Évaluer et signaler la conformité aux normes de sécurité

Avec Security Command Center, vous pouvez évaluer et améliorer la conformité de vos ressources sur Google Cloud avec des normes de sécurité et (collectivement, les normes de sécurité).

Évaluer la conformité

Vous pouvez voir d'un coup d'œil la conformité de votre environnement cloud vis-à-vis d'une de sécurité standard la page Conformité dans le console Google Cloud.

La page Conformité affiche toutes les normes de sécurité compatibles avec Security Command Center, ainsi que votre niveau de conformité à chacune d'elles.

Votre niveau de conformité est mesuré par le nombre de recommandations ou de contrôles d'une norme donnée que vous respectez. Il est affiché sous la forme d'un pourcentage du nombre total de contrôles que Security Command Center évalue pour la norme. Si Security Command Center ne détecte aucune faille ni aucune erreur de configuration (collectivement appelées failles) pour un contrôle particulier, ce contrôle est validé.

Les services de détection des failles de Security Command Center, tels que Security Health Analytics et Web Security Scanner, surveillent les contrôles en fonction d'un mappage optimal entre les détecteurs des services et les contrôles d'une norme.

Évaluer la conformité à une norme spécifique

Pour chaque norme, vous pouvez ouvrir la page Détails de la conformité pour en savoir plus sur les contrôles que Security Command Center vérifie pour la norme, le nombre d'infractions détectées pour chaque contrôle et l'option d'exporter un rapport de conformité pour la norme.

Vous pouvez trier la liste des règles en cliquant sur les en-têtes de colonne, y compris Controls (Commandes) : permet de trier la liste en fonction du numéro de commande. Si une règle correspond à plusieurs commandes, le tri par numéro de commande trie la règle en fonction du numéro de commande le plus bas.

Pour afficher les résultats actifs de Security Command Center correspondant à un règle ou commande, dans la colonne Règles, cliquez sur le nom de la règle. La page Résultats s'ouvre et affiche les résultats filtrés par la catégorie de résultats correspondant à la règle.

Pour en savoir plus sur la façon dont Security Command Center facilite la gestion de la conformité, consultez la section Gérer et surveiller la conformité.

Examiner les résultats concernant des cas de non-conformité

Pour afficher les résultats individuels de chaque contrôle, cliquez sur le nom de la règle sur la page Détails de la conformité. La page Résultats s'affiche et affiche les résultats. pour le contrôle.

Afficher des détails sur un résultat particulier, y compris des recommandations sur la façon de résoudre le problème, sur la page Résultats, cliquez sur le nom dans le Colonne Catégorie.

Pour en savoir plus sur la correction des résultats, consultez les pages Corriger les résultats de Security Health Analytics et Corriger les résultats de Web Security Scanner.

Créer des rapports sur la conformité

Sur la page Détails de la conformité d'une norme de conformité spécifique, vous pouvez exporter un rapport de conformité pour la norme au format CSV.

Les rapports incluent les informations affichées sur la page Détails de la conformité et établissent un lien clair entre chaque contrôle standard et la règle et la catégorie de résultats Security Command Center correspondantes. La gravité de chaque résultat est également incluse.

Le rapport est un instantané à un moment précis du niveau de conformité de votre environnement cloud. pour une norme particulière à une date que vous spécifiez.

Les rapports de conformité de Security Command Center ne remplacent pas un audit de conformité, mais peuvent vous aider à maintenir votre état de conformité et à détecter les cas de non-conformité en amont.

Définir le champ d'application d'un rapport de conformité

Security Command Center applique automatiquement les rapports de conformité au projet, dossier ou organisation que vous sélectionnez en haut de la page console Google Cloud. Par exemple, si la vue de la console Google Cloud est définie sur un projet, le rapport de conformité n'inclut que les résultats associés à ce projet.

Si Security Command Center est actif au niveau de l'organisation et que votre vue est définie sur une organisation, le rapport de conformité inclut les résultats de l'ensemble de l'organisation, ce qui englobe tous les projets qu'elle contient. Si Security Command Center est actif au niveau d'un projet et que vous sélectionnez une organisation ou un dossier, la page Compliance (Conformité) ne s'affiche pas.

Exporter un rapport de conformité

Pour exporter un rapport de conformité depuis la console Google Cloud, vous avez besoin du Rôle de lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer).

Pour exporter un rapport au format CSV qui regroupe les résultats de violation pour un standard de conformité, procédez comme suit:

  1. Accédez à la page Conformité dans la console Google Cloud :

    Accéder

  2. Utilisez le sélecteur de projet dans la console Google Cloud pour choisir projet, dossier ou organisation pour lesquels vous devez afficher un .

  3. Sur la page Conformité, recherchez la norme pour laquelle vous avez besoin d'un rapport.

  4. À côté du nom standard, cliquez sur Afficher les détails. Informations sur la conformité s'ouvre.

  5. Sur la page Détails de la conformité, cliquez sur Exporter le rapport. La La page Exporter le rapport de conformité s'ouvre.

  6. Sur la page Exporter le rapport de conformité, sélectionnez la date pour laquelle vous avez besoin du rapport. Le rapport est un instantané de la conformité à cette date.

  7. Cliquez sur Exporter. Le rapport est téléchargé sur votre poste de travail au format CSV. .

Correspondance entre les détecteurs et les résultats et les contrôles de conformité

les services de détection Security Command Center, tels que Security Health Analytics et Web Security Scanner, utilisez des modules de détection (détecteurs) pour vérifier les failles et les erreurs de configuration dans votre environnement cloud.

Lorsqu'une faille est détectée, le détecteur génère une résultats. Une découverte est un enregistrement d'une faille ou d'un autre problème de sécurité qui inclut des informations telles que les suivantes :

  • Description de la faille

  • Une recommandation pour remédier à la vulnérabilité qui apporterait le contrôle à la conformité

  • ID numérique de la commande correspondant au résultat

  • Étapes recommandées pour corriger la faille

Tous les contrôles d'une norme ne peuvent pas être mappés aux résultats de Security Command Center. car certains contrôles ne peuvent pas être automatisés. raisons. Par conséquent, le nombre total de contrôles que Security Command Center est généralement inférieure au nombre total de contrôles définit.

Le CIS examine et certifie les mises en correspondance des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mises en correspondance de conformité supplémentaires sont incluses à titre de référence uniquement.

Pour en savoir plus sur les résultats de Security Health Analytics et de Web Security Scanner, ainsi que sur le mappage entre les détecteurs compatibles et les normes de conformité, consultez la page Résultats concernant les failles.

Normes et benchmarks compatibles

Security Command Center surveille votre conformité à l'aide de détecteurs associés aux dispositifs de contrôle à diverses normes de sécurité.

Pour chaque norme de sécurité acceptée, Security Command Center vérifie un sous-ensemble des contrôles. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas acceptés, Security Command Center affiche une liste de résultats qui décrivent les échecs de contrôle.

Le CIS examine et certifie les mappages Security Command Center à chaque détecteur compatible du benchmark CIS Google Cloud Foundations Benchmark. Conformité supplémentaire les mappages sont inclus à titre de référence uniquement.

Security Command Center ajoute régulièrement de nouvelles versions et normes de benchmark. Plus anciens versions restent compatibles, mais finissent par devenir obsolètes. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.

Avec l'attribut service de stratégie de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller toute modification de l'environnement pouvant affecter la conformité de votre entreprise.

Pour en savoir plus sur la gestion de la conformité, consultez la section Évaluer et signaler la conformité aux normes de sécurité.

Normes de sécurité compatibles avec Google Cloud

Security Command Center mappe les détecteurs pour Google Cloud sur un ou plusieurs des standard:

Normes de sécurité compatibles avec AWS

Security Command Center met en correspondance les détecteurs pour Amazon Web Services (AWS) avec un ou plusieurs des systèmes de conformité suivants standard: