En esta página, se describe cómo puedes configurar y usar el servicio de estado de seguridad después de activar Security Command Center. Para comenzar, debes crear una postura que incluya tus políticas, organizadas en conjuntos de políticas, y, luego, implementar la postura con una implementación de postura. Después de implementar una postura, puedes supervisar la deriva y mejorarla con el tiempo.
Antes de comenzar
Completa estas tareas antes de completar las restantes en esta página.
Activa el nivel Premium o Enterprise de Security Command Center
Verifica que el nivel Premium o Enterprise de Security Command Center esté activado a nivel de la organización.
Si deseas usar los detectores de Security Health Analytics como políticas, selecciona el servicio de Security Health Analytics durante el proceso de activación.
Configura los permisos
Para obtener los permisos que necesitas para usar la postura,
pídele a tu administrador que te otorgue el rol de IAM de Administrador de posturas de seguridad (roles/securityposture.admin
).
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Para obtener más información sobre los roles y los permisos de la postura de seguridad, consulta IAM para activaciones a nivel de la organización.
Configura Google Cloud CLI
Debes usar la versión 461.0.0 o posterior de Google Cloud CLI.
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
A fin de configurar la CLI de gcloud para usar la identidad temporal como cuenta de servicio y autenticarse en las APIs de Google, en lugar de tus credenciales de usuario, ejecuta el siguiente comando:
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
Para obtener más información, consulta Identidad temporal como cuenta de servicio.
Habilita las APIs
Habilita las APIs de Organization Policy Service y Security Posture Service:
gcloud services enable orgpolicy.googleapis.com securityposture.googleapis.com
Configura la conexión a AWS
Para usar los detectores integrados de Security Health Analytics que son específicos de AWS, debes activar Security Command Center Enterprise y conectarte a AWS para la detección de vulnerabilidades.
Crea e implementa una postura
Para comenzar a usar una postura de seguridad, debes completar lo siguiente:
- Crea un archivo YAML de postura que defina las políticas que se aplican a tu postura de seguridad.
- Crea una postura en Google Cloud que se base en el archivo YAML de postura.
- Implementa la postura.
En las siguientes secciones, se proporcionan instrucciones detalladas.
Crea un archivo YAML de postura
Una postura consiste en uno o más conjuntos de políticas que se implementan juntos. Estos conjuntos de políticas incluyen todas las políticas preventivas y de detección que deseas incluir en tu postura.
Para crear tu postura, haz una de las siguientes acciones:
- Copia una plantilla de postura predefinida. Si es necesario, realiza las modificaciones necesarias en las políticas para que se apliquen a tu entorno y cumplan con los estándares de seguridad y reglamentarios de tu empresa. Para obtener instrucciones, consulta Crea un archivo de postura a partir de una plantilla de postura predefinida.
- Extrae las políticas existentes de tu entorno. Si es necesario, realiza las modificaciones necesarias en las políticas para que satisfagan los estándares regulatorios y de seguridad de tu empresa. Para obtener instrucciones, consulta Cómo crear un archivo de estado extrayendo políticas de un entorno existente.
- Crea un recurso de Terraform que defina la postura. Para obtener instrucciones, consulta Crea un recurso de Terraform con definiciones de políticas.
Para obtener detalles sobre los campos que puedes usar en una postura, consulta la referencia de Posture
y la referencia de PolicySet
.
Crea un archivo de postura a partir de una plantilla de postura predefinida
Puedes usar una plantilla de postura predefinida para crear un archivo de postura.
Console
En la consola de Google Cloud, ve a la página Posture Management.
Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.
En la pestaña Plantillas, haz clic en la plantilla que deseas usar.
En la página Detalles de la plantilla, haz clic en Crear postura.
Proporciona un nombre único para la postura y haz clic en Crear. Se abrirá la página Detalles de la postura.
Realiza una de las acciones siguientes:
- Si puedes usar la postura sin hacer ningún cambio (por ejemplo, usaste una de las plantillas de
_essentials
), puedes implementarla. Para obtener instrucciones, consulta Cómo implementar una postura. - Si necesitas modificar cualquiera de los conjuntos o políticas (por ejemplo,
usaste una de las plantillas _enhanced), completa
Modifica un archivo YAML de postura y
establece el estado de postura en
ACTIVE
.
- Si puedes usar la postura sin hacer ningún cambio (por ejemplo, usaste una de las plantillas de
gcloud
- Revisa las plantillas de postura predefinidas para determinar cuáles se aplican a tu entorno. Puedes aplicar algunas de ellas sin hacer ningún cambio, pero otras requieren que personalices las políticas para que coincidan con tu entorno.
Usa uno de los siguientes métodos para copiar los archivos YAML en tu editor de texto:
- Copia el archivo YAML del contenido de referencia en las plantillas de postura predefinidas.
- Ejecuta el comando
gcloud scc posture-templates describe
para copiar el archivo YAML.
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \ --revision-id=REVISION_ID
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/POSTURE_TEMPLATE \ --revision-id=REVISION_ID
Reemplaza los siguientes valores:
ORGANIZATION_ID
es la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.LOCATION
es la ubicación en la que deseas implementar y almacenar la postura. La única ubicación compatible esglobal
.POSTURE_TEMPLATE
es el nombre de la plantilla de la postura predefinida, como se describe en Plantillas de posturas predefinidas.REVISION_ID
es la versión de revisión de la postura predefinida. Si no incluyes el ID de revisión, se mostrará la versión más reciente de la postura predefinida.
Por ejemplo, para ver la postura predefinida de IA segura y esencial en la organización
3589215982
, ejecuta lo siguiente:gcloud scc posture-templates describe \ organizations/3589215982/locations/global/postureTemplates/secure_ai_essential \ --revision-id=v.1.0
Realiza una de las acciones siguientes:
- Si puedes usar la postura sin hacer ningún cambio (por ejemplo, usaste una de las plantillas de
_essentials
), puedes crearla. Para obtener instrucciones, consulta Cómo crear una postura. - Si necesitas modificar cualquiera de los conjuntos o políticas, completa Modifica un archivo YAML de postura.
- Si puedes usar la postura sin hacer ningún cambio (por ejemplo, usaste una de las plantillas de
Extrae políticas de un entorno existente para crear un archivo de postura
Puedes extraer las políticas (políticas de la organización, incluidas las políticas personalizadas y todos los detectores de Security Health Analytics, incluidos los detectores personalizados) que configuraste en un proyecto, una carpeta o una organización existentes para crear un archivo de postura. No puedes extraer políticas de una organización, carpeta o proyecto que ya tenga una postura aplicada.
Este comando solo extrae las políticas que configuraste anteriormente para la organización, la carpeta o el proyecto, y no extrae políticas de las carpetas o la organización superiores.
Si conectaste Security Command Center Enterprise a AWS, este comando también extrae los detectores específicos de AWS (Versión preliminar).
Ejecuta el comando
gcloud scc postures extract
para extraer las políticas de la organización existentes y los detectores de Security Health Analytics en tu entorno.gcloud scc postures extract POSTURE_NAME \ --workload=WORKLOAD
Reemplaza los siguientes valores:
POSTURE_NAME
es el nombre de recurso relativo de la postura. Por ejemplo,organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
POSTURE_ID
es un nombre alfanumérico para tu postura que es único para tu organización.POSTURE_ID
tiene un límite de 63 caracteres.
WORKLOAD
es el proyecto, la carpeta o la organización de la que extraes las políticas. La carga de trabajo es una de las siguientes:projects/PROJECT_NUMBER
folder/FOLDER_ID
organizations/ORGANIZATION_ID
Por ejemplo, para extraer políticas de la carpeta
3589215982
de la organización6589215984
, ejecuta lo siguiente:gcloud scc postures extract \ organizations/6589215984/locations/global/postures/myStagingPosture \ workload=folder/3589215982 > posture.yaml
Abre el archivo
posture.yaml
resultante para editarlo.Realiza una de las acciones siguientes:
- Si puedes usar la postura sin hacer ningún cambio (por ejemplo, usaste una de las plantillas de
_essentials
), puedes crearla. Para obtener instrucciones, consulta Cómo crear una postura. - Si necesitas modificar cualquiera de los conjuntos o políticas, completa Modifica un archivo YAML de postura.
- Si puedes usar la postura sin hacer ningún cambio (por ejemplo, usaste una de las plantillas de
Crea un recurso de Terraform con definiciones de políticas
Puedes crear una configuración de Terraform para crear un recurso de postura.
Por ejemplo, puedes crear un recurso de postura que incluya restricciones de políticas de la organización integradas y personalizadas, y detectores de Security Health Analytics integrados y personalizados. La compatibilidad con la administración de posturas para los detectores integrados de Security Health Analytics que son específicos de AWS se encuentra en versión preliminar.
