Nesta página, descrevemos como configurar e usar o serviço de postura de segurança depois de ativar o Security Command Center. Para começar, crie uma postura que inclua suas políticas, organizadas em conjuntos de políticas, e implante a postura usando uma implantação de postura. Depois que uma postura é implantada, é possível monitorar deslocamentos e refinar ainda mais sua postura ao longo do tempo.
Antes de começar
Conclua essas tarefas antes de concluir as tarefas restantes nesta página.
Ativar o nível Premium ou Enterprise do Security Command Center
Verifique se o nível Premium ou Enterprise do Security Command Center está ativado no nível da organização.
Se você quiser usar os detectores da Análise de integridade da segurança como políticas, selecione o serviço Análise de integridade da segurança durante o processo de ativação.
Configurar permissões
Para receber as permissões necessárias para usar a postura,
peça ao administrador para conceder a você o papel do IAM
Administrador de postura de segurança (roles/securityposture.admin).
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Também é possível receber as permissões necessárias com papéis personalizados ou outros papéis predefinidos.
Para mais informações sobre papéis e permissões de postura de segurança, consulte IAM para ativações no nível da organização.
Configurar a Google Cloud CLI
É necessário usar a Google Cloud CLI versão 461.0.0 ou posterior.
É possível usar as amostras da CLI do gcloud nesta página de um dos seguintes ambientes de desenvolvimento:
-
Cloud Shell: para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell.
Na parte de baixo desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.
-
Shell local: para usar a CLI da gcloud em um ambiente de desenvolvimento local, instale e inicialize a CLI gcloud.
Para configurar a CLI da gcloud para usar a representação da conta de serviço para autenticação nas APIs do Google, em vez de suas credenciais de usuário, execute o seguinte comando:
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
Para mais informações, consulte Representação da conta de serviço.
Ativar APIs
Ative o Organization Policy Service e as APIs do serviço de postura de segurança:
gcloud services enable orgpolicy.googleapis.com securityposture.googleapis.com
Configurar a conexão com a AWS
Para usar detectores integrados da Análise de integridade da segurança específicos da AWS, é necessário ativar o Security Command Center Enterprise e se conectar à AWS para detectar vulnerabilidades.
Criar e implantar uma postura
Para começar a usar uma postura de segurança, conclua o seguinte:
Crie um arquivo YAML de postura que defina as políticas que se aplicam à postura de segurança.
Crie uma postura no Google Cloud baseada no arquivo YAML de postura.
Implantar a postura.
As seções a seguir dão instruções detalhadas.
Criar um arquivo YAML de postura
Uma postura consiste em um ou mais conjuntos de políticas que são implantados juntos. Esses conjuntos de políticas incluem todas as políticas preventivas e detetives que você quer incluir na sua postura.
Para criar sua postura, siga um destes procedimentos:
Copiar um modelo de postura predefinido. Se necessário, edite as políticas para que elas se apliquem ao seu ambiente e cumpram os padrões regulatórios e de segurança da empresa. Para instruções, consulte Criar um arquivo de postura a partir de um modelo de postura predefinido.
Extraia políticas do seu ambiente. Se necessário, faça as edições necessárias nas políticas para que obedeçam aos padrões regulatórios e de segurança da empresa. Para instruções, consulte Criar um arquivo de postura extraindo políticas de um ambiente atual.
Criar um recurso do Terraform que defina a postura. Para instruções, consulte Criar um recurso do Terraform com definições de política.
As posturas são arquivos YAML. Para mais informações sobre o arquivo posture.yaml e
os pares de chave-valor dele, consulte Arquivo YAML de postura
de segurança.
Criar um arquivo de postura a partir de um modelo predefinido
É possível usar um modelo de postura predefinido para criar um arquivo de postura.
Console
No console do Google Cloud, acesse a página Gerenciamento de postura.
Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.
Na guia Modelos, clique no modelo que você quer usar.
Na página Detalhes do modelo, clique em Criar postura.
Forneça um nome exclusivo para a postura e clique em Criar. A página Detalhes da postura será aberta.
Conclua uma das seguintes ações:
Se você puder usar a postura sem fazer nenhuma mudança (por exemplo, se usou um dos modelos _Essentials), poderá implantar a postura. Para instruções, consulte Implantar uma postura.
Se precisar modificar qualquer um dos conjuntos de políticas ou políticas (por exemplo, você usou um dos modelos _Enhanced), conclua Modificar um arquivo YAML de postura e defina o estado da postura como
ACTIVE.
gcloud
Revise os modelos de postura predefinidos para determinar quais se aplicam ao ambiente. É possível aplicar algumas delas sem fazer alterações, mas outras exigem que você personalize as políticas para corresponder ao seu ambiente.
Use um dos métodos a seguir para copiar os arquivos YAML para seu próprio editor de texto:
Copie o arquivo YAML do conteúdo de referência em modelos de postura predefinidos.
Execute o comando
gcloud scc posture-templates describepara copiar o arquivo YAML.
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \ --revision-id=REVISION_ID
Substitua os seguintes valores:
ORGANIZATION_IDé a organização em que você ativou o nível Premium ou Enterprise do Security Command Center.LOCATIONé o local em que você quer implantar e armazenar a postura. O único local aceito églobal.POSTURE_TEMPLATEé o nome do modelo da postura predefinida, conforme descrito nos modelos de postura predefinidos.REVISION_IDé a versão de revisão da postura predefinida. Se você não incluir o ID de revisão, a versão mais recente da postura predefinida será exibida.
Por exemplo, para conferir a postura predefinida básica da IA segura na organização
3589215982, execute o seguinte:gcloud scc posture-templates describe
organizations/3589215982/locations/global/postureTemplates/secure_ai_essential
--revision-id=v.1.0Conclua uma das seguintes ações:
Se você puder usar a postura sem fazer nenhuma mudança (por exemplo, usou um dos modelos _Essentials), poderá criá-la. Para mais instruções, consulte Criar uma postura.
Se você precisar modificar qualquer um dos conjuntos ou políticas de políticas, conclua Modificar um arquivo YAML de postura.
Criar um arquivo de postura extraindo políticas de um ambiente atual
É possível extrair as políticas (políticas da organização, incluindo políticas personalizadas e todos os detectores da Análise de integridade da segurança, incluindo detectores personalizados) que você configurou em um projeto, pasta ou organização atual para criar um arquivo de postura. Não é possível extrair políticas de uma organização, pasta ou projeto que já tenha uma postura aplicada a eles.
Esse comando extrai apenas as políticas configuradas anteriormente para a organização, a pasta ou o projeto. Ele não extrai as políticas das pastas ou da organização mãe.
Se você conectou o Security Command Center Enterprise à AWS, esse comando também vai extrair os detectores específicos da AWS (Prévia).
Execute o comando
gcloud scc postures extractpara extrair as políticas da organização e os detectores atuais da Análise de integridade da segurança no seu ambiente.gcloud scc postures extract \ POSTURE_NAME --workload=WORKLOAD
Substitua os seguintes valores:
POSTURE_NAMEé o nome do recurso relativo da postura. Por exemplo,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.LOCATIONéglobal.POSTURE_IDé um nome alfanumérico para a postura exclusivo da sua organização.POSTURE_IDtem um limite de 63 caracteres.
WORKLOADé o projeto, a pasta ou a organização de onde você está extraindo as políticas. A carga de trabalho é uma das seguintes:projects/PROJECT_NUMBERfolder/FOLDER_IDorganizations/ORGANIZATION_ID
Por exemplo, para extrair políticas da pasta
3589215982na organização6589215984, execute o seguinte:gcloud scc postures extract organizations/6589215984/locations/global/postures/myStagingPosture workload=folder/3589215982 > posture.yamlAbra o arquivo
posture.yamlresultante para edição.Conclua uma das seguintes ações:
Se você puder usar a postura sem fazer nenhuma mudança (por exemplo, se usou um dos modelos _Essentials), poderá criar a postura. Para mais instruções, consulte Criar uma postura.
Se você precisar modificar qualquer um dos conjuntos de políticas ou políticas, conclua Modificar um arquivo YAML de postura.
Criar um recurso do Terraform com definições de política
É possível criar uma configuração do Terraform para criar um recurso de postura.
