Com o Security Command Center, é possível avaliar, melhorar e gerar relatórios sobre a conformidade de seus recursos no Google Cloud com padrões de segurança e comparativos de mercado comuns (coletivamente, padrões de segurança).
Avaliar a conformidade
É possível conferir rapidamente a conformidade do seu ambiente de nuvem com um determinado padrão de segurança na página Compliance no console do Google Cloud.
A página Compliance mostra todos os padrões de segurança compatíveis com o Security Command Center e sua conformidade com cada um deles.
Essa conformidade é medida pelo número de recomendações ou controles de um determinado padrão com que você está em conformidade, exibido como uma porcentagem do número total de controles avaliados pelo Security Command Center para o padrão. Se o Security Command Center não encontrar vulnerabilidades ou erros de configuração (coletivamente, vulnerabilidades) para um controle específico, o controle será passado.
Os serviços de detecção de vulnerabilidades do Security Command Center, como o Security Health Analytics e o Web Security Scanner, monitoram controles com base no mapeamento entre os detectores dos serviços e os controles de um padrão.
Avaliar a conformidade com um padrão específico
Para cada padrão, é possível abrir a página Detalhes de conformidade para conferir mais detalhes sobre quais controles o Security Command Center verifica o padrão, quantas violações foram detectadas para cada controle e a opção de exportar um relatório de conformidade para o padrão.
É possível classificar a lista de regras clicando nos cabeçalhos das colunas, incluindo Controles, que classifica a lista pelo número do controle. Se uma regra corresponder a vários controles, a classificação por número de controle classificará a regra com o menor número de controle.
Para ver as descobertas ativas do Security Command Center que correspondem a uma regra ou controle específico, na coluna Regras, clique no nome da regra. A página Descobertas é aberta e exibe as descobertas filtradas pela categoria de descoberta que corresponde à regra.
Para ter uma visão geral de como o Security Command Center oferece suporte ao gerenciamento de compliance, consulte Gerenciamento e monitoramento de conformidade.
Analisar as descobertas em busca de violações de compliance
Para ver as descobertas individuais de cada controle, na página Detalhes de conformidade, clique no nome da regra. A página Descobertas é aberta, exibindo as descobertas do controle.
Para ver detalhes sobre uma descoberta específica, incluindo recomendações para corrigir o problema, na página Descobertas, clique no nome na coluna Categoria.
Para mais informações sobre como corrigir descobertas, consulte Como corrigir descobertas da Análise de integridade da segurança e Como corrigir descobertas do Web Security Scanner.
Gerar relatórios sobre compliance
Na página Detalhes de conformidade de um padrão específico, é possível exportar um relatório de conformidade para o padrão como um arquivo CSV.
Os relatórios incluem as informações exibidas na página Detalhes de compliance e fornecem um vínculo claro entre cada controle padrão e a regra e a categoria de descoberta correspondentes do Security Command Center. A gravidade de cada categoria de descoberta também é incluída.
O relatório é um snapshot pontual da conformidade do ambiente de nuvem com um determinado padrão em uma data especificada.
Os relatórios de conformidade do Security Command Center não substituem uma auditoria de conformidade, mas podem ajudar você a manter o status de conformidade e detectar violações mais cedo.
Definir o escopo de um relatório de compliance
O Security Command Center define automaticamente o escopo dos relatórios de compliance para o projeto, a pasta ou a organização que você seleciona na parte superior da página no console do Google Cloud. Por exemplo, se a visualização no console do Google Cloud está definida como um projeto, o relatório de compliance inclui apenas as descobertas desse projeto.
Se o Security Command Center estiver ativo no nível da organização e sua visualização estiver definida para uma organização, o relatório de conformidade incluirá as descobertas para toda a organização, incluindo todos os projetos que ela contém. Se o Security Command Center estiver ativo para envolvidos no projeto e você selecionar uma organização ou pasta, a página Conformidade não será exibida.
