Einhaltung von Sicherheitsstandards bewerten und melden

Security Command Center überwacht Ihre Compliance mithilfe von Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards zugeordnet sind.

Für jeden unterstützten Sicherheitsstandard wird in Security Command Center ein Teil der Steuerelemente geprüft. Für die aktivierten Steuerelemente sehen Sie im Security Command Center, wie viele davon bestanden haben. Für die Kontrollen, die nicht bestanden haben, wird in Security Command Center eine Liste mit Ergebnissen angezeigt, die die Kontrollfehler beschreiben.

Das CIS prüft und zertifiziert die Zuordnungen der Security Command Center-Detektoren zu den einzelnen unterstützten Versionen des CIS Google Cloud Foundations Benchmarks. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.

In Security Command Center werden regelmäßig neue Benchmarkversionen und -standards unterstützt. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, den neuesten unterstützten Benchmark oder Standard zu verwenden.

Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Unterstützte Sicherheitsstandards

Google Cloud

In Security Command Center werden Detektoren für Google Cloud einem oder mehreren der folgenden Compliance-Standards zugeordnet:

AWS

In Security Command Center werden Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zugeordnet:

Zuordnung von Detektoren und Ergebnissen zu Compliance-Kontrollen

Security Command Center-Erkennungsdienste wie Security Health Analytics und Web Security Scanner verwenden Erkennungsmodule (Detektoren), um Ihre Cloud-Umgebung auf Sicherheitslücken und Fehlkonfigurationen zu prüfen.

Wenn eine Sicherheitslücke gefunden wird, generiert der Detektor ein Ergebnis. Ein Ergebnis ist ein Eintrag zu einer Sicherheitslücke oder einem anderen Sicherheitsproblem, der Informationen wie die folgenden enthält:

  • Eine Beschreibung der Sicherheitslücke

  • Eine Empfehlung zur Behebung der Sicherheitslücke, die die Einhaltung der Kontrollvorgabe ermöglicht

  • Die numerische ID der Einstellung, die dem Ergebnis entspricht

  • Empfohlene Schritte zur Behebung der Sicherheitslücke

Nicht alle Steuerelemente in einem Standard können den Ergebnissen von Security Command Center zugeordnet werden. Das liegt in der Regel daran, dass bestimmte Steuerelemente nicht automatisiert werden können, aber möglicherweise auch aus anderen Gründen. Daher ist die Gesamtzahl der Kontrollen, die im Security Command Center geprüft werden, in der Regel geringer als die Gesamtzahl der Kontrollen, die in einem Standard definiert sind.

Das CIS prüft und zertifiziert die Zuordnungen der Security Command Center-Detektoren zu den einzelnen unterstützten Versionen des CIS Google Cloud Foundations Benchmarks. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.

Weitere Informationen zu den Ergebnissen der Security Health Analytics und des Web Security Scanner sowie der Zuordnung zwischen unterstützten Detektoren und Compliance-Standards finden Sie unter Ergebnisse zu Sicherheitslücken.

Compliance prüfen

Auf der Seite Compliance in der Google Cloud Console sehen Sie auf einen Blick, inwiefern Ihre Cloud-Umgebung einem bestimmten Sicherheitsstandard entspricht. Für jeden Sicherheitsstandard wird ein Prozentsatz angezeigt, der angibt, wie viele der zugehörigen Steuerelemente im ausgewählten Umfang eine positive Benotung erhalten haben, sei es auf Organisations-, Ordner- oder Projektebene.

Wo Security Command Center aktiviert wurde, wirkt sich auf die angezeigten Daten aus:

  • Auf Projektebene: Sie können nur die Compliance-Statistiken des aktivierten Projekts aufrufen. Wenn Sie in der Google Cloud Console zu einem Ordner oder einer Organisation wechseln, zu der das Projekt gehört, wird die Seite Compliance nicht angezeigt.

  • Auf Organisationsebene: Wenn Sie in der Google Cloud Console zur aktivierten Organisation wechseln, werden auf der Seite Compliance Compliance-Statistiken für die gesamte Organisation einschließlich ihrer Ordner und Projekte angezeigt.

    Wenn Sie Compliance-Statistiken für einzelne Ordner und Projekte innerhalb dieser Organisation aufrufen möchten, wechseln Sie in der Google Cloud Console zu dieser Ressourcenebene.

Complianceberichte werden täglich erstellt. Berichte können bis zu 24 Stunden alt sein und fehlen möglicherweise, wenn sie nicht erstellt werden konnten.

Compliance anhand eines bestimmten Standards bewerten

  1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

    Zu Compliance

  2. Wählen Sie das Projekt, den Ordner oder die Organisation aus, für die Sie die Compliance-Daten aufrufen möchten.

  3. Klicken Sie auf einer der Standardskarten auf Details ansehen, um die Seite Compliance-Details zu öffnen.

Auf dieser Seite haben Sie folgende Möglichkeiten:

  • Sie können sich die Einhaltung des ausgewählten Standards für ein bestimmtes Datum ansehen.

  • Wechseln Sie den Compliance-Standard, für den Sie die Details aufrufen möchten.

  • Sie können einen Bericht mit den Compliance-Details in eine CSV-Datei exportieren.

  • Mit einem Trenddiagramm den Fortschritt bei der Einhaltung der Richtlinien im Zeitverlauf verfolgen

  • Maximieren Sie die Sicherheitsstandardsteuerungen, um die zugehörigen Regeln und die Regelschwere aufzurufen.

  • Klicken Sie auf Regeln, um Ergebnisse für nicht konforme Ressourcen aufzurufen und gegebenenfalls Probleme zu beheben. Informationen zur Behebung von Ergebnissen finden Sie unter Ergebnisse von Security Health Analytics beheben und Ergebnisse von Web Security Scanner beheben.