O Security Command Center monitora a conformidade com detectores mapeados para os controles de uma ampla variedade de padrões de segurança.
Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Para os controles marcados, o Security Command Center mostra quantos estão sendo aprovados. Para os controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.
A CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do comparativo de mercado CIS do Google Cloud Foundations. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.
O Security Command Center adiciona suporte a novos padrões e versões de comparativo de mercado periodicamente. As versões mais antigas continuam compatíveis, mas estão obsoletas. Recomendamos que você use o comparativo de mercado ou o padrão mais recente disponível.
Com o serviço de postura de segurança, é possível mapear políticas da organização e detectores da Análise de integridade da segurança para os padrões e controles aplicáveis à sua empresa. Depois de criar uma postura de segurança, é possível monitorar qualquer mudança no ambiente que possa afetar a conformidade da sua empresa.
Padrões de segurança compatíveis
Google Cloud
O Security Command Center mapeia detectores do Google Cloud para um ou mais dos seguintes padrões de compliance:
- Controles 8.0 do Centro de Segurança da Informação (CIS, na sigla em inglês)
- Comparativo de mercado CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- Comparativo de mercado CIS do Kubernetes v1.5.1
- Matriz de controles de nuvem (CCM) 4
- Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
- Organização Internacional de Normalização (ISO) 27001, 2022 e 2013
- Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5 e R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top 10, 2021 e 2017
- Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
- Controles de sistema e organização (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
O Security Command Center mapeia detectores do Amazon Web Services (AWS) para um ou mais dos seguintes padrões de compliance:
Como os detectores e as descobertas são mapeadas para controles de compliance
Os serviços de detecção do Security Command Center, como o Security Health Analytics e o Web Security Scanner, usam módulos de detecção (detectores) para verificar vulnerabilidades e configurações incorretas no seu ambiente de nuvem.
Quando uma vulnerabilidade é encontrada, o detector gera uma descoberta. Uma descoberta é um registro de uma vulnerabilidade ou outro problema de segurança que inclui informações como as seguintes:
Uma descrição da vulnerabilidade
Uma recomendação para resolver a vulnerabilidade que levaria o controle à conformidade
O ID numérico do controle que corresponde à descoberta
Etapas recomendadas para corrigir a vulnerabilidade
Nem todos os controles de um padrão podem ser mapeados para as descobertas do Security Command Center, geralmente porque alguns controles não podem ser automatizados, mas também por outros motivos. Consequentemente, o número total de controles que o Security Command Center verifica geralmente é menor do que o número total de controles que um padrão define.
A CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do comparativo de mercado CIS Google Cloud Foundations. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.
Para saber mais sobre as descobertas do Security Health Analytics e do Web Security Scanner e o mapeamento entre detectores compatíveis e padrões de compliance, consulte descobertas de vulnerabilidades.
Avaliar a compliance
É possível conferir rapidamente o nível de conformidade do seu ambiente de nuvem com um determinado padrão de segurança na página Compliance no console do Google Cloud. Cada padrão de segurança mostra uma porcentagem de quantos dos controles constituintes recebem uma nota de aprovação no escopo selecionado, seja no nível da organização, da pasta ou do projeto.
O local em que o Security Command Center foi ativado afeta o que é mostrado:
No nível do projeto: só é possível acessar as estatísticas de compliance do projeto ativado. Se você mudar para uma pasta ou organização à qual o projeto pertence no console do Google Cloud, a página Compliance não será exibida.
No nível da organização: se você mudar para a organização ativa no console do Google Cloud, a página Compliance vai mostrar estatísticas de conformidade de toda a organização, incluindo as pastas e os projetos.
Para conferir as estatísticas de compliance de pastas e projetos individuais nessa organização, mude para esse nível de recurso no console do Google Cloud.
Os relatórios de compliance são gerados diariamente. Os relatórios podem estar desatualizados por 24 horas e podem estar ausentes se não for possível gerar.
Avaliar a conformidade com um padrão específico
Acesse a página Conformidade no console do Google Cloud.
Selecione o projeto, a pasta ou a organização em que você quer conferir a conformidade.
Clique em Ver detalhes em um dos cards de padrão para abrir a página Detalhes de compliance.
Nessa página, você pode fazer o seguinte:
Confira a conformidade com o padrão selecionado em uma data específica.
Mude o padrão de compliance para o qual você está visualizando os detalhes.
Exporte um relatório dos detalhes de compliance para um arquivo CSV.
Acompanhe o progresso da conformidade ao longo do tempo com um gráfico de tendências.
Abra os controles de padrão de segurança para conferir as regras e a gravidade das regras.
Clique em regras para conferir as descobertas de recursos que não estão em conformidade e corrigir os problemas quando necessário. Para informações sobre como corrigir descobertas, consulte Como corrigir descobertas do Security Health Analytics e Como corrigir descobertas do Web Security Scanner.