Évaluer et signaler la conformité avec les normes de sécurité

Avec Security Command Center, vous pouvez évaluer et améliorer la conformité de vos ressources sur Google Cloud avec des normes de sécurité et (collectivement, les normes de sécurité).

Évaluer la conformité

Vous pouvez voir d'un coup d'œil la conformité de votre environnement cloud vis-à-vis d'une de sécurité standard la page Conformité dans le console Google Cloud.

La page Conformité affiche toutes les normes de sécurité Security Command Center, ainsi que votre niveau de conformité vis-à-vis de chacune standard.

Votre niveau de conformité est mesuré par le nombre de recommandations ou de contrôles d'une norme donnée que vous respectez, affiché sous forme de pourcentage le nombre total de contrôles que Security Command Center évalue pour la norme. Si Security Command Center ne détecte aucune faille ni erreur de configuration (collectivement dénommés les failles) d'un contrôle donné, il s'agit d'un passant le contrôle.

Les services de détection des failles de Security Command Center, tels que Security Health Analytics et Web Security Scanner, surveiller les commandes en fonction d'une cartographie optimale entre les détecteurs des services et les contrôles d'une norme.

Évaluer la conformité pour une norme spécifique

Pour chaque norme, vous pouvez ouvrir la page Informations sur la conformité pour consulter sur les contrôles que Security Command Center vérifie le nombre d'infractions détectées pour chaque groupe de contrôle exporter un rapport de conformité pour la norme.

Vous pouvez trier la liste des règles en cliquant sur les en-têtes de colonne, y compris Controls (Commandes) : permet de trier la liste en fonction du numéro de commande. Si une règle correspond à plusieurs commandes, le tri par numéro de contrôle permet de trier la règle numéro de contrôle le plus bas.

Pour afficher les résultats actifs de Security Command Center correspondant à un règle ou commande, dans la colonne Règles, cliquez sur le nom de la règle. Les résultats et affiche les résultats filtrés en fonction de la catégorie de résultats correspond à la règle.

Pour savoir comment Security Command Center prend en charge la gestion de la conformité, consultez Gestion et surveillance de la conformité.

Examiner les résultats concernant des cas de non-conformité

Pour afficher les résultats individuels pour chaque contrôle, consultez les informations sur la conformité. cliquez sur le nom de la règle. La page Résultats s'affiche et affiche les résultats. pour le contrôle.

Afficher des détails sur un résultat particulier, y compris des recommandations sur la façon de résoudre le problème, sur la page Résultats, cliquez sur le nom dans le Colonne Catégorie.

Pour en savoir plus sur la résolution des problèmes, consultez Corriger les résultats de Security Health Analytics et Corriger les problèmes identifiés par Web Security Scanner

Créer des rapports sur la conformité

Sur la page Détails de la conformité d'une norme de conformité spécifique, vous pouvez exporter un rapport de conformité pour la norme au format CSV.

Les rapports incluent les informations affichées sur la page Détails de la conformité, et établissent un lien clair entre chaque contrôle standard et son Règle et catégorie de résultats Security Command Center. La gravité de chaque résultat est également incluse.

Le rapport est un instantané à un moment précis du niveau de conformité de votre environnement cloud. pour une norme spécifique à la date que vous indiquez.

Les rapports de conformité de Security Command Center ne remplacent pas un rapport de conformité mais peut vous aider à maintenir votre conformité et à détecter les cas de non-conformité plus tôt.

Définir le champ d'application d'un rapport de conformité

Security Command Center applique automatiquement les rapports de conformité au projet, dossier ou organisation que vous sélectionnez en haut de la page console Google Cloud. Par exemple, si la vue de la console Google Cloud est définie à un projet, le rapport de conformité n'inclut que les résultats pour ce projet.

Si Security Command Center est actif au niveau de l'organisation et que votre vue est définie à une organisation, le rapport de conformité comprend les résultats l'organisation, y compris tous les projets qu'elle contient. Si Security Command Center est actif au niveau du projet et que vous sélectionnez une organisation ou un dossier, Conformité ne s'affiche pas.

Exporter un rapport de conformité

Pour exporter un rapport de conformité depuis la console Google Cloud, vous avez besoin du Rôle de lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer).

Pour exporter un rapport au format CSV qui regroupe les résultats de violation pour un standard de conformité, procédez comme suit:

1. Accédez à la page Conformité dans la console Google Cloud:

   Accéder

2. Utilisez le sélecteur de projet dans la console Google Cloud pour choisir projet, dossier ou organisation pour lesquels vous devez afficher un .

