评估和报告是否符合安全标准

Security Command Center 会监控您是否符合各种安全标准，所用检测器会映射到这些标准的控制项。

对于每个受支持的安全标准，Security Command Center 都会检查部分控制项。对于已检查的控制项，Security Command Center 会显示通过的控制项数量。对于未通过的控制，Security Command Center 会显示一个发现结果列表，其中会说明控制失败的原因。

CIS 已审核并认证了 Security Command Center 检测器与 CIS Google Cloud Foundations 基准的各个受支持版本的映射。 其他合规性映射仅供参考。

Security Command Center 会定期添加对新基准版本和标准的支持。旧版本仍然受支持，但最终将会被弃用。我们建议您使用当前受支持的最新基准或标准。

借助安全状况服务，您可以将组织政策和 Security Health Analytics 检测器映射到适用于贵商家的标准和控制措施。创建安全状况后，您可以监控环境中可能影响贵商家合规性的任何变化。

支持的安全标准

Google Cloud

Security Command Center 会将 Google Cloud 的检测器映射到以下一个或多个合规性标准：

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
• CIS Kubernetes 基准 v1.5.1
• Cloud Controls Matrix (CCM) 4
• 《健康保险流通与责任法案》(HIPAA)
• 国际标准化组织 (ISO) 27001、2022 和 2013
• 美国国家标准与技术研究院 (NIST) 800-53 R5 和 R4
• NIST CSF 1.0
• 2021 年和 2017 年开放式 Web 应用安全项目 (OWASP) 十大风险
• 支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
• 系统和组织控制 (SOC) 2 2017 年信任服务标准 (TSC)

AWS

Security Command Center 会将 Amazon Web Services (AWS) 的检测器映射到以下一个或多个合规性标准：

• CIS Amazon Web Services Foundations 2.0.0
• CIS Controls 8.0
• CCM 4
• HIPAA
• ISO 27001 2022
• NIST 800-53 R5
• NIST CSF 1.0
• PCI DSS 4.0 和 3.2.1
• SOC 2 2017 TSC

检测器和发现结果如何映射到合规性控制

Security Command Center 检测服务（例如 Security Health Analytics 和 Web Security Scanner）使用检测模块（检测器）检查云环境中的漏洞和配置错误。

检测到漏洞时，检测器会生成发现结果。发现结果是指漏洞或其他安全问题的记录，其中包含以下信息：

• 漏洞说明

• 用于解决漏洞的建议，以使控制措施符合合规要求

• 与相应发现结果对应的对照组的数字 ID

• 修复此漏洞的建议步骤

标准中的部分控制项无法映射到 Security Command Center 中的发现结果，通常是因为某些控制项无法自动化，但也可能是因为其他原因。因此，Security Command Center 检查的控制措施总数通常少于标准定义的控制措施总数。

CIS 已审核并认证了 Security Command Center 检测器与 CIS Google Cloud Foundations 基准的各个受支持版本的映射。其他合规性映射仅供参考。

如需详细了解 Security Health Analytics 和 Web Security Scanner 发现结果以及支持的检测器与合规性标准之间的映射，请参阅漏洞发现结果。

评估合规性

您可以在Google Cloud 控制台中的合规性页面上一目了然地了解您的云环境与给定安全标准的符合程度。每个安全标准都会显示其在所选范围（无论是组织、文件夹还是项目级）内有多少个组成控制项获得了及格分数，以百分比的形式显示。

Security Command Center 的激活位置会影响显示的内容：

• 在项目级：您只能查看已启用的项目的合规性统计信息。如果您在 Google Cloud 控制台中切换到项目所属的文件夹或组织，则不会显示合规性页面。

• 在组织级：如果您在 Google Cloud 控制台中切换到已启用的组织，合规性页面会显示整个组织（包括其文件夹和项目）的合规性统计信息。

  如需查看该组织中各个文件夹和项目的合规性统计信息，请在 Google Cloud 控制台中切换到相应资源级别。

合规性报告每天生成一次。报告可能会滞后 24 小时，如果报告生成失败，则可能缺失。

评估是否符合特定标准

1. 前往 Google Cloud 控制台中的合规性页面。

   前往“合规性”页面

2. 选择您要查看其合规性的项目、文件夹或组织。

3. 点击某个标准卡片中的查看详情，打开其合规性详情页面。

您可以在该页面执行以下操作：

• 查看特定日期与所选标准的合规性。

• 切换要查看详细信息的合规性标准。

• 将合规性详细信息报告导出到 CSV 文件。

• 通过趋势图跟踪一段时间内的合规性进度。

• 展开安全标准控制项，查看其组成规则和规则严重程度。

• 点击规则可查看不合规资源的发现结果，并根据需要解决问题。如需了解如何修复发现结果，请参阅修复 Security Health Analytics 发现结果和修复 Web Security Scanner 发现结果。