评估和报告安全标准合规性

借助 Security Command Center,您可以评估、改进和报告您在 Google Cloud 上的资源是否符合通用安全标准和基准(统称安全标准)。

评估合规性

您可以在 Google Cloud 控制台的合规性页面中一目了然地查看您的云环境对特定安全标准的合规性。

合规性页面会显示 Security Command Center 支持的所有安全标准,以及您对于每个标准的合规性。

合规性的衡量依据是您符合的指定标准的建议或控制措施数量,以 Security Command Center 针对该标准评估的控制措施总数的百分比表示。如果 Security Command Center 未发现特定控件存在任何漏洞或配置错误(统称为漏洞),则该控件就是通过控制。

Security Command Center 漏洞检测服务(例如 Security Health Analytics 和 Web Security Scanner)会根据服务检测器与标准控件之间的尽力映射关系来监控控制措施。

评估特定标准的合规性

对于每项标准,您都可以打开合规性详情页面以详细了解 Security Command Center 针对标准进行哪些检查的控件、针对每个控件检测到的违规行为数量,以及用于导出标准合规性报告的选项。

您可以点击规则列表(包括按控件数量对列表进行排序的控件)的列标题,对规则列表进行排序。如果一条规则对应于多个控件,按控件数排序会按控件编号对规则进行最小的控件编号进行排序。

如需查看与特定规则或控件相对应的有效 Security Command Center 发现结果,请在规则列中点击规则名称。发现结果页面会打开,并显示按与规则对应的发现结果类别过滤的发现结果。

如需简要了解 Security Command Center 如何支持合规性管理,请参阅合规性管理和监控

查看发现的违规问题

如需查看每个控件的各个发现结果,请在合规性详情页面上点击相应规则名称。系统随即会打开发现结果页面,显示相应控件的发现结果。

如需查看有关特定发现结果的详细信息,包括有关如何解决问题的建议,请在发现结果页面上,点击类别列中的名称。

如需详细了解如何修复发现结果,请参阅修复 Security Health Analytics 发现结果修复 Web Security Scanner 发现结果

报告合规性

在特定合规性标准的合规性详情页面上,您可以将该标准的合规性报告导出为 CSV 文件。

报告包含合规性详情页面上显示的信息,并明确了每个标准控件与其对应的 Security Command Center 规则和发现结果类别之间的关联。此外,还包含每个发现结果类别的严重程度。

该报告是一个时间点快照,反映了您的云环境在您指定的日期是否符合特定标准。

Security Command Center 合规性报告不能替代合规性审核,但可以帮助您保持合规性状态并尽早发现违规行为。

设置合规性报告的范围

Security Command Center 会自动将合规报告的范围限定为您在 Google Cloud 控制台中页面顶部选择的项目、文件夹或组织。例如,如果您的 Google Cloud 控制台视图设置为项目,则合规报告仅包含该项目的发现结果。

如果 Security Command Center 在组织级层处于活跃状态,并且您的视图设置为组织,则合规报告包含整个组织的发现结果,包括其包含的所有项目。如果 Security Command Center 在项目级层处于活跃状态,并且您选择组织或文件夹,则合规性页面不会显示。

导出合规性报告

如需导出汇总了特定合规性标准的违规发现结果的 CSV 报告,请按以下步骤操作:

  1. 进入 Google Cloud 控制台中的合规性页面:

    转至“合规性”

  2. 使用 Google Cloud 控制台中的项目选择器来选择需要查看其合规报告的项目、文件夹或组织:

    项目选择器

  3. 合规性页面上,找到需要报告的标准。

  4. 点击标准名称旁边的查看详细信息。系统随即会打开合规性详情页面。

  5. 合规性详情页面上,点击导出报告。此时系统会打开导出合规性报告页面。

  6. 导出合规性报告页面上,选择您需要的报告日期。该报告是当日合规性的概况数据。

  7. 点击导出。报告将以 CSV 文件的形式下载到您的工作站。

检测器和发现结果如何映射到合规性控制措施

Security Command Center 检测服务(例如 Security Health Analytics 和 Web Security Scanner)使用检测模块(检测器)来检查云环境中的漏洞和配置错误。

发现漏洞后,检测器会生成发现结果。发现结果是漏洞或其他安全问题的记录,其中包含以下信息:

  • 漏洞说明
  • 关于修复漏洞的建议,此漏洞可将控制措施符合规定
  • 与发现结果对应的控件的数字 ID
  • 修复漏洞的建议步骤

并非标准中的所有控制措施都可以映射到 Security Command Center 发现结果,这通常是因为某些控制无法自动化,但也可能是由于其他原因。因此,Security Command Center 检查的控件总数通常少于标准定义的控件总数。

CIS 审核并验证 Security Command Center 检测器与 CIS Google Cloud Foundations 基准的每个受支持版本的映射。其他合规性映射仅供参考。

如需详细了解 Security Health Analytics 和 Web Security Scanner 发现结果,以及受支持的检测器与合规性标准之间的对应关系,请参阅漏洞发现结果

支持的标准和基准

Security Command Center 使用与各种安全标准的控件相对应的检测器来监控您的合规性。

对于每项受支持的安全标准,Security Command Center 都会检查部分控制措施。对于已检查的控件,Security Command Center 会显示有多少控件已通过。对于未通过的控制措施,Security Command Center 会向您显示一个发现结果列表,其中描述了相应控制措施的失败情况。

CIS 审核并验证 Security Command Center 检测器到 CIS Google Cloud Foundations 基准的每个受支持版本的映射。其他合规性映射仅供参考。

Security Command Center 会定期增加对新的基准版本和标准的支持。旧版本仍受支持,但最终会弃用。 我们建议您使用受支持的最新基准或可用标准。

借助 Security Posture 服务,您可以将组织政策和 Security Health Analytics 检测器映射到适用于您业务的标准和控制措施。创建安全状况后,您可以监控任何可能影响企业合规性的环境更改。

如需详细了解如何管理合规性,请参阅评估和报告安全标准合规性

Google Cloud 支持的安全标准

Security Command Center 将 Google Cloud 的检测器映射到以下一项或多项合规性标准:

AWS 支持的安全标准

Security Command Center 将 Amazon Web Services (AWS) 的检测器映射到以下一项或多项合规性标准: