Con Security Command Center, puedes evaluar, mejorar y generar informes sobre el cumplimiento de tus recursos en Google Cloud con estándares de seguridad y comparativas comunes (en conjunto, estándares de seguridad).
Evalúa el cumplimiento
Puedes ver de un vistazo el nivel de cumplimiento de tu entorno de nube con un estándar de seguridad determinado en la página Cumplimiento de la consola de Google Cloud.
La página Cumplimiento muestra todos los estándares de seguridad que Security Command Center admite, así como el nivel de cumplimiento que cumples con cada estándar.
El grado de cumplimiento se mide por la cantidad de recomendaciones o controles. de un estándar determinado con el que se cumple, que se muestra como un porcentaje de la cantidad total de controles que Security Command Center evalúa para el estándar. Si Security Command Center no encuentra vulnerabilidades ni parámetros de configuración incorrectos (en conjunto, vulnerabilidades) para un control en particular, el control es pasar.
Los servicios de detección de vulnerabilidades de Security Command Center, como las estadísticas del estado de la seguridad y Web Security Scanner, supervisan los controles en función de un mapeo de mejor esfuerzo entre los detectores de los servicios y los controles de un estándar.
Evalúa el cumplimiento de un estándar específico
Para cada estándar, puedes abrir la página Detalles de cumplimiento para consultar detalles adicionales sobre los controles que Security Command Center verifica para el estándar, la cantidad de infracciones que se detectaron para cada control y la opción de exportarás un informe de cumplimiento para el estándar.
Para ordenar la lista de reglas, haz clic en los encabezados de las columnas, incluido Controles, que ordena la lista por la cantidad de controles. Si una regla corresponde a varios controles, la ordenación por número de control ordena la regla según el número de control más bajo.
Para ver los hallazgos activos de Security Command Center que corresponden a un regla o control, en la columna Reglas, haz clic en el nombre de la regla. Se abre la página Resultados y se muestran los resultados filtrados por la categoría de resultados que corresponde a la regla.
Para obtener una descripción general de cómo Security Command Center admite la administración del cumplimiento, consulta Administra y supervisa el cumplimiento.
Revisa los resultados en busca de incumplimientos
Para ver los resultados individuales de cada control, en Detalle de cumplimiento haz clic en el nombre de la regla. Se abrirá la página Hallazgos, en la que se mostrarán los hallazgos del control.
Para ver los detalles de un resultado en particular, incluidas las recomendaciones para solucionar el problema, en la página Resultados, haz clic en el nombre de la columna Categoría.
Para obtener más información sobre cómo solucionar los resultados, consulta Cómo solucionar los resultados de las estadísticas del estado de la seguridad y Cómo solucionar los resultados de Web Security Scanner.
Genera informes sobre el cumplimiento
En la página Detalles de cumplimiento de un estándar de cumplimiento en particular, puedes exportar un informe de cumplimiento del estándar como un archivo CSV.
Los informes incluyen la información que se muestra en la página Detalles de cumplimiento y proporcionan un vínculo claro entre cada control estándar y su regla y categoría de resultados correspondientes de Security Command Center. La gravedad de cada hallazgo categoría.
El informe es un resumen de un momento determinado del grado de cumplimiento de tu entorno de nube. corresponde a un estándar en particular en la fecha que especifiques.
Los informes de cumplimiento de Security Command Center no reemplazan auditorías, pero puede ayudarte a mantener tu estado de cumplimiento y detectar incumplimientos desde el principio.
Establece el alcance de un informe de cumplimiento
Security Command Center determina automáticamente el alcance de los informes de cumplimiento al proyecto organización o carpeta que selecciones en la parte superior de la página en el Consola de Google Cloud Por ejemplo, si tu vista de la consola de Google Cloud está configurada para un proyecto, el informe de cumplimiento solo incluirá los resultados de ese proyecto.
Si Security Command Center está activo a nivel de la organización y tu vista está configurada para una organización, el informe de cumplimiento incluye los resultados de toda la organización, incluidos todos los proyectos que contiene. Si Security Command Center está activo a nivel de un proyecto y seleccionas una organización o una carpeta, no se mostrará la página Cumplimiento.
Exporta un informe de cumplimiento
Para exportar un informe de cumplimiento desde la consola de Google Cloud, necesitas el rol de Visualizador de resultados de Security Center (roles/securitycenter.findingsViewer).
