Menilai dan melaporkan kepatuhan terhadap standar keamanan

Security Command Center memantau kepatuhan Anda dengan detektor yang dipetakan ke kontrol berbagai standar keamanan.

Untuk setiap standar keamanan yang didukung, Security Command Center akan memeriksa subset kontrol. Untuk kontrol yang dicentang, Security Command Center akan menampilkan jumlah kontrol yang lulus. Untuk kontrol yang tidak lulus, Security Command Center akan menampilkan daftar temuan yang menjelaskan kegagalan kontrol.

CIS meninjau dan memberikan sertifikasi pemetaan detektor Security Command Center ke setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan disertakan hanya untuk tujuan referensi.

Security Command Center menambahkan dukungan untuk versi dan standar benchmark baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak digunakan lagi. Sebaiknya gunakan benchmark atau standar terbaru yang didukung dan tersedia.

Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Security Health Analytics ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau perubahan apa pun pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.

Standar keamanan yang didukung

Google Cloud

Security Command Center memetakan detektor untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0, dan v1.0.0
• Tolok Ukur Kubernetes CIS v1.5.1
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• International Organization for Standardization (ISO) 27001, 2022, dan 2013
• National Institute of Standards and Technology (NIST) 800-53 R5 dan R4
• NIST CSF 1.0
• Sepuluh Teratas Open Web Application Security Project (OWASP), 2021 dan 2017
• Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0 dan 3.2.1
• System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)

AWS

Security Command Center memetakan detektor untuk Amazon Web Services (AWS) ke satu atau beberapa standar kepatuhan berikut:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Controls 8.0
• CCM 4
• HIPAA
• ISO 27001 2022
• NIST 800-53 R5
• NIST CSF 1.0
• PCI DSS 4.0 dan 3.2.1
• SOC 2 TSC 2017

Cara pendeteksi dan temuan dipetakan ke kontrol kepatuhan

Layanan deteksi Security Command Center, seperti Security Health Analytics dan Web Security Scanner, menggunakan modul deteksi (detektor) untuk memeriksa kerentanan dan kesalahan konfigurasi di lingkungan cloud Anda.

Saat menemukan kerentanan, detektor akan menghasilkan temuan. Temuan adalah catatan kerentanan atau masalah keamanan lainnya yang menyertakan informasi seperti berikut:

• Deskripsi kerentanan

• Rekomendasi untuk mengatasi kerentanan yang akan membuat kontrol sesuai dengan kepatuhan

• ID numerik kontrol yang sesuai dengan temuan

• Langkah-langkah yang direkomendasikan untuk memperbaiki kerentanan

Tidak semua kontrol dalam standar dapat dipetakan ke temuan Security Command Center, biasanya karena kontrol tertentu tidak dapat diotomatiskan, tetapi mungkin karena alasan lain. Akibatnya, jumlah total kontrol yang diperiksa Security Command Center biasanya kurang dari jumlah total kontrol yang ditentukan standar.

CIS meninjau dan memberikan sertifikasi pemetaan detektor Security Command Center ke setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan disertakan hanya untuk tujuan referensi.

Untuk mempelajari lebih lanjut temuan Security Health Analytics dan Web Security Scanner serta pemetaan antara detektor yang didukung dan standar kepatuhan, lihat temuan kerentanan.

Menilai kepatuhan

Anda dapat melihat sekilas tingkat kepatuhan lingkungan cloud Anda terhadap standar keamanan tertentu di halaman Compliance di konsol Google Cloud. Setiap standar keamanan menunjukkan persentase jumlah kontrol komponennya yang menerima nilai lulus pada cakupan yang dipilih, baik di tingkat organisasi, folder, maupun project.

Tempat Security Command Center diaktifkan akan memengaruhi apa yang ditampilkan:

• Di tingkat project: Anda hanya dapat melihat statistik kepatuhan project yang diaktifkan. Jika Anda beralih ke folder atau organisasi tempat project berada di konsol Google Cloud, halaman Compliance tidak akan ditampilkan.

• Di tingkat organisasi: Jika Anda beralih ke organisasi yang diaktifkan di konsol Google Cloud, halaman Kepatuhan akan menampilkan statistik kepatuhan untuk seluruh organisasi, termasuk folder dan project-nya.

  Untuk melihat statistik kepatuhan untuk setiap folder dan project dalam organisasi tersebut, beralihlah ke tingkat resource tersebut di konsol Google Cloud.

Laporan kepatuhan dibuat setiap hari. Laporan dapat tidak berlaku selama 24 jam, dan mungkin hilang jika gagal dibuat.

Menilai kepatuhan terhadap standar tertentu

1. Buka halaman Compliance di konsol Google Cloud.

   Buka Kepatuhan

2. Pilih project, folder, atau organisasi yang kepatuhannya ingin Anda lihat.

3. Klik Lihat detail di salah satu kartu standar untuk membuka halaman Detail kepatuhan.

Dari halaman ini, Anda dapat melakukan hal berikut:

• Melihat kepatuhan terhadap standar yang dipilih pada tanggal tertentu.

• Ganti standar kepatuhan yang detailnya Anda lihat.

• Mengekspor laporan detail kepatuhan ke file CSV.

• Lacak progres kepatuhan dari waktu ke waktu dengan diagram tren.

• Luaskan kontrol standar keamanan untuk melihat aturan penyusun dan keparahan aturannya.

• Klik aturan untuk melihat temuan terkait resource yang tidak mematuhi kebijakan dan memperbaiki masalah jika perlu. Untuk informasi tentang cara memperbaiki temuan, lihat Memperbaiki temuan Security Health Analytics dan Memperbaiki temuan Web Security Scanner.