Valutare e segnalare la conformità agli standard di sicurezza

Con Security Command Center puoi valutare, migliorare e generare report sulla conformità delle tue risorse su Google Cloud con standard e benchmark di sicurezza comuni (collettivamente, standard di sicurezza).

Valuta la conformità

Puoi vedere immediatamente la conformità del tuo ambiente cloud a un determinato standard di sicurezza nella pagina Conformità della console Google Cloud.

La pagina Conformità mostra tutti gli standard di sicurezza supportati da Security Command Center, nonché il tuo livello di conformità con ogni standard.

Il grado di conformità viene misurato in base al numero di suggerimenti o controlli di un determinato standard a cui sei conforme, visualizzato come percentuale del numero totale di controlli valutati da Security Command Center per lo standard. Se Security Command Center non trova vulnerabilità o configurazioni errate (collettivamente, vulnerabilità) per un determinato controllo, quest'ultimo è un controllo di passaggio.

I servizi di rilevamento delle vulnerabilità di Security Command Center, come Security Health Analytics e Web Security Scanner, monitorano i controlli in base alla mappatura del miglior sforzo tra i rilevatori dei servizi e i controlli di uno standard.

Valutare la conformità per uno standard specifico

Per ogni standard, puoi aprire la pagina Dettagli conformità per visualizzare ulteriori dettagli su quali controlli Security Command Center verifica per lo standard, quante violazioni sono state rilevate per ogni controllo e l'opzione per esportare un report di conformità per lo standard.

Puoi ordinare l'elenco delle regole facendo clic sulle intestazioni di colonna, incluso Controlli, che ordina l'elenco in base al numero del controllo. Se una regola corrisponde a più controlli, l'ordinamento per numero di controllo ordina il numero di controllo più basso.

Per visualizzare i risultati attivi di Security Command Center che corrispondono a una determinata regola o a un determinato controllo, fai clic sul nome della regola nella colonna Regole. La pagina Risultati si apre e mostra i risultati filtrati in base alla categoria di rilevamento corrispondente alla regola.

Per una panoramica di come Security Command Center supporta la gestione della conformità, vedi Gestire e monitorare la conformità.

Esamina i risultati per verificare la presenza di violazioni della conformità

Per visualizzare i singoli risultati per ciascun controllo, fai clic sul nome della regola nella pagina Dettagli conformità. Si apre la pagina Risultati, che mostra i risultati per il controllo.

Per visualizzare i dettagli di un determinato risultato, inclusi i consigli su come risolvere il problema, nella pagina Risultati fai clic sul nome nella colonna Categoria.

Per ulteriori informazioni su come correggere i risultati, consulta Correzione dei risultati di Security Health Analytics e Correzione dei risultati di Web Security Scanner.

Report sulla conformità

Nella pagina Dettagli conformità di uno specifico standard di conformità, puoi esportare un report di conformità per lo standard come file CSV.

I report includono le informazioni visualizzate nella pagina Dettagli conformità e forniscono un collegamento chiaro tra ogni controllo standard e la regola e la categoria di risultati corrispondenti di Security Command Center. È inclusa anche la gravità di ogni categoria di risultati.

Il report è uno snapshot point-in-time della conformità del tuo ambiente cloud a un determinato standard in una data specificata.

I report di conformità di Security Command Center non sostituiscono un controllo di conformità, ma possono aiutarti a mantenere lo stato di conformità e a rilevare tempestivamente le violazioni.

Impostare l'ambito di un report di conformità

Security Command Center definisce automaticamente l'ambito dei report di conformità in base al progetto, alla cartella o all'organizzazione selezionati nella parte superiore della pagina nella console Google Cloud. Ad esempio, se la visualizzazione della console Google Cloud è impostata su un progetto, il report di conformità include solo i risultati per quel progetto.

Se Security Command Center è attivo a livello di organizzazione e la vista è impostata su un'organizzazione, il report sulla conformità include i risultati per l'intera organizzazione, inclusi tutti i progetti che contiene. Se Security Command Center è attivo a livello di progetto e selezioni un'organizzazione o una cartella, la pagina Conformità non viene visualizzata.

Esportare un report di conformità

Per esportare un report CSV che aggrega i risultati delle violazioni per uno specifico standard di conformità, segui questi passaggi:

1. Vai alla pagina Conformità nella console Google Cloud:

   Vai a Conformità

2. Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi visualizzare un report di conformità:

   

3. Nella pagina Conformità, individua lo standard per cui hai bisogno di un report.

4. Accanto al nome standard, fai clic su Visualizza dettagli. Si apre la pagina Dettagli conformità.

5. Nella pagina Dettagli conformità, fai clic su Esporta report. Viene visualizzata la pagina Esporta report di conformità.

6. Nella pagina Esporta report di conformità, seleziona la data per cui hai bisogno del report. Il report è un'istantanea della conformità in quella data.

7. Fai clic su Esporta. Il report viene scaricato sulla workstation come file CSV.

In che modo rilevatori e risultati vengono mappati ai controlli di conformità

I servizi di rilevamento di Security Command Center, come Security Health Analytics e Web Security Scanner, utilizzano moduli di rilevamento (rilevatori) per verificare la presenza di vulnerabilità e configurazioni errate nel tuo ambiente cloud.

Quando viene rilevata una vulnerabilità, il rilevatore genera un rilevamento. Un risultato è la registrazione di una vulnerabilità o di un altro problema di sicurezza che include informazioni quali:

• Una descrizione della vulnerabilità
• Un suggerimento per affrontare la vulnerabilità che porterebbe il controllo alla conformità
• L'ID numerico del controllo corrispondente al risultato
• Passaggi consigliati per risolvere la vulnerabilità

Non tutti i controlli in uno standard possono essere mappati ai risultati di Security Command Center, di solito perché alcuni non possono essere automatizzati, ma forse per altri motivi. Di conseguenza, il numero totale di controlli controllati da Security Command Center è di solito inferiore al numero totale di controlli definiti da uno standard.

Il CIS esamina e certifica le mappature dei rilevatori di Security Command Center a ciascuna versione supportata del CIS Google Cloud Foundations Benchmark. Ulteriori mappature della conformità sono incluse solo a scopo di riferimento.

Per saperne di più sui risultati di Security Health Analytics e Web Security Scanner e sulla mappatura tra i rilevatori supportati e gli standard di conformità, consulta l'articolo sui risultati delle vulnerabilità.

Standard e benchmark supportati

Security Command Center monitora la tua conformità con i rilevatori mappati ai controlli di un'ampia gamma di standard di sicurezza.

Per ogni standard di sicurezza supportato, Security Command Center controlla un sottoinsieme di controlli. Per i controlli selezionati, Security Command Center mostra quanti controlli vengono superati. Per i controlli che non vengono superati, Security Command Center mostra un elenco dei risultati che descrivono gli errori dei controlli.

Il CIS esamina e certifica le mappature dei rilevatori di Security Command Center a ogni versione supportata del benchmark CIS Google Cloud Foundations Benchmark. Ulteriori mapping di conformità sono inclusi solo a scopo di riferimento.

Security Command Center aggiunge periodicamente il supporto per nuovi standard e versioni di benchmark. Le versioni precedenti rimangono supportate, ma alla fine verranno ritirate. Ti consigliamo di utilizzare l'ultimo benchmark o standard supportato disponibile.

Con il servizio della postura di sicurezza, puoi mappare i criteri dell'organizzazione e i rilevatori di Security Health Analytics agli standard e ai controlli applicabili alla tua azienda. Dopo aver creato una postura di sicurezza, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità della tua azienda.

Per maggiori informazioni sulla gestione della conformità, consulta Valutare e segnalare la conformità agli standard di sicurezza.

Standard di sicurezza supportati su Google Cloud

Security Command Center mappa i rilevatori per Google Cloud a uno o più dei seguenti standard di conformità:

• Center for Information Security (CIS) Controls 8.0
• Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
• Benchmark CIS per Kubernetes v1.5.1
• Cloud Controls Matrix (CCM) 4
• HIPAA (Health Insurance Portability and Accountability Act)
• Organizzazione internazionale per la standardizzazione (ISO) 27001, 2022 e 2013
• National Institute of Standards and Technology (NIST) 800-53 R5 e R4
• CSF NIST 1.0
• Open Web Application Security Project (OWASP) Top Ten, 2021 e 2017
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 e 3.2.1
• Controlli di sistema e dell'organizzazione (SOC) 2 Criteri per i servizi attendibili 2017 (TSC)

Standard di sicurezza supportati su AWS

Security Command Center mappa i rilevatori per Amazon Web Services (AWS) a uno o più dei seguenti standard di conformità:

• CIS Amazon Web Services Foundations 2.0.0
• Controlli CIS 8.0
• CCM 4
• HIPAA
• ISO 27001 2022
• NIST 800-53 R5
• CSF NIST 1.0
• PCI DSS 4.0 e 3.2.1
• SOC 2 TSC 2017