Mit Security Command Center können Sie die Compliance Ihrer Ressourcen in Google Cloud mit gängigen Sicherheitsstandards und Benchmarks (zusammenfassend als Sicherheitsstandards bezeichnet) bewerten und verbessern sowie Berichte dazu erstellen.
Compliance prüfen
Auf der Seite Compliance in der Google Cloud Console können Sie auf einen Blick sehen, wie konform Ihre Cloud-Umgebung mit einem bestimmten Sicherheitsstandard ist.
Auf der Seite Compliance werden alle Sicherheitsstandards angezeigt, die von Security Command Center unterstützt werden. Außerdem erfahren Sie, wie konform Sie mit jedem Standard sind.
Wie konform Sie sind, wird anhand der Anzahl der Empfehlungen oder Kontrollen eines bestimmten Standards gemessen, den Sie einhalten. Dies wird als Prozentsatz der Gesamtzahl der Kontrollen angezeigt, die Security Command Center für den Standard auswertet. Wenn Security Command Center keine Sicherheitslücken oder Fehlkonfigurationen (zusammenfassend als Sicherheitslücken bezeichnet) für eine bestimmte Einstellung findet, gilt die Einstellung als Bestanden.
Security Command Center-Dienste zur Erkennung von Sicherheitslücken wie Security Health Analytics und Web Security Scanner überwachen Kontrollen basierend auf einer Best-Effort-Zuordnung zwischen den Detektoren der Dienste und den Kontrollen eines Standards.
Compliance für einen bestimmten Standard bewerten
Auf der Seite Compliancedetails für jeden Standard finden Sie weitere Informationen dazu, welche Steuerelemente Security Command Center auf den Standard prüft, wie viele Verstöße für jedes Steuerelement erkannt wurden und ob ein Compliancebericht für den Standard exportiert werden kann.
Sie können die Liste der Regeln sortieren, indem Sie auf die Spaltenüberschriften klicken, einschließlich Steuerelemente. Damit wird die Liste nach der Nummer des Steuerelements sortiert. Wenn eine Regel mehreren Steuerelementen betrifft, wird beim Sortieren nach der Nummer der Kontrollgruppe nach der niedrigsten Kontrollnummer der Regel sortiert.
Klicken Sie in der Spalte Regeln auf den Regelnamen, um die aktiven Security Command Center-Ergebnisse aufzurufen, die einer bestimmten Regel oder Steuerung entsprechen. Die Seite Ergebnisse wird geöffnet. Sie zeigt die Ergebnisse an, gefiltert nach der Ergebniskategorie, die der Regel entspricht.
Eine Übersicht darüber, wie Security Command Center das Compliance-Management unterstützt, finden Sie unter Compliance verwalten und überwachen.
Ergebnisse auf Complianceverstöße prüfen
Klicken Sie auf der Seite Compliancedetails auf den Regelnamen, um die einzelnen Ergebnisse für jedes Steuerelement aufzurufen. Die Seite Ergebnisse wird geöffnet. Sie enthält die Ergebnisse für das Steuerelement.
Wenn Sie Details zu einem bestimmten Ergebnis aufrufen möchten, einschließlich Empfehlungen zur Behebung des Problems, klicken Sie auf der Seite Ergebnisse in der Spalte Kategorie auf den Namen.
Weitere Informationen zum Beheben von Ergebnissen von Security Health Analytics finden Sie unter Behebung von Security Health Analytics-Ergebnissen und Beheben von Web Security Scanner-Ergebnissen.
Bericht zur Compliance
Auf der Seite Compliancedetails für einen bestimmten Compliancestandard können Sie einen Compliancebericht für den Standard als CSV-Datei exportieren.
Berichte enthalten die Informationen, die auf der Seite Compliancedetails angezeigt werden, und bieten eine klare Verknüpfung zwischen den einzelnen Standardsteuerelementen und der entsprechenden Security Command Center-Regel und Ergebniskategorie. Der Schweregrad jeder Ergebniskategorie ist ebenfalls enthalten.
Der Bericht ist ein Snapshot zu einem bestimmten Zeitpunkt, der Aufschluss darüber gibt, wie konform Ihre Cloud-Umgebung für einen bestimmten Standard an einem von Ihnen festgelegten Datum ist.
Complianceberichte in Security Command Center sind kein Ersatz für eine Complianceprüfung, können Ihnen aber dabei helfen, Ihren Compliancestatus beizubehalten und Verstöße frühzeitig zu erkennen.
Umfang eines Complianceberichts festlegen
Security Command Center weist Compliance-Berichte automatisch auf das Projekt, den Ordner oder die Organisation zu, die Sie oben auf der Seite in der Google Cloud Console auswählen. Wenn in der Ansicht der Google Cloud Console beispielsweise ein Projekt festgelegt ist, enthält der Compliancebericht nur die Ergebnisse für dieses Projekt.
Wenn Security Command Center auf Organisationsebene aktiv ist und Ihre Ansicht auf eine Organisation festgelegt ist, enthält der Compliancebericht die Ergebnisse für die gesamte Organisation, einschließlich aller darin enthaltenen Projekte. Wenn Security Command Center auf Projektebene aktiv ist und Sie eine Organisation oder einen Ordner auswählen, wird die Seite Compliance nicht angezeigt.
Compliancebericht exportieren
So exportieren Sie einen CSV-Bericht, in dem Verstöße für einen bestimmten Compliancestandard zusammengefasst sind:
Rufen Sie in der Google Cloud Console die Seite Compliance auf:
Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie einen Compliance-Bericht sehen möchten:
Suchen Sie auf der Seite Compliance den Standard, für den Sie einen Bericht benötigen.
Klicken Sie neben dem Standardnamen auf Details ansehen. Die Seite Compliancedetails wird geöffnet.
Klicken Sie auf der Seite Compliancedetails auf Bericht exportieren. Die Seite Compliancebericht exportieren wird geöffnet.
Wählen Sie auf der Seite Compliancebericht exportieren das Datum aus, für das Sie den Bericht benötigen. Der Bericht ist eine Momentaufnahme der Compliance an diesem Datum.
Klicken Sie auf Exportieren. Der Bericht wird als CSV-Datei auf Ihre Workstation heruntergeladen.
Zuordnung von Detektoren und Ergebnissen zu Compliancekontrollen
Security Command Center-Erkennungsdienste wie Security Health Analytics und Web Security Scanner verwenden Erkennungsmodule (Detektoren), um Ihre Cloud-Umgebung auf Sicherheitslücken und Fehlkonfigurationen zu prüfen.
Wenn eine Sicherheitslücke gefunden wird, generiert der Detektor ein Ergebnis. Ein Ergebnis ist eine Aufzeichnung einer Sicherheitslücke oder eines anderen Sicherheitsproblems, das beispielsweise folgende Informationen enthält:
- Beschreibung der Sicherheitslücke
- Eine Empfehlung zur Behebung der Sicherheitslücke, durch die die Kontrolle den Compliance-Vorgaben entspricht
- Die numerische ID des Steuerelements, das dem Ergebnis entspricht
- Empfohlene Schritte zur Behebung der Sicherheitslücke
Nicht alle Kontrollen in einem Standard können Security Command Center-Ergebnissen zugeordnet werden. Das liegt in der Regel daran, dass bestimmte Kontrollen nicht automatisiert werden können. Es kann aber auch aus anderen Gründen kommen. Daher ist die Gesamtzahl der Kontrollen, die Security Command Center prüft, in der Regel kleiner als die Gesamtzahl der Kontrollen, die in einem Standard definiert ist.
CIS prüft und zertifiziert die Zuordnungen von Security Command Center-Detektoren zu jeder unterstützten Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliancezuordnungen sind nur zu Referenzzwecken enthalten.
Weitere Informationen zu den Ergebnissen von Security Health Analytics und Web Security Scanner sowie der Zuordnung zwischen unterstützten Detektoren und Compliancestandards finden Sie in den Ergebnissen zu Sicherheitslücken.
Unterstützte Standards und Benchmarks
Security Command Center überwacht Ihre Compliance mit Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards entsprechen.
Für jeden unterstützten Sicherheitsstandard prüft Security Command Center einen Teil der Kontrollen. Für die geprüften Steuerelemente wird in Security Command Center angezeigt, wie viele bestanden werden. Für die nicht bestandenen Steuerelemente zeigt Ihnen Security Command Center eine Liste der Ergebnisse an, die die Steuerungsfehler beschreiben.
CIS prüft und zertifiziert die Zuordnungen von Security Command Center-Detektoren zu jeder unterstützten Version der CIS Google Cloud Foundations Benchmark. Zusätzliche Compliancezuordnungen sind nur zu Referenzzwecken enthalten.
Security Command Center unterstützt regelmäßig neue Benchmarkversionen und -standards. Ältere Versionen werden weiterhin unterstützt, werden aber irgendwann verworfen. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten verfügbaren Standard zu verwenden.
Mit dem Dienst für den Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie einen Sicherheitsstatus erstellt haben, können Sie alle Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.
Weitere Informationen zum Verwalten von Compliance finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.
In Google Cloud unterstützte Sicherheitsstandards
Security Command Center ordnet Detektoren für Google Cloud einem oder mehreren der folgenden Compliancestandards zu:
- CIS-Kontrollen (Center for Information Security Controls) 8.0
- CIS Google Cloud Computing Foundations Benchmark (Version 2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0)
- CIS Kubernetes Benchmark Version 1.5.1
- Cloud Controls Matrix (CCM) 4
- Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- Internationale Organisation für Normung (ISO) 27001, 2022 und 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 und R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 und 2017
- Payment Card Industry Data Security Standard (PCI-DSS) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)
Von AWS unterstützte Sicherheitsstandards
Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zu:
- CIS Amazon Web Services Foundations 2.0.0
- CIS-Steuerungen 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 und 3.2.1
- SOC 2 2017 TSC