Security Health Analytics es un servicio gestionado de Security Command Center que analiza tus entornos de nube para detectar errores de configuración habituales que podrían exponerte a ataques.
Security Health Analytics se habilita automáticamente al activar Security Command Center.
Funciones de Security Health Analytics por nivel
Las funciones de Security Health Analytics que tienes disponibles varían en función del nivel de servicio en el que esté habilitado Security Command Center. Puedes consultar qué resultados están disponibles en cada nivel en la página Resultados de Security Health Analytics.
Funciones del nivel Standard
En el nivel Standard, Security Health Analytics solo puede detectar un grupo básico de vulnerabilidades de gravedad media y alta.
Funciones del nivel Premium
El nivel Premium incluye las siguientes funciones:
- Todos los detectores de Google Cloud, así como otras funciones de detección de vulnerabilidades, como la posibilidad de crear módulos de detección personalizados.
- Los resultados se asignan a controles de cumplimiento para generar informes de cumplimiento. Para obtener más información, consulta Detectores y cumplimiento.
- Las simulaciones de rutas de ataque de Security Command Center calculan las puntuaciones de exposición a ataques y las posibles rutas de ataque de la mayoría de los hallazgos de Security Health Analytics. Para obtener más información, consulta el artículo Información general sobre las puntuaciones de exposición a ataques y las rutas de ataque.
Funciones del nivel Enterprise
El nivel Enterprise incluye todas las funciones del nivel Premium, así como detectores para otras plataformas de proveedores de servicios en la nube.
Cambiar de nivel
La mayoría de los detectores de Security Health Analytics solo están disponibles en los niveles Premium y Enterprise de Security Command Center. Si usas el nivel Premium o Enterprise y tienes previsto cambiar al nivel Estándar, te recomendamos que resuelvas todos los resultados antes de cambiar de nivel.
Cuando finaliza una prueba de Premium o Enterprise, o bien cuando cambias a la edición Standard desde la edición Premium o Enterprise, el estado de las detecciones que se generaron en la edición superior se define como INACTIVE.
Compatibilidad con multinube
Security Health Analytics puede detectar errores de configuración en tus implementaciones en otras plataformas en la nube.
Security Health Analytics admite los siguientes proveedores de servicios en la nube:
Amazon Web Services (AWS): para ejecutar los detectores en datos de AWS, primero debe conectar Security Command Center a AWS, tal como se describe en el artículo Conectarse a AWS para recoger datos de configuración y de recursos.
Microsoft Azure: para ejecutar los detectores en datos de Microsoft Azure, primero debe conectar Security Command Center a Microsoft Azure, tal como se describe en el artículo Conectar con Microsoft Azure para detectar vulnerabilidades y evaluar riesgos.
Servicios en la nube compatibles Google Cloud
El análisis de evaluación de vulnerabilidades gestionado de Security Health Analytics para Google Cloud puede detectar automáticamente vulnerabilidades y errores de configuración comunes en los siguientes Google Cloud servicios:
- Cloud Monitoring y Cloud Logging
- Compute Engine
- Contenedores y redes de Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Gestión de identidades y accesos (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Tipos de análisis de Security Health Analytics
Los análisis de Security Health Analytics se ejecutan en tres modos:
Análisis por lotes: todos los detectores se programan para que se ejecuten una vez al día en todas las organizaciones o proyectos registrados.
Análisis en tiempo real: solo para las Google Cloud implementaciones, los detectores compatibles inician análisis cada vez que se detecta un cambio en la configuración de un recurso. Los resultados se escriben en Security Command Center. Las comprobaciones en tiempo real no se admiten en las implementaciones en otras plataformas en la nube.
Modo mixto: es posible que algunos detectores que admiten análisis en tiempo real no detecten los cambios en tiempo real en todos los tipos de recursos admitidos. En esos casos, los cambios de configuración de algunos tipos de recursos se registran inmediatamente, mientras que otros se registran en análisis por lotes. Las excepciones se indican en las tablas de resultados de Security Health Analytics.
Detectores de Security Health Analytics
Security Health Analytics usa detectores para identificar vulnerabilidades y errores de configuración en tu entorno de nube. Cada detector corresponde a una categoría de resultados.
Security Health Analytics incluye muchos detectores integrados que comprueban si hay vulnerabilidades y errores de configuración en un gran número de categorías y tipos de recursos.
También puedes crear tus propios detectores personalizados que puedan comprobar vulnerabilidades o errores de configuración que no cubran los detectores integrados o que sean específicos de tu entorno.
Para obtener más información sobre los detectores integrados de Security Health Analytics, consulta Detectores integrados de Security Health Analytics.
Para obtener más información sobre cómo crear y usar módulos personalizados, consulta el artículo Módulos personalizados de Security Health Analytics.
Habilitación de detectores
No todos los detectores integrados de Security Health Analytics para Google Cloud están habilitados de forma predeterminada.
Si usas el nivel Enterprise con compatibilidad multicloud, todos los detectores de AWS están habilitados de forma predeterminada.
Para activar los detectores integrados inactivos, consulta Habilitar e inhabilitar detectores.
Para habilitar o inhabilitar un módulo de detección personalizado de Security Health Analytics, puedes actualizarlo mediante la Google Cloud consola, la CLI de gcloud o la API de Security Command Center.
Para obtener más información sobre cómo actualizar módulos personalizados de Security Health Analytics, consulta el artículo Actualizar un módulo personalizado.
Compatibilidad con detectores con activaciones a nivel de proyecto
Con los niveles Standard y Premium, puedes activar Security Command Center en toda una organización o en uno o varios proyectos de una organización.
El nivel Enterprise no admite activaciones a nivel de proyecto.
Detectores integrados y activaciones a nivel de proyecto
Si habilitas Security Command Center solo en un proyecto, no se admitirán determinados detectores de Security Health Analytics integrados porque requieren permisos a nivel de organización.
De los detectores integrados que requieren una activación a nivel de organización, puedes habilitar los que están disponibles en el nivel Standard de Security Command Center para activaciones a nivel de proyecto. Para ello, habilita el nivel Standard en tu organización, que es gratuito.
Los detectores integrados que requieren tanto el nivel Premium como permisos a nivel de organización no se admiten con activaciones a nivel de proyecto.
Para ver una lista de los detectores de nivel Standard integrados que requieren que se active Security Command Center Standard a nivel de organización para poder usarlos con una activación a nivel de proyecto, consulta Categorías de resultados de nivel Standard de organización.
Para ver una lista de los detectores de nivel Premium integrados que no se admiten con activaciones a nivel de proyecto, consulta Resultados de Security Health Analytics no admitidos.
Detectores de módulos personalizados y activaciones a nivel de proyecto
Los análisis de los detectores de módulos personalizados que crees en un proyecto se limitan al ámbito del proyecto, independientemente del nivel de activación de Security Command Center. Los detectores de módulos personalizados solo pueden analizar los recursos que estén disponibles en el proyecto en el que se creen.
Para obtener más información sobre los módulos personalizados, consulta el artículo Módulos personalizados de Security Health Analytics.
Detectores integrados de Security Health Analytics
En esta sección se describen las categorías de alto nivel de los detectores, que se muestran por plataforma en la nube y por categoría de resultados que generan.
Detectores integrados para Google Cloud por categoría de alto nivel
Los detectores de Security Health Analytics para Google Cloudy los resultados que generan se agrupan en las siguientes categorías de alto nivel.
Los detectores de Security Health Analytics monitorizan un subconjunto de los Google Cloud tipos de recursos que admite Cloud Asset Inventory.
Para ver los detectores individuales que se incluyen en cada categoría, haz clic en el nombre de la categoría.
- Resultados de vulnerabilidades de claves de API
- Resultados de vulnerabilidades de imágenes de Compute
- Vulnerabilidades detectadas en instancias de Compute
- Vulnerabilidades detectadas en contenedores
- Resultados de vulnerabilidades de Dataproc
- Resultados de vulnerabilidades de conjuntos de datos
- Resultados de vulnerabilidades de DNS
- Vulnerabilidades detectadas en el cortafuegos
- Vulnerabilidades de gestión de identidades y accesos
- Vulnerabilidades detectadas de KMS
- Registrar vulnerabilidades detectadas
- Monitorizar las vulnerabilidades detectadas
- Resultados de vulnerabilidades de autenticación multifactor
- Vulnerabilidades de la red
- Avisos de vulnerabilidades de las políticas de la organización
- Resultados de vulnerabilidades de Pub/Sub
- Resultados de vulnerabilidades de SQL
- Vulnerabilidades de almacenamiento
- Vulnerabilidades detectadas en la subred
Detectores integrados para AWS
Para ver una lista de todos los detectores de Security Health Analytics para AWS, consulta Resultados de AWS.
Módulos personalizados de Security Health Analytics
Los módulos personalizados de Security Health Analytics son detectores personalizados paraGoogle Cloud que amplían las funciones de detección de Security Health Analytics más allá de las que ofrecen los detectores integrados.
Los módulos personalizados no se admiten en otras plataformas en la nube.
Puedes crear módulos personalizados mediante el flujo de trabajo guiado de la consola deGoogle Cloud o crear la definición del módulo personalizado en un archivo YAML y, a continuación, subirlo a Security Command Center con comandos de la CLI de Google Cloud o la API de Security Command Center.
Para obtener más información, consulta la descripción general de los módulos personalizados de Security Health Analytics.
Detectores y cumplimiento
La medición de Security Command Center del cumplimiento de los estándares de seguridad se basa en gran medida en los resultados producidos por los detectores de vulnerabilidades de Security Health Analytics.
Security Health Analytics monitoriza el cumplimiento de los detectores que se asignan a los controles de una amplia variedad de estándares de seguridad.
En cada estándar de seguridad admitido, Security Health Analytics comprueba un subconjunto de los controles. En el caso de los controles marcados, Security Command Center te muestra cuántos se han superado. En el caso de los controles que no se superan, Security Command Center muestra una lista de resultados que describen los fallos de los controles.
El CIS revisa y certifica las asignaciones de los detectores de Security Health Analytics a cada versión compatible de la comparativa de Google Cloud CIS Foundations. Se incluyen asignaciones de cumplimiento adicionales únicamente con fines de referencia.
Security Health Analytics añade periódicamente compatibilidad con nuevas versiones y estándares de comparativas. Las versiones anteriores siguen siendo compatibles, pero con el tiempo quedarán obsoletas. Te recomendamos que utilices la métrica o el estándar más recientes que se admitan.
Con el servicio de postura de seguridad, puedes asignar políticas de la organización y detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes monitorizar cualquier cambio en el entorno que pueda afectar al cumplimiento de tu empresa.
Con Compliance Manager (vista previa), puedes desplegar marcos que asignen controles normativos a controles en la nube. Una vez que hayas creado un marco de trabajo, podrás monitorizar los cambios que se produzcan en el entorno que puedan afectar al cumplimiento de los requisitos y auditar tu entorno.
Para obtener más información sobre cómo gestionar el cumplimiento, consulta el artículo Evaluar y comunicar el cumplimiento de los estándares de seguridad.
Estándares de seguridad admitidos
Google Cloud
Security Health Analytics asigna detectores de Google Cloud a uno o varios de los siguientes estándares de cumplimiento:
- Controles 8.0 del Centro de Seguridad de la Información (CIS)
- Comparativa Google Cloud Computing Foundations de CIS versiones 2.0.0, 1.3.0, 1.2.0, 1.1.0 y 1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix (CCM) 4
- Ley de Transferencia y Responsabilidad de los Seguros Médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 y R4
- Framework de ciberseguridad (CSF) 1.0 del Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST)
- Las diez principales vulnerabilidades de seguridad de aplicaciones web del proyecto abierto de seguridad de aplicaciones web (OWASP) en el 2021 y el 2017
- Estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS) 4.0 y 3.2.1
- Controles de sistemas y de organización (SOC) 2 Criterios de servicios de confianza (TSC) del 2017
AWS
Security Health Analytics asigna detectores de Amazon Web Services (AWS) a uno o varios de los siguientes estándares de cumplimiento:
- Versión 2.0.0 de CIS Amazon Web Services Foundations
- Versión 8.0 de los controles de seguridad críticos del CIS
- Cloud Controls Matrix (CCM) 4
- Ley de Transferencia y Responsabilidad de los Seguros Médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022
- Instituto Nacional de Normas y Tecnología (NIST) 800-53 R5
- Instituto Nacional de Normas y Tecnología de EE. UU. (NIST) Marco de ciberseguridad (CSF) 1.0
- Estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS) 4.0 y 3.2.1
- Controles de sistemas y de organización (SOC) 2 Criterios de servicios fiables (TSC) del 2017
Para obtener más información sobre el cumplimiento, consulta Evaluar y registrar el cumplimiento de las comparativas de seguridad.