resource "google_securityposture_posture" "posture_example" {
posture_id = "<POSTURE_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
state = "ACTIVE"
description = "a new posture"
policy_sets {
policy_set_id = "org_policy_set"
description = "set of org policies"
policies {
policy_id = "canned_org_policy"
constraint {
org_policy_constraint {
canned_constraint_id = "storage.uniformBucketLevelAccess"
policy_rules {
enforce = true
}
}
}
}
policies {
policy_id = "canned_org_policy_for_service"
constraint {
org_policy_constraint {
canned_constraint_id = "run.allowedVPCEgress"
policy_rules {
allow_all: true
condition {
expression: "!(parameters.denyAll or resource.location in parameters.deniedLocations) && (parameters.allowAll or resource.location in parameters.allowedLocations)"
}
parameters {
fields {
key: "denyAll"
value {
bool_value: false
}
}
fields {
key: "allowAll"
value {
bool_value: false
}
}
fields {
key: "deniedLocations"
value {
null_value: NULL_VALUE
}
}
fields {
key: "allowedLocations"
value {
string_value: "allowedLocations.all(location, location in [\342\200\230US\342\200\231, \342\200\230EU\342\200\231])"
}
}
}
resource_types {
included: "run.googleapis.com/Service"
}
}
}
}
}
}
policy_sets {
policy_set_id = "sha_policy_set"
description = "set of sha policies"
policies {
policy_id = "sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "BIGQUERY_TABLE_CMEK_DISABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
}
policies {
policy_id = "aws_sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "S3_BUCKET_LOGGING_ENABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable S3_BUCKET_LOGGING_ENABLED"
}
policies {
policy_id = "sha_custom_module"
constraint {
security_health_analytics_custom_module {
display_name = "custom_SHA_policy"
config {
predicate {
expression = "resource.rotationPeriod > duration('2592000s')"
}
custom_output {
properties {
name = "duration"
value_expression {
expression = "resource.rotationPeriod"
}
}
}
resource_selector {
resource_types = ["cloudkms.googleapis.com/CryptoKey"]
}
severity = "LOW"
description = "Custom Module"
recommendation = "Testing custom modules"
}
module_enablement_state = "ENABLED"
}
}
}
}
}
Para obtener más información, consulta google_securityposture_posture.
Modifica un archivo YAML de postura
Completa los siguientes pasos para modificar un archivo YAML de postura:
- Abre el archivo YAML de postura en un editor de texto.
Verifica
name
,description
ystate
al comienzo del archivo.Verifica
name
,description
ystate
al comienzo del archivo.name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID description: DESCRIPTION state: STATE
Para obtener detalles sobre estos campos, consulta la referencia de
Posture
.Por ejemplo:
name: organizations/3589215982/locations/global/posture/stagingAIPosture description: This posture applies to staging environments for Vertex AI. state: ACTIVE
Personaliza las políticas del archivo para satisfacer tus requisitos.
Para obtener detalles sobre los campos que puedes usar, consulta la referencia de
PolicySet
.Revisa las políticas existentes y sus valores. En el caso de las políticas que requieren información específica de tu entorno, establece los valores de forma adecuada. Por ejemplo, para la política
ainotebooks.accessMode
en la postura predefinida extendida de IA segura, agrega los modos de acceso permitidos enpolicy_rules
:- policy_id: Define access mode for Vertex AI Workbench notebooks and instances compliance_standards: - standard: NIST SP 800-53 control: AC-3(3) - standard: NIST SP 800-53 control: AC-6(1) constraint: org_policy_constraint: canned_constraint_id: ainotebooks.accessMode policy_rules: - values: allowed_values: service-account description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
Agrega restricciones adicionales de las políticas de la organización, como se documenta en Restricciones de las políticas de la organización. Si defines una política de la organización personalizada, asegúrate de que el archivo YAML incluya la definición de la restricción personalizada. No puedes usar una restricción personalizada que hayas creado con otros métodos (por ejemplo, con la consola de Google Cloud).
Por ejemplo, te recomendamos configurar la restricción
compute.trustedImageProjects
para definir los proyectos que se pueden usar para el almacenamiento de imágenes y la creación de instancias de disco. Si copias este ejemplo, asegúrate de reemplazarallowed_values
por una lista de proyectos adecuada:- policy_id: Define projects with trusted images. compliance_standards: - standard: control: constraint: org_policy_constraint: canned_constraint_id: compute.trustedImageProjects policy_rules: - values: allowed_values: - project1 - project2 - projectN description: This is a complete list of projects from which images can be used.
Agrega detectores adicionales de Security Health Analytics, como los que se documentan en los resultados de las estadísticas del estado de la seguridad. Por ejemplo, agrega un detector de Security Health Analytics para crear un resultado si un proyecto no usa una clave de API para la autenticación:
- policy_id: API Key Exists constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: API_KEY_EXISTS
Como otro ejemplo, agrega un módulo personalizado de Security Health Analytics para detectar si los conjuntos de datos de Vertex AI están encriptados:
- policy_id: CMEK key is use for Vertex AI DataSet compliance_standards: - standard: NIST SP 800-53 control: SC-12 - standard: NIST SP 800-53 control: SC-13 constraint: security_health_analytics_custom_module: display_name: "vertexAIDatasetCMEKDisabled" config: customOutput: {} predicate: expression: "!has(resource.encryptionSpec)" resource_selector: resource_types: - aiplatform.googleapis.com/Dataset severity: CRITICAL description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK." recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview." module_enablement_state: ENABLED
A modo de ejemplo, para Security Command Center Enterprise, agrega un detector de las Estadísticas del estado de la seguridad que sea específico de AWS (Versión preliminar):
- policy_set_id: AWS policy set description: Policy set containing AWS built-in SHA modules for securing S3 buckets. policies: - policy_id: S3 bucket replication enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-13(5) constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_REPLICATION_ENABLED description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled. - policy_id: S3 bucket logging enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-7(8) - standard: PCI DSS 3.2.1 control: 10.3.1 constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_LOGGING_ENABLED description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
Si agregas un detector específico de AWS, debes implementar la postura a nivel de la organización.
Sube tu archivo de postura a un repositorio de origen controlado por versión para que puedas hacer un seguimiento de los cambios que realices con el tiempo.
Crea una postura
Completa esta tarea para crear un recurso de postura en Security Command Center que puedas implementar. Si creaste una postura a partir de una plantilla predefinida con la consola de Google Cloud, el recurso de postura se crea automáticamente por ti.
Console
En la consola de Google Cloud, ve a la página Posture Management.
Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.
Haz clic en Crear postura. Para crear una postura, puedes comenzar con una plantilla o postura existente, o bien usar las políticas aplicadas a un recurso.
Crea una postura con una postura o plantilla existente
- Selecciona Comenzar con una postura o plantilla existente (explora posturas).
- Especifica los detalles de la postura, como el nombre y la descripción.
- Haz clic en Seleccionar postura. Puedes crear una postura basada en una
postura existente o en una plantilla.
- Selecciona Postura para crear una postura con una existente. Selecciona una postura de la lista de posturas que se muestra y, luego, selecciona una o más revisiones de la lista de revisiones disponibles para la postura seleccionada.
- Selecciona Plantilla para crear una postura con una plantilla y, luego, elige una o más plantillas de la lista que se muestra.
- Haz clic en Guardar. En la sección Conjuntos de políticas, puedes ver la lista de conjuntos de políticas asociados con la postura seleccionada.
- Selecciona las políticas de la lista de conjuntos de políticas. También puedes editar la política y moverla a un conjunto de políticas diferente en esta página. No puedes crear una postura con dos políticas con el mismo nombre dentro del mismo conjunto de políticas.
- Haz clic en Crear.
Crear una postura con las políticas aplicadas a un recurso
- Selecciona Comienza con una postura aplicada a un recurso (explora recursos).
- Especifica los detalles de la postura, como el nombre y la descripción.
- Haz clic en Seleccionar recursos.
- Selecciona un recurso de la lista de recursos que se muestra y haz clic en Crear.
Se te redireccionará a la página Detalles de la postura, en la que se mostrará información sobre la postura que creaste. Puedes ver los conjuntos de políticas asociados con esa postura.
gcloud
Ejecuta el comando
gcloud scc postures create
para crear una postura con el archivoposture.yaml
.gcloud scc postures create POSTURE_NAME \ --posture-from-file=POSTURE_FROM_FILE
Reemplaza los siguientes valores:
POSTURE_NAME
es el nombre de recurso relativo de la postura. Por ejemplo,organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
POSTURE_ID
es un nombre alfanumérico para tu postura que es único para tu organización.POSTURE_ID
tiene un límite de 63 caracteres.
Por ejemplo, para crear una postura con el ID
posture-example-1
en la organizaciónorganizations/3589215982
, ejecuta lo siguiente:gcloud scc postures create \ organizations/3589215982/locations/global/postures/posture-example-1 \ --posture-from-file=posture.yaml
Si el proceso de creación de la postura falla, borra la postura, soluciona el error y vuelve a intentarlo.
Para verificar que la postura se haya creado correctamente, consulta Cómo ver una postura.
Para aplicar esta postura a tu entorno, debes implementarla.
Terraform
Si creaste una configuración de Terraform para el recurso de postura, debes aprovisionarlo con tu canalización de infraestructura como código.
Para obtener más información, consulta Terraform en Google Cloud.
Implementa una postura
Después de crear una postura, la implementas en un proyecto, una carpeta o una organización para que puedas aplicar las políticas y sus definiciones a recursos específicos de tu organización y supervisar la deriva. Solo puedes implementar una postura en un proyecto, una carpeta o una organización.
Verifica que el estado de postura sea ACTIVE
.
Cuando implementas la postura, se realizan las siguientes acciones:
- Se aplican las definiciones de las políticas de la organización y los detectores de Security Health Analytics.
- La restricción personalizada para las políticas de la organización personalizadas se crea con el ID de restricción para incluir el ID de revisión de la postura como sufijo al ID de restricción que definiste en la postura.
El estado predeterminado de los módulos personalizados se establece en Habilitado.
Console
En la consola de Google Cloud, ve a la página Posture Management.
Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.
En la pestaña Posturas, haz clic en la postura que deseas implementar.
En la página Detalles de la postura, selecciona la revisión de la postura. La revisión de postura que selecciones debe estar en el estado activo.
