Menilai dan melaporkan kepatuhan terhadap standar keamanan

Dengan Security Command Center, Anda dapat menilai, meningkatkan, dan melaporkan kepatuhan resource Anda di Google Cloud dengan tolok ukur dan standar keamanan umum (secara kolektif disebut standar keamanan).

Menilai kepatuhan

Anda dapat melihat sekilas tingkat kepatuhan lingkungan cloud Anda dengan standar keamanan tertentu di halaman Kepatuhan pada konsol Google Cloud.

Halaman Kepatuhan menunjukkan semua standar keamanan yang didukung Security Command Center, serta seberapa kepatuhan Anda terhadap setiap standar.

Tingkat kepatuhan Anda diukur berdasarkan jumlah rekomendasi atau kontrol dari standar tertentu yang Anda patuhi, yang ditampilkan sebagai persentase dari total jumlah kontrol yang dievaluasi Security Command Center untuk standar tersebut. Jika Security Command Center tidak menemukan kerentanan atau kesalahan konfigurasi (secara kolektif disebut kerentanan) untuk kontrol tertentu, kontrol tersebut adalah kontrol yang meneruskan.

Layanan deteksi kerentanan Security Command Center, seperti Security Health Analytics dan Web Security Scanner, memantau kontrol berdasarkan pemetaan upaya terbaik antara detektor layanan dan kontrol standar.

Menilai kepatuhan terhadap standar tertentu

Untuk setiap standar, Anda dapat membuka halaman Detail kepatuhan guna melihat detail tambahan tentang kontrol mana yang mengontrol pemeriksaan Security Command Center untuk standar, jumlah pelanggaran yang terdeteksi untuk setiap kontrol, dan opsi untuk mengekspor laporan kepatuhan untuk standar tersebut.

Anda dapat mengurutkan daftar aturan dengan mengklik header kolom, termasuk Controls, yang mengurutkan daftar berdasarkan nomor kontrol. Jika aturan sesuai dengan beberapa kontrol, mengurutkan berdasarkan nomor kontrol akan mengurutkan aturan angka kontrol terendah.

Untuk melihat temuan Security Command Center aktif yang sesuai dengan aturan atau kontrol tertentu, klik nama aturan di kolom Aturan. Halaman Findings akan terbuka dan menampilkan temuan yang difilter berdasarkan kategori temuan yang sesuai dengan aturan tersebut.

Untuk ringkasan tentang cara Security Command Center mendukung pengelolaan kepatuhan, lihat Mengelola dan memantau kepatuhan.

Meninjau temuan untuk pelanggaran kepatuhan

Guna melihat masing-masing temuan untuk setiap kontrol, klik nama aturan di halaman Detail kepatuhan. Halaman Findings akan terbuka, yang menampilkan temuan untuk kontrol tersebut.

Untuk melihat detail tentang temuan tertentu, termasuk rekomendasi cara memperbaiki masalah, di halaman Findings, klik nama di kolom Category.

Untuk mengetahui informasi selengkapnya tentang cara memperbaiki temuan, lihat Memperbaiki temuan Analisis Kondisi Keamanan dan Memperbaiki temuan Web Security Scanner.

Laporan kepatuhan

Di halaman Detail kepatuhan untuk standar kepatuhan tertentu, Anda dapat mengekspor laporan kepatuhan untuk standar tersebut sebagai file CSV.

Laporan mencakup informasi yang ditampilkan di halaman Detail kepatuhan, dan menyediakan link yang jelas antara setiap kontrol standar dan aturan Security Command Center yang sesuai dan kategori temuan. Tingkat keparahan dari setiap kategori temuan juga disertakan.

Laporan ini adalah ringkasan waktu singkat tentang tingkat kepatuhan lingkungan cloud Anda terhadap standar tertentu pada tanggal yang Anda tentukan.

Laporan kepatuhan Security Command Center bukanlah pengganti audit kepatuhan, tetapi dapat membantu Anda mempertahankan status kepatuhan dan menemukan pelanggaran lebih awal.

Menetapkan cakupan laporan kepatuhan

Security Command Center secara otomatis mencakup laporan kepatuhan ke project, folder, atau organisasi yang Anda pilih di bagian atas halaman di Konsol Google Cloud. Misalnya, jika tampilan konsol Google Cloud Anda ditetapkan ke sebuah project, laporan kepatuhan hanya menyertakan temuan untuk project tersebut.

Jika Security Command Center aktif di tingkat organisasi dan tampilan Anda ditetapkan ke organisasi, laporan kepatuhan akan menyertakan temuan untuk seluruh organisasi, termasuk semua project yang ada di dalamnya. Jika Security Command Center aktif di level project dan Anda memilih organisasi atau folder, halaman Kepatuhan tidak akan ditampilkan.