Por exemplo, é possível criar um recurso de postura que inclua restrições de política da organização integradas e personalizadas e detectores de Análise de integridade da segurança integrados e personalizados. O suporte ao gerenciamento de postura para detectores integrados da Análise de integridade da segurança específicos da AWS está em Pré-lançamento.
resource "google_securityposture_posture" "posture_example" {
posture_id = "<POSTURE_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
state = "ACTIVE"
description = "a new posture"
policy_sets {
policy_set_id = "org_policy_set"
description = "set of org policies"
policies {
policy_id = "canned_org_policy"
constraint {
org_policy_constraint {
canned_constraint_id = "storage.uniformBucketLevelAccess"
policy_rules {
enforce = true
}
}
}
}
}
policy_sets {
policy_set_id = "sha_policy_set"
description = "set of sha policies"
policies {
policy_id = "sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "BIGQUERY_TABLE_CMEK_DISABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
}
policies {
policy_id = "aws_sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "S3_BUCKET_LOGGING_ENABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable S3_BUCKET_LOGGING_ENABLED"
}
policies {
policy_id = "sha_custom_module"
constraint {
security_health_analytics_custom_module {
display_name = "custom_SHA_policy"
config {
predicate {
expression = "resource.rotationPeriod > duration('2592000s')"
}
custom_output {
properties {
name = "duration"
value_expression {
expression = "resource.rotationPeriod"
}
}
}
resource_selector {
resource_types = ["cloudkms.googleapis.com/CryptoKey"]
}
severity = "LOW"
description = "Custom Module"
recommendation = "Testing custom modules"
}
module_enablement_state = "ENABLED"
}
}
}
}
}
Para mais informações, consulte google_securityposture_posture.
Modificar um arquivo YAML de postura
Conclua as etapas a seguir para modificar um arquivo YAML de postura:
Abra o arquivo YAML de postura em um editor de texto.
Verifique
name,descriptionestateno início do arquivo.name: organizations/ORGANIZATION_ID/locations/LOCATION/posture/POSTURE_ID description: DESCRIPTION state: STATE
Consulte Arquivo YAML da postura de segurança para ver uma descrição desses valores-chave.
Exemplo:
name: organizations/3589215982/locations/global/posture/stagingAIPosture description: This posture applies to staging environments for Vertex AI. state: ACTIVE
Personalize as políticas no arquivo para atender aos seus requisitos:
Analise as políticas atuais e os valores delas. Para políticas que exigem informações específicas do seu ambiente, defina os valores adequadamente. Por exemplo, para a política
ainotebooks.accessModena IA segura, postura predefinida estendida, adicione os modos de acesso permitidos empolicy_rules:- policy_id: Define access mode for Vertex AI Workbench notebooks and instances compliance_standards: - standard: NIST SP 800-53 control: AC-3(3) - standard: NIST SP 800-53 control: AC-6(1) constraint: org_policy_constraint: canned_constraint_id: ainotebooks.accessMode policy_rules: - values: allowed_values: service-account description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.Adicione outras restrições da política da organização, conforme documentado em Restrições da política da organização. Se você estiver definindo uma política da organização personalizada, verifique se o arquivo YAML inclui a definição de restrição personalizada. Não é possível usar uma restrição personalizada que você criou usando outros métodos (por exemplo, o console do Google Cloud). Por exemplo, defina a restrição
compute.trustedImageProjectspara definir que os projetos podem ser usados para armazenamento de imagens e instanciação de disco. Se você copiar esse exemplo, substituaallowed_valuespela lista adequada de projetos:- policy_id: Define projects with trusted images. compliance_standards: - standard: control: constraint: org_policy_constraint: canned_constraint_id: compute.trustedImageProjects policy_rules: - values: allowed_values: - project1 - project2 - projectN description: This is a complete list of projects from which images can be used.Adicione outros detectores da Análise de integridade da segurança, como os documentados em Descobertas da Análise de integridade da segurança. Por exemplo, adicione um detector da Análise de integridade da segurança para criar uma descoberta se um projeto não estiver usando uma chave de API para autenticação:
- policy_id: API Key Exists constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: API_KEY_EXISTSComo outro exemplo, adicione um módulo personalizado da Análise de integridade da segurança para detectar se os conjuntos de dados da Vertex AI estão criptografados:
- policy_id: CMEK key is use for Vertex AI DataSet compliance_standards: - standard: NIST SP 800-53 control: SC-12 - standard: NIST SP 800-53 control: SC-13 constraint: security_health_analytics_custom_module: display_name: "vertexAIDatasetCMEKDisabled" config: customOutput: {} predicate: expression: "!has(resource.encryptionSpec)" resource_selector: resource_types: - aiplatform.googleapis.com/Dataset severity: CRITICAL description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK." recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview." module_enablement_state: ENABLEDComo outro exemplo, para o Security Command Center Enterprise, adicione um detector de Análise de integridade da segurança específico para a AWS (Prévia):
- policy_set_id: AWS policy set description: Policy set containing AWS built-in SHA modules for securing S3 buckets. policies: - policy_id: S3 bucket replication enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-13(5) constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_REPLICATION_ENABLED description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled. - policy_id: S3 bucket logging enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-7(8) - standard: PCI DSS 3.2.1 control: 10.3.1 constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_LOGGING_ENABLED description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.Se você adicionar um detector específico para a AWS, precisará implantar a postura no nível da organização.
Faça upload do arquivo de postura para um repositório de origem com controle de versões para monitorar as mudanças feitas nele ao longo do tempo.
Criar uma postura
Conclua esta tarefa para criar um recurso de postura no Security Command Center que pode ser implantado. Se você criou uma postura com base em um modelo predefinido usando o console do Google Cloud, o recurso de postura será criado automaticamente para você.
gcloud
Execute o comando
gcloud scc postures createpara criar uma postura usando o arquivoposture.yaml.gcloud scc postures create \ POSTURE_NAME --posture-from-file=POSTURE_FROM_FILE
Substitua os seguintes valores:
POSTURE_NAMEé o nome do recurso relativo da postura. Por exemplo,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.LOCATIONéglobal.POSTURE_IDé um nome alfanumérico para a postura exclusiva da sua organização.POSTURE_IDtem um limite de 63 caracteres.
POSTURE_FROM_FILEé o caminho relativo ou absoluto para o arquivoposture.yaml.
Por exemplo, para criar uma postura com o ID
posture-example-1na organizaçãoorganizations/3589215982, execute o seguinte:gcloud scc postures create organizations/3589215982/locations/global/postures/posture-example-1 --posture-from-file=posture.yamlSe o processo de criação da postura falhar, exclua-a, solucione o erro e tente novamente.
Para verificar se a postura foi criada, consulte Visualizar uma postura.
Para aplicar essa postura ao seu ambiente, é preciso implantá-la.
Terraform
Se você criou uma configuração do Terraform para o recurso de postura, será necessário provisioná-la usando o pipeline de infraestrutura como código.
Para mais informações, acesse Terraform no Google Cloud.
Implantar uma postura
Depois de criar uma postura, você a implantará em um projeto, pasta ou organização para poder aplicar as políticas e as definições delas a recursos específicos na organização e monitorar desvios. Só é possível implantar uma postura em um projeto, uma pasta ou uma organização.
Verifique se seu estado de postura é ACTIVE.
Quando você implanta a postura, as seguintes ações ocorrem:
As definições das políticas da organização e dos detectores da Análise de integridade da segurança são aplicadas.
A restrição personalizada para políticas personalizadas da organização é criada com o ID para incluir o ID de revisão de postura como um sufixo do ID de restrição definido na postura.
O estado padrão dos módulos personalizados é definido como Ativado.
Console
No console do Google Cloud, acesse a página Gerenciamento de postura.
Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.
Na guia Postura, clique na postura que você quer implantar.
Na página Detalhes da postura, selecione a revisão da postura que você quer implantar.
Clique em Implantar no nó.
Selecione a organização, a pasta ou o projeto em que você quer implantar a postura. Se sua postura incluir um detector específico para a AWS, você precisará implantá-la no nível da organização (Prévia).
Clique em Selecionar.
Repita as etapas 5 a 7 para cada organização, pasta ou projeto em que você quer aplicar a postura.
gcloud
Execute o comando gcloud scc posture-deployments create para implantar uma postura em um
projeto, uma pasta ou uma organização.
gcloud scc posture-deployments create \ POSTURE_DEPLOYMENT_NAME --posture-name=POSTURE_NAME \ --posture-revision-id=POSTURE_REVISION_ID \ --target-resource=TARGET_RESOURCE
Substitua os seguintes valores:
POSTURE_DEPLOYMENT_NAMEé o nome do recurso relativo para a implantação da postura. O formato éorganizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.LOCATIONéglobal.POSTURE_DEPLOYMENT_IDé um nome exclusivo para a implantação de postura.POSTURE_DEPLOYMENT_IDtem um limite de 63 caracteres.
--posture-name=POSTURE_NAMEé o nome da postura que você está implantando. O formato éorganizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.LOCATIONéglobal.POSTURE_IDé um nome alfanumérico para a postura exclusiva da sua organização.
--posture-revision-id=POSTURE_REVISION_IDé a revisão de postura que você quer implantar. É possível extraí-la da resposta recebida ao criar a postura ou visualizá-la.--target-resource=TARGET_RESOURCEé o nome da organização, da pasta ou do projeto em que você quer implantar a postura. É possível usar um dos seguintes formatos:organizations/ORGANIZATION_IDfolders/FOLDER_IDprojects/PROJECT_NUMBER
Se sua postura incluir um detector específico para a AWS, você precisará implantá-la no nível da organização (Prévia).
Por exemplo, para implantar uma postura, execute o seguinte comando:
gcloud scc posture-deployments create
organizations/3589215982/locations/global/postureDeployments/postureDeployment123
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version1 --target-resource=projects/4589215982
É possível visualizar informações de status à medida que o comando é concluído. Se o processo de criação da implantação de postura falhar, exclua a implantação, solucione o erro e tente novamente.
Terraform
É possível criar um recurso do Terraform para implantar uma postura.
resource "google_securityposture_posture_deployment" "posture_deployment_example" {
posture_deployment_id = "<POSTURE_DEPLOYMENT_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
description = "a new posture deployment"
target_resource = "<TARGET_RESOURCE>"
posture_id = "<POSTURE_NAME>"
posture_revision_id = "<POSTURE_REVISION_ID>"
}
Para mais informações, consulte google_securityposture_posture_deployment.
Depois de criar o recurso do Terraform, provisione-o usando o pipeline de infraestrutura como código.
Visualizar informações de postura e implantação de postura
É possível visualizar informações de implantação de postura e de implantação de postura para ver informações como as seguintes:
Quais posturas são implantadas e onde elas são aplicadas na hierarquia de recursos (organizações, projetos e pastas).
As revisões e o estado das posturas
Os detalhes operacionais de uma implantação de postura
Ver uma postura
É possível ver informações sobre uma postura, como o estado e as definições de política.
Console
No console do Google Cloud, acesse a página Gerenciamento de postura.
Selecione a organização em que você ativou o nível Premium ou Enterprise do Security Command Center.
Na guia Posturas, clique na postura que você quer visualizar. Os detalhes da postura são exibidos.
gcloud
Execute o comando gcloud scc postures describe para conferir uma postura que você
criou.
gcloud scc postures describe POSTURE_NAME \ --revision-id=REVISION_ID
Substitua os seguintes valores:
POSTURE_NAMEé o nome do recurso relativo da postura. Por exemplo,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.LOCATIONéglobal.POSTURE_IDé um nome alfanumérico para a postura exclusivo da sua organização.
revision-id=REVISION_IDé uma flag opcional que especifica qual versão da postura vai ser exibida. Se você não incluir a sinalização, a versão mais recente será retornada.
Por exemplo, para consultar uma postura com o nome
organizations/3589215982/locations/global/postures/posture-example-1
e o ID de revisão abcdefgh, execute o seguinte:
gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1
--revision-id=abcdefgh
Conferir informações sobre uma operação de implantação de postura
Execute o comando gcloud scc posture-operations describe para conferir os
detalhes de uma operação de implantação de postura.
gcloud scc posture-operations describe OPERATION_NAME
Em que OPERATION_NAME é o nome do recurso relativo para
a operação. O formato é
organizations/ORGANIZATION_ID/.
LOCATION/global/operations/OPERATION_IDLOCATION é o local em que você
implantou a implantação da postura. É possível conseguir o
OPERATION_ID usando o argumento --async
ao executar o comando de postura.
Por exemplo, para visualizar uma operação de verificação com o nome organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, execute o seguinte:
gcloud scc posture-operations describe
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
Conferir informações sobre uma implantação de postura
É possível ver onde uma postura foi implantada, bem como o estado da implantação.
Console
No console do Google Cloud, acesse a página Gerenciamento de postura.
Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.
Na guia Posturas, clique na postura que você implantou.
Clique na guia Deployments. É possível conferir os projetos, as pastas e a organização em que a postura foi implantada, bem como o estado da implantação.
gcloud
Execute o comando gcloud scc posture-deployments describe para consultar
informações sobre uma postura implantada.
gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME
Em que POSTURE_DEPLOYMENT_NAME é o nome do recurso relativo para a
implantação da postura. O formato é
organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.
LOCATIONéglobal.POSTURE_DEPLOYMENT_IDé um nome exclusivo para a implantação de postura.
Por exemplo, para conferir os detalhes de uma implantação de postura chamada
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1,
execute o seguinte:
gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
Atualizar uma postura e implantação de postura
Você pode atualizar o seguinte:
O estado da postura.
As definições de política em uma postura.
A organização, as pastas ou os projetos em que uma postura é implantada.
Atualizar as definições de política em uma postura
Talvez seja necessário atualizar uma postura ao ativar mais serviços do Google Cloud, implantar recursos adicionais ou exigir políticas adicionais para atender a requisitos de conformidade novos ou em mudança. Se você estiver atualizando uma revisão de postura implantada, essa tarefa criará uma nova revisão de postura. Caso contrário, a revisão de postura especificada ao executar o comando de atualização será atualizada.
Abra um arquivo YAML em um editor de texto. Adicione os campos que você quer atualizar e os respectivos valores. Se você estiver atualizando conjuntos de políticas, verifique se o arquivo inclui todos os conjuntos de políticas que você quer incluir na postura, inclusive os conjuntos de políticas já existentes. Para mais instruções, consulte Modificar um arquivo YAML de postura.
Execute o comando
gcloud scc postures updatepara atualizar a postura.gcloud scc postures update POSTURE_NAME \ --posture-from-file=POSTURE_FROM_FILE \ --revision-id=POSTURE_REVISION_ID --update-mask=UPDATE_MASK
Substitua os seguintes valores:
POSTURE_NAMEé o nome do recurso relativo da postura. Por exemplo,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.LOCATIONéglobal.POSTURE_IDé um nome alfanumérico para a postura exclusivo da sua organização.
POSTURE_FROM_FILEé o caminho relativo ou absoluto para o arquivoposture.yamlque inclui as mudanças.--revision-id=REVISION_IDé a revisão de postura que você quer implantar. Se a postura estiver implantada no momento, o serviço de postura de segurança criará automaticamente uma nova versão dela com um ID de revisão diferente e incluirá esse ID na saída.--update-mask=UPDATE_MASKé a lista de campos que você quer atualizar, em formato separado por vírgulas. Esse argumento é opcional. É possível definirUPDATE_MASKcomo um destes valores:*ou não especificado: aplique as mudanças feitas nos conjuntos de políticas e na descrição da postura.policy_sets: aplique as alterações feitas apenas nos conjuntos de políticas.description: aplique as mudanças feitas apenas na descrição da postura.policy_sets, description: aplique as mudanças feitas aos conjuntos de políticas e à descrição da postura.state: aplica apenas a mudança de estado.
Por exemplo, para atualizar uma postura com o nome
posture-example-1na organizaçãoorganizations/3589215982/locations/globale o ID de revisão definido comoabcd1234, execute o seguinte:gcloud scc postures update organizations/3589215982/locations/global/posture-example-1 --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_setsSe o processo de atualização de postura falhar, resolva o erro e tente novamente.
Para verificar se a postura foi atualizada, consulte Consultar uma postura.
Mudar o estado de uma postura
O estado de uma postura determina se ela está disponível para implantação em um projeto, uma pasta ou uma organização.
Uma postura pode ter os seguintes estados:
DRAFT: a revisão de postura não está pronta para implantação. Não é possível implantar uma revisão de postura que esteja no estadoDRAFT.ACTIVE: a revisão de postura está disponível para implantação. É possível alterar o estado deACTIVEparaDRAFTouDEPRECATED.DEPRECATED: uma revisão de posturaDEPRECATEDnão pode ser implantada em um recurso. É necessário excluir todas as implantações de postura atuais da postura antes de suspender o uso de uma revisão de postura. Se você quiser reimplantar uma revisão de postura descontinuada, altere o estado dela paraACTIVE.
Para mudar o estado de uma postura, execute o comando gcloud scc postures update.
Não é possível atualizar o estado da postura ao mesmo tempo que outros
campos são atualizados. Para instruções sobre como executar o comando gcloud scc postures update,
consulte Modificar um arquivo YAML de postura.
Atualizar uma implantação de postura
Atualize uma implantação de postura em um projeto, pasta ou organização para implantar uma nova postura ou uma nova revisão.
Se a revisão de postura que você está atualizando incluir uma restrição personalizada da organização que foi excluída usando o console do Google Cloud, não será possível atualizar a implantação de postura usando o mesmo ID. O serviço de política da organização impede a criação de restrições personalizadas da organização com o mesmo nome. Em vez disso, crie uma nova versão da postura ou use um ID diferente.
Console
No console do Google Cloud, acesse a página Gerenciamento de postura.
Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.
Na guia Posturas, clique na postura que você atualizou.
Na página Detalhes da postura, selecione a revisão da postura que você atualizou.
Clique em Implantar no nó.
Selecione a organização, a pasta ou o projeto em que você quer implantar a postura. Se for exibida uma mensagem informando que a implantação já existe, exclua a implantação antes de tentar novamente. Se sua postura incluir um detector específico para a AWS, você precisará implantá-la no nível da organização (Prévia).
Clique em Selecionar.
gcloud
Execute o comando gcloud scc posture-deployments update para implantar uma postura.
gcloud scc posture-deployments update \ POSTURE_DEPLOYMENT_NAME --description=DESCRIPTION \ --update-mask=UPDATE_MASK --posture-id=POSTURE_ID \ --posture-revision-id=POSTURE_REVISION_ID
Substitua os seguintes valores:
POSTURE_DEPLOYMENT_NAMEé o nome do recurso relativo para a implantação da postura. O formato éorganizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.LOCATIONéglobal.POSTURE_DEPLOYMENT_IDé um nome exclusivo para a implantação de postura.
--description=DESCRIPTIONé a descrição opcional da postura implantada.--posture-id=POSTURE_IDé o nome da postura exclusivo da sua organização. O formato éorganizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_NAME.--posture-revision-id=POSTURE_REVISION_IDé a revisão de postura que você quer implantar. É possível consegui-la com a resposta recebida ao criar a postura ou visualizar a postura.--update-mask=UPDATE_MASKé a lista de campos que você quer atualizar, em formato separado por vírgulas. Esse argumento é opcional.
Por exemplo, para atualizar uma implantação de postura com os critérios abaixo:
- Organização:
organizations/3589215982/locations/global - ID de implantação da postura:
postureDeploymentexample - ID da postura:
StagingAIPosture - Revisão:
version2
Execute este comando:
gcloud scc posture-deployments update
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version2
É possível visualizar informações de status à medida que o comando é concluído. Se o processo de atualização de implantação de postura falhar, exclua a implantação, solucione o erro e tente novamente.
Monitorar desvio de postura
É possível monitorar uma postura implantada em busca de desvios das políticas definidas na postura de segurança. Deslocamento é uma mudança de política que ocorre fora de uma postura. Por exemplo, quando um administrador altera uma definição de política no console, em vez de atualizar a implantação da postura.
O serviço de postura de segurança cria descobertas que podem ser visualizadas no console do Google Cloud ou na CLI gcloud sempre que ocorrer um desvio.
Console
Se você criou uma postura que se aplica às cargas de trabalho da Vertex AI, é possível monitorar desvios de duas maneiras: na página Descobertas e na página Visão geral. Para todas as outras posturas, é possível monitorar o deslocamento na página Descobertas.
Para monitorar desvios na página Descobertas:
No console do Google Cloud, acesse a página Descobertas.
Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.
No painel Filtros rápidos, selecione a descoberta Violação de postura. Também é possível inserir o seguinte filtro na Visualização da consulta:
state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"Para ver os detalhes de uma descoberta, clique nela.
Para monitorar desvios na página Visão geral (somente cargas de trabalho da Vertex AI):
No console do Google Cloud, acesse a página Visão geral.
Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.
Revise o painel Descobertas da carga de trabalho da IA.
- A guia Vulnerabilidades mostra todas as vulnerabilidades relacionadas a qualquer módulo personalizado da Análise de integridade da segurança que se aplica especificamente às cargas de trabalho da Vertex AI.
- A guia Desvio de política mostra qualquer desvio relacionado às políticas da organização da Vertex AI que você aplicou em uma postura.
Para ver os detalhes de uma descoberta, clique nela.
gcloud
Na CLI gcloud, para visualizar as descobertas de deslocamento, execute o seguinte:
gcloud scc findings list ORGANIZATION_ID \ --filter="category=\"SECURITY_POSTURE_DRIFT\""
Em que ORGANIZATION_ID é o ID da organização.
Para mais informações sobre como abordar essas descobertas, consulte Descobertas do serviço de postura de segurança. É possível exportar essas descobertas da mesma forma que você exporta qualquer outra descoberta do Security Command Center. Para mais informações, consulte Opções de integração e Como exportar dados do Security Command Center.
Para desativar uma descoberta de deslocamento, é possível atualizar a implantação de postura com o mesmo ID e revisão de postura.
Gerar uma descoberta de deslocamento para fins de teste
Depois de implantar uma postura, é possível monitorar o desvio das políticas. Para ver as descobertas de deslocamento em ação em um ambiente de teste, faça o seguinte:
No console, acesse a página Política da organização.
Edite uma das políticas que você definiu na postura implantada. Por exemplo, se você usar uma postura de IA segura predefinida, poderá editar a política Restringir o acesso de IP público em novos notebooks e instâncias do Vertex AI Workbench.
Depois de alterar a política, clique em Definir política.
Acesse a página Descobertas.
No painel Filtros rápidos, na seção Nome de exibição da origem, selecione Postura de segurança. Uma descoberta relacionada à mudança deve aparecer dentro de cinco minutos.
Para conferir os detalhes da descoberta, clique nela.
Excluir uma implantação de postura
É possível excluir uma implantação de postura se ela não tiver sido implantada corretamente, não for mais exigida uma postura específica ou se você não quiser mais que uma determinada postura seja atribuída a um projeto, uma pasta ou uma organização. Para excluir uma implantação de postura, ela precisa estar em um dos seguintes estados:
ACTIVECREATE_FAILEDUPDATE_FAILEDDELETE_FAILED
Para verificar o estado de uma implantação de postura, consulte Ver informações sobre uma implantação de postura.
Ao excluir uma implantação de postura, você a remove do recurso (organização, pasta ou projeto) a que ela foi atribuída.
A saída para diferentes tipos de políticas é:
Quando você exclui uma implantação de postura que inclui políticas personalizadas da organização, essas políticas da organização também são excluídas. No entanto, a restrição personalizada continua existindo.
Quando você exclui uma implantação de postura que inclui detectores integrados da Análise de integridade da segurança, o estado final dos módulos da Análise de integridade da segurança depende da organização, pasta ou projeto em que a implantação existia.
- Se você implantou uma postura em uma pasta ou projeto, os detectores integrados da Análise de integridade da segurança herdam o estado da organização ou pasta pai.
- Se você implantou uma postura no nível da organização, os detectores integrados da Análise de integridade da segurança são revertidos para o estado padrão. Para uma descrição dos estados padrão, consulte Ativar e desativar detectores.
Execute o comando gcloud scc posture-deployments delete para excluir uma implantação de
postura.
gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME
POSTURE_DEPLOYMENT_NAME é o nome do recurso relativo para a
implantação da postura. O formato é
organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.
LOCATIONéglobal.POSTURE_DEPLOYMENT_IDé o nome exclusivo da implantação da postura.
Por exemplo, para excluir uma implantação de postura chamada
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1,
execute o seguinte:
gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
Excluir uma postura
Quando você exclui uma postura, também exclui todas as revisões. Não é possível excluir uma postura implantada. Exclua a implantação da postura antes de concluir esta tarefa.
Execute o comando gcloud scc postures delete para excluir uma postura.
gcloud scc postures delete POSTURE_NAME
POSTURE_NAME é o nome do recurso relativo da
postura. Por exemplo,
organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID. O ID de postura é um nome alfanumérico para sua postura que é exclusivo da sua organização. LOCATION é global.
Por exemplo, para excluir uma postura denominada
organizations/3589215982/locations/global/postures/posture-example-1,
execute o seguinte:
gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1