借助 Security Command Center,您可以评估 Google Cloud 上资源是否符合常见安全标准和基准(统称“安全标准”),并据此做出改进和报告。
评估合规性
您可以在 Google Cloud 控制台中的合规性页面上一目了然地了解您的云环境与给定安全标准的符合程度。
合规性页面显示了 Security Command Center 支持的功能,以及您使用每项功能的合规程度 标准。
合规性程度取决于您符合给定标准的建议或控制数量,以 Security Command Center 针对该标准评估的控制总数所占的百分比的形式显示。如果 Security Command Center 未发现漏洞或配置错误 (统称为漏洞),对于特定控件而言,该控件是 传递控件。
Security Command Center 漏洞检测服务(例如 Security Health Analytics 和 Web Security Scanner)会根据服务的检测器与标准的控制项之间的最佳映射来监控控制项。
评估是否符合特定标准
对于每个标准,您可以打开合规性详情页面以查看 Security Command Center 针对 针对每个控件检测到的违规次数, 导出该标准的合规性报告
您可以点击列标题(包括 控件:按控件的数量对列表进行排序。如果某条规则对应于多个控件,按控件编号对规则进行排序时,系统会按控件编号最小的规则进行排序。
如需查看与特定事件相对应的有效 Security Command Center 发现结果 在规则列中,点击相应规则名称。发现结果页面随即打开,并显示按与规则对应的发现结果类别过滤后的发现结果。
如需简要了解 Security Command Center 如何支持合规性管理,请参阅 管理和监控合规性。
查看违规行为的调查结果
如需查看每个控制项的具体发现结果,请在合规性详情页面上点击相应规则的名称。系统随即会打开发现结果页面,其中显示了发现结果 。
如需查看特定发现结果的详细信息,包括有关如何执行相应操作的建议 要解决此问题,请在发现结果页面上,点击 类别列。
如需详细了解如何修复发现结果,请参阅修复 Security Health Analytics 发现结果和修复 Web Security Scanner 发现结果。
报告合规性
在特定合规性标准的合规性详情页面上,您可以执行以下操作: 将标准的合规报告导出为 CSV 文件。
报告包含合规性详情页面上显示的信息, 并在每个标准控件与其对应的 Security Command Center 规则和发现结果类别。每项发现结果的严重程度 类别。
此报告可大致了解您的云环境在某个时间点的合规程度 适用于您指定日期的特定标准。
Security Command Center 合规性报告不能替代合规性审核,但可帮助您保持合规状态并尽早发现违规行为。
设置合规报告的范围
Security Command Center 会自动将合规性报告范围限定为项目, 所选文件夹或组织 Google Cloud 控制台。例如,如果您的 Google Cloud 控制台视图设置为 项目,合规性报告仅包含该项目的发现结果。
如果 Security Command Center 在组织级层处于活跃状态,并且您的视图设置为组织,则合规报告包含整个组织的发现结果,包括其包含的所有项目。如果使用 Security Command Center 您在项目级别处于活跃状态,并且您选择了组织或文件夹, 合规性页面不会显示。
导出合规性报告
如需从 Google Cloud 控制台导出合规性报告,您需要
Security Center Findings Viewer (roles/securitycenter.findingsViewer
) 角色。
如需导出 CSV 报告,其中汇总了特定合规标准的违规行为发现结果,请按以下步骤操作:
进入 Google Cloud 控制台中的合规性页面:
使用 Google Cloud 控制台中的项目选择器来选择需要查看其合规报告的项目、文件夹或组织。
在合规性页面上,找到您需要报告的标准。
点击标准名称旁边的查看详情。合规性详情 页面。
在法规遵从详情页面上,点击导出报告。系统随即会打开导出合规性报告页面。
在导出合规性报告页面上,选择您需要报告的日期。该报告是相应日期当天的合规性概况。
点击导出。报告以 CSV 格式下载到您的工作站 文件。
检测器和发现结果如何映射到合规控制措施
Security Command Center 检测服务(例如 Security Health Analytics 和 Web Security Scanner)使用检测模块(检测器)检查云环境中的漏洞和配置错误。
检测到漏洞时,检测器会生成发现结果。发现结果是 包含相关信息的漏洞或其他安全问题的记录 例如:
漏洞说明
一条建议,用于解决会将控制机制 合规性
与相应发现结果对应的对照组的数字 ID
修复此漏洞的建议步骤
标准中的部分控制项无法映射到 Security Command Center 中的发现结果,通常是因为某些控制项无法自动化,但也可能有其他原因。因此,Security Command Center 的控件总数 通常会比标准规则检查的控件总数 定义。
CIS 已审核并认证了 Security Command Center 检测器与 CIS Google Cloud Foundations 的各个受支持基准版本的映射。其他合规性映射仅供参考。
如需详细了解 Security Health Analytics 和 Web Security Scanner 发现结果以及支持的检测器与合规性标准之间的映射,请参阅漏洞发现结果。
支持的标准和基准
Security Command Center 会使用映射到各种安全标准的控件的检测器来监控您的合规性。
对于每种受支持的安全标准 Security Command Center 检查一部分控件 对于已检查的控制,Security Command Center 会显示通过的控制数量。对于 Security Command Center 会显示未通过的发现结果列表, 描述控制失败的情形。
CIS 会审核和认证 Security Command Center 每个受支持的 CIS Google Cloud Foundations Benchmark 的版本。其他合规性映射仅供参考。
Security Command Center 会定期添加对新基准版本和标准的支持。较早 版本仍然受支持,但最终会被弃用。 我们建议您使用最新的受支持基准或标准。
使用 安全状况服务、 您可以将组织政策和 Security Health Analytics 检测器映射到标准 一些适用于您商家的控件 创建安全状况后,您可以监控环境中可能影响贵商家合规性的任何变化。
如需详细了解如何管理合规性,请参阅评估和报告是否符合安全标准。
Google Cloud 支持的安全标准
Security Command Center 将 Google Cloud 的检测器映射到以下一项或多项合规性 标准:
- Center for Information Security(CIS,信息安全中心) 控件 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
- CIS Kubernetes 基准 v1.5.1
- Cloud Controls Matrix (CCM) 4
- 《健康保险流通与责任法案》(HIPAA)
- 国际标准化组织 (ISO) 27001、2022 和 2013
- 美国国家标准与技术研究院 (NIST) 800-53 R5 和 R4
- NIST CSF 1.0
- 2021 年和 2017 年开放式 Web 应用安全项目 (OWASP) 十大风险
- 支付卡行业数据 安全标准 (PCI DSS) 4.0 和 3.2.1
- 系统和组织控制 (SOC) 2 2017 年 可信服务标准 (TSC)
AWS 支持的安全标准
Security Command Center 会将 Amazon Web Services (AWS) 的检测器映射到以下一个或多个合规性标准:
- CIS Amazon Web Services Foundations 2.0.0
- CIS 控件 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 和 3.2.1
- SoC 2 2017 年 TSC