Con Security Command Center, puedes evaluar, mejorar y el cumplimiento de los recursos en Google Cloud con estándares de seguridad y comparativas comunes (en conjunto, estándares de seguridad).
Evalúa el cumplimiento
Puedes ver a simple vista qué tan conforme está tu entorno de nube con un conforme al estándar de seguridad en la página Cumplimiento en la consola de Google Cloud.
En la página Cumplimiento, se muestran todos los estándares de seguridad. que admite Security Command Center, y la capacidad que estás con cada estándar.
El grado de cumplimiento se mide por la cantidad de recomendaciones o controles. de un estándar determinado con el que se cumple, se muestra como un porcentaje del número total de controles que Security Command Center evalúa el estándar. Si Security Command Center no encuentra vulnerabilidades o errores de configuración (en conjunto, vulnerabilidades) de un control en particular el control es de paseo.
Servicios de detección de vulnerabilidades de Security Command Center, como Security Health Analytics y Web Security Scanner, supervisan los controles basados en la asignación del mejor esfuerzo entre los detectores de los servicios y los controles de un estándar.
Evaluar el cumplimiento de un estándar específico
Para cada estándar, puedes abrir la página Detalles de cumplimiento para consulta detalles adicionales sobre los controles de Security Command Center para el estándar, cuántos incumplimientos se detectaron para cada control y la opción de exportar un informe de cumplimiento del estándar.
Para ordenar la lista de reglas, haga clic en los encabezados de las columnas incluido Controles, que ordena la lista según el número del control. Si una regla corresponde a varios controles; el orden por número de control ordena la regla el número de control más bajo.
Para ver los hallazgos activos de Security Command Center que corresponden a un regla o control específico, en la columna Reglas, haz clic en el nombre de la regla. La página Hallazgos se abre y muestra los resultados filtrados por de resultados que corresponde a la regla.
Para obtener una descripción general de cómo Security Command Center respalda el cumplimiento administración, consulta Administra y supervisa el cumplimiento.
Revisa los hallazgos en busca de incumplimientos de cumplimiento
Para ver los resultados individuales para cada control, en la página Detalle de cumplimiento y haz clic en el nombre de la regla. El Se abrirá la página Hallazgos, en la que se mostrarán los resultados del control.
Para ver detalles sobre un hallazgo en particular, incluidos recomendaciones para solucionar el problema, en la página Hallazgos, Haz clic en el nombre de la columna Category.
Para obtener más información sobre cómo corregir los resultados, consulta Soluciona los resultados de Security Health Analytics y Soluciona los resultados de Web Security Scanner.
Genera informes sobre el cumplimiento
En la página Detalles de cumplimiento de un estándar de cumplimiento específico, haz lo siguiente: puedes exportar un informe de cumplimiento para el estándar como un archivo CSV.
Los informes incluyen la información que se muestra en los Detalles de cumplimiento. y proporciona un vínculo claro entre cada control estándar y su regla de Security Command Center y categoría de resultado correspondientes. La gravedad de cada categoría de hallazgo.
El informe es un resumen de un momento determinado del cumplimiento de tus un entorno de nube es para un estándar particular en la fecha que especifiques.
Los informes de cumplimiento de Security Command Center no reemplazan auditoría de cumplimiento, pero puede ayudarte a mantener tu estado de cumplimiento y detectar incumplimientos anticipadamente.
Establece el alcance de un informe de cumplimiento
Security Command Center determina automáticamente el alcance de los informes de cumplimiento al proyecto, organización o carpeta que selecciones en la parte superior de la página en la consola de Google Cloud. Por ejemplo, si tu La vista de la consola de Google Cloud está configurada como un proyecto el informe de cumplimiento incluye solo los hallazgos de ese proyecto.
Si Security Command Center está activo a nivel de la organización y tu vista está configurada como una organización, el informe de cumplimiento incluye los resultados para toda la organización, incluidos todos los proyectos contiene. Si Security Command Center está activo a nivel de proyecto y si seleccionas una organización o carpeta, no se mostrará la página Cumplimiento.
Exporta un informe de cumplimiento
Para exportar un informe de cumplimiento desde la consola de Google Cloud, necesitas
Rol de visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer).
Para exportar un informe en formato CSV que reúna los hallazgos de incumplimientos de un estándar de cumplimiento específico, sigue estos pasos:
Ve a la página Cumplimiento en la consola de Google Cloud:
Usa el selector de proyectos de la consola de Google Cloud para selecciona el proyecto, la carpeta o la organización para la que necesitas consulta un informe de cumplimiento:
En la página Cumplimiento, busca el estándar para el que necesitas ayuda. un informe.
