Security Health Analytics 是 Security Command Center 的一项代管式服务,可扫描您的云环境,以查找可能会让您遭受攻击的常见错误配置。
当您激活 Security Command Center 时,Security Health Analytics 会自动启用。
Security Health Analytics 功能(按层级划分)
可供您使用的 Security Health Analytics 功能因启用 Security Command Center 的服务层级而异。
标准层级特性
在标准层级中,Security Health Analytics 只能检测严重程度为“中等”和“高”的基本漏洞。如需查看 Security Health Analytics 在标准层级中检测到的发现结果类别列表,请参阅标准服务层级。
高级层级功能
高级层级包括以下特性:
- Google Cloud 的所有检测器,以及许多其他漏洞检测功能,例如创建自定义检测模块的功能。
- 发现结果对应于合规性报告的合规性控制措施。 如需了解详情,请参阅检测器和合规性。
- Security Command Center 攻击路径模拟会针对大多数 Security Health Analytics 发现结果,计算攻击暴露风险得分和潜在攻击路径。如需了解详情,请参阅攻击风险得分和攻击路径概览。
如需查看所有高级层级功能的列表,请参阅高级层级。
企业层级功能
企业层级包含所有高级层级功能,以及其他云服务提供商平台的检测器。
切换层级
大多数 Security Health Analytics 检测器仅在 Security Command Center 高级层级和企业层级中提供。如果您使用的是高级层级或企业层级,并且计划切换到标准层级,我们建议您在更改层级之前先解决所有发现结果。
当高级层级或企业版试用结束,或者您从高级层级或企业层级降级到标准层级时,在较高层级生成的发现结果的状态会设置为 INACTIVE。
多云支持
Security Health Analytics 可以检测您在其他云平台上的部署中的错误配置。
Security Health Analytics 支持以下其他云服务提供商:
- Amazon Web Services (AWS)
如需在 AWS 上运行检测器,您首先需要将 Security Command Center 连接到 AWS,如连接到 AWS 以进行漏洞检测和风险评估中所述。
支持的 Google Cloud 云服务
适用于 Google Cloud 的 Security Health Analytics 代管式漏洞评估扫描功能可以自动检测以下 Google Cloud 服务的常见漏洞和配置错误:
- Cloud Monitoring 和 Cloud Logging
- Compute Engine
- Google Kubernetes Engine 容器和网络
- Cloud Storage
- Cloud SQL
- Identity and Access Management (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Security Health Analytics 扫描类型
Security Health Analytics 扫描会以三种模式运行:
批量扫描:所有检测器都计划每天对所有已注册的组织或项目运行一次。
实时扫描:(仅适用于 Google Cloud 部署)只要在资源配置中检测到更改,受支持的检测器就会启动扫描。发现结果会写入 Security Command Center。其他云平台上的部署不支持实时扫描。
混合模式:某些支持实时扫描的检测器可能无法实时检测到所有受支持的资源类型的变化。在这种情况下,系统会立即捕获某些资源类型的配置更改,而通过批量扫描捕获其他资源类型的配置更改。Security Health Analytics 发现结果表格中注明了例外情况。
Security Health Analytics 检测器
Security Health Analytics 使用检测器来识别您的云环境中的漏洞和配置错误。每个检测器都对应一个发现结果类别。
Security Health Analytics 附带许多内置检测器,可针对众多类别和资源类型检查漏洞和配置错误。
您还可以创建自己的自定义检测器,这些检测器可以检查内置检测器未涵盖的漏洞或配置错误,或者特定于您的环境的漏洞或配置错误。
如需详细了解内置的 Security Health Analytics 检测器,请参阅 Security Health Analytics 内置检测器。
如需详细了解如何创建和使用自定义模块,请参阅 Security Health Analytics 自定义模块。
检测器启用
默认情况下,系统并不会启用适用于 Google Cloud 的所有 Security Health Analytics 内置检测器。
如果您使用的是支持多云的企业层级,则默认情况下会启用 AWS 的所有检测器。
如需启用无效的内置检测器,请参阅启用和停用检测器。
如需启用或停用 Security Health Analytics 自定义检测模块,您可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 更新自定义模块。
如需详细了解如何更新 Security Health Analytics 自定义模块,请参阅更新自定义模块。
检测器支持与项目级激活
通过标准层级和高级层级,您可以为整个组织或者组织内的一个或多个项目激活 Security Command Center。
Enterprise 层级不支持项目级激活。
内置检测器和项目级激活
如果仅为项目启用 Security Command Center,某些内置的 Security Health Analytics 检测器不受支持,因为它们需要组织级权限。
在需要组织级激活的内置检测器中,您可以通过为您的组织免费启用标准层级来为项目级激活启用 Security Command Center 标准层级可用的检测器。
项目级激活不支持同时需要高级层级和组织级权限的内置检测器。
如需查看需要组织级激活 Security Command Center 标准层级然后才能与项目级层激活一起使用的内置标准层级检测器的列表,请参阅组织级层标准层级发现结果类别。
如需查看项目级激活不支持的内置高级层级检测器的列表,请参阅 Security Health Analytics 发现结果不受支持。
自定义模块检测器和项目级激活
无论 Security Command Center 的激活级别如何,您在项目中创建的自定义模块检测器的扫描都仅限于项目范围。自定义模块检测器只能扫描可用于创建它们的项目的项目。
如需详细了解自定义模块,请参阅 Security Health Analytics 自定义模块。
Security Health Analytics 内置检测器
本部分介绍了按 Cloud Platform 列出的检测器的简要类别及其生成的发现结果类别。
适用于 Google Cloud 的内置检测器(按概要类别)
Google Cloud 的 Security Health Analytics 检测器及其发出的发现结果可分为以下简要类别。
Security Health Analytics 检测器会监控 Cloud Asset Inventory 支持的部分 Google Cloud 资源类型。
如需查看每个类别中包含的各个检测器,请点击类别名称。
- API 密钥漏洞发现结果
- 计算映像漏洞发现结果
- 计算实例漏洞发现结果
- 容器漏洞发现结果
- Dataproc 漏洞发现结果
- 数据集漏洞发现结果
- DNS 漏洞发现结果
- 防火墙漏洞发现结果
- IAM 漏洞发现结果
- KMS 漏洞发现结果
- 日志记录漏洞发现结果
- 监控漏洞发现结果
- 多重身份验证漏洞发现结果
- 网络漏洞发现结果
- 组织政策漏洞发现结果
- Pub/Sub 漏洞发现结果
- SQL 漏洞发现结果
- 存储漏洞发现结果
- 子网漏洞发现结果
适用于 AWS 的内置检测器
如需查看适用于 AWS 的所有 Security Health Analytics 检测器的列表,请参阅 AWS 发现结果。
Security Health Analytics 自定义模块
Security Health Analytics 自定义模块是 Google Cloud 的自定义检测器,可将 Security Health Analytics 的检测功能扩展到内置检测器提供的检测功能之外。
其他云平台不支持自定义模块。
您可以使用 Google Cloud 控制台中的引导式工作流创建自定义模块,也可以在 YAML 文件中自行创建自定义模块定义,然后使用 Google Cloud CLI 命令或 Security Command Center API 将其上传到 Security Command Center。
如需了解详情,请参阅 Security Health Analytics 自定义模块概览。
检测器与合规性
Security Command Center 对安全基准合规性的衡量在很大程度上基于 Security Health Analytics 漏洞检测器生成的发现结果。
Security Health Analytics 可监控您对检测器的遵从情况,这些检测器对应于各种安全标准的控件。
对于每项受支持的安全标准,Security Health Analytics 都会检查部分控制措施。对于已检查的控件,Security Command Center 会显示有多少控件已通过。对于未通过的控制措施,Security Command Center 会向您显示一个发现结果列表,其中描述了相应控制措施的失败情况。
CIS 审核并验证 Security Health Analytics 检测器与 CIS Google Cloud Foundations 基准的每个受支持版本的映射。其他合规性映射仅供参考。
Security Health Analytics 会定期增加对新的基准版本和标准的支持。旧版本仍受支持,但最终会弃用。 我们建议您使用受支持的最新基准或可用标准。
借助 Security Posture 服务,您可以将组织政策和 Security Health Analytics 检测器映射到适用于您业务的标准和控制措施。创建安全状况后,您可以监控任何可能影响企业合规性的环境更改。
如需详细了解如何管理合规性,请参阅评估和报告安全标准合规性。
Google Cloud 支持的安全标准
Security Health Analytics 将 Google Cloud 的检测器映射到以下一项或多项合规性标准:
- 信息安全中心 (CIS) 控制措施 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
- CIS Kubernetes 基准 v1.5.1
- Cloud Controls 矩阵 (CCM) 4
- 健康保险流通与责任法案 (HIPAA)
- 国际标准化组织 (ISO) 27001,2022 年和 2013 年
- National Institute of Standards and Technology (NIST) 800-53 R5 和 R4
- NIST CSF 1.0
- 开放式 Web 应用安全项目 (OWASP) 十大热门事件(2021 年和 2017 年)
- 支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
- 系统和组织控制措施 (SOC) 2 2017 年可信服务标准 (TSC)
AWS 支持的安全标准
Security Health Analytics 将 Amazon Web Services (AWS) 的检测器映射到以下一项或多项合规性标准:
- CIS Amazon Web Services Foundations 2.0.0
- CIS 控件 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 和 3.2.1
- SOC 2 2017 TSC
如需详细了解合规性,请参阅评估和报告安全基准合规性。