3. Sur la page Conformité, recherchez la norme pour laquelle vous souhaitez obtenir un rapport.

4. À côté du nom standard, cliquez sur Afficher les détails. Informations sur la conformité s'ouvre.

5. Sur la page Détails de la conformité, cliquez sur Exporter le rapport. La La page Exporter le rapport de conformité s'ouvre.

6. Sur la page Exporter le rapport de conformité, sélectionnez la date à laquelle vous n'ont pas besoin du rapport. Le rapport est un instantané de la conformité à cette date.

7. Cliquez sur Exporter. Le rapport est téléchargé sur votre poste de travail au format CSV. .

Correspondance entre les détecteurs et les résultats et les contrôles de conformité

les services de détection Security Command Center, tels que Security Health Analytics et Web Security Scanner, utilisez des modules de détection (détecteurs) pour vérifier les failles et les erreurs de configuration dans votre environnement cloud.

Lorsqu'une faille est détectée, le détecteur génère une résultats. Un résultat est un enregistrement d’une vulnérabilité ou d’un autre problème de sécurité, incluant des informations par exemple:

• Description de la faille

• Une recommandation pour remédier à la vulnérabilité qui apporterait le contrôle à la conformité

• ID numérique de la commande correspondant au résultat

• Étapes recommandées pour corriger la faille

Tous les contrôles d'une norme ne peuvent pas être mappés aux résultats de Security Command Center, car certains contrôles ne peuvent pas être automatisés. raisons. Par conséquent, le nombre total de contrôles que Security Command Center est généralement inférieure au nombre total de contrôles définit.

Le CIS examine et certifie les correspondances entre les détecteurs Security Command Center version compatible du benchmark CIS Google Cloud Foundations. Des mappages de conformité supplémentaires sont inclus à titre de référence uniquement.

Pour en savoir plus sur Security Health Analytics et les résultats de Web Security Scanner, la correspondance entre les détecteurs compatibles et les normes de conformité, consultez résultats de failles.

Normes et benchmarks compatibles

Security Command Center surveille votre conformité à l'aide de détecteurs associés aux dispositifs de contrôle à diverses normes de sécurité.

Pour chaque norme de sécurité acceptée, Security Command Center vérifie un sous-ensemble des contrôles. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour le des contrôles non réussis, Security Command Center affiche une liste des résultats les défaillances des contrôles.

Le CIS examine et certifie les mappages Security Command Center à chaque détecteur compatible du benchmark CIS Google Cloud Foundations Benchmark. Conformité supplémentaire les mappages sont inclus à titre de référence uniquement.

Security Command Center Prise en charge régulière de nouvelles versions et normes de benchmark. Plus anciens versions restent compatibles, mais finissent par devenir obsolètes. Nous vous recommandons d'utiliser l'analyse comparative ou la norme compatible la plus récente.

Avec l'attribut service de stratégie de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et qui s'appliquent à votre entreprise. Après avoir créé une stratégie de sécurité, vous pouvez surveiller toute modification de l'environnement susceptible d'affecter la conformité de votre entreprise.

Pour en savoir plus sur la gestion de la conformité, consultez la page Évaluer et signaler la conformité avec les normes de sécurité standards.

Normes de sécurité compatibles avec Google Cloud

Security Command Center mappe les détecteurs pour Google Cloud sur un ou plusieurs des standard:

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
• Benchmark CIS de Kubernetes v1.5.1
• Cloud Controls Matrix (CCM) 4
• Assurance santé Loi sur la portabilité et la responsabilité (HIPAA, Portability and Accountability Act)
• Organisation internationale de normalisation (ISO) 27001, 2022 et 2013
• National NIST 800-53, R5 et R4
• NIST CSF 1.0
• Open Web Application Security Project (OWASP) Top 10, 2021 et 2017
• Données du secteur des cartes de paiement Normes de sécurité (PCI DSS) 4.0 et 3.2.1
• Contrôles du système et de l'organisation (SOC) 2 2017 Critères pour les services de confiance (TSC)

Normes de sécurité compatibles avec AWS

Security Command Center met en correspondance les détecteurs pour Amazon Web Services (AWS) avec un ou plusieurs des systèmes de conformité suivants standard:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Controls 8.0
• CCM 4
• HIPAA
• ISO 27001 2022
• NIST 800-53 R5
• NIST CSF 1.0
• PCI DSS 4.0 et 3.2.1
• SOC 2 2017 TSC