Como usar a análise de integridade de segurança

Nesta página, explicamos como gerenciar as descobertas do Security Health Analytics usando o Security Command Center.

O Security Health Analytics é um serviço integrado no Security Command Center. Para ver as descobertas do Security Health Analytics, ela precisa estar ativada nas configurações dos Serviços do Security Command Center.

O vídeo a seguir mostra as etapas para configurar a Security Health Analytics e fornece informações sobre como usar o painel. Saiba mais sobre como visualizar e gerenciar as descobertas do Security Health Analytics em texto mais adiante nesta página.

As descobertas dos detectores do Security Health Analytics são pesquisáveis no painel do Security Command Center e usando a API Security Command Center.

As verificações começam aproximadamente uma hora depois que o Security Command Center é ativado e são executadas em dois modos: modo em lote, que executa automaticamente as verificações duas vezes por dia, a cada 12 horas de diferença e em tempo real, que executa verificações nas alterações das configurações de recursos. Os detectores do Security Health Analytics que não são compatíveis com o modo de verificação em tempo real são listados na Visão geral da latência do Security Command Center.

Os papéis do Security Command Center são concedidos no nível da organização, pasta ou projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Recursos por nível de preço

O Security Health Analytics oferece verificação gerenciada de avaliação de vulnerabilidades que detecta automaticamente as vulnerabilidades mais graves e configurações incorretas dos recursos do Google Cloud.

No nível Standard do Security Command Center, o Security Health Analytics inclui apenas um grupo básico de detectores de alta gravidade. O nível Premium inclui todos os detectores do Security Health Analytics e adiciona relatórios de conformidade para práticas recomendadas e comparativos de mercado do setor.

Como alternar níveis

A maioria dos detectores do Security Health Analytics está disponível apenas no Security Command Center Premium. Se você for um cliente Premium e planeja mudar para o nível Standard, é recomendável resolver todas as descobertas antes de alterar a assinatura.

As descobertas geradas pelos detectores Premium não podem ser resolvidas automaticamente no nível Standard porque, após o downgrade ou no final de uma avaliação Premium, o Security Health Analytics não executa mais detectores Premium na organização. Essas descobertas não serão atualizadas e permanecerão ativas. Para marcar manualmente as descobertas como inativas, acesse a guia Descobertas no painel do Security Command Center.

Ativar e desativar detectores

Os seguintes detectores do Security Health Analytics não são ativados por padrão:

  • BIGQUERY_TABLE_CMEK_DISABLED
  • BUCKET_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD

Para ativar um detector, também conhecido como módulo, execute o comando glcloud alpha modules enable na Google Cloud CLI.

  gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Substitua:

  • ORGANIZATION_ID: o ID da organização
  • DETECTOR_NAME: o nome do detector que você quer ativar.

Para desativar um detector, execute o comando modules disable.

  gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Substitua:

  • ORGANIZATION_ID: o ID da organização
  • DETECTOR_NAME: o nome do detector que você quer desativar

Desativar detectores pode afetar o estado das descobertas ativas. Quando um detector é desativado, as descobertas existentes são marcadas como inativas.

O Security Health Analytics ou detectores específicos também podem ser desativados para pastas ou projetos específicos. Se o Security Health Analytics ou os detectores estiverem desativados para pastas e projetos, todas as descobertas existentes anexadas a recursos nesses recursos serão marcadas como inativas.

Como filtrar descobertas no Security Command Center

Uma organização de grande porte pode ter muitas descobertas de vulnerabilidades em toda a implantação para análise, triagem e rastreamento. Ao usar o Security Command Center com os filtros disponíveis, você pode se concentrar nas vulnerabilidades mais graves da organização e analisar vulnerabilidades por tipo de recurso, marcação de segurança e muito mais.

Para ver uma lista completa de detectores e descobertas do Security Health Analytics, consulte a página Descobertas do .

Como ver as descobertas do Security Health Analytics por projeto

Para visualizar as descobertas do Security Health Analytics por projeto:

  1. Acesse o Security Command Center no Console do Cloud.

    Acesse Security Command Center

  2. Para exibir os resultados do Security Health Analytics, clique na guia Vulnerabilidades.

  3. Em Filtro de projetos, clique em Adicionar um projeto ao filtro de projetos ().

  4. Na caixa de diálogo de pesquisa exibida, selecione o projeto para o qual você quer exibir as descobertas.

A guia Vulnerabilidades exibe uma lista de descobertas para o projeto selecionado.

Como visualizar as descobertas do Security Health Analytics por tipo de localização

Para visualizar as descobertas do Security Health Analytics por categoria:

  1. Acesse o Security Command Center no Console do Cloud.

    Acesse Security Command Center

  2. Para exibir os resultados do Security Health Analytics, clique na guia Vulnerabilidades.

  3. Na coluna Categoria, selecione o tipo de descoberta para o qual você quer exibir descobertas.

A guia Descobertas é carregada e exibe uma lista de descobertas que correspondem ao tipo selecionado.

Como visualizar descobertas por tipo de recurso

Para visualizar as descobertas do Security Health Analytics para um tipo específico de recurso:

  1. Acesse a página Descobertas do Security Command Center no Console do Cloud.

    Acesse Descobertas

  2. Ao lado de Ver por, clique em Tipo de fonte e selecione Security Health Analytics.

  3. Na caixa de filtro, digite resourceName: ASSET_TYPE. Por exemplo, para exibir as descobertas do Security Health Analytics para todos os projetos, insira resourceName: projects.

A lista de descobertas é atualizada para exibir todas as descobertas do tipo de recurso especificado.

Como visualizar as descobertas do Security Health Analytics por gravidade

Para visualizar as descobertas do Security Health Analytics por gravidade:

  1. Acesse o Security Command Center no Console do Cloud.

    Acesse Security Command Center

  2. Para exibir os resultados do Security Health Analytics, clique na guia Vulnerabilidades.

  3. Para classificar as descobertas por gravidade, clique no cabeçalho da coluna Gravidade. Os valores de descoberta são HIGH, MEDIUM, LOW.

Para mais informações sobre como encontrar tipos, consulte Descobertas de vulnerabilidades. O Security Command Center também oferece muitas propriedades integradas, incluindo propriedades personalizadas, como marcações de segurança.

Depois de filtrar por vulnerabilidades que são importantes para você, será possível visualizar informações detalhadas sobre a descoberta selecionando a vulnerabilidade no Security Command Center. Essas informações incluem uma descrição da vulnerabilidade e do risco, além das recomendações de correção.

Silenciar descobertas

Para controlar o volume de descobertas no Security Command Center, você pode silenciar de maneira manual ou programática as descobertas individuais ou criar regras de silenciamento que desativam automaticamente as descobertas atuais e futuras com base nos filtros definidos.

As descobertas silenciadas são ocultas e silenciadas, mas continuam sendo registradas para fins de auditoria e conformidade. Você pode ver as descobertas silenciadas ou ativá-las a qualquer momento. Para saber mais, consulte Ignorar descobertas no Security Command Center.

Como marcar recursos e descobertas com marcações de segurança

É possível adicionar propriedades personalizadas a descobertas e recursos no Security Command Center usando marcações de segurança. As marcações de segurança permitem identificar áreas de interesse de alta prioridade, como projetos de produção, marcar descobertas com números de rastreamento de bugs e incidentes e muito mais.

Adicionar recursos a listas de permissões

Desativar descobertas é a abordagem recomendada e mais eficaz para controlar o volume de descobertas. A desativação de descobertas é recomendada quando você não quer analisar as descobertas de segurança de recursos isolados ou que se enquadram em parâmetros comerciais aceitáveis.

Como alternativa, é possível adicionar marcações de segurança dedicadas aos recursos para que os detectores não criem descobertas de segurança para eles.

Quando as marcações dedicadas são aplicadas aos recursos, eles são adicionados a uma lista de permissões no Security Health Analytics e as descobertas desses recursos são marcadas como resolvidas quando a próxima verificação em lote é executada.

As marcações de segurança dedicadas precisam ser aplicadas diretamente aos recursos, não às descobertas, conforme descrito em Como as listas de permissões funcionam mais adiante nesta página. Se você aplicar uma marca a uma descoberta, o recurso subjacente ainda poderá gerar descobertas.

Como as listas de permissões funcionam

Cada detector do Security Health Analytics tem um tipo de marcação dedicada para a lista de permissões, na forma de allow_FINDING_TYPE:true. Adicionar essa marcação dedicada a um recurso permite excluir o recurso da política de detecção. Por exemplo, para excluir o tipo de descoberta SSL_NOT_ENFORCED, defina a marcação de segurança, allow_ssl_not_enforced:true, na instância do Cloud SQL relacionada. O detector especificado não criará descobertas para os recursos marcados.

Para ver uma lista completa dos tipos de localização, consulte a lista do Security Health Analytics incluída anteriormente nesta página. Para saber mais sobre marcações de segurança e técnicas para usá-las, consulte Como usar marcações de segurança.

Tipos de recurso

Esta seção descreve como as marcações de segurança funcionam para diferentes recursos.

  • Recursos da lista de permissões: quando você adiciona uma marcação dedicada a um recurso, como um bucket ou firewall do Cloud Storage, a descoberta associada é marcada como resolvida quando a próxima verificação em lote é executada. O detector não gerará novas descobertas nem atualizará as descobertas existentes do recurso até que a marcação seja removida.

  • Projetos da lista de permissões: quando você adiciona uma marcação a um recurso do projeto, as descobertas para que o próprio projeto é verificado ou de destino são resolvidas. No entanto, os recursos contidos no projeto, como máquinas virtuais ou chaves de criptografia, ainda podem gerar descobertas.

  • Pastas da lista de permissões: quando você adiciona uma marcação a um recurso de pasta, as descobertas para as quais a própria pasta é o recurso verificado ou de destino são resolvidas. No entanto, os recursos contidos na pasta, incluindo projetos, ainda poderão gerar descobertas.

  • Detectores compatíveis com vários recursos: se um detector for compatível com mais de um tipo de recurso, você precisará aplicar a marcação dedicada a cada um deles. Por exemplo, o detector, KMS_PUBLIC_KEY, é compatível com dois recursos do Cloud Key Management Service: CryptoKey e KeyRing. Se você aplicar a marcação allow_kms_public_key:true ao recurso CryptoKey, as descobertas KMS_PUBLIC_KEY desse recurso serão resolvidas, mas ainda vão poder ser geradas para o recurso KeyRing.

As marcações de segurança só são atualizadas durante as verificações em lote, não nas verificações em tempo real. Portanto, se uma marcação de segurança dedicada for removida e o recurso tiver uma vulnerabilidade, poderá levar até 24 horas para que a marcação seja excluída e uma descoberta seja gravada.

Detector de caso especial: chaves de criptografia fornecidas pelo cliente

O detector DISK_CSEK_DISABLED não está ativado por padrão. Para usar esse detector, você precisa marcar os recursos para os quais quer usar chaves de criptografia autogerenciadas.

Para ativar o detector DISK_CSEK_DISABLED para recursos específicos, aplique a marcação de segurança enforce_customer_supplied_disk_encryption_keys ao recurso com um valor true.

Como visualizar a contagem de descobertas ativa por tipo de descoberta

Use o Console do Cloud ou os comandos da Google Cloud CLI para ver as contagens de descobertas ativas por tipo de descoberta.

Console

O painel do Security Health Analytics permite que você visualize uma contagem de descobertas ativas para cada tipo de descoberta.

Para ver as descobertas do Security Health Analytics por tipo de descoberta:

  1. Acesse o Security Command Center no Console do Cloud.

    Acesse Security Command Center

  2. Para exibir os resultados do Security Health Analytics, clique na guia Vulnerabilidades.

  3. Para classificar as descobertas pelo número de descobertas ativas por tipo, clique no cabeçalho da coluna Ativas.

gcloud

Para usar a CLI gcloud para conseguir uma contagem de todas as descobertas ativas, consulte o Security Command Center para conseguir o ID de origem do Security Health Analytics. Em seguida, use o ID de origem para consultar a contagem de descobertas ativas.

Etapa 1: conseguir o ID da origem

Você precisa do ID da organização para concluir esta etapa. Para conseguir o ID da organização, execute gcloud organizations list e anote o número ao lado do nome da organização.

Para conseguir o ID da origem do Security Health Analytics, execute:

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

Se ainda não tiver ativado a API Security Command Center, você receberá uma solicitação para ativá-la. Quando a API Security Command Center estiver ativada, execute o comando anterior novamente. O comando exibirá uma saída semelhante a esta:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Observe o SOURCE_ID a ser usado na próxima etapa.

Etapa 2: receber a contagem de descobertas ativas

Use o SOURCE_ID que você anotou na etapa anterior para filtrar as descobertas do Security Health Analytics. O seguinte comando de CLI gcloud retorna uma contagem de descobertas por categoria:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

É possível definir o tamanho da página em qualquer valor como 1.000. O comando exibe uma saída como a seguinte, com os resultados da sua organização específica:

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Gerenciar descobertas de maneira programática

O uso da Google Cloud CLI com o SDK do Security Command Center permite automatizar tudo o que pode ser feito no painel do Security Command Center. Você também pode corrigir muitas descobertas usando a CLI gcloud. Para mais informações, consulte a documentação dos tipos de recursos descritos em cada descoberta:

Verificar projetos protegidos por um perímetro de serviço

Se você tiver um perímetro de serviço que bloqueia o acesso a determinados projetos e serviços, você precisa conceder à conta de serviço do Security Command Center acesso de acesso a esse perímetro de serviço. Caso contrário, o Security Health Analytics não pode produzir descobertas relacionadas a projetos e serviços protegidos.

O identificador da conta de serviço é um endereço de e-mail com o seguinte formato:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Substitua ORGANIZATION_ID pelo identificador numérico da sua organização.

Para conceder acesso à conta de serviço do Security Command Center, siga estas etapas.

  1. Acesse o VPC Service Controls.

    Acessar o VPC Service Controls

  2. Na barra de ferramentas, selecione sua organização do Google Cloud.

    Seletor de projetos

  3. Na lista suspensa, selecione a política de acesso que contém o perímetro de serviço a que você quer conceder acesso.

    Lista de políticas de acesso

    Os perímetros de serviço associados à política de acesso aparecem na lista.

  4. Clique no nome do serviço.

  5. Clique em Editar perímetro.

  6. No menu de navegação, clique em Política de entrada.

  7. Clique em Adicionar regra.

  8. Configure a regra da seguinte maneira:

    Atributos FROM do cliente da API

    1. Em Origem, selecione Todas as fontes.
    2. Em Identidade, selecione Identidades selecionadas.
    3. No campo Add User/Service Account, clique em Select.
    4. Insira o endereço de e-mail da conta de serviço.
    5. Clique em Save.

    Atributos TO de serviços/recursos do GCP

    1. Em Projeto, selecione Todos os projetos.

    2. Em Serviços, selecione Todos os serviços.

  9. No menu de navegação, clique em Salvar.

Serviços que o Security Health Analytics precisa acessar

Veja a seguir os serviços que o Security Health Analytics chama. Se um perímetro de serviço restringir o acesso a qualquer um desses serviços, o Security Health Analytics não poderá produzir descobertas relacionadas a eles.

  • API BigQuery
  • API Binary Authorization
  • API Cloud Logging
  • API Cloud Monitoring
  • API Compute Engine
  • API Kubernetes Engine

Para mais informações, consulte Como configurar políticas de entrada e saída.

A seguir