Mengekspor laporan kepatuhan

Untuk mengekspor laporan CSV yang menggabungkan temuan pelanggaran untuk standar kepatuhan tertentu, ikuti langkah-langkah berikut:

1. Buka halaman Kepatuhan di Konsol Google Cloud:

   Buka Kepatuhan

2. Gunakan pemilih project di Konsol Google Cloud untuk memilih project, folder, atau organisasi yang laporan kepatuhan-nya perlu Anda lihat:

   

3. Di halaman Kepatuhan, temukan standar yang laporannya Anda perlukan.

4. Di samping nama standar, klik Lihat detail. Halaman Detail kepatuhan akan terbuka.

5. Di halaman Detail kepatuhan, klik Ekspor laporan. Halaman Laporan kepatuhan ekspor akan terbuka.

6. Di halaman Laporan kepatuhan ekspor, pilih tanggal laporan yang Anda perlukan. Laporan ini adalah ringkasan kepatuhan pada tanggal tersebut.

7. Klik Ekspor. Laporan akan didownload ke workstation Anda sebagai file CSV.

Cara pendeteksi dan temuan dipetakan ke kontrol kepatuhan

Layanan deteksi Security Command Center, seperti Security Health Analytics dan Web Security Scanner, menggunakan modul deteksi (detektor) untuk memeriksa kerentanan dan kesalahan konfigurasi di lingkungan cloud Anda.

Saat kerentanan ditemukan, detektor akan menghasilkan temuan. Temuan adalah data kerentanan atau masalah keamanan lainnya yang menyertakan informasi seperti berikut:

• Deskripsi kerentanan
• Rekomendasi untuk mengatasi kerentanan yang akan membuat kontrol mematuhi kebijakan
• ID numerik kontrol yang sesuai dengan temuan
• Langkah-langkah yang direkomendasikan untuk memperbaiki kerentanan

Tidak semua kontrol dalam standar dapat dipetakan ke temuan Security Command Center, biasanya karena kontrol tertentu tidak dapat diotomatiskan, tetapi mungkin karena alasan lain. Akibatnya, jumlah total kontrol yang diperiksa oleh Security Command Center biasanya lebih sedikit daripada jumlah total kontrol yang ditetapkan oleh standar.

CIS meninjau dan menyetujui pemetaan detektor Security Command Center untuk setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan hanya disertakan untuk tujuan referensi.

Untuk mempelajari lebih lanjut temuan Security Health Analytics dan Web Security Scanner serta pemetaan antara detektor yang didukung dan standar kepatuhan, lihat temuan kerentanan.

Standar dan tolok ukur yang didukung

Security Command Center memantau kepatuhan Anda terhadap detektor yang dipetakan ke kontrol berbagai standar keamanan.

Untuk setiap standar keamanan yang didukung, Security Command Center memeriksa subset kontrol. Untuk kontrol yang dicentang, Security Command Center akan menampilkan jumlah yang lulus. Untuk kontrol yang tidak lulus, Security Command Center menampilkan daftar temuan yang menjelaskan kegagalan kontrol.

CIS meninjau dan menyetujui pemetaan detektor Security Command Center untuk setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan hanya disertakan untuk tujuan referensi.

Security Command Center menambahkan dukungan untuk versi dan standar benchmark baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak digunakan lagi. Sebaiknya gunakan tolok ukur atau standar terbaru yang didukung dan tersedia.

Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Analisis Kesehatan Keamanan ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau setiap perubahan pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.

Untuk informasi selengkapnya tentang mengelola kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap standar keamanan.

Standar keamanan yang didukung di Google Cloud

Security Command Center memetakan detektor untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0, dan v1.0.0
• CIS Kubernetes Benchmark v1.5.1
• Matriks Kontrol Cloud (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• International Organization for Standardization (ISO) 27001, 2022, dan 2013
• National Institute of Standards and Technology (NIST) 800-53 R5 dan R4
• NIST CSF 1.0
• Sepuluh Teratas Open Web Application Security Project (OWASP) 2021 dan 2017
• Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0 dan 3.2.1
• Kontrol Sistem dan Organisasi (SOC) 2 Kriteria Layanan Tepercaya (TSC) 2017

Standar keamanan yang didukung di AWS

Security Command Center memetakan detektor untuk Amazon Web Services (AWS) ke satu atau beberapa standar kepatuhan berikut:

• CIS Amazon Web Services Foundations 2.0.0
• Kontrol CIS 8.0
• CCM 4
• HIPAA
• ISO 27001 2022
• NIST 800-53 R5
• NIST CSF 1.0
• PCI DSS 4.0 dan 3.2.1
• SOC 2 TSC 2017