Con Security Command Center, puedes evaluar, mejorar y generar informes sobre el cumplimiento de tus recursos en Google Cloud con estándares de seguridad y comparativas comunes (en conjunto, estándares de seguridad).
Evalúa el cumplimiento
Puedes ver rápidamente qué tan conforme está tu entorno de nube con un estándar de seguridad determinado en la página Cumplimiento de la consola de Google Cloud.
En la página Cumplimiento, se muestran todos los estándares de seguridad que admite Security Command Center, así como el cumplimiento de cada uno de ellos.
El cumplimiento se mide según la cantidad de recomendaciones o controles de un estándar determinado que cumples. Se muestra como un porcentaje de la cantidad total de controles que Security Command Center evalúa para el estándar. Si Security Command Center no encuentra vulnerabilidades o configuraciones incorrectas (en conjunto, vulnerabilidades) para un control en particular, el control es de paso.
Los servicios de detección de vulnerabilidades de Security Command Center, como Security Health Analytics y Web Security Scanner, supervisan los controles según una asignación de mejor esfuerzo entre los detectores de los servicios y los controles de un estándar.
Evalúa el cumplimiento de un estándar específico
En cada estándar, puedes abrir la página Detalles de cumplimiento para ver detalles adicionales sobre los controles que Security Command Center verifica para el estándar, cuántos incumplimientos se detectaron en cada control y la opción de exportar un informe de cumplimiento del estándar.
Para ordenar la lista de reglas, haz clic en los encabezados de las columnas, incluidos los Controles, que ordena la lista por la cantidad de controles. Si una regla corresponde a varios controles, ordenar por número de control ordena la regla con el número más bajo.
Para ver los resultados activos de Security Command Center que corresponden a una regla o un control en particular, haz clic en el nombre de la regla en la columna Reglas. Se abre la página Resultados y se muestran los resultados filtrados por su categoría que corresponde a la regla.
Para obtener una descripción general de cómo Security Command Center admite la administración de cumplimiento, consulta Administra y supervisa el cumplimiento.
Revisa los hallazgos en busca de incumplimientos de política
Para ver los resultados individuales de cada control, en la página Detalles de cumplimiento, haz clic en el nombre de la regla. Se abrirá la página Resultados que mostrará los resultados del control.
Si deseas ver los detalles sobre un resultado en particular, incluidas las recomendaciones para solucionar el problema, en la página Resultados, haz clic en el nombre en la columna Categoría.
Si quieres obtener más información para solucionar los resultados, consulta Soluciona los resultados de Security Health Analytics y Soluciona los problemas de Web Security Scanner.
Genera informes sobre cumplimiento
En la página Detalles de cumplimiento de un estándar de cumplimiento en particular, puedes exportar un informe de cumplimiento del estándar como un archivo CSV.
Los informes incluyen la información que se muestra en la página Detalles de cumplimiento y proporcionan un vínculo claro entre cada control estándar y su regla de Security Command Center y categoría de hallazgo correspondiente. También se incluye la gravedad de cada categoría de resultado.
El informe es una instantánea de un momento determinado del cumplimiento de tu entorno de nube con respecto a un estándar en particular en una fecha que especificas.
Los informes de cumplimiento de Security Command Center no reemplazan una auditoría de cumplimiento, pero pueden ayudarte a mantener el estado de cumplimiento y detectar incumplimientos con anticipación.
Establece el alcance de un informe de cumplimiento
Security Command Center define el alcance de los informes de cumplimiento de forma automática según el proyecto, la carpeta o la organización que selecciones en la parte superior de la página en la consola de Google Cloud. Por ejemplo, si la vista de la consola de Google Cloud está configurada en un proyecto, el informe de cumplimiento solo incluirá los resultados de ese proyecto.
Si Security Command Center está activo a nivel de la organización y la vista está configurada en una organización, el informe de cumplimiento incluirá los resultados de toda la organización, incluidos todos los proyectos que contiene. Si Security Command Center está activo a nivel de proyecto y seleccionas una organización o carpeta, no se mostrará la página Cumplimiento.
