Security Command Center 概念性概览

Security Command Center 提供什么

Security Command Center 是 Google Cloud 的集中式漏洞和威胁报告服务。Security Command Center 通过以下方式来帮助您强化安全状况:评估您的安全和数据攻击表面;提供资源清点和发现服务;识别错误的配置、漏洞和威胁;缓解风险并采取补救措施。

Security Command Center 层级

您选择的层级决定了您的组织可用的内置 Security Command Center 服务:

层级详情

标准层级特性

  • Security Health Analytics:在标准层级中,Security Health Analytics 可为 Google Cloud 提供代管式漏洞评估扫描服务,此功能可以自动检测您的 Google Cloud 资产中存在的最严重的漏洞和配置错误。标准层级中的 Security Health Analytics 包含以下发现类型:

    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner 自定义扫描:在标准层级中,Web Security Scanner 支持对公共网址和 IP 地址不受防火墙保护的已部署应用进行自定义扫描。所有项目都手动配置、管理和执行扫描,并且支持 OWASP 十大项目中的部分类别
  • 支持在组织级层授予用户 Identity and Access Management (IAM) 角色。
  • 您可以使用集成的 Google Cloud 服务,其中包括:

  • 集成 Google Cloud 开源安全工具包 Forseti Security 以及第三方安全信息和事件管理 (SIEM) 应用。

高级层级特性

高级层级包含所有标准层级功能,并增加了以下功能:

  • Event Threat Detection 使用威胁情报、机器学习和其他高级方法监控组织的 Cloud Logging 和 Google Workspace,并检测以下威胁:
    • 恶意软件
    • 挖矿
    • SSH 暴力破解
    • 传出 DoS
    • IAM 异常授权
    • 数据渗漏

    Event Threat Detection 还会识别以下 Google Workspace 威胁:

    • 密码泄露
    • 已尝试的帐号入侵
    • 更改两步验证设置
    • 更改单点登录 (SSO) 设置
    • 受政府支持的攻击
  • Container Threat Detection 可检测以下容器运行时攻击:
    • 已执行添加的二进制文件
    • 已加载添加的库
    • 已执行恶意脚本
    • 反向 shell
  • Security Health Analytics:专业版层级包括所有 Security Health Analytics 检测器(140 多个)的代管式漏洞扫描,并提供对许多行业最佳做法的监控以及跨合规性合规性监控您的 Google Cloud 资产。您还可以在合规性信息中心查看这些结果,并将其导出为可管理的 CSV 文件。

    高级层级中的 Security Health Analytics 可基于以下各项标准进行监控和报告:

    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • 高级层级中的 Web Security Scanner 包括所有标准层级功能,并添加了自动配置的代管式扫描。这些扫描能够识别 Google Cloud 应用中的以下安全漏洞:
    • 跨站脚本攻击 (XSS)
    • Flash 注入
    • 混合内容
    • 明文密码
    • 使用不安全的 JavaScript 库
  • 支持在组织、文件夹和项目级层授予用户 IAM 角色。
  • 持续导出,可自动管理新发现结果到 Pub/Sub 的导出。

虚拟机管理器漏洞报告

  • 如果您启用虚拟机管理器,则服务会自动将其漏洞报告(预览版)的发现结果写入 Security Command Center。这些报告可识别 Compute Engine 虚拟机上安装的操作系统中的漏洞。如需了解详情,请参阅 虚拟机管理器

如需了解使用 Security Command Center 层级的费用,请参阅价格

如需订阅 Security Command Center 高级层级,请与客户代表联系。

强化安全状况

Security Command Center 与 Cloud Asset Inventory 搭配使用,可让您全面了解 Google Cloud 基础架构和资源(也称为资产)。内置服务(Security Health Analytics、Event Threat Detection、Container Threat Detection、Web Security Scanner)使用近 200 个检测模块,用于持续监控和扫描资产、Web 应用、Cloud Logging 流、Google Workspace 日志、Google 网上论坛。

借助 Google 的威胁智能、机器学习和独特的 Google Cloud 架构数据分析,Security Command Center 可近乎实时地检测漏洞、配置错误、威胁和违规情况。安全发现结果和合规性报告可帮助您对风险进行分类以及确定优先级,并提供经过验证的补救说明以及应对发现结果的专家提示。

下图说明了 Security Command Center 中的核心服务和操作。

SCC 的工作原理

广泛的资产、数据和服务清单

Security Command Center 会从 Cloud Asset Inventory 中注入新的、已修改和已删除的资产的相关数据,Cloud Asset Inventory 会持续监控云环境中的资产。Security Command Center 支持大量 Google Cloud 资产。对于大多数资产,系统会近乎实时地检测配置更改(包括 IAM 和组织政策)。您可以快速识别组织中的更改,并回答如下问题:

  • 您有多少个项目?多少个项目是新项目?
  • 部署或使用了哪些 Google Cloud 资源,例如 Compute Engine 虚拟机 (VM)、Cloud Storage 存储桶或 App Engine 实例?
  • 您的部署历史记录是什么?
  • 如何跨以下类别整理、注释、搜索、选择、过滤和排序:
    • 资产和资产属性
    • 安全标记,可让您在 Security Command Center 中注释资产或发现结果
    • 时间段

Security Command Center 始终了解受支持的资产的当前状态,并且在 Google Cloud Console 或 Security Command Center API 中可让您查看历史探索扫描以比较不同时间点的资产。您还可以查找虚拟机或空闲 IP 地址等未充分利用的资产。

富有实用价值的安全性数据分析

Security Command Center 的内置服务和集成服务会持续监控资产和日志,以查找与已知威胁、漏洞和配置错误相匹配的失陷指标和配置更改。为了为突发事件提供上下文,系统使用以下来源的信息来丰富发现结果:

您可以近乎实时地收到新发现结果的通知,从而帮助安全团队收集数据、识别威胁以及根据建议采取相应措施来避免造成业务损害或损失。

借助集中式信息中心和强大的 API,您可以快速执行以下操作:

  • 回答如下问题:
    • 哪些静态 IP 地址对公众开放?
    • 您的虚拟机上正在运行哪些映像?
    • 是否有证据表明您的虚拟机正在用于虚拟货币挖矿或其他滥用的操作?
    • 添加或移除了哪些服务帐号?
    • 防火墙是如何配置的?
    • 哪些存储桶包含个人身份信息 (PII) 或敏感数据?此功能需要与 Cloud Data Loss Prevention 集成。
    • 哪些云应用容易受到跨站点脚本 (XSS) 漏洞的攻击?
    • 我的 Cloud Storage 存储分区是否向互联网开放?
  • 采取措施保护您的资产:
    • 针对资产配置错误和违规情况实施经过验证的补救步骤。
    • 结合来自 Google Cloud 和第三方提供商(例如 Palo Alto Networks)的威胁智能,更好地保护您的企业免受代价昂贵的计算层威胁。
    • 确保适当的 IAM 政策已落实到位,并在政策配置有误或意外更改时收到提醒。
    • 集成来自您自己或第三方来源的 Google Cloud 资源或者混合或多云资源发现结果。如需了解详情,请参阅添加第三方安全服务
    • 应对 Google Workspace 环境中的威胁以及 Google 网上论坛中的不安全更改。

Security Command Center 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产、安全来源和安全标记,取决于您被授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制

始终符合行业标准

合规性报告是 Security Health Analytics 的一部分。服务的大多数检测器都映射到以下一项或多项合规性标准:

  • CIS Google Cloud Computing Foundations Benchmark v1.1.0 (CIS Google Cloud Foundation 1.1)
  • CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0)
  • 支付卡行业数据安全标准 3.2.1
  • 美国国家标准与技术研究院 800-53
  • 国际标准化组织 27001
  • 开放式 Web 应用安全项目 (OWASP) 十大风险

Security Health Analytics 会根据合规性标准持续评估您的安全状况。此外,Security Command Center 可让您轻松执行以下操作:

  • 监控并解决与发现结果相关联的违规问题。
  • 集成适用于 Compute Engine、网络服务、Cloud Storage、IAM 和 Binary Authorization 的 Cloud Audit Logging 事件。这将帮助您满足监管要求,或在调查突发事件期间提供审核跟踪记录。
  • 如果您订阅 Security Command Center Premium,将获得额外的报告和导出选项,以确保您的所有资源均符合合规性要求。

灵活的平台可满足您的安全需求

Security Command Center 包含集成选项,可让您增强服务的实用程序以满足不断变化的安全需求:

何时使用 Security Command Center

下表包含高级产品功能、使用场景以及指向相关文档的链接,可帮助您快速找到所需的内容。

特征 使用场景 相关文档
资产发现和资产清点
  • 探索整个组织的资产、服务和数据,并在一个位置进行查看。
  • 评估受支持的资产的漏洞,并采取措施确定修复最严重的问题的优先级。
  • 查看历史探索扫描,找出新增、已修改或已删除的资产。
优化 Security Command Center

访问权限控制机制

使用 Security Command Center 信息中心

配置资产发现

列出资产

机密数据识别
  • 了解使用 Cloud DLP 存储敏感数据和受监管数据的位置。
  • 帮助预防意外泄露,并确保只有有必要知道的人员可以访问此类数据。
将 Cloud DLP 结果发送到 SCC

SIEM 和 SOAR 集成
  • 轻松将 Security Command Center 数据导出到外部系统。
导出 Security Command Center 数据

持续导出

漏洞检测
  • 主动收到有关新漏洞和受攻击面的变化的提醒。
  • 发现给您的应用带来风险的常见漏洞,例如跨站脚本攻击 (XSS) 和 Flash 注入。
Web Security Scanner 概览

漏洞发现结果

监控访问权限控制措施
  • 帮助确保适当的访问权限控制政策已在 Google Cloud 资源落实到位,并在政策配置错误或意外更改时收到提醒。
访问权限控制机制
威胁检测
  • 检测基础架构中的恶意活动和操作者,并接收活跃威胁的提醒。
Event Threat Detection 概览

Container Threat Detection 概览

消除风险
  • 实施已验证和建议的补救说明以快速保护资产。
  • 专注于发现结果中最重要的字段,以帮助安全分析师快速做出明智的分类决策。
  • 丰富并关联相关的漏洞和威胁,以识别和捕获 TTP。
调查和应对威胁

修复发现的 Security Health Analytics 问题

针对 Web Security Scanner 的发现结果进行补救

安全响应自动化

第三方安全工具输入
  • 将现有安全工具(如 Cloudflare、CrowdStrike、Palo Alto Networks 的 Prisma Cloud 和 Qualys 等)的输出集成到 Security Command Center 中。集成输出可帮助您检测以下情况:

    • DDoS 攻击
    • 已破解的端点
    • 违反合规政策的行为
    • 网络攻击
    • 实例漏洞和威胁
配置 Security Command Center

创建和管理安全来源

实时通知
  • 利用 Pub/Sub 通知,通过电子邮件、短信、Slack、WebEx 和其他服务接收 Security Command Center 提醒。
  • 调整发现结果过滤条件以排除许可名单上的发现结果。
设置发现结果通知

启用实时电子邮件和聊天通知

使用安全标记

导出 Security Command Center 数据

过滤通知

将资源添加到许可名单

REST API 和客户端 SDK
  • 使用 Security Command Center REST API 或客户端 SDK,与您的现有安全系统和工作流轻松集成。
配置 Security Command Center

以编程方式访问 Security Command Center

Security Command Center API

后续步骤