Administra una postura de seguridad

En esta página, se describe cómo puedes configurar y usar el servicio de estado de seguridad después de activar Security Command Center. Para comenzar, debes crear una postura que incluya tus políticas, organizadas en conjuntos de políticas, y, luego, implementar la postura con una implementación de postura. Después de implementar una postura, puedes supervisar la deriva y mejorarla con el tiempo.

Antes de comenzar

Completa estas tareas antes de completar las restantes en esta página.

Activa el nivel Premium o Enterprise de Security Command Center

Verifica que el nivel Premium o Enterprise de Security Command Center esté activado a nivel de la organización.

Si deseas usar los detectores de Security Health Analytics como políticas, selecciona el servicio de Security Health Analytics durante el proceso de activación.

Configura los permisos

Para obtener los permisos que necesitas para usar la postura, pídele a tu administrador que te otorgue el rol de IAM de Administrador de posturas de seguridad (roles/securityposture.admin). Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Para obtener más información sobre los roles y los permisos de la postura de seguridad, consulta IAM para activaciones a nivel de la organización.

Configura Google Cloud CLI

Debes usar la versión 461.0.0 o posterior de Google Cloud CLI.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

A fin de configurar la CLI de gcloud para usar la identidad temporal como cuenta de servicio y autenticarse en las APIs de Google, en lugar de tus credenciales de usuario, ejecuta el siguiente comando:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Para obtener más información, consulta Identidad temporal como cuenta de servicio.

Habilita las APIs

Habilita las APIs de Organization Policy Service y Security Posture Service:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configura la conexión a AWS

Para usar los detectores integrados de Security Health Analytics que son específicos de AWS, debes activar Security Command Center Enterprise y conectarte a AWS para la detección de vulnerabilidades.

Crea e implementa una postura

Para comenzar a usar una postura de seguridad, debes completar lo siguiente:

  • Crea un archivo YAML de postura que defina las políticas que se aplican a tu postura de seguridad.
  • Crea una postura en Google Cloud que se base en el archivo YAML de postura.
  • Implementa la postura.

En las siguientes secciones, se proporcionan instrucciones detalladas.

Crea un archivo YAML de postura

Una postura consiste en uno o más conjuntos de políticas que se implementan juntos. Estos conjuntos de políticas incluyen todas las políticas preventivas y de detección que deseas incluir en tu postura.

Para crear tu postura, haz una de las siguientes acciones:

Para obtener detalles sobre los campos que puedes usar en una postura, consulta la referencia de Posture y la referencia de PolicySet.

Crea un archivo de postura a partir de una plantilla de postura predefinida

Puedes usar una plantilla de postura predefinida para crear un archivo de postura.

Console

  1. En la consola de Google Cloud, ve a la página Posture Management.

    Ir a Administración de postura

  2. Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.

  3. En la pestaña Plantillas, haz clic en la plantilla que deseas usar.

  4. En la página Detalles de la plantilla, haz clic en Crear postura.

  5. Proporciona un nombre único para la postura y haz clic en Crear. Se abrirá la página Detalles de la postura.

  6. Realiza una de las acciones siguientes:

gcloud

  1. Revisa las plantillas de postura predefinidas para determinar cuáles se aplican a tu entorno. Puedes aplicar algunas de ellas sin hacer ningún cambio, pero otras requieren que personalices las políticas para que coincidan con tu entorno.
  2. Usa uno de los siguientes métodos para copiar los archivos YAML en tu editor de texto:

    • Copia el archivo YAML del contenido de referencia en las plantillas de postura predefinidas.
    • Ejecuta el comando gcloud scc posture-templates describe para copiar el archivo YAML.
    gcloud scc posture-templates describe \
        organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \
        --revision-id=REVISION_ID
    
    gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/POSTURE_TEMPLATE \
    --revision-id=REVISION_ID

    Reemplaza los siguientes valores:

    • ORGANIZATION_ID es la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.
    • LOCATION es la ubicación en la que deseas implementar y almacenar la postura. La única ubicación compatible es global.
    • POSTURE_TEMPLATE es el nombre de la plantilla de la postura predefinida, como se describe en Plantillas de posturas predefinidas.
    • REVISION_ID es la versión de revisión de la postura predefinida. Si no incluyes el ID de revisión, se mostrará la versión más reciente de la postura predefinida.

    Por ejemplo, para ver la postura predefinida de IA segura y esencial en la organización 3589215982, ejecuta lo siguiente:

    gcloud scc posture-templates describe \
        organizations/3589215982/locations/global/postureTemplates/secure_ai_essential \
        --revision-id=v.1.0
    
  3. Realiza una de las acciones siguientes:

    • Si puedes usar la postura sin hacer ningún cambio (por ejemplo, usaste una de las plantillas de _essentials), puedes crearla. Para obtener instrucciones, consulta Cómo crear una postura.
    • Si necesitas modificar cualquiera de los conjuntos o políticas, completa Modifica un archivo YAML de postura.

Extrae políticas de un entorno existente para crear un archivo de postura

Puedes extraer las políticas (políticas de la organización, incluidas las políticas personalizadas y todos los detectores de Security Health Analytics, incluidos los detectores personalizados) que configuraste en un proyecto, una carpeta o una organización existentes para crear un archivo de postura. No puedes extraer políticas de una organización, carpeta o proyecto que ya tenga una postura aplicada.

Este comando solo extrae las políticas que configuraste anteriormente para la organización, la carpeta o el proyecto, y no extrae políticas de las carpetas o la organización superiores.

Si conectaste Security Command Center Enterprise a AWS, este comando también extrae los detectores específicos de AWS (Versión preliminar).

  1. Ejecuta el comando gcloud scc postures extract para extraer las políticas de la organización existentes y los detectores de Security Health Analytics en tu entorno.

    gcloud scc postures extract POSTURE_NAME \
      --workload=WORKLOAD
    

    Reemplaza los siguientes valores:

    • POSTURE_NAME es el nombre de recurso relativo de la postura. Por ejemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

      • POSTURE_ID es un nombre alfanumérico para tu postura que es único para tu organización. POSTURE_ID tiene un límite de 63 caracteres.
    • WORKLOAD es el proyecto, la carpeta o la organización de la que extraes las políticas. La carga de trabajo es una de las siguientes:

    • projects/PROJECT_NUMBER

    • folder/FOLDER_ID

    • organizations/ORGANIZATION_ID

    Por ejemplo, para extraer políticas de la carpeta 3589215982 de la organización 6589215984, ejecuta lo siguiente:

    gcloud scc postures extract \
      organizations/6589215984/locations/global/postures/myStagingPosture \
      workload=folder/3589215982 > posture.yaml
    
  2. Abre el archivo posture.yaml resultante para editarlo.

  3. Realiza una de las acciones siguientes:

    • Si puedes usar la postura sin hacer ningún cambio (por ejemplo, usaste una de las plantillas de _essentials), puedes crearla. Para obtener instrucciones, consulta Cómo crear una postura.
    • Si necesitas modificar cualquiera de los conjuntos o políticas, completa Modifica un archivo YAML de postura.

Crea un recurso de Terraform con definiciones de políticas

Puedes crear una configuración de Terraform para crear un recurso de postura.

Por ejemplo, puedes crear un recurso de postura que incluya restricciones de políticas de la organización integradas y personalizadas, y detectores de Security Health Analytics integrados y personalizados. La compatibilidad con la administración de posturas para los detectores integrados de Security Health Analytics que son específicos de AWS se encuentra en versión preliminar.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
    policies {
      policy_id = "canned_org_policy_for_service"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "run.allowedVPCEgress"
          policy_rules {
            allow_all: true
            condition {
              expression: "!(parameters.denyAll or resource.location in parameters.deniedLocations) && (parameters.allowAll or resource.location in parameters.allowedLocations)"
            }
            parameters {
              fields {
                key: "denyAll"
                value {
                  bool_value: false
                }
              }
              fields {
                key: "allowAll"
                value {
                  bool_value: false
                }
              }
              fields {
                key: "deniedLocations"
                value {
                  null_value: NULL_VALUE
                }
              }
              fields {
                key: "allowedLocations"
                value {
                  string_value: "allowedLocations.all(location, location in [\342\200\230US\342\200\231, \342\200\230EU\342\200\231])"
                }
              }
            }
            resource_types {
              included: "run.googleapis.com/Service"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Para obtener más información, consulta google_securityposture_posture.

Modifica un archivo YAML de postura

Completa los siguientes pasos para modificar un archivo YAML de postura:

  1. Abre el archivo YAML de postura en un editor de texto.
  2. Verifica name, description y state al comienzo del archivo.

  3. Verifica name, description y state al comienzo del archivo.

    name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
    description: DESCRIPTION
    state: STATE
    

    Para obtener detalles sobre estos campos, consulta la referencia de Posture.

    Por ejemplo:

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
    description: This posture applies to staging environments for Vertex AI.
    state: ACTIVE
    
  4. Personaliza las políticas del archivo para satisfacer tus requisitos.

    Para obtener detalles sobre los campos que puedes usar, consulta la referencia de PolicySet.

    1. Revisa las políticas existentes y sus valores. En el caso de las políticas que requieren información específica de tu entorno, establece los valores de forma adecuada. Por ejemplo, para la política ainotebooks.accessMode en la postura predefinida extendida de IA segura, agrega los modos de acceso permitidos en policy_rules:

      - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
        compliance_standards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          org_policy_constraint:
            canned_constraint_id: ainotebooks.accessMode
            policy_rules:
            - values:
                allowed_values: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      
    2. Agrega restricciones adicionales de las políticas de la organización, como se documenta en Restricciones de las políticas de la organización. Si defines una política de la organización personalizada, asegúrate de que el archivo YAML incluya la definición de la restricción personalizada. No puedes usar una restricción personalizada que hayas creado con otros métodos (por ejemplo, con la consola de Google Cloud).

      Por ejemplo, te recomendamos configurar la restricción compute.trustedImageProjects para definir los proyectos que se pueden usar para el almacenamiento de imágenes y la creación de instancias de disco. Si copias este ejemplo, asegúrate de reemplazar allowed_values por una lista de proyectos adecuada:

      - policy_id: Define projects with trusted images.
        compliance_standards:
        - standard:
          control:
        constraint:
          org_policy_constraint:
            canned_constraint_id: compute.trustedImageProjects
            policy_rules:
            - values:
                allowed_values:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      
    3. Agrega detectores adicionales de Security Health Analytics, como los que se documentan en los resultados de las estadísticas del estado de la seguridad. Por ejemplo, agrega un detector de Security Health Analytics para crear un resultado si un proyecto no usa una clave de API para la autenticación:

      - policy_id: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      Como otro ejemplo, agrega un módulo personalizado de Security Health Analytics para detectar si los conjuntos de datos de Vertex AI están encriptados:

      - policy_id: CMEK key is use for Vertex AI DataSet
        compliance_standards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          security_health_analytics_custom_module:
            display_name: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resource_selector:
                resource_types:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            module_enablement_state: ENABLED
      

      A modo de ejemplo, para Security Command Center Enterprise, agrega un detector de las Estadísticas del estado de la seguridad que sea específico de AWS (Versión preliminar):

      - policy_set_id: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policy_id: S3 bucket replication enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policy_id: S3 bucket logging enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Si agregas un detector específico de AWS, debes implementar la postura a nivel de la organización.

  5. Sube tu archivo de postura a un repositorio de origen controlado por versión para que puedas hacer un seguimiento de los cambios que realices con el tiempo.

Crea una postura

Completa esta tarea para crear un recurso de postura en Security Command Center que puedas implementar. Si creaste una postura a partir de una plantilla predefinida con la consola de Google Cloud, el recurso de postura se crea automáticamente por ti.

Console

  1. En la consola de Google Cloud, ve a la página Posture Management.

    Ir a Administración de postura

  2. Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.

  3. Haz clic en Crear postura. Para crear una postura, puedes comenzar con una plantilla o postura existente, o bien usar las políticas aplicadas a un recurso.

    Crea una postura con una postura o plantilla existente

    1. Selecciona Comenzar con una postura o plantilla existente (explora posturas).
    2. Especifica los detalles de la postura, como el nombre y la descripción.
    3. Haz clic en Seleccionar postura. Puedes crear una postura basada en una postura existente o en una plantilla.
      • Selecciona Postura para crear una postura con una existente. Selecciona una postura de la lista de posturas que se muestra y, luego, selecciona una o más revisiones de la lista de revisiones disponibles para la postura seleccionada.
      • Selecciona Plantilla para crear una postura con una plantilla y, luego, elige una o más plantillas de la lista que se muestra.
    4. Haz clic en Guardar. En la sección Conjuntos de políticas, puedes ver la lista de conjuntos de políticas asociados con la postura seleccionada.
    5. Selecciona las políticas de la lista de conjuntos de políticas. También puedes editar la política y moverla a un conjunto de políticas diferente en esta página. No puedes crear una postura con dos políticas con el mismo nombre dentro del mismo conjunto de políticas.
    6. Haz clic en Crear.

    Crear una postura con las políticas aplicadas a un recurso

    1. Selecciona Comienza con una postura aplicada a un recurso (explora recursos).
    2. Especifica los detalles de la postura, como el nombre y la descripción.
    3. Haz clic en Seleccionar recursos.
    4. Selecciona un recurso de la lista de recursos que se muestra y haz clic en Crear.

    Se te redireccionará a la página Detalles de la postura, en la que se mostrará información sobre la postura que creaste. Puedes ver los conjuntos de políticas asociados con esa postura.

gcloud

  1. Ejecuta el comando gcloud scc postures create para crear una postura con el archivo posture.yaml.

    gcloud scc postures create POSTURE_NAME \
        --posture-from-file=POSTURE_FROM_FILE
    

    Reemplaza los siguientes valores:

    • POSTURE_NAME es el nombre de recurso relativo de la postura. Por ejemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

      • POSTURE_ID es un nombre alfanumérico para tu postura que es único para tu organización. POSTURE_ID tiene un límite de 63 caracteres.

    Por ejemplo, para crear una postura con el ID posture-example-1 en la organización organizations/3589215982, ejecuta lo siguiente:

    gcloud scc postures create \
        organizations/3589215982/locations/global/postures/posture-example-1 \
        --posture-from-file=posture.yaml
    

    Si el proceso de creación de la postura falla, borra la postura, soluciona el error y vuelve a intentarlo.

  2. Para verificar que la postura se haya creado correctamente, consulta Cómo ver una postura.

Para aplicar esta postura a tu entorno, debes implementarla.

Terraform

Si creaste una configuración de Terraform para el recurso de postura, debes aprovisionarlo con tu canalización de infraestructura como código.

Para obtener más información, consulta Terraform en Google Cloud.

Implementa una postura

Después de crear una postura, la implementas en un proyecto, una carpeta o una organización para que puedas aplicar las políticas y sus definiciones a recursos específicos de tu organización y supervisar la deriva. Solo puedes implementar una postura en un proyecto, una carpeta o una organización.

Verifica que el estado de postura sea ACTIVE.

Cuando implementas la postura, se realizan las siguientes acciones:

  • Se aplican las definiciones de las políticas de la organización y los detectores de Security Health Analytics.
  • La restricción personalizada para las políticas de la organización personalizadas se crea con el ID de restricción para incluir el ID de revisión de la postura como sufijo al ID de restricción que definiste en la postura.
  • El estado predeterminado de los módulos personalizados se establece en Habilitado.

Console

  1. En la consola de Google Cloud, ve a la página Posture Management.

    Ir a Administración de postura

  2. Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.

  3. En la pestaña Posturas, haz clic en la postura que deseas implementar.

  4. En la página Detalles de la postura, selecciona la revisión de la postura. La revisión de postura que selecciones debe estar en el estado activo.

  5. Haz clic en Aplicar a los recursos.

  6. Haz clic en Seleccionar para seleccionar la organización, la carpeta o el proyecto en el que deseas implementar la postura.

  7. Haz clic en Aplicar postura.

gcloud

Ejecuta el comando gcloud scc posture-deployments create para implementar una postura en un proyecto, una carpeta o una organización.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

Reemplaza los siguientes valores:

  • POSTURE_DEPLOYMENT_NAME es el nombre de recurso relativo de la implementación de postura. El formato es organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION es global.

  • POSTURE_ID es un nombre alfanumérico para tu postura que es único para tu organización.

  • --posture-name=POSTURE_NAME es el nombre de la postura que implementarás. El formato es organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

Si tu postura incluye un detector específico de AWS, debes implementarla a nivel de la organización (Versión preliminar).

Por ejemplo, para implementar una postura, ejecuta el siguiente comando:

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

Puedes ver la información de estado a medida que se completa el comando. Si falla el proceso de creación de la implementación de postura, borra la implementación, soluciona el error y vuelve a intentarlo.

Terraform

Puedes crear un recurso de Terraform para implementar una postura.

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Para obtener más información, consulta google_securityposture_posture_deployment.

Después de crear el recurso de Terraform, aprovisionalo con tu canalización de infraestructura como código.

Consulta la información de la postura y su implementación

Puedes ver la información de la postura y su implementación para ver información como la siguiente:

  • Qué posturas se implementan y dónde se aplican en la jerarquía de recursos (organizaciones, proyectos y carpetas)
  • Las revisiones y el estado de las posturas
  • Los detalles operativos de una implementación de postura

Cómo ver una postura

Puedes ver información sobre una postura (como su estado y las definiciones de políticas).

Console

  1. En la consola de Google Cloud, ve a la página Posture Management.

    Ir a Administración de postura

  2. Selecciona la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.

  3. En la pestaña Posturas, haz clic en la postura que deseas ver. Aparecerán los detalles de la postura.

gcloud

Ejecuta el comando gcloud scc postures describe para ver una postura que creaste.

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

Reemplaza los siguientes valores:

  • POSTURE_NAME es el nombre de recurso relativo de la postura. Por ejemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

  • LOCATION es global.

  • POSTURE_ID es un nombre alfanumérico para tu postura que es único para tu organización.

  • revision-id=REVISION_ID es una marca opcional que especifica qué versión de la postura se debe ver. Si no incluyes la marca, se muestra la versión más reciente.

Por ejemplo, para ver una postura con el nombre organizations/3589215982/locations/global/postures/posture-example-1 y el ID de revisión abcdefgh, ejecuta lo siguiente:

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Consulta información sobre una operación de implementación de postura

Ejecuta el comando gcloud scc posture-operations describe para ver los detalles de la operación de implementación de postura.

gcloud scc posture-operations describe OPERATION_NAME

En el que OPERATION_NAME es el nombre del recurso relativo para la operación. El formato es organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Puedes obtener OPERATION_ID con el argumento --async cuando ejecutas el comando de postura.

Por ejemplo, para ver una operación de análisis con el nombre organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, ejecuta lo siguiente:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Consulta información sobre una implementación de postura

Puedes ver dónde se implementa una postura, así como el estado de la implementación.

Console

  1. En la consola de Google Cloud, ve a la página Posture Management.

    Ir a Administración de postura

  2. Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.

  3. En la pestaña Posturas, haz clic en la postura que implementaste.

  4. Ve a la pestaña Recursos para ver los proyectos, las carpetas y la organización a los que se implementó la postura, así como el estado de la implementación.

gcloud

Ejecuta el comando gcloud scc posture-deployments describe para ver información sobre una postura implementada.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

En el que POSTURE_DEPLOYMENT_NAME es el nombre de recurso relativo para la implementación de la postura. El formato es organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION es global.
  • POSTURE_DEPLOYMENT_ID es un nombre único para la implementación de la postura.

Por ejemplo, para ver los detalles de una implementación de postura que se llama organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, ejecuta lo siguiente:

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Actualiza una postura y su implementación

Puedes actualizar lo siguiente:

  • Es el estado de la postura.
  • Las definiciones de políticas en una postura
  • La organización, las carpetas o los proyectos a los que se implementa una postura.

Actualiza las definiciones de políticas en una postura

Es posible que debas actualizar una postura cuando habilites más servicios de Google Cloud, implementes recursos adicionales o requieras políticas adicionales para cumplir con requisitos de cumplimiento nuevos o cambiantes. Si actualizas una revisión de postura implementada, esta tarea creará una revisión de postura nueva. De lo contrario, se actualizará la revisión de la postura que especifiques cuando ejecutes el comando de actualización.

  1. Abre un archivo YAML en un editor de texto. Agrega los campos que deseas actualizar junto con sus valores. Si actualizas conjuntos de políticas, asegúrate de que el archivo incluya todos los conjuntos de políticas que deseas incluir en la postura, incluidos los que ya existen. Para obtener instrucciones, consulta Cómo modificar un archivo YAML de postura.
  2. Ejecuta el comando gcloud scc postures update para actualizar la postura.

    gcloud scc postures update POSTURE_NAME \
        --posture-from-file=POSTURE_FROM_FILE \
        --revision-id=POSTURE_REVISION_ID \
        --update-mask=UPDATE_MASK
    

    Reemplaza los siguientes valores:

    • POSTURE_NAME es el nombre de recurso relativo de la postura. Por ejemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

      • POSTURE_ID es un nombre alfanumérico para tu postura que es único para tu organización.
    • POSTURE_FROM_FILE es la ruta de acceso relativa o absoluta al archivo posture.yaml que incluye tus cambios.

      • LOCATION es global.
      • POSTURE_ID es un nombre alfanumérico para tu postura que es único para tu organización.
    • POSTURE_FROM_FILE es la ruta de acceso relativa o absoluta al archivo posture.yaml que incluye tus cambios.

    • --revision-id=REVISION_ID es la revisión de la postura que deseas implementar. Si la postura ya está implementada, el servicio de postura de seguridad crea automáticamente una versión nueva de la postura con un ID de revisión diferente y lo incluye en el resultado.

    • --update-mask=UPDATE_MASK es la lista de campos que deseas actualizar, en formato separado por comas. Este argumento es opcional. Puedes establecer UPDATE_MASK en uno de los siguientes valores:

      • * o no especificado: Aplica los cambios que realizaste en los conjuntos de políticas y la descripción de la postura.
      • policy_sets: Aplica solo los cambios que realizaste en los conjuntos de políticas.
      • description: Aplica solo los cambios que hiciste a la descripción de la postura.
      • policy_sets, description: Aplica los cambios que realizaste a los conjuntos de políticas y a la descripción de la postura.
      • state: Aplica solo el cambio de estado.

    Por ejemplo, para actualizar una postura con el nombre posture-example-1 en la organización organizations/3589215982/locations/global y el ID de revisión configurado como abcd1234, ejecuta lo siguiente:

    gcloud scc postures update \
        organizations/3589215982/locations/global/posture-example-1 \
        --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
    

    Si el proceso de actualización de la postura falla, soluciona el problema y vuelve a intentarlo.

  3. Para verificar que la postura se haya actualizado correctamente, consulta Cómo ver una postura.

Cambia el estado de una postura

El estado de una postura determina si está disponible para la implementación en un proyecto, una carpeta o una organización.

Una postura puede tener los siguientes estados:

  • DRAFT: La revisión de la postura no está lista para la implementación. No puedes implementar una revisión de postura que esté en el estado DRAFT.
  • ACTIVE: La revisión de la postura está disponible para la implementación. Puedes cambiar el estado de ACTIVE a DRAFT o DEPRECATED..
  • DEPRECATED: No se puede implementar una revisión de postura DEPRECATED en un recurso. Debes borrar todas las implementaciones de postura existentes de la postura antes de poder dar de baja una revisión de postura. Si deseas volver a implementar una revisión de postura que dejaste obsoleta, debes cambiar su estado a ACTIVE.

Console

  1. En la consola de Google Cloud, ve a la página Posture Management.

    Ir a Administración de postura

  2. Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.

  3. En la pestaña Posturas, haz clic en la postura que deseas actualizar.

  4. En la página Detalles de la postura, haz clic en Editar.

  5. Selecciona el estado de la postura y haz clic en Guardar.

gcloud

Para cambiar el estado de una postura, ejecuta el comando gcloud scc postures update. No puedes actualizar el estado de la postura al mismo tiempo que actualizas otros campos. Para obtener instrucciones sobre cómo ejecutar el comando gcloud scc postures update, consulta Cómo modificar un archivo YAML de postura.

Actualiza una implementación de postura

Actualiza una implementación de postura en un proyecto, una carpeta o una organización para implementar una nueva postura o una revisión nueva de una postura.

Si la revisión de la postura que actualizas incluye una restricción de organización personalizada que se borró con la consola de Google Cloud, no podrás actualizar la implementación de la postura con el mismo ID de postura. El Servicio de políticas de la organización evita la creación de restricciones de organización personalizadas que tengan el mismo nombre. En su lugar, debes crear una versión nueva de la postura o usar un ID de postura diferente.

Además, se desactivarán los resultados de las implementaciones de políticas que se borraron como parte del proceso de actualización.

Console

  1. En la consola de Google Cloud, ve a la página Posture Management.

    Ir a Administración de postura

  2. Verifica que estés viendo la organización en la que activaste Security Command Center Premium o Enterprise.

  3. En la pestaña Posturas, haz clic en la postura que quieres actualizar.

  4. En la página Detalles de la postura, selecciona la revisión de la postura.

  5. Haz clic en Aplicar a los recursos.

  6. Haz clic en Seleccionar para seleccionar la organización, la carpeta o el proyecto en el que deseas implementar la postura. Si ves un mensaje que indica que la implementación ya existe, bórrala antes de volver a intentarlo.

gcloud

Ejecuta el comando gcloud scc posture-deployments update para implementar una postura.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

Reemplaza los siguientes valores:

  • POSTURE_DEPLOYMENT_NAME es el nombre de recurso relativo de la implementación de postura. El formato es organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • POSTURE_DEPLOYMENT_ID es un nombre único para la implementación de la postura.
  • --description=DESCRIPTION es la descripción opcional para la postura implementada.

  • --posture-id=POSTURE_ID es el nombre de tu postura que es único para tu organización. El formato es organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_NAME.

  • --posture-revision-id=POSTURE_REVISION_ID es la revisión de la postura que deseas implementar. Puedes obtenerlo de la respuesta que recibes cuando creas la postura o la ves.

  • --update-mask=UPDATE_MASK es la lista de campos que deseas actualizar, en formato separado por comas. Este argumento es opcional.

Por ejemplo, para actualizar una implementación de postura con los siguientes criterios:

  • Organización: organizations/3589215982/locations/global
  • ID de implementación de la postura: postureDeploymentexample
  • ID de postura: StagingAIPosture
  • Revisión: version2

Ejecuta el siguiente comando:

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Puedes ver la información de estado a medida que se completa el comando. Si falla el proceso de actualización de la implementación de postura, borra la implementación, soluciona el error y vuelve a intentarlo.

Supervisa el desvío de la postura

Puedes supervisar una postura implementada para detectar desviaciones de tus políticas definidas dentro de la postura de seguridad. La deriva es un cambio en una política que se produce fuera de una postura. Por ejemplo, el desvío se produce cuando un administrador cambia una definición de política en la consola en lugar de actualizar la implementación de la postura.

El servicio de postura de seguridad crea hallazgos que puedes ver en la consola de Google Cloud o gcloud CLI cada vez que se produce una deriva.

Console

Si creaste una postura que se aplica a las cargas de trabajo de Vertex AI, puedes supervisar la deriva de dos maneras: desde la página Resultados y desde la página Resumen. Para todas las demás posiciones, puedes supervisar la deriva desde la página Resultados.

Para supervisar la deriva desde la página Resultados, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Resultados.

    Ir a hallazgos

  2. Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.

  3. En el panel Filtros rápidos, selecciona el hallazgo Incumplimiento de postura. También puedes ingresar el siguiente filtro en Vista previa de consulta:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
    
  4. Para ver los detalles de un resultado, haz clic en él.

Para supervisar el desvío desde la página Resumen (solo cargas de trabajo de Vertex AI), haz lo siguiente: 1. En la consola de Google Cloud, ve a la página Descripción general.

Ir a Descripción general

1. Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center. 1. Revisa el panel Hallazgos de carga de trabajo de IA.

  • En la pestaña Vulnerabilidades, se muestran todas las vulnerabilidades relacionadas con los módulos personalizados de Security Health Analytics que se aplican específicamente a las cargas de trabajo de Vertex AI.
  • En la pestaña Desviación de políticas, se muestra cualquier desviación relacionada con las políticas de la organización de Vertex AI que aplicaste en una posición.
  • Para ver los detalles de un hallazgo, haz clic en él.

gcloud

En gcloud CLI, para ver los resultados de la deriva, ejecuta lo siguiente:

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

En el que ORGANIZATION_ID es el ID de la organización.

Para obtener más información sobre cómo abordar estos resultados, consulta Resultados del servicio de postura de seguridad. Puedes exportar estos resultados de la misma manera que exportas cualquier otro resultado de Security Command Center. Para obtener más información, consulta Opciones de integración y Exporta datos de Security Command Center.

Para inactivar un resultado de deriva, puedes actualizar la implementación de postura con el mismo ID y la misma revisión de postura.

Genera un hallazgo de deriva para realizar pruebas

Después de implementar una postura, puedes supervisar si hay derivas en tus políticas. Para ver los resultados de la deriva en acción en un entorno de prueba, completa lo siguiente:

  1. En la consola, ve a la página Política de la organización.

    Ir a la política de la organización

  2. Edita una de las políticas que definiste en la postura implementada. Por ejemplo, si usas una postura de IA segura predefinida, puedes editar la política Restringir el acceso de IP pública en los notebooks y las instancias nuevos de Vertex AI Workbench.

  3. Después de cambiar la política, haz clic en Establecer política.

  4. Ir a la página Resultados

    Ir a hallazgos

  5. En el panel Filtros rápidos, en la sección Nombre visible de la fuente, selecciona Posición de seguridad. En un plazo de cinco minutos, debería aparecer un hallazgo relacionado con el cambio.

  6. Para ver los detalles del resultado, haz clic en él.

Borra una implementación de postura

Puedes borrar una implementación de postura si no se implementó correctamente, si ya no necesitas una postura en particular o si ya no quieres que se asigne una postura en particular a un proyecto, una carpeta o una organización. Para borrar una implementación de postura, esta debe estar en uno de los siguientes estados:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Para verificar el estado de una implementación de postura, consulta Cómo ver información sobre una implementación de postura.

Cuando borras una implementación de postura, quitas la postura del recurso (tu organización, carpeta o proyecto) al que se le asignó. Además, desactiva los hallazgos asociados.

El resultado de los diferentes tipos de políticas es el siguiente:

  • Cuando borras una implementación de postura que incluye políticas de la organización personalizadas, estas se borran. Sin embargo, la restricción personalizada sigue existiendo.
  • Cuando borras una implementación de postura que incluye detectores integrados de Security Health Analytics, el estado final de los módulos de Security Health Analytics depende de la organización, la carpeta o el proyecto en el que existía la implementación.

    • Si implementaste una postura en una carpeta o un proyecto, los detectores integrados de Security Health Analytics heredan su estado de la organización o carpeta superior.
    • Si implementaste una postura a nivel de la organización, los detectores integrados de Security Health Analytics volverán al estado predeterminado. Para obtener una descripción de los estados predeterminados, consulta Habilita e inhabilita los detectores.

Console

  1. En la consola de Google Cloud, ve a la página Posture Management.

    Ir a Administración de postura

  2. Verifica que estés viendo la organización en la que activaste Security Command Center Premium o Enterprise.

  3. En la pestaña Posturas, haz clic en la postura que quieres quitar del recurso al que está asignada.

  4. En la página Detalles de la postura, selecciona la revisión de la postura y ve a Recursos.

  5. En la lista de recursos en los que se implementó la revisión de la postura activa actual, haz clic en Quitar.

gcloud

Ejecuta el comando gcloud scc posture-deployments delete para borrar una implementación de postura.

gcloud scc posture-deployments deletePOSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME es el nombre de recurso relativo de la implementación de postura. El formato es organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • POSTURE_DEPLOYMENT_ID es el nombre único de la implementación de la postura.

Por ejemplo, para borrar una implementación de postura que se llame organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, ejecuta lo siguiente:

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Cómo borrar una postura

Cuando borras una postura, también borras todas las revisiones. No puedes borrar una posición si se implementó alguna de sus revisiones. Para completar esta tarea, debes borrar todas las implementaciones de postura.

Console

  1. En la consola de Google Cloud, ve a la página Posture Management.

    Ir a Administración de postura

  2. Verifica que estés viendo la organización en la que activaste Security Command Center Premium o Enterprise.

  3. En la pestaña Posturas, haz clic en la postura que quieres borrar.

  4. En la página Detalles de la postura, haz clic en Borrar.

gcloud

Ejecuta el comando gcloud scc postures delete para borrar una postura.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME es el nombre de recurso relativo de la posición. Por ejemplo:organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID El ID de postura es un nombre alfanumérico para tu postura que es único para tu organización.

Por ejemplo, para borrar una postura llamada organizations/3589215982/locations/global/postures/posture-example-1, ejecuta lo siguiente:

gcloud scc postures delete \
    organizations/3589215982/locations/global/postures/posture-example-1

¿Qué sigue?