借助 Security Command Center,您可以评估、改进和报告合规性 基于通用安全标准和 基准(统称为安全标准)。
评估合规性
您可以一目了然地看出您的云环境对于给定的 安全标准 合规性页面 Google Cloud 控制台。
合规性页面显示了 Security Command Center 支持的功能,以及您使用每项功能的合规程度 标准。
通过推荐或控制措施数量来衡量您的合规程度 您符合的某个特定标准,以占总数的百分比表示 Security Command Center 为标准评估的控件总数。 如果 Security Command Center 未发现漏洞或配置错误 (统称为漏洞),对于特定控件而言,该控件是 传递控件。
Security Command Center 漏洞检测服务,例如 Security Health Analytics 和 Web Security Scanner,利用最佳映射来监控控制 服务检测器和标准的控制措施之间。
评估特定标准的合规性
对于每个标准,您可以打开合规性详情页面以查看 Security Command Center 针对 针对每个控件检测到的违规次数, 导出该标准的合规性报告
您可以点击列标题(包括 控件:按控件的数量对列表进行排序。如果规则 对应于多个控件,按控件编号排序 就是对规则进行排序 最低控制编号。
如需查看与特定事件相对应的有效 Security Command Center 发现结果 在规则列中,点击相应规则名称。发现 页面,其中会显示按发现结果类别过滤的发现结果 都与规则相对应
如需简要了解 Security Command Center 如何支持合规性管理,请参阅 管理和监控合规性。
查看违规情况
如需查看每个控件的各个发现结果,请前往合规性详情页面 页面上,点击规则名称。系统随即会打开发现结果页面,其中显示了发现结果 。
如需查看特定发现结果的详细信息,包括有关如何执行相应操作的建议 要解决此问题,请在发现结果页面上,点击 类别列。
如需详细了解如何修复发现结果,请参阅 修复 Security Health Analytics 发现结果 和 修复 Web Security Scanner 发现结果。
报告合规性
在特定合规性标准的合规性详情页面上,您可以执行以下操作: 将标准的合规报告导出为 CSV 文件。
报告包含合规性详情页面上显示的信息, 并在每个标准控件与其对应的 Security Command Center 规则和发现结果类别。每项发现结果的严重程度 类别。
此报告可大致了解您的云环境在某个时间点的合规程度 适用于您指定日期的特定标准。
Security Command Center 合规性报告不能替代合规性 还能帮助您保持合规状态并找出违规情况 。
设置合规性报告的范围
Security Command Center 会自动将合规性报告范围限定为项目, 文件夹或组织 Google Cloud 控制台。例如,如果您的 Google Cloud 控制台视图设置为 项目,合规性报告仅包含该项目的发现结果。
如果 Security Command Center 在组织级别处于启用状态,并且您的视图设置为 对组织而言,合规性报告包含对整个组织的发现 包括其包含的所有项目。如果使用 Security Command Center 在项目级别处于活跃状态,并且您选择了组织或文件夹, 合规性页面不会显示。
导出合规性报告
如需从 Google Cloud 控制台导出合规性报告,您需要
Security Center Findings Viewer (roles/securitycenter.findingsViewer) 角色。
若要导出 CSV 报告,其中汇总了某个特定 合规性标准,请按以下步骤操作:
进入 Google Cloud 控制台中的合规性页面:
使用 Google Cloud 控制台中的项目选择器来选择 您需要查看其合规性的项目、文件夹或组织 报告。
在法规遵从页面上,找到需要报告的标准。
点击标准名称旁边的查看详细信息。合规性详情 页面。
在法规遵从详情页面上,点击导出报告。通过 导出合规性报告页面即会打开。
在导出合规性报告页面上,选择 您就需要报告该报告是相应日期当天的合规性概况。
点击导出。报告以 CSV 格式下载到您的工作站 文件。
检测器和发现结果如何映射到合规控制措施
Security Command Center 检测服务,例如 Security Health Analytics 和 Web Security Scanner,使用检测模块(检测器)来检查 您的云环境中存在的漏洞和错误配置。
发现漏洞后,检测器会生成发现结果。发现结果是 包含相关信息的漏洞或其他安全问题的记录 例如:
漏洞说明
一条建议,用于解决会将控制机制 合规性
与发现结果对应的对照组的数字 ID
修复漏洞的建议步骤
并非所有标准中的控制措施都可以映射到 Security Command Center 发现结果, 这通常是因为某些控件无法自动运行, 。因此,Security Command Center 的控件总数 通常会比标准规则检查的控件总数 定义。
CIS 会审核和认证 Security Command Center 检测器与每个 支持的 CIS Google Cloud Foundations 基准版本。 其中包含其他合规性映射,仅供参考。
如需详细了解 Security Health Analytics 和 Web Security Scanner 发现结果,以及 受支持的检测器和合规性标准之间的对应关系,请参阅 漏洞发现结果。
支持的标准和基准
Security Command Center 可监控您是否符合多种检测器的合规性,这些检测器映射到各种控件的 各种安全标准
对于每种受支持的安全标准 Security Command Center 检查一部分控件 对于已选中的控件,Security Command Center 会显示有多少控件通过测试。对于 Security Command Center 会显示未通过的发现结果列表, 描述控制失败的情形。
CIS 会审核和认证 Security Command Center 每个受支持的 CIS Google Cloud Foundations Benchmark 的版本。其他法规遵从 包含的映射仅供参考。
Security Command Center 定期增加对新的基准版本和标准的支持。较早 版本仍然受支持,但最终会被弃用。 我们建议您使用最新的受支持基准或标准。
使用 安全状况服务、 您可以将组织政策和 Security Health Analytics 检测器映射到标准 一些适用于您商家的控件 创建安全状况后,您可以监控 任何可能影响企业合规性的环境变化。
如需详细了解如何管理合规性,请参阅 评估和报告安全性合规性 标准。
Google Cloud 支持的安全标准
Security Command Center 将 Google Cloud 的检测器映射到以下一项或多项合规性 标准:
- Center for Information Security(CIS,信息安全中心) 控件 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
- CIS Kubernetes 基准 v1.5.1
- 云控件 矩阵 (CCM) 4
- 健康保险 《流通与责任法案》(HIPAA)
- 国际标准化组织 (ISO) 27001、2022 和 2013
- 全国 标准与技术研究所 (NIST) 800-53 R5 和 R4
- NIST CSF 1.0
- 开放式 Web 应用安全项目 (OWASP) 2021 年和 2017 年排名前十位的应用
- 支付卡行业数据 安全标准 (PCI DSS) 4.0 和 3.2.1
- 系统和组织控制 (SOC) 2 2017 年 可信服务标准 (TSC)
AWS 支持的安全标准
Security Command Center 将 Amazon Web Services (AWS) 的检测器映射到以下一项或多项合规性 标准:
- CIS Amazon Web Services 基础 2.0.0
- CIS 控件 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 和 3.2.1
- SoC 2 2017 年 TSC