Para exportar un informe en formato CSV que reúna los resultados de los incumplimientos de una política estándar de cumplimiento, sigue estos pasos:
Ve a la página Cumplimiento en la consola de Google Cloud:
Usa el selector de proyectos de la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización de la que deseas ver un informe de cumplimiento.
En la página Cumplimiento, busca el estándar del que necesitas un informe.
Junto al nombre del estándar, haz clic en Ver detalles. Se abrirá la página Detalles de cumplimiento.
En la página Detalle de cumplimiento, haz clic en Exportar informe. El Se abrirá la página Exportar informe de cumplimiento.
En la página Exportar informe de cumplimiento, selecciona la fecha para la que el informe. El informe es un resumen del cumplimiento en esa fecha.
Haz clic en Exportar. El informe se descargará en tu estación de trabajo como un archivo CSV.
Cómo se asignan los detectores y los resultados a los controles de cumplimiento
los servicios de detección de Security Command Center, como Security Health Analytics Web Security Scanner, usa módulos de detección (detectores) para buscar de seguridad en la nube y parámetros de configuración incorrectos.
Cuando se encuentra una vulnerabilidad, el detector genera un hallazgo. Un hallazgo es un registro de una vulnerabilidad o cualquier otro problema de seguridad que incluya información como los siguientes:
Una descripción de la vulnerabilidad
Una recomendación para abordar la vulnerabilidad que llevaría al control de cumplimiento
El ID numérico del control que corresponde al hallazgo
Pasos recomendados para solucionar la vulnerabilidad
No todos los controles de un estándar se pueden asignar a los resultados de Security Command Center, por lo general, porque ciertos controles no se pueden automatizar, pero también por otros motivos. En consecuencia, la cantidad total de controles que que comprueba suele ser menor que la cantidad total de controles que define.
CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la CIS para Google Cloud Foundations Benchmark. Las asignaciones de cumplimiento adicionales se incluyen solo como referencia.
Para obtener más información sobre los resultados de las estadísticas del estado de seguridad y Web Security Scanner, y el mapeo entre los detectores compatibles y los estándares de cumplimiento, consulta Resultados de vulnerabilidades.
Estándares y comparativas admitidos
Security Command Center el cumplimiento con detectores asignados a los controles de una amplia varios estándares de seguridad.
Para cada estándar de seguridad admitido, Security Command Center verifica un subconjunto de los controles. En el caso de los controles que se marcaron, Security Command Center te muestra cuántos cumplen con los requisitos. En el caso de los controles que no se aprueban, Security Command Center muestra una lista de hallazgos que describen las fallas de control.
CIS revisa y certifica las asignaciones de Security Command Center detectores a cada nodo compatible de la comparativa de CIS para Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo a modo de referencia.
Security Command Center agrega compatibilidad con nuevas versiones y estándares de comparativas de forma periódica. Más antigua siguen siendo compatibles, pero con el tiempo quedan obsoletos. Te recomendamos que uses la comparativa o el estándar más reciente compatible disponible.
Con la servicio de postura de seguridad puedes asignar las políticas de la organización y los detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Luego de crear una postura de seguridad, puedes supervisar sobre cualquier cambio en el entorno que pueda afectar el cumplimiento de la empresa.
Para obtener más información sobre la administración del cumplimiento, consulta Evalúe el cumplimiento de las normas de seguridad y genere informes al respecto con los estándares necesarios.
Estándares de seguridad compatibles con Google Cloud
Security Command Center asigna detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:
- Centro para la Seguridad de la Información (CIS) Controles 8.0
- Comparativas de CIS para Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativa de CIS para Kubernetes v1.5.1
- Matriz de controles de la nube (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- Nacional Instituto de Estándares y Tecnología (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Proyecto abierto de seguridad para aplicaciones web (OWASP) Top 10, 2021 y 2017
- Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Controles de sistemas y de organización (SOC) 2 Criterios de servicios de confianza (TSC) de 2017
Estándares de seguridad admitidos en AWS
Security Command Center asigna detectores para Amazon Web Services (AWS) a una o más de las siguientes instancias de cumplimiento estándares:
- CIS para Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001‐2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 y 3.2.1
- SOC 2 2017 TSC