Haz clic en Aplicar a los recursos.
Haz clic en Seleccionar para seleccionar la organización, la carpeta o el proyecto en el que deseas implementar la postura.
Haz clic en Aplicar postura.
gcloud
Ejecuta el comando gcloud scc posture-deployments create
para implementar una postura en un proyecto, una carpeta o una organización.
gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
--posture-name=POSTURE_NAME \
--posture-revision-id=POSTURE_REVISION_ID \
--target-resource=TARGET_RESOURCE
Reemplaza los siguientes valores:
POSTURE_DEPLOYMENT_NAME
es el nombre de recurso relativo de la implementación de postura. El formato esorganizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.LOCATION
esglobal
.POSTURE_ID
es un nombre alfanumérico para tu postura que es único para tu organización.--posture-name=POSTURE_NAME
es el nombre de la postura que implementarás. El formato esorganizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
.
Si tu postura incluye un detector específico de AWS, debes implementarla a nivel de la organización (Versión preliminar).
Por ejemplo, para implementar una postura, ejecuta el siguiente comando:
gcloud scc posture-deployments create \
organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
--posture-revision-id=version1 \
--target-resource=projects/4589215982
Puedes ver la información de estado a medida que se completa el comando. Si falla el proceso de creación de la implementación de postura, borra la implementación, soluciona el error y vuelve a intentarlo.
Terraform
Puedes crear un recurso de Terraform para implementar una postura.
resource "google_securityposture_posture_deployment" "posture_deployment_example" {
posture_deployment_id = "<POSTURE_DEPLOYMENT_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
description = "a new posture deployment"
target_resource = "<TARGET_RESOURCE>"
posture_id = "<POSTURE_NAME>"
posture_revision_id = "<POSTURE_REVISION_ID>"
}
Para obtener más información, consulta google_securityposture_posture_deployment.
Después de crear el recurso de Terraform, aprovisionalo con tu canalización de infraestructura como código.
Consulta la información de la postura y su implementación
Puedes ver la información de la postura y su implementación para ver información como la siguiente:
- Qué posturas se implementan y dónde se aplican en la jerarquía de recursos (organizaciones, proyectos y carpetas)
- Las revisiones y el estado de las posturas
- Los detalles operativos de una implementación de postura
Cómo ver una postura
Puedes ver información sobre una postura (como su estado y las definiciones de políticas).
Console
En la consola de Google Cloud, ve a la página Posture Management.
Selecciona la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.
En la pestaña Posturas, haz clic en la postura que deseas ver. Aparecerán los detalles de la postura.
gcloud
Ejecuta el comando gcloud scc postures describe
para ver una postura que creaste.
gcloud scc postures describe POSTURE_NAME \
--revision-id=REVISION_ID
Reemplaza los siguientes valores:
POSTURE_NAME
es el nombre de recurso relativo de la postura. Por ejemplo,organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
LOCATION
esglobal
.POSTURE_ID
es un nombre alfanumérico para tu postura que es único para tu organización.revision-id=REVISION_ID
es una marca opcional que especifica qué versión de la postura se debe ver. Si no incluyes la marca, se muestra la versión más reciente.
Por ejemplo, para ver una postura con el nombre organizations/3589215982/locations/global/postures/posture-example-1
y el ID de revisión abcdefgh
, ejecuta lo siguiente:
gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1 \
--revision-id=abcdefgh
Consulta información sobre una operación de implementación de postura
Ejecuta el comando gcloud scc posture-operations describe
para ver los detalles de la operación de implementación de postura.
gcloud scc posture-operations describe OPERATION_NAME
En el que OPERATION_NAME
es el nombre del recurso relativo para la operación. El formato es organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID
.
Puedes obtener OPERATION_ID
con el argumento --async
cuando ejecutas el comando de postura.
Por ejemplo, para ver una operación de análisis con el nombre organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
, ejecuta lo siguiente:
gcloud scc posture-operations describe \
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
Consulta información sobre una implementación de postura
Puedes ver dónde se implementa una postura, así como el estado de la implementación.
Console
En la consola de Google Cloud, ve a la página Posture Management.
Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.
En la pestaña Posturas, haz clic en la postura que implementaste.
Ve a la pestaña Recursos para ver los proyectos, las carpetas y la organización a los que se implementó la postura, así como el estado de la implementación.
gcloud
Ejecuta el comando gcloud scc posture-deployments describe
para ver información sobre una postura implementada.
gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME
En el que POSTURE_DEPLOYMENT_NAME
es el nombre de recurso relativo para la implementación de la postura. El formato es organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.
LOCATION
esglobal
.POSTURE_DEPLOYMENT_ID
es un nombre único para la implementación de la postura.
Por ejemplo, para ver los detalles de una implementación de postura que se llama organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
, ejecuta lo siguiente:
gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
Actualiza una postura y su implementación
Puedes actualizar lo siguiente:
- Es el estado de la postura.
- Las definiciones de políticas en una postura
- La organización, las carpetas o los proyectos a los que se implementa una postura.
Actualiza las definiciones de políticas en una postura
Es posible que debas actualizar una postura cuando habilites más servicios de Google Cloud, implementes recursos adicionales o requieras políticas adicionales para cumplir con requisitos de cumplimiento nuevos o cambiantes. Si actualizas una revisión de postura implementada, esta tarea creará una revisión de postura nueva. De lo contrario, se actualizará la revisión de la postura que especifiques cuando ejecutes el comando de actualización.
- Abre un archivo YAML en un editor de texto. Agrega los campos que deseas actualizar junto con sus valores. Si actualizas conjuntos de políticas, asegúrate de que el archivo incluya todos los conjuntos de políticas que deseas incluir en la postura, incluidos los que ya existen. Para obtener instrucciones, consulta Cómo modificar un archivo YAML de postura.
Ejecuta el comando
gcloud scc postures update
para actualizar la postura.gcloud scc postures update POSTURE_NAME \ --posture-from-file=POSTURE_FROM_FILE \ --revision-id=POSTURE_REVISION_ID \ --update-mask=UPDATE_MASK
Reemplaza los siguientes valores:
POSTURE_NAME
es el nombre de recurso relativo de la postura. Por ejemplo,organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
POSTURE_ID
es un nombre alfanumérico para tu postura que es único para tu organización.
POSTURE_FROM_FILE
es la ruta de acceso relativa o absoluta al archivoposture.yaml
que incluye tus cambios.LOCATION
esglobal
.POSTURE_ID
es un nombre alfanumérico para tu postura que es único para tu organización.
POSTURE_FROM_FILE
es la ruta de acceso relativa o absoluta al archivoposture.yaml
que incluye tus cambios.--revision-id=REVISION_ID
es la revisión de la postura que deseas implementar. Si la postura ya está implementada, el servicio de postura de seguridad crea automáticamente una versión nueva de la postura con un ID de revisión diferente y lo incluye en el resultado.--update-mask=UPDATE_MASK
es la lista de campos que deseas actualizar, en formato separado por comas. Este argumento es opcional. Puedes establecerUPDATE_MASK
en uno de los siguientes valores:*
o no especificado: Aplica los cambios que realizaste en los conjuntos de políticas y la descripción de la postura.policy_sets
: Aplica solo los cambios que realizaste en los conjuntos de políticas.description
: Aplica solo los cambios que hiciste a la descripción de la postura.policy_sets, description
: Aplica los cambios que realizaste a los conjuntos de políticas y a la descripción de la postura.state
: Aplica solo el cambio de estado.
Por ejemplo, para actualizar una postura con el nombre
posture-example-1
en la organizaciónorganizations/3589215982/locations/global
y el ID de revisión configurado comoabcd1234
, ejecuta lo siguiente:gcloud scc postures update \ organizations/3589215982/locations/global/posture-example-1 \ --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
Si el proceso de actualización de la postura falla, soluciona el problema y vuelve a intentarlo.
Para verificar que la postura se haya actualizado correctamente, consulta Cómo ver una postura.
Cambia el estado de una postura
El estado de una postura determina si está disponible para la implementación en un proyecto, una carpeta o una organización.
Una postura puede tener los siguientes estados:
DRAFT
: La revisión de la postura no está lista para la implementación. No puedes implementar una revisión de postura que esté en el estadoDRAFT
.ACTIVE
: La revisión de la postura está disponible para la implementación. Puedes cambiar el estado deACTIVE
aDRAFT
oDEPRECATED.
.DEPRECATED
: No se puede implementar una revisión de posturaDEPRECATED
en un recurso. Debes borrar todas las implementaciones de postura existentes de la postura antes de poder dar de baja una revisión de postura. Si deseas volver a implementar una revisión de postura que dejaste obsoleta, debes cambiar su estado aACTIVE
.
Console
En la consola de Google Cloud, ve a la página Posture Management.
Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.
En la pestaña Posturas, haz clic en la postura que deseas actualizar.
En la página Detalles de la postura, haz clic en Editar.
Selecciona el estado de la postura y haz clic en Guardar.
gcloud
Para cambiar el estado de una postura, ejecuta el comando gcloud scc postures update
.
No puedes actualizar el estado de la postura al mismo tiempo que actualizas otros campos. Para obtener instrucciones sobre cómo ejecutar el comando gcloud scc postures update
, consulta Cómo modificar un archivo YAML de postura.
Actualiza una implementación de postura
Actualiza una implementación de postura en un proyecto, una carpeta o una organización para implementar una nueva postura o una revisión nueva de una postura.
Si la revisión de la postura que actualizas incluye una restricción de organización personalizada que se borró con la consola de Google Cloud, no podrás actualizar la implementación de la postura con el mismo ID de postura. El Servicio de políticas de la organización evita la creación de restricciones de organización personalizadas que tengan el mismo nombre. En su lugar, debes crear una versión nueva de la postura o usar un ID de postura diferente.
Además, se desactivarán los resultados de las implementaciones de políticas que se borraron como parte del proceso de actualización.
Console
En la consola de Google Cloud, ve a la página Posture Management.
Verifica que estés viendo la organización en la que activaste Security Command Center Premium o Enterprise.
En la pestaña Posturas, haz clic en la postura que quieres actualizar.
En la página Detalles de la postura, selecciona la revisión de la postura.
Haz clic en Aplicar a los recursos.
Haz clic en Seleccionar para seleccionar la organización, la carpeta o el proyecto en el que deseas implementar la postura. Si ves un mensaje que indica que la implementación ya existe, bórrala antes de volver a intentarlo.
gcloud
Ejecuta el comando gcloud scc posture-deployments update
para implementar una postura.
gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
--description=DESCRIPTION \
--update-mask=UPDATE_MASK \
--posture-id=POSTURE_ID \
--posture-revision-id=POSTURE_REVISION_ID
Reemplaza los siguientes valores:
POSTURE_DEPLOYMENT_NAME
es el nombre de recurso relativo de la implementación de postura. El formato esorganizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.POSTURE_DEPLOYMENT_ID
es un nombre único para la implementación de la postura.
--description=DESCRIPTION
es la descripción opcional para la postura implementada.--posture-id=POSTURE_ID
es el nombre de tu postura que es único para tu organización. El formato esorganizations/ORGANIZATION_ID/locations/global/postures/POSTURE_NAME
.--posture-revision-id=POSTURE_REVISION_ID
es la revisión de la postura que deseas implementar. Puedes obtenerlo de la respuesta que recibes cuando creas la postura o la ves.--update-mask=UPDATE_MASK
es la lista de campos que deseas actualizar, en formato separado por comas. Este argumento es opcional.
Por ejemplo, para actualizar una implementación de postura con los siguientes criterios:
- Organización:
organizations/3589215982/locations/global
- ID de implementación de la postura:
postureDeploymentexample
- ID de postura:
StagingAIPosture
- Revisión:
version2
Ejecuta el siguiente comando:
gcloud scc posture-deployments update \
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
--posture-revision-id=version2
Puedes ver la información de estado a medida que se completa el comando. Si falla el proceso de actualización de la implementación de postura, borra la implementación, soluciona el error y vuelve a intentarlo.
Supervisa el desvío de la postura
Puedes supervisar una postura implementada para detectar desviaciones de tus políticas definidas dentro de la postura de seguridad. La deriva es un cambio en una política que se produce fuera de una postura. Por ejemplo, el desvío se produce cuando un administrador cambia una definición de política en la consola en lugar de actualizar la implementación de la postura.
El servicio de postura de seguridad crea hallazgos que puedes ver en la consola de Google Cloud o gcloud CLI cada vez que se produce una deriva.
Console
Si creaste una postura que se aplica a las cargas de trabajo de Vertex AI, puedes supervisar la deriva de dos maneras: desde la página Resultados y desde la página Resumen. Para todas las demás posiciones, puedes supervisar la deriva desde la página Resultados.
Para supervisar la deriva desde la página Resultados, sigue estos pasos:
En la consola de Google Cloud, ve a la página Resultados.
Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center.
En el panel Filtros rápidos, selecciona el hallazgo Incumplimiento de postura. También puedes ingresar el siguiente filtro en Vista previa de consulta:
state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
Para ver los detalles de un resultado, haz clic en él.
Para supervisar el desvío desde la página Resumen (solo cargas de trabajo de Vertex AI), haz lo siguiente: 1. En la consola de Google Cloud, ve a la página Descripción general.
1. Verifica que estés viendo la organización en la que activaste el nivel Premium o Enterprise de Security Command Center. 1. Revisa el panel Hallazgos de carga de trabajo de IA.
- En la pestaña Vulnerabilidades, se muestran todas las vulnerabilidades relacionadas con los módulos personalizados de Security Health Analytics que se aplican específicamente a las cargas de trabajo de Vertex AI.
- En la pestaña Desviación de políticas, se muestra cualquier desviación relacionada con las políticas de la organización de Vertex AI que aplicaste en una posición.
- Para ver los detalles de un hallazgo, haz clic en él.
gcloud
En gcloud CLI, para ver los resultados de la deriva, ejecuta lo siguiente:
gcloud scc findings list ORGANIZATION_ID \
--filter="category=\"SECURITY_POSTURE_DRIFT\""
En el que ORGANIZATION_ID
es el ID de la organización.
Para obtener más información sobre cómo abordar estos resultados, consulta Resultados del servicio de postura de seguridad. Puedes exportar estos resultados de la misma manera que exportas cualquier otro resultado de Security Command Center. Para obtener más información, consulta Opciones de integración y Exporta datos de Security Command Center.
Para inactivar un resultado de deriva, puedes actualizar la implementación de postura con el mismo ID y la misma revisión de postura.
Genera un hallazgo de deriva para realizar pruebas
Después de implementar una postura, puedes supervisar si hay derivas en tus políticas. Para ver los resultados de la deriva en acción en un entorno de prueba, completa lo siguiente:
En la consola, ve a la página Política de la organización.
Edita una de las políticas que definiste en la postura implementada. Por ejemplo, si usas una postura de IA segura predefinida, puedes editar la política Restringir el acceso de IP pública en los notebooks y las instancias nuevos de Vertex AI Workbench.
Después de cambiar la política, haz clic en Establecer política.
Ir a la página Resultados
En el panel Filtros rápidos, en la sección Nombre visible de la fuente, selecciona Posición de seguridad. En un plazo de cinco minutos, debería aparecer un hallazgo relacionado con el cambio.
Para ver los detalles del resultado, haz clic en él.
Borra una implementación de postura
Puedes borrar una implementación de postura si no se implementó correctamente, si ya no necesitas una postura en particular o si ya no quieres que se asigne una postura en particular a un proyecto, una carpeta o una organización. Para borrar una implementación de postura, esta debe estar en uno de los siguientes estados:
ACTIVE
CREATE_FAILED
UPDATE_FAILED
DELETE_FAILED
Para verificar el estado de una implementación de postura, consulta Cómo ver información sobre una implementación de postura.
Cuando borras una implementación de postura, quitas la postura del recurso (tu organización, carpeta o proyecto) al que se le asignó. Además, desactiva los hallazgos asociados.
El resultado de los diferentes tipos de políticas es el siguiente:
- Cuando borras una implementación de postura que incluye políticas de la organización personalizadas, estas se borran. Sin embargo, la restricción personalizada sigue existiendo.
Cuando borras una implementación de postura que incluye detectores integrados de Security Health Analytics, el estado final de los módulos de Security Health Analytics depende de la organización, la carpeta o el proyecto en el que existía la implementación.
- Si implementaste una postura en una carpeta o un proyecto, los detectores integrados de Security Health Analytics heredan su estado de la organización o carpeta superior.
- Si implementaste una postura a nivel de la organización, los detectores integrados de Security Health Analytics volverán al estado predeterminado. Para obtener una descripción de los estados predeterminados, consulta Habilita e inhabilita los detectores.
Console
En la consola de Google Cloud, ve a la página Posture Management.
Verifica que estés viendo la organización en la que activaste Security Command Center Premium o Enterprise.
En la pestaña Posturas, haz clic en la postura que quieres quitar del recurso al que está asignada.
En la página Detalles de la postura, selecciona la revisión de la postura y ve a Recursos.
En la lista de recursos en los que se implementó la revisión de la postura activa actual, haz clic en Quitar.
gcloud
Ejecuta el comando gcloud scc posture-deployments delete
para borrar una implementación de postura.
gcloud scc posture-deployments deletePOSTURE_DEPLOYMENT_NAME
POSTURE_DEPLOYMENT_NAME
es el nombre de recurso relativo de la implementación de postura. El formato es organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.
POSTURE_DEPLOYMENT_ID
es el nombre único de la implementación de la postura.
Por ejemplo, para borrar una implementación de postura que se llame organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
, ejecuta lo siguiente:
gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
Cómo borrar una postura
Cuando borras una postura, también borras todas las revisiones. No puedes borrar una posición si se implementó alguna de sus revisiones. Para completar esta tarea, debes borrar todas las implementaciones de postura.
Console
En la consola de Google Cloud, ve a la página Posture Management.
Verifica que estés viendo la organización en la que activaste Security Command Center Premium o Enterprise.
En la pestaña Posturas, haz clic en la postura que quieres borrar.
En la página Detalles de la postura, haz clic en Borrar.
gcloud
Ejecuta el comando gcloud scc postures delete
para borrar una postura.
gcloud scc postures delete POSTURE_NAME
POSTURE_NAME
es el nombre de recurso relativo de la posición. Por ejemplo:organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
El ID de postura es un nombre alfanumérico para tu postura que es único para tu organización.
Por ejemplo, para borrar una postura llamada organizations/3589215982/locations/global/postures/posture-example-1
, ejecuta lo siguiente:
gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1
¿Qué sigue?
- Lee la descripción general de las posturas de seguridad.
- Obtén información sobre los módulos personalizados para las estadísticas del estado de la seguridad.
- Obtén más información sobre las restricciones personalizadas de las políticas de la organización.
- Revisa los registros de auditoría para ver las operaciones relacionadas con la postura.
- Exporta datos del servicio de postura de seguridad.