Junto al nombre del estándar, haz clic en Ver detalles. El Detalles de cumplimiento se abre esta página.
En la página Detalle de cumplimiento, haz clic en Exportar informe. El Se abrirá la página Exportar informe de cumplimiento.
En la página Exportar informe de cumplimiento, selecciona la fecha para la que necesitas el informe. El informe es un resumen del cumplimiento de esa fecha.
Haz clic en Exportar. El informe se descarga en tu estación de trabajo como un archivo CSV. .
Cómo se asignan los detectores y los resultados a los controles de cumplimiento
los servicios de detección de Security Command Center, como Security Health Analytics Web Security Scanner, usa módulos de detección (detectores) para buscar de seguridad en la nube y parámetros de configuración incorrectos.
Cuando se encuentra una vulnerabilidad, el detector genera un hallazgo. Un hallazgo es un registro de una vulnerabilidad o algún otro problema de seguridad que incluye información como la siguiente:
- Una descripción de la vulnerabilidad
- Una recomendación para abordar la vulnerabilidad que provocaría control del cumplimiento
- El ID numérico del control que corresponde al resultado
- Pasos recomendados para solucionar la vulnerabilidad
No todos los controles de un estándar se pueden asignar a Security Command Center debido a que ciertos controles no pueden automatizarse, pero por otros motivos. En consecuencia, el número total de controles que Security Command Center suele ser inferior al total de controles que define un estándar.
CIS revisa y certifica las asignaciones de los detectores de Security Command Center para para cada versión compatible de CIS Google Cloud Foundations Benchmark. Las asignaciones de cumplimiento adicionales se incluyen solo como referencia.
Para obtener más información sobre los resultados de Security Health Analytics y Web Security Scanner y la asignación entre detectores admitidos y estándares de cumplimiento consulta los hallazgos de vulnerabilidades.
Estándares y comparativas compatibles
Security Command Center el cumplimiento con detectores asignados a los controles de una amplia varios estándares de seguridad.
Para cada estándar de seguridad admitido, Security Command Center verifica un subconjunto de los controles. En el caso de los controles marcados, Security Command Center te muestra cuántos están aprobados. Para el que no se aprueban, Security Command Center te muestra una lista de los hallazgos y se describen las fallas de control.
CIS revisa y certifica las asignaciones de Security Command Center detectores a cada nodo compatible de la comparativa de CIS para Google Cloud Foundations. Cumplimiento adicional las asignaciones se incluyen solo como referencia.
Security Command Center agrega compatibilidad periódicamente con nuevos estándares y versiones de comparativas. Más antigua siguen siendo compatibles, pero con el tiempo quedan obsoletos. Te recomendamos que uses las comparativas o los estándares más recientes disponibles.
Con la servicio de postura de seguridad puedes asignar las políticas de la organización y los detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Luego de crear una postura de seguridad, puedes supervisar sobre cualquier cambio en el entorno que pueda afectar el cumplimiento de la empresa.
Para obtener más información sobre la administración del cumplimiento, consulta Evalúe el cumplimiento de las normas de seguridad y genere informes al respecto con los estándares necesarios.
Estándares de seguridad compatibles con Google Cloud
Security Command Center asigna detectores de Google Cloud a uno o más de los siguientes tipos de cumplimiento estándares:
- Centro para la Seguridad de la Información (CIS) Controles 8.0
- CIS para Google Cloud Comparativa de las bases de computación v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativa de CIS para Kubernetes v1.5.1
- Controles de Cloud Matriz (CCM) 4
- Seguro médico Ley de Responsabilidad y Portabilidad (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- Nacional Instituto de Estándares y Tecnología (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Proyecto abierto de seguridad para aplicaciones web (OWASP) Top 10, 2021 y 2017
- Datos de la industria de tarjetas de pago Estándar de Seguridad (PCI DSS) 4.0 y 3.2.1
- Controles de sistema y organización (SOC) 2 2017 Criterios de servicios de confianza (TSC)
Estándares de seguridad compatibles con AWS
Security Command Center asigna detectores para Amazon Web Services (AWS) a una o más de las siguientes instancias de cumplimiento estándares:
- CIS para Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001‐2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 y 3.2.1
- SOC 2 2017 TSC