Exporta un informe de cumplimiento
Para exportar un informe en formato CSV que reúna los hallazgos de incumplimientos de un estándar de cumplimiento específico, sigue estos pasos:
Ve a la página Cumplimiento en la consola de Google Cloud:
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para el que necesitas ver un informe de cumplimiento:
En la página Cumplimiento, busca el estándar para el que necesitas un informe.
Junto al nombre estándar, haz clic en Ver detalles. Se abrirá la página Detalles de cumplimiento.
En la página Detalles de cumplimiento, haz clic en Exportar informe. Se abrirá la página Exporta informe de cumplimiento.
En la página Exportar informe de cumplimiento, selecciona la fecha para la que necesitas el informe. El informe es un resumen del cumplimiento de esa fecha.
Haz clic en Exportar. El informe se descarga en tu estación de trabajo como un archivo CSV.
Cómo se asignan los detectores y los resultados a los controles de cumplimiento
Los servicios de detección de Security Command Center, como Security Health Analytics y Web Security Scanner, usan módulos de detección (detectores) para verificar vulnerabilidades y parámetros de configuración incorrectos en tu entorno de nube.
Cuando se encuentra una vulnerabilidad, el detector genera un resultado. Un hallazgo es un registro de una vulnerabilidad o de otro problema de seguridad que incluye información como la siguiente:
- Una descripción de la vulnerabilidad
- Una recomendación para abordar la vulnerabilidad que haría que el control cumpla
- El ID numérico del control que corresponde al resultado
- Pasos recomendados para solucionar la vulnerabilidad
No todos los controles de un estándar se pueden asignar a los resultados de Security Command Center, por lo general, porque algunos controles no se pueden automatizar, pero es posible por otros motivos. En consecuencia, la cantidad total de controles que Security Command Center verifica, por lo general, es menor que la cantidad total de controles que define un estándar.
CIS revisa y certifica las asignaciones de los detectores de Security Command Center para cada versión compatible de la comparativa de CIS para Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo como referencia.
Para obtener más información sobre los resultados de Security Health Analytics y Web Security Scanner y la asignación entre los detectores compatibles y los estándares de cumplimiento, consulta Resultados de vulnerabilidades.
Estándares y comparativas compatibles
Security Command Center supervisa el cumplimiento de los detectores asignados a los controles de una amplia variedad de estándares de seguridad.
Para cada estándar de seguridad compatible, Security Command Center verifica un subconjunto de los controles. En el caso de los controles marcados, Security Command Center te muestra cuántos están pasando. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de resultados que describen las fallas de control.
CIS revisa y certifica las asignaciones de los detectores de Security Command Center para cada versión compatible de la comparativa de CIS para Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo como referencia.
Security Command Center agrega compatibilidad con versiones de comparativas y estándares nuevos de forma periódica. Las versiones anteriores siguen siendo compatibles, pero con el tiempo se darán de baja. Te recomendamos que uses la versión comparativa o estándar más reciente que esté disponible.
Con el servicio de postura de seguridad, puedes asignar políticas de la organización y detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar cualquier cambio en el entorno que pueda afectar el cumplimiento de tu empresa.
Para obtener más información sobre la administración del cumplimiento, consulta Evalúa el cumplimiento de los estándares de seguridad y genera informes sobre ellos.
Estándares de seguridad compatibles con Google Cloud
Security Command Center asigna los detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:
- Center for Information Security Controls (CIS) Controls 8.0
- Comparativa de CIS para Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativas de CIS en Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top 10, 2021 y 2017
- Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Controles del sistema y de la organización (SOC) 2 Criterios de servicios de confianza (TSC) 2017
Estándares de seguridad compatibles con AWS
Security Command Center asigna los detectores de Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800‐53 R5
- NIST CSF 1.0
- PCI DSS 4.0 y 3.2.1
- SOC 2 TSC 2017