Exportar um relatório de compliance
Para exportar um relatório CSV que agrega descobertas de violação para um padrão de compliance específico, siga estas etapas:
Acesse a página Compliance no console do Google Cloud:
Use o seletor de projetos no console do Google Cloud para selecionar o projeto, a pasta ou a organização que precisa do relatório de compliance:
Na página Compliance, localize o padrão de que você precisa de um relatório.
Ao lado do nome padrão, clique em Ver detalhes. A página Detalhes de compliance é aberta.
Na página Detalhes de compliance, clique em Exportar relatório. A página Exportar relatório de conformidade é aberta.
Na página Exportar relatório de conformidade, selecione a data de que você precisa do relatório. O relatório mostra um resumo da compliance nessa data.
Clique em Exportar. O relatório é transferido por download para a estação de trabalho como um arquivo CSV.
Como os detectores e as descobertas são mapeados para os controles de compliance
Os serviços de detecção do Security Command Center, como o Security Health Analytics e o Web Security Scanner, usam módulos de detecção (detectores) para verificar vulnerabilidades e configurações incorretas no ambiente de nuvem.
Quando uma vulnerabilidade é encontrada, o detector gera uma descoberta. Uma descoberta é um registro de uma vulnerabilidade ou outro problema de segurança que inclui informações como as seguintes:
- Uma descrição da vulnerabilidade
- Uma recomendação para resolver a vulnerabilidade que traria o controle para conformidade
- O ID numérico do controle que corresponde à descoberta
- Etapas recomendadas para corrigir a vulnerabilidade
Nem todos os controles em um padrão podem ser mapeados para as descobertas do Security Command Center, geralmente porque certos controles não podem ser automatizados, mas possivelmente por outros motivos. Consequentemente, o número total de controles que o Security Command Center verifica é geralmente menor que o número total de controles definido por um padrão.
O CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do CIS Google Cloud Foundations Benchmark. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.
Para saber mais sobre as descobertas da Análise de integridade da segurança e do Web Security Scanner e o mapeamento entre detectores compatíveis e padrões de conformidade, consulte Descobertas de vulnerabilidades.
Padrões e comparativos de mercado compatíveis
O Security Command Center monitora sua conformidade com detectores que são mapeados para os controles de uma ampla variedade de padrões de segurança.
Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Nos controles marcados, o Security Command Center mostra quantos estão sendo aprovados. Para os controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.
O CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do CIS Google Cloud Foundations Benchmark. Outros mapeamentos de conformidade estão incluídos apenas para fins de referência.
O Security Command Center adiciona suporte a novas versões e padrões de comparação periodicamente. As versões mais antigas continuam com suporte, mas são descontinuadas. Recomendamos que você use o comparativo de mercado ou o padrão compatível mais recente disponível.
Com o serviço de postura de segurança, é possível mapear as políticas da organização e os detectores da Análise de integridade da segurança para os padrões e controles que se aplicam à sua empresa. Depois de criar uma postura de segurança, monitore as alterações no ambiente que possam afetar a conformidade da sua empresa.
Para mais informações sobre como gerenciar a conformidade, consulte Avaliar e relatar a conformidade com os padrões de segurança.
Padrões de segurança compatíveis com o Google Cloud
O Security Command Center mapeia os detectores do Google Cloud para um ou mais dos seguintes padrões de compliance:
- Controles do Centro de Segurança da Informação (CIS) 8.0
- Comparativo de mercado CIS do Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- Comparativo de mercado CIS do Kubernetes v1.5.1
- Matriz de controles de nuvem (CCM) 4
- Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
- Organização Internacional de Normalização (ISO) 27001, 2022 e 2013 (em inglês)
- Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5 e R4 (em inglês)
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top 10, 2021 e 2017
- Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
- Controles de sistema e organização (SOC, na sigla em inglês) 2 Critérios de Serviços Confiáveis (TSC, na sigla em inglês) de 2017
Padrões de segurança com suporte na AWS
O Security Command Center mapeia os detectores da Amazon Web Services (AWS) para um ou mais dos seguintes padrões de conformidade:
- CIS Amazon Web Services Foundations 2.0.0
- Controles do CIS 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 e 3.2.1
- SOC 2 2017 TSC