cas de non-respect des règles pour une norme de conformité spécifique, procédez comme suit:
Accédez à la page Conformité dans la console Google Cloud:
Utilisez le sélecteur de projet dans la console Google Cloud pour choisir le projet, le dossier ou l'organisation pour lequel vous souhaitez afficher un rapport de conformité :
Sur la page Conformité, recherchez la norme pour laquelle vous avez besoin d'un rapport.
À côté du nom standard, cliquez sur Afficher les détails. La page Détails de la conformité s'ouvre.
Sur la page Informations sur la conformité, cliquez sur Exporter le rapport. La page Exporter le rapport de conformité s'ouvre.
Sur la page Exporter le rapport de conformité, sélectionnez la date pour laquelle vous avez besoin du rapport. Le rapport est un instantané de la conformité à cette date.
Cliquez sur Exporter. Le rapport est téléchargé sur votre poste de travail au format CSV.
Correspondance entre les détecteurs et les résultats et les contrôles de conformité
Les services de détection de Security Command Center, tels que Security Health Analytics et Web Security Scanner, utilisent des modules de détection (détecteurs) pour rechercher les failles et les erreurs de configuration dans votre environnement cloud.
Lorsqu'une faille est détectée, le détecteur génère un résultat. Un résultat est l'enregistrement d'une faille ou d'un autre problème de sécurité qui inclut des informations telles que:
- Une description de la vulnérabilité
- Une recommandation visant à remédier à la faille permettant de rendre le contrôle conforme
- Identifiant numérique de la commande correspondant au résultat
- Étapes recommandées pour corriger la faille
Tous les contrôles d'une norme ne peuvent pas être mappés aux résultats de Security Command Center, généralement parce que certains contrôles ne peuvent pas être automatisés, mais peut-être pour d'autres raisons. Par conséquent, le nombre total de contrôles vérifiés par Security Command Center est généralement inférieur au nombre total de contrôles défini par une norme.
Le CIS examine et certifie les mappages des détecteurs Security Command Center avec chaque version compatible du benchmark CIS de Google Cloud Foundations. Les mappages de conformité supplémentaires sont inclus à titre de référence uniquement.
Pour en savoir plus sur les résultats de Security Health Analytics et de Web Security Scanner, ainsi que sur le mappage entre les détecteurs compatibles et les normes de conformité, consultez la section Résultats de failles.
Normes et benchmarks compatibles
Security Command Center surveille votre conformité à l'aide de détecteurs mappés aux contrôles d'un large éventail de normes de sécurité.
Pour chaque norme de sécurité compatible, Security Command Center vérifie un sous-ensemble des contrôles. Pour les commandes cochées, Security Command Center vous indique le nombre de commandes validées. Pour les contrôles qui ne réussissent pas, Security Command Center affiche une liste de résultats décrivant les échecs des contrôles.
Le CIS examine et certifie les mappages des détecteurs Security Command Center avec chaque version compatible du benchmark CIS de Google Cloud Foundations. Les mappages de conformité supplémentaires sont inclus à titre de référence uniquement.
Security Command Center ajoute régulièrement la prise en charge de nouvelles versions et normes de benchmark. Les anciennes versions restent compatibles, mais finissent par devenir obsolètes. Nous vous recommandons d'utiliser la norme ou le benchmark compatible le plus récent.
Avec le service de stratégie de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics avec les normes et les contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une stratégie de sécurité, vous pouvez surveiller les modifications de l'environnement qui pourraient affecter la conformité de votre entreprise.
Pour en savoir plus sur la gestion de la conformité, consultez la page Évaluer et signaler la conformité avec les normes de sécurité.
Normes de sécurité compatibles avec Google Cloud
Security Command Center mappe les détecteurs pour Google Cloud sur une ou plusieurs des normes de conformité suivantes:
- Center for Information Security (CIS) Controls 8.0
- Benchmark Google Cloud Computing Foundations Benchmark CIS v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
- Benchmark CIS de Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- Organisation internationale de normalisation (ISO) 27001, 2022 et 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 et R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 et 2017
- Norme PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
- Systèmes et contrôles d'organisation (SOC) 2 2017 Trusted Services Criteria (TSC)
Normes de sécurité compatibles avec AWS
Security Command Center mappe les détecteurs pour Amazon Web Services (AWS) sur une ou plusieurs des normes de conformité suivantes:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 et 3.2.1
- SOC 2 2017 TSC