Gestire una strategia di sicurezza

In questa pagina viene descritto come configurare e utilizzare servizio security posture dopo aver attivato Security Command Center. Per iniziare, devi creare una postura che includa i tuoi criteri, organizzati in insiemi di criteri, quindi eseguirne il deployment utilizzando un deployment della postura. Dopo aver eseguito il deployment di una postura, puoi monitorare la deviazione per perfezionare ulteriormente la tua postura nel tempo.

Prima di iniziare

Completa queste attività prima di completare le restanti attività in questa pagina.

Attiva il livello Security Command Center Premium o Enterprise

Verifica che il livello Premium o Enterprise di Security Command Center sia attivato a livello di organizzazione.

Se vuoi utilizzare i rilevatori di Security Health Analytics come criteri, seleziona il Servizio Security Health Analytics durante il processo di attivazione.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per utilizzare la postura, chiedi all'amministratore di concederti Ruolo IAM Amministratore Security Posture (roles/securityposture.admin). Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per ulteriori informazioni sui ruoli e sulle autorizzazioni della postura di sicurezza, consulta IAM per le attivazioni a livello di organizzazione.

Configurare Google Cloud CLI

Devi utilizzare Google Cloud CLI versione 461.0.0 o successive.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Per configurare gcloud CLI in modo da utilizzare la rappresentazione degli account di servizio per l'autenticazione Le API di Google, invece delle credenziali utente, esegui il comando seguente:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Per ulteriori informazioni, vedi Furto d'identità degli account di servizio.

Abilita API

Abilita le API del servizio Criteri dell'organizzazione e del servizio della security posture:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configura la connessione ad AWS

Per utilizzare i rilevatori di Security Health Analytics integrati specifici per AWS, devi attivare Security Command Center Enterprise e connetterti ad AWS per il rilevamento delle vulnerabilità.

Crea ed esegui il deployment di una postura

Per iniziare a utilizzare una postura di sicurezza, devi completare quanto segue:

• Crea un file YAML di postura che definisce i criteri applicabili alla tua postura di sicurezza.
• Crea una postura in Google Cloud basata sul file YAML della postura.
• Esegui il deployment della postura.

Le sezioni seguenti forniscono istruzioni dettagliate.

Crea un file YAML della postura

Una postura è costituita da uno o più set di criteri di cui viene eseguito il deployment insieme. Questi set di criteri includono tutti i criteri di prevenzione e rilevamento che vuoi includere nella tua postura.

Per creare la tua postura, esegui una delle seguenti operazioni:

• Copia un modello di postura predefinito. Se necessario, apporta eventuali modifiche in modo che si applichino al tuo ambiente e siano conformi gli standard normativi e di sicurezza aziendali. Per le istruzioni, consulta Creare un file di postura da un modello di postura predefinito.
• Estrai i criteri esistenti dal tuo ambiente. Se necessario, apporta le modifiche necessarie alle norme in modo che siano conformi agli standard normativi e di sicurezza della tua attività. Per istruzioni, vedi Crea un file di postura estraendo criteri da un ambiente esistente.
• Creare una risorsa Terraform che definisce la postura. Per le istruzioni, consulta Creare una risorsa Terraform con definizioni di norme.

Per informazioni dettagliate sui campi che puoi utilizzare in una postura, consulta il riferimento Posture e il riferimento PolicySet.

Creare un file di postura da un modello di postura predefinito

Puoi utilizzare un modello di postura predefinito per creare un file di postura.

Crea un file di postura estraendo criteri da un ambiente esistente

Puoi estrarre i criteri (criteri dell'organizzazione, inclusi i criteri personalizzati e tutti i rilevatori di Security Health Analytics, inclusi quelli personalizzati) che hai configurato in un progetto, una cartella o un'organizzazione esistenti per creare un file di posture. Tu non è in grado di estrarre criteri da un'organizzazione, una cartella o un progetto che ha già una postura applicata.

Questo comando estrae solo i criteri configurati in precedenza per l'organizzazione, la cartella o il progetto e non estrae i criteri dalle cartelle o dall'organizzazione principali.

Se hai connesso Security Command Center Enterprise ad AWS, questo comando estrae anche rilevatori specifici di AWS (anteprima).

1. Esegui il comando gcloud scc postures extract per estrarre i criteri dell'organizzazione e i rilevatori di Security Health Analytics esistenti nel tuo ambiente.

   gcloud scc postures extract POSTURE_NAME \
     --workload=WORKLOAD
   

   Sostituisci i seguenti valori:

   • POSTURE_NAME è il nome della risorsa relativo del postura. Ad esempio: organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

     • POSTURE_ID è un nome alfanumerico per la tua postura che è univoco per la tua organizzazione. POSTURE_ID è può includere un massimo di 63 caratteri.

   • WORKