Las estadísticas del estado de seguridad son un servicio administrado de Security Command Center que analiza tus entornos de nube en busca de parámetros de configuración incorrectos comunes que podrían exponerte a ataques.
Security Health Analytics se habilita de forma automática cuando activas Security Command Center.
Funciones de Security Health Analytics por nivel
Las funciones de Security Health Analytics que tienes disponibles varían según el nivel de servicio en el que esté habilitado Security Command Center.
Funciones del nivel Estándar
En el nivel Estándar, Security Health Analytics solo puede detectar un grupo básico de vulnerabilidades de gravedad media y alta. Para obtener una lista de las categorías de búsqueda que detecta Security Health Analytics con el nivel Estándar, consulta Nivel de servicio Estándar.
Funciones del nivel Premium
El nivel Premium incluye las siguientes funciones:
- Todos los detectores de Google Cloud y otras funciones de detección de vulnerabilidades, como la capacidad de crear módulos de detección personalizados.
- Los resultados se asignan a los controles de cumplimiento para los informes de cumplimiento. Para obtener más información, consulta Detectores y cumplimiento.
- Las simulaciones de rutas de ataque de Security Command Center calculan las puntuaciones de exposición a ataques y las posibles rutas de ataque para la mayoría de los hallazgos de Security Health Analytics. Para obtener más información, consulta la Descripción general de las puntuaciones de exposición a ataques y las rutas de ataque.
Para obtener una lista de todas las funciones del nivel Premium, consulta Nivel Premium.
Funciones del nivel Enterprise
El nivel Enterprise incluye todas las funciones del nivel Premium, así como detectores para otras plataformas de proveedores de servicios en la nube.
Cambia de niveles
La mayoría de los detectores de Security Health Analytics solo están disponibles en los niveles Premium y Enterprise de Security Command Center. Si usas los niveles Premium o Enterprise y planeas cambiar al nivel Estándar, te recomendamos que resuelvas todos los hallazgos antes de cambiar el nivel.
Cuando finaliza una prueba Premium o Enterprise, o cambias al nivel Estándar del nivel Premium o Enterprise, el estado de los hallazgos que se generaron en el nivel superior se establece en INACTIVE.
Compatibilidad con múltiples nubes
Security Health Analytics puede detectar parámetros de configuración incorrectos en tus implementaciones en otras plataformas en la nube.
Security Health Analytics admite los siguientes proveedores de servicios en la nube:
- Amazon Web Services (AWS)
Para ejecutar los detectores en AWS, primero debes conectar Security Command Center a AWS, como se describe en Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.
Servicios en la nube de Google Cloud compatibles
El análisis de evaluación de vulnerabilidades administrado de Security Health Analytics para Google Cloud puede detectar automáticamente vulnerabilidades y parámetros de configuración incorrectos comunes en los siguientes servicios de Google Cloud:
- Cloud Monitoring y Cloud Logging
- Compute Engine
- Contenedores y redes de Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Administración de identidades y accesos (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Tipos de análisis de Security Health Analytics
Los análisis de las estadísticas de estado de seguridad se ejecutan en tres modos:
Análisis por lotes: Todos los detectores están programados para ejecutarse una vez al día en todas las organizaciones o proyectos inscritos.
Análisis en tiempo real: Solo en las implementaciones de Google Cloud, los detectores compatibles inician los análisis cada vez que se detecta un cambio en la configuración de un recurso. Los resultados se escriben en Security Command Center. Los análisis en tiempo real no son compatibles con las implementaciones en otras plataformas en la nube.
Modo mixto: Es posible que algunos detectores que admiten análisis en tiempo real no detecten cambios en tiempo real para todos los tipos de recursos admitidos. En esos casos, los cambios de configuración para algunos tipos de recursos se capturan de inmediato y otros se capturan en análisis por lotes. Las excepciones se observan en las tablas de resultados de las estadísticas del estado de seguridad.
Detectores de estadísticas de estado de seguridad
Las estadísticas del estado de seguridad usan detectores para identificar vulnerabilidades y opciones de configuración incorrectas en tu entorno de nube. Cada detector corresponde a una categoría de resultado.
Las estadísticas del estado de seguridad vienen con muchos detectores integrados que verifican si hay vulnerabilidades y opciones de configuración incorrectas en una gran cantidad de categorías y tipos de recursos.
También puedes crear tus propios detectores personalizados que pueden verificar vulnerabilidades o parámetros de configuración incorrectos que no están cubiertos por los detectores integrados o que son específicos de tu entorno.
Para obtener más información sobre los detectores integrados de Security Health Analytics, consulta detectores integrados de Security Health Analytics.
Para obtener más información sobre la creación y el uso de módulos personalizados, consulta Módulos personalizados de Security Health Analytics.
Habilitación del detector
No todos los detectores integrados de Security Health Analytics para Google Cloud están habilitados de forma predeterminada.
Si usas el nivel empresarial con compatibilidad con múltiples nubes, todos los detectores para AWS están habilitados de forma predeterminada.
Para activar los detectores integrados inactivos, consulta Habilita o inhabilita detectores.
Para habilitar o inhabilitar un módulo de detección personalizada de Security Health Analytics, puedes actualizar el módulo personalizado mediante la consola de Google Cloud, gcloud CLI o la API de Security Command Center.
Si quieres obtener más información para actualizar los módulos personalizados de Security Health Analytics, consulta Actualiza un módulo personalizado.
Compatibilidad del detector con activaciones a nivel de proyecto
Con los niveles Estándar y Premium, puedes activar Security Command Center para toda una organización o uno o más proyectos dentro de una organización.
El nivel Enterprise no admite activaciones a nivel de proyecto.
Detectores integrados y activaciones a nivel de proyecto
Cuando habilitas Security Command Center solo para un proyecto, ciertos detectores integrados de Security Health Analytics no son compatibles porque requieren permisos a nivel de la organización.
De los detectores integrados que requieren una activación a nivel de la organización, puedes habilitar los que están disponibles con el nivel Estándar de Security Command Center para activaciones a nivel de proyecto si habilitas el nivel Estándar en tu organización, que es sin costo.
Los detectores integrados que requieren permisos de nivel Premium y a nivel de la organización no son compatibles con las activaciones a nivel de proyecto.
Para obtener una lista de los detectores integrados del nivel Estándar que requieren una activación a nivel de la organización del nivel Estándar de Security Command Center antes de que se puedan usar con una activación a nivel de proyecto, consulta Categorías de búsqueda del nivel Estándar a nivel de la organización.
Para obtener una lista de los detectores integrados del nivel Premium que no son compatibles con las activaciones a nivel de proyecto, consulta Resultados no admitidos de Security Health Analytics.
Detectores de módulos personalizados y activaciones a nivel de proyecto
Los análisis de los detectores de módulos personalizados que creas en un proyecto se limitan al alcance del proyecto, sin importar el nivel de activación de Security Command Center. Los detectores de módulos personalizados solo pueden analizar los recursos que están disponibles para el proyecto en el que se crean.
Para obtener más información sobre los módulos personalizados, consulta Módulos personalizados de Estadísticas del estado de seguridad.
Detectores integrados de Security Health Analytics
En esta sección, se describen las categorías de alto nivel de los detectores, que se enumeran por Cloud Platform y la categoría del resultado que generan.
Detectores integrados para Google Cloud por categoría de alto nivel
Los detectores de Security Health Analytics para Google Cloud y los resultados que emiten se agrupan en las siguientes categorías de alto nivel.
Los detectores de Security Health Analytics supervisan un subconjunto de los tipos de recursos de Google Cloud que son compatibles con Cloud Asset Inventory.
Para ver los detectores individuales que se incluyen en cada categoría, haz clic en su nombre.
- Resultados de las vulnerabilidades de la clave de API
- Resultados de las vulnerabilidades de imágenes de Compute
- Resultados de las vulnerabilidades de las instancias de Compute
- Resultados de las vulnerabilidades de contenedores
- Resultados de las vulnerabilidades de Dataproc
- Resultados de las vulnerabilidades de los conjuntos de datos
- Resultados de las vulnerabilidades de DNS
- Resultados de las vulnerabilidades de firewall
- Resultados de las vulnerabilidades de IAM
- Resultados de las vulnerabilidades de KMS
- Resultados de las vulnerabilidades de registros
- Resultados de vulnerabilidades de Monitoring
- Resultados de vulnerabilidades de autenticación de varios factores
- Resultados de las vulnerabilidades de la red
- Resultados de las vulnerabilidades de las políticas de la organización
- Resultados de vulnerabilidades de Pub/Sub
- Resultados de las vulnerabilidades de SQL
- Resultados de las vulnerabilidades de Storage
- Resultados de las vulnerabilidades de subred
Detectores integrados para AWS
Una lista de todos los detectores de Security Health Analytics para AWS, consulta los resultados de AWS.
Módulos personalizados de Security Health Analytics
Los módulos personalizados de Security Health Analytics son detectores personalizados de Google Cloud que extienden las capacidades de detección de Security Health Analytics más allá de las que proporcionan los detectores integrados.
Los módulos personalizados no son compatibles con otras plataformas en la nube.
Puedes crear módulos personalizados mediante el flujo de trabajo guiado en la consola de Google Cloud o puedes crear tú mismo la definición del módulo personalizado en un archivo YAML y, luego, subirla a Security Command Center con los comandos de Google Cloud CLI o la API de Security Command Center.
Para obtener más información, consulta Descripción general de los módulos personalizados de Security Health Analytics.
Detectores y cumplimiento
La medición de Security Command Center del cumplimiento de las comparativas de seguridad se basa, en gran medida, en los resultados que producen los detectores de vulnerabilidades de Security Health Analytics.
Security Health Analytics supervisa tu cumplimiento con detectores asignados a los controles de una amplia variedad de estándares de seguridad.
Para cada estándar de seguridad compatible, las estadísticas del estado de seguridad verifican un subconjunto de los controles. En el caso de los controles marcados, Security Command Center te muestra cuántos están pasando. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de resultados que describen las fallas de control.
CIS revisa y certifica las asignaciones de los detectores de Security Health Analytics con cada versión compatible de la comparativa de CIS para Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo como referencia.
En Security Health Analytics, se agrega compatibilidad con versiones de comparativas nuevas y estándares de forma periódica. Las versiones anteriores siguen siendo compatibles, pero con el tiempo se darán de baja. Te recomendamos que uses la versión comparativa o estándar más reciente que esté disponible.
Con el servicio de postura de seguridad, puedes asignar políticas de la organización y detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar cualquier cambio en el entorno que pueda afectar el cumplimiento de tu empresa.
Para obtener más información sobre la administración del cumplimiento, consulta Evalúa el cumplimiento de los estándares de seguridad y genera informes sobre ellos.
Estándares de seguridad compatibles con Google Cloud
Security Health Analytics asigna los detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:
- Center for Information Security Controls (CIS) Controls 8.0
- Comparativa de CIS para Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativas de CIS en Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top 10, 2021 y 2017
- Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Controles del sistema y de la organización (SOC) 2 Criterios de servicios de confianza (TSC) 2017
Estándares de seguridad compatibles con AWS
Security Health Analytics asigna los detectores de Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800‐53 R5
- NIST CSF 1.0
- PCI DSS 4.0 y 3.2.1
- SOC 2 TSC 2017
Para obtener más información sobre el cumplimiento, consulta Evalúa y, luego, informa el cumplimiento de las comparativas de seguridad.