Security Command Center 概念性概览

Security Command Center 提供什么

Security Command Center 是 Google Cloud 的集中式漏洞和威胁报告服务。Security Command Center 通过以下方式来帮助您强化安全状况:评估您的安全和数据攻击表面;提供资源清点和发现服务;识别错误的配置、漏洞和威胁;缓解风险并采取补救措施。

Security Command Center 层级

您选择的层级决定了您的组织可用的内置 Security Command Center 服务:

层级详情

标准层级特性

  • Security Health Analytics:在标准层级中,Security Health Analytics 可为 Google Cloud 提供代管式漏洞评估扫描服务,此功能可以自动检测您的 Google Cloud 资产中存在的最严重的漏洞和配置错误。标准层级中的 Security Health Analytics 包含以下发现类型:

    • DATAPROC_IMAGE_OUTDATED
    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_GROUP_IAM_MEMBER
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner 自定义扫描:在标准层级中,Web Security Scanner 支持对具有公共网址和 IP 地址且不受防火墙保护的已部署应用进行自定义扫描。所有项目都手动配置、管理和执行扫描,并且支持 OWASP 十大项目中的部分类别。
  • Security Command Center 错误:Security Command Center 提供了配置错误检测和修复指南,可确保 Security Command Center 及其服务正常运行。
  • 支持在组织级层授予用户 Identity and Access Management (IAM) 角色。
  • 您可以使用集成的 Google Cloud 服务,其中包括:

  • 与 BigQuery 集成,将发现结果导出到 BigQuery 以进行分析。
  • Forseti Security(Google Cloud 的开源安全工具包)以及第三方安全信息和事件管理 (SIEM) 应用集成。

高级层级特性

高级层级包含所有标准层级功能,并增加了以下功能:

  • Event Threat Detection 使用威胁情报、机器学习和其他高级方法监控组织的 Cloud Logging 和 Google Workspace,并检测以下威胁:
    • 恶意软件
    • 挖矿
    • SSH 暴力破解
    • 传出 DoS
    • IAM 异常授权
    • 数据渗漏

    Event Threat Detection 还会识别以下 Google Workspace 威胁:

    • 密码泄露
    • 已尝试的帐号入侵
    • 更改两步验证设置
    • 更改单点登录 (SSO) 设置
    • 受政府支持的攻击
  • Container Threat Detection 可检测以下容器运行时攻击:
    • 已执行添加的二进制文件
    • 已加载添加的库
    • 已执行恶意脚本
    • 反向 shell
  • 虚拟机威胁检测可检测在虚拟机实例内运行的加密货币挖矿应用。
  • Security Health Analytics:高级层级包括所有 Security Health Analytics 检测器(140 多个)的代管式漏洞扫描,并提供对许多行业最佳做法的监控以及跨您的 Google Cloud 资产的合规性监控。您还可以在合规性信息中心查看这些结果,并将其导出为可管理的 CSV 文件。

    高级层级中的 Security Health Analytics 可基于以下各项标准进行监控和报告:

    • CIS 1.2
    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • 高级层级中的 Web Security Scanner 包括所有标准层级功能以及支持 OWASP 十大类别的其他检测器。 Web Security Scanner 还会添加自动配置的代管式扫描。这些扫描能够识别 Google Cloud 应用中的以下安全漏洞:
    • 跨站脚本攻击 (XSS)
    • Flash 注入
    • 混合内容
    • 明文密码
    • 使用不安全的 JavaScript 库
  • 高级层级支持在组织、文件夹和项目级层授予用户 IAM 角色。
  • 高级层级包含持续导出功能,该功能可自动管理将新的发现结果导出到 Pub/Sub 的过程。
  • 如果您的资产监控需求增加,您可以申请提高 Cloud Asset Inventory 配额
  • Secured Landing Zone 服务只能在 Security Command Center 高级层级启用。启用后,如果已部署的蓝图的资源存在违反政策的情况,则此服务会显示发现结果,生成相应的提醒,并选择性地采取自动补救措施。
  • 虚拟机管理器漏洞报告

    • 如果您启用虚拟机管理器,则服务会自动将其漏洞报告(预览版)的发现结果写入 Security Command Center。这些报告可识别 Compute Engine 虚拟机上安装的操作系统中的漏洞。如需了解详情,请参阅 虚拟机管理器

    如需了解与使用 Security Command Center 层级相关的费用,请参阅价格

    如需订阅 Security Command Center 高级层级,请与客户代表联系。

    强化安全状况

    Security Command Center 与 Cloud Asset Inventory 搭配使用,可让您全面了解 Google Cloud 基础架构和资源(也称为资产)。内置服务(Security Health Analytics、Event Threat Detection、Container Threat Detection、Web Security Scanner)使用近 200 个检测模块,用于持续监控和扫描资产、Web 应用、Cloud Logging 流、Google Workspace 日志、Google 网上论坛。

    借助 Google 的威胁智能、机器学习和独特的 Google Cloud 架构数据分析,Security Command Center 可近乎实时地检测漏洞、配置错误、威胁和违规情况。安全发现结果和合规性报告可帮助您对风险进行分类以及确定优先级,并提供经过验证的补救说明以及应对发现结果的专家提示。

    下图说明了 Security Command Center 中的核心服务和操作。

    Security Command Center 的工作原理

    广泛的资产、数据和服务清单

    Security Command Center 会从 Cloud Asset Inventory 中提取新的、已修改和已删除的资源的相关数据,从而持续监控云环境中的资源。Security Command Center 支持大量 Google Cloud 资源。对于大多数资产,系统会以近乎实时的方式检测配置更改(包括 IAM 和组织政策)。您可以快速识别组织中的更改,并回答如下问题:

    • 您有多少个项目?多少个项目是新项目?
    • 部署或使用了哪些 Google Cloud 资源,例如 Compute Engine 虚拟机 (VM)、Cloud Storage 存储桶或 App Engine 实例?
    • 您的部署历史记录是什么?
    • 如何跨以下类别整理、注释、搜索、选择、过滤和排序:
      • 资产和资产属性
      • 安全标记,可让您在 Security Command Center 中注释资产或发现结果
      • 时间段

    Security Command Center 始终了解受支持的资产的当前状态,并且在 Google Cloud Console 或 Security Command Center API 中可让您查看历史探索扫描以比较不同时间点的资产。您还可以查找虚拟机或空闲 IP 地址等未充分利用的资产。

    富有实用价值的安全性数据分析

    Security Command Center 的内置服务和集成服务会持续监控资产和日志,以查找与已知威胁、漏洞和配置错误相匹配的失陷指标和配置更改。为了为突发事件提供上下文,系统使用以下来源的信息来丰富发现结果:

    您可以近乎实时地收到新发现结果的通知,从而帮助安全团队收集数据、识别威胁以及根据建议采取相应措施来避免造成业务损害或损失。

    借助集中式信息中心和功能强大的 API,您可以快速执行以下操作:

    • 回答如下问题:
      • 哪些静态 IP 地址对公众开放?
      • 您的虚拟机上正在运行哪些映像?
      • 是否有证据表明您的虚拟机被用于虚拟货币挖矿或其他滥用行为?
      • 添加或移除了哪些服务帐号?
      • 防火墙是如何配置的?
      • 哪些存储桶包含个人身份信息 (PII) 或敏感数据?此功能需要与 Cloud Data Loss Prevention 集成。
      • 哪些云应用容易受到跨站点脚本 (XSS) 漏洞的攻击?
      • 我的 Cloud Storage 存储分区是否向互联网开放?
    • 采取措施保护您的资产:
      • 针对资产配置错误和违规情况实施经过验证的修复步骤。
      • 结合来自 Google Cloud 和第三方提供商(例如 Palo Alto Networks)的威胁智能,更好地保护您的企业免受代价昂贵的计算层威胁。
      • 确保适当的 IAM 政策已落实到位,并在政策配置有误或意外更改时收到提醒。
      • 集成来自您自己或第三方来源的发现结果,用于 Google Cloud 资源或者混合或多云端资源。如需了解详情,请参阅添加第三方安全服务
      • 应对 Google Workspace 环境中的威胁以及 Google 网上论坛中的不安全更改。

    Security Command Center 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您被授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制

    始终符合行业标准

    合规性报告作为 Security Health Analytics 的一部分提供。服务的大多数检测器符合以下一个或多个合规性标准:

    • CIS Google Cloud Computing Foundations Benchmark v1.2.0 (CIS Google Cloud Foundation 1.2)
    • CIS Google Cloud Computing Foundations Benchmark v1.1.0 (CIS Google Cloud Foundation 1.1)
    • CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0)
    • 支付卡行业数据安全标准 3.2.1
    • 美国国家标准与技术研究院 800-53
    • 国际标准化组织 27001
    • 开放式 Web 应用安全项目 (OWASP) 十大风险

    Security Health Analytics 会根据合规性标准持续评估您的安全状况。此外,Security Command Center 可让您轻松执行以下操作:

    • 监控并解决与发现结果相关联的违规问题。
    • 集成 Compute Engine、网络服务、Cloud Storage、IAM 和 Binary Authorization 的 Cloud Audit Logging 事件。这将帮助您满足监管要求,或在调查突发事件期间进行审核跟踪记录。
    • 如果您订阅 Security Command Center 高级方案,将获得额外的报告和导出选项,以确保您的所有资源均符合合规性要求。

    灵活的平台可满足您的安全需求

    Security Command Center 包含集成选项,可让您增强服务的实用程序,以满足不断变化的安全需求:

    何时使用 Security Command Center

    下表包含高级产品功能、使用场景以及指向相关文档的链接,可帮助您快速找到所需的内容。

    特征 使用场景 相关文档
    资产发现和资产清点
    • 探索整个组织的资产、服务和数据,并在一个位置进行查看。
    • 评估受支持的资产的漏洞,并采取措施来优先修复最严重的问题。
    • 查看历史探索扫描,找出新增、已修改或已删除的资产。
    优化 Security Command Center

    访问权限控制机制

    使用 Security Command Center 信息中心

    配置资产发现

    列出资产

    机密数据识别
    • 确定使用 Cloud DLP 存储敏感数据和受监管数据的位置。
    • 帮助预防意外泄露,并确保只有有必要知道的人员可以访问此类数据。
    将 Cloud DLP 结果发送到 SCC

    SIEM 和 SOAR 集成
    • 轻松将 Security Command Center 数据导出到外部系统。
    导出 Security Command Center 数据

    持续导出

    漏洞检测
    • 主动收到有关新漏洞和受攻击面的变化的提醒。
    • 发现给您的应用带来风险的常见漏洞,例如跨站脚本攻击 (XSS) 和 Flash 注入。
    Web Security Scanner 概览

    漏洞发现结果

    监控访问权限控制措施
    • 帮助确保适当的访问权限控制政策已在 Google Cloud 资源落实到位,并在政策配置错误或意外更改时收到提醒。
    访问权限控制机制
    威胁检测
    • 检测基础架构中的恶意活动和操作者,并获得有关活跃威胁的提醒。
    Event Threat Detection 概览

    Container Threat Detection 概览

    消除风险
    • 实施已验证和建议的修复说明以快速保护资产。
    • 专注于发现结果中最重要的字段,以帮助安全分析师快速做出明智的分类决策。
    • 丰富并关联相关的漏洞和威胁,以识别和捕获 TTP。
    调查和应对威胁

    修复发现的 Security Health Analytics 问题

    针对 Web Security Scanner 的发现结果进行补救

    安全响应自动化

    第三方安全工具输入
    • 将现有安全工具(如 Cloudflare、CrowdStrike、Palo Alto Networks 的 Prisma Cloud 和 Qualys 等)的输出集成到 Security Command Center 中。集成输出可帮助您检测以下情况:

      • DDoS 攻击
      • 已破解的端点
      • 违反合规政策的行为
      • 网络攻击
      • 实例漏洞和威胁
    配置 Security Command Center

    创建和管理安全来源

    实时通知
    • 利用 Pub/Sub 通知,通过电子邮件、短信、Slack、WebEx 和其他服务接收 Security Command Center 提醒。
    • 调整发现结果过滤条件以排除许可名单上的发现结果。
    设置发现结果通知

    启用实时电子邮件和聊天通知

    使用安全标记

    导出 Security Command Center 数据

    过滤通知

    将资源添加到许可名单

    REST API 和客户端 SDK
    • 使用 Security Command Center REST API 或客户端 SDK,与您的现有安全系统和工作流轻松集成。
    配置 Security Command Center

    以编程方式访问 Security Command Center

    Security Command Center API

    后续步骤