Avaliar e informar a conformidade com os padrões de segurança

O Security Command Center monitora a conformidade com detectores mapeados para os controles de uma ampla variedade de padrões de segurança.

Para cada padrão de segurança compatível, o Security Command Center verifica subconjunto de controles. Para os controles verificados, o Security Command Center mostra quantos passando. Para os controles que não são aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.

A CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do comparativo de mercado CIS do Google Cloud Foundations. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.

O Security Command Center adiciona suporte a novas versões de comparativo de mercado e padrões periodicamente. Versões mais antigas permanecem com suporte, mas se tornarão obsoletos em algum momento. Recomendamos que você use o comparativo de mercado ou o padrão mais recente disponível.

Com o serviço de postura de segurança, é possível mapear políticas da organização e detectores da Análise de integridade da segurança para os padrões e controles aplicáveis à sua empresa. Depois de criar uma postura de segurança, é possível monitorar qualquer mudança no ambiente que possa afetar a conformidade da sua empresa.

Padrões de segurança compatíveis

Google Cloud

o Security Command Center associa os detectores do Google Cloud a um ou mais dos requisitos de conformidade a seguir padrão:

AWS

o Security Command Center mapeia os detectores da Amazon Web Services (AWS) para um ou mais dos seguintes itens de padrão:

Como os detectores e as descobertas são mapeadas para controles de compliance

Os serviços de detecção do Security Command Center, como o Security Health Analytics e o Web Security Scanner, usam módulos de detecção (detectores) para verificar vulnerabilidades e configurações incorretas no seu ambiente de nuvem.

Quando uma vulnerabilidade é encontrada, o detector gera uma descoberta. Uma descoberta um registro de uma vulnerabilidade ou outro problema de segurança que inclua informações como o seguinte:

  • Uma descrição da vulnerabilidade

  • Uma recomendação para resolver a vulnerabilidade que levaria o controle à conformidade

  • O ID numérico do controle que corresponde à descoberta

  • Etapas recomendadas para corrigir a vulnerabilidade

Nem todos os controles de um padrão podem ser mapeados para as descobertas do Security Command Center, geralmente porque alguns controles não podem ser automatizados, mas também por outros motivos. Consequentemente, o número total de controles que o Security Command Center verifica geralmente é menor do que o número total de controles que um padrão define.

O CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada com suporte do CIS Google Cloud Foundations Benchmark. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.

Para saber mais sobre as descobertas do Security Health Analytics e do Web Security Scanner e o mapeamento entre detectores compatíveis e padrões de compliance, consulte descobertas de vulnerabilidades.

Avaliar compliance

Confira rapidamente o nível de conformidade do seu ambiente de nuvem com um determinado padrão de segurança na página Compliance no console do Google Cloud. Cada padrão de segurança mostra uma porcentagem de quantas controles consistentes recebem uma nota de aprovação no escopo selecionado, estejam da organização, da pasta ou do projeto.

O local onde o Security Command Center foi ativado afeta o que é mostrado:

  • No nível do projeto: só é possível conferir a conformidade do projeto ativado estatísticas. Se você mudar para uma pasta ou organização a que o projeto pertence no console do Google Cloud, a página Compliance não vai aparecer.

  • No nível da organização: se você mudar para a organização ativada em no console do Google Cloud, a página Compliance mostra compliance estatísticas de toda a organização, incluindo pastas e projetos.

    Para conferir as estatísticas de compliance de pastas e projetos individuais nessa organização, mude para esse nível de recurso no console do Google Cloud.

Os relatórios de compliance são gerados diariamente. Os relatórios podem ficar desatualizados por 24 horas estarão ausentes se houver falha na geração.

Avaliar a conformidade em relação a um padrão específico

  1. Acesse a página Conformidade no console do Google Cloud.

    Acesse Conformidade

  2. Selecione o projeto, a pasta ou a organização do compliance que você quer verificar.

  3. Clique em Ver detalhes em um dos cards de padrão para abrir a página Detalhes de compliance.

Nessa página, você pode fazer o seguinte:

  • Visualize a conformidade em relação ao padrão selecionado em uma data específica.

  • Mude o padrão de compliance para o qual você está visualizando os detalhes.

  • Exporte um relatório com os detalhes de compliance para um arquivo CSV.

  • Acompanhe o progresso da conformidade ao longo do tempo com um gráfico de tendências.

  • Expandir os controles padrão de segurança para visualizar as regras constituintes e gravidade da regra.

  • Clique nas regras para conferir descobertas de recursos que não estão em conformidade e corrigir problemas quando apropriado. Para informações sobre como corrigir descobertas, consulte Como corrigir descobertas do Security Health Analytics e Como corrigir descobertas do Web Security Scanner.