Security Command Center supervisa tu cumplimiento con detectores que están asignados a los controles de una amplia variedad de estándares de seguridad.
Para cada estándar de seguridad admitido, Security Command Center verifica subconjunto de los controles. En el caso de los controles marcados, Security Command Center muestra cuántos que pasa. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de hallazgos que describen las fallas de control.
CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la comparativa CIS Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo como referencia.
Security Command Center agrega compatibilidad periódicamente con nuevos estándares y versiones de comparativas. Las versiones anteriores permanecen pero, con el tiempo, se darán de baja. Recomendamos que uses las comparativas compatibles más recientes estándar o estándar.
Con la servicio de postura de seguridad puedes asignar políticas de la organización y detectores de Security Health Analytics a los estándares y controles que se apliquen a tu empresa. Después de crear una postura de seguridad, puedes supervisar los cambios sobre el entorno que podrían afectar el cumplimiento de tu empresa.
Estándares de seguridad admitidos
Google Cloud
Security Command Center asigna detectores de Google Cloud a uno o más de los siguientes tipos de cumplimiento estándares:
- Controles 8.0 del Center for Information Security (CIS)
- Comparativa de CIS para Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativas de CIS en Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 y 2017
- Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Controles de sistema y organización (SOC) 2 Criterios de servicios de confianza (TSC) de 2017
AWS
Security Command Center asigna detectores de Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:
Cómo se asignan los detectores y los resultados a los controles de cumplimiento
Los servicios de detección de Security Command Center, como Security Health Analytics y Web Security Scanner, usan módulos de detección (detectores) para verificar vulnerabilidades y parámetros de configuración incorrectos en tu entorno de nube.
Cuando se encuentra una vulnerabilidad, el detector genera un hallazgo. Un hallazgo es un registro de una vulnerabilidad o algún otro problema de seguridad que incluye información como la siguiente:
Una descripción de la vulnerabilidad
Una recomendación para abordar la vulnerabilidad que llevaría el control al cumplimiento
El ID numérico del control que corresponde al hallazgo
Pasos recomendados para solucionar la vulnerabilidad
No todos los controles de un estándar se pueden asignar a los hallazgos de Security Command Center, generalmente porque algunos controles no se pueden automatizar, pero tal vez para otros y otras razones. En consecuencia, la cantidad total de controles que Security Command Center que comprueba suele ser menor que la cantidad total de controles que define.
CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la CIS para Google Cloud Foundations Benchmark. Las asignaciones de cumplimiento adicionales se incluyen solo como referencia.
Para obtener más información sobre los resultados de las estadísticas del estado de seguridad y Web Security Scanner, y el mapeo entre los detectores compatibles y los estándares de cumplimiento, consulta Resultados de vulnerabilidades.
Evalúa el cumplimiento
Puedes ver a simple vista qué tan conforme está tu entorno de nube con una determinada estándar de seguridad en la página Cumplimiento en la Consola de Google Cloud Cada estándar de seguridad muestra un porcentaje de cuántos de sus controles constituyentes reciben una calificación aprobatoria en el permiso seleccionado, ya sea a nivel de la organización, la carpeta o el proyecto.
El lugar donde se activó Security Command Center afecta lo que se muestra:
A nivel del proyecto: Solo puedes ver el cumplimiento del proyecto activado. estadísticas. Si cambias a una organización o carpeta a la que pertenece el proyecto en la consola de Google Cloud, no se muestra la página Cumplimiento.
A nivel de la organización: Si cambias a la organización activada en la consola de Google Cloud, la página Cumplimiento muestra el estadísticas de toda la organización, incluidas sus carpetas y proyectos.
Para ver estadísticas de cumplimiento de carpetas individuales y proyectos dentro de esa organización, cambie a ese nivel de recursos en la consola de Google Cloud.
Los informes de cumplimiento se generan a diario. Los informes pueden estar inactivos durante 24 horas si no pudieron generarse.
Evalúa el cumplimiento de un estándar específico
Ve a la página Cumplimiento en la consola de Google Cloud.
Selecciona el proyecto, la carpeta o la organización para la que deseas ver el cumplimiento.
Haz clic en Ver detalles en una de las tarjetas de estándares para abrir la página Detalles de cumplimiento.
En esta página, puedes hacer lo siguiente:
Consulta el cumplimiento del estándar seleccionado en una fecha determinada.
Cambia el estándar de cumplimiento del que ves los detalles.
Exporta un informe de los detalles de cumplimiento a un archivo CSV.
Haz un seguimiento del progreso del cumplimiento a lo largo del tiempo con un gráfico de tendencias.
Ampliar los controles estándares de seguridad para ver las reglas que lo constituyen y la gravedad de la regla.
Haz clic en las reglas para ver los resultados de los recursos que no cumplen con las normas y corregir los problemas cuando corresponda. Para obtener información sobre cómo corregir hallazgos, consulta Soluciona los resultados de Security Health Analytics y Soluciona los resultados de Web Security Scanner.