Avec Security Command Center, vous pouvez évaluer, améliorer et générer des rapports sur la conformité de vos ressources sur Google Cloud avec des normes et des benchmarks de sécurité courants (collectivement, normes de sécurité).
Évaluer la conformité
Vous pouvez voir d'un coup d'œil la conformité de votre environnement cloud vis-à-vis d'une de sécurité standard la page Conformité dans le console Google Cloud.
La page Conformité affiche toutes les normes de sécurité compatibles avec Security Command Center, ainsi que votre niveau de conformité à chacune d'elles.
Votre niveau de conformité est mesuré par le nombre de recommandations ou de contrôles d'une norme donnée que vous respectez, affiché sous forme de pourcentage le nombre total de contrôles que Security Command Center évalue pour la norme. Si Security Command Center ne détecte aucune faille ni erreur de configuration (collectivement désignés par le terme failles) pour un contrôle donné, celui-ci constitue passant le contrôle.
Les services de détection des failles de Security Command Center, tels que Security Health Analytics et Web Security Scanner, surveiller les commandes en fonction d'une cartographie optimale entre les détecteurs des services et les contrôles d'une norme.
Évaluer la conformité à une norme spécifique
Pour chaque norme, vous pouvez ouvrir la page Détails de la conformité pour en savoir plus sur les contrôles que Security Command Center vérifie pour la norme, le nombre d'infractions détectées pour chaque contrôle et l'option d'exporter un rapport de conformité pour la norme.
Vous pouvez trier la liste des règles en cliquant sur les en-têtes de colonne, y compris sur Commandes, qui trie la liste par numéro de commande. Si une règle correspond à plusieurs commandes, le tri par numéro de contrôle permet de trier la règle numéro de contrôle le plus bas.
Pour afficher les résultats actifs de Security Command Center correspondant à un règle ou commande, dans la colonne Règles, cliquez sur le nom de la règle. La page Résultats s'ouvre et affiche les résultats filtrés par la catégorie de résultats correspondant à la règle.
Pour savoir comment Security Command Center prend en charge la gestion de la conformité, consultez Gestion et surveillance de la conformité.
Examiner les résultats des cas de non-respect de la conformité
Pour afficher les résultats individuels pour chaque contrôle, consultez les informations sur la conformité. cliquez sur le nom de la règle. La page Résultats s'affiche et affiche les résultats. pour le contrôle.
Afficher des détails sur un résultat particulier, y compris des recommandations sur la façon de résoudre le problème, sur la page Résultats, cliquez sur le nom dans le Colonne Catégorie.
Pour en savoir plus sur la résolution des problèmes, consultez Corriger les résultats de Security Health Analytics et Corriger les problèmes identifiés par Web Security Scanner
Rapport sur la conformité
Sur la page Détails de la conformité d'une norme de conformité spécifique, vous pouvez exporter un rapport de conformité pour cette norme au format CSV.
Les rapports incluent les informations affichées sur la page Détails de la conformité, et établissent un lien clair entre chaque contrôle standard et son Règle et catégorie de résultats Security Command Center. La gravité de chaque catégorie de résultats est également incluse.
Le rapport est un instantané de la conformité de votre environnement cloud à une norme spécifique à une date que vous spécifiez.
Les rapports de conformité de Security Command Center ne remplacent pas un rapport de conformité mais peut vous aider à maintenir votre conformité et à détecter les cas de non-conformité plus tôt.
Définir le champ d'application d'un rapport de conformité
Security Command Center applique automatiquement les rapports de conformité au projet, dossier ou organisation que vous sélectionnez en haut de la page console Google Cloud. Par exemple, si la vue de la console Google Cloud est définie sur un projet, le rapport de conformité n'inclut que les résultats associés à ce projet.
Si Security Command Center est actif au niveau de l'organisation et que votre vue est définie sur une organisation, le rapport de conformité inclut les résultats de l'ensemble de l'organisation, ce qui englobe tous les projets qu'elle contient. Si Security Command Center est actif au niveau d'un projet et que vous sélectionnez une organisation ou un dossier, la page Compliance (Conformité) ne s'affiche pas.
Exporter un rapport de conformité
Pour exporter un rapport de conformité depuis la console Google Cloud, vous avez besoin du
Rôle de lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer).
Pour exporter un rapport au format CSV qui regroupe les résultats de violation pour un standard de conformité, procédez comme suit:
Accédez à la page Conformité dans la console Google Cloud:
Utilisez le sélecteur de projet dans la console Google Cloud pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous souhaitez afficher un rapport de conformité.
Sur la page Conformité, recherchez la norme pour laquelle vous avez besoin d'un rapport.
À côté du nom standard, cliquez sur Afficher les détails. Informations sur la conformité s'ouvre.
Sur la page Détails de la conformité, cliquez sur Exporter le rapport. La La page Exporter le rapport de conformité s'ouvre.
Sur la page Exporter le rapport de conformité, sélectionnez la date à laquelle vous si vous avez besoin du rapport. Le rapport est un instantané de la conformité à cette date.
Cliquez sur Exporter. Le rapport est téléchargé sur votre poste de travail au format CSV.
Comment les détecteurs et les résultats correspondent-ils aux contrôles de conformité ?
Les services de détection de Security Command Center, tels que Security Health Analytics et Web Security Scanner, utilisent des modules de détection (détecteurs) pour rechercher des failles et des erreurs de configuration dans votre environnement cloud.
Lorsqu'une faille est détectée, le détecteur génère un résultat. Une découverte est un enregistrement d'une faille ou d'un autre problème de sécurité qui inclut des informations telles que les suivantes :
Description de la faille
Une recommandation pour remédier à la vulnérabilité qui apporterait le contrôle à la conformité
ID numérique de la commande correspondant au résultat
Étapes recommandées pour corriger la faille
Toutes les commandes d'une norme ne peuvent pas être mappées aux résultats de Security Command Center, généralement parce que certaines commandes ne peuvent pas être automatisées, mais aussi pour d'autres raisons. Par conséquent, le nombre total de contrôles que Security Command Center vérifie est généralement inférieur au nombre total de contrôles définis par une norme.
Le CIS examine et certifie les mises en correspondance des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mappages de conformité supplémentaires sont inclus à titre de référence uniquement.
Pour en savoir plus sur les résultats de Security Health Analytics et de Web Security Scanner, ainsi que sur le mappage entre les détecteurs compatibles et les normes de conformité, consultez la page Résultats concernant les failles.
Normes et benchmarks compatibles
Security Command Center surveille votre conformité à l'aide de détecteurs associés aux dispositifs de contrôle à diverses normes de sécurité.
Pour chaque norme de sécurité acceptée, Security Command Center vérifie un sous-ensemble des contrôles. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour le des contrôles non réussis, Security Command Center affiche une liste des résultats les défaillances des contrôles.
Le CIS examine et certifie les mappages Security Command Center à chaque détecteur compatible du benchmark CIS Google Cloud Foundations Benchmark. Conformité supplémentaire les mappages sont inclus à titre de référence uniquement.
Security Command Center Prise en charge régulière de nouvelles versions et normes de benchmark. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser l'analyse comparative ou la norme compatible la plus récente.
Avec le service d'évaluation de l'état de sécurité, vous pouvez mapper les règles de l'organisation et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller toute modification de l'environnement pouvant affecter la conformité de votre entreprise.
Pour en savoir plus sur la gestion de la conformité, consultez la page Évaluer et signaler la conformité avec les normes de sécurité standards.
Normes de sécurité compatibles avec Google Cloud
Security Command Center fait correspondre les détecteurs de Google Cloud à une ou plusieurs des normes de conformité suivantes :
- Center for Information Security (CIS) Controls 8.0
- Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
- Benchmark CIS de Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Assurance santé Loi sur la portabilité et la responsabilité (HIPAA, Portability and Accountability Act)
- Organisation internationale de normalisation (ISO) 27001, 2022 et 2013
- NIST (National Institute of Standards and Technology) 800-53 R5 et R4
- NIST CSF 1.0
- Top 10 de l'OWASP (Open Web Application Security Project), 2021 et 2017
- Données du secteur des cartes de paiement Normes de sécurité (PCI DSS) 4.0 et 3.2.1
- SOC 2 2017 Critères de services approuvés (TSC)
Normes de sécurité compatibles avec AWS
Security Command Center fait correspondre les détecteurs d'Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes :
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 et 3.2.1
- SOC 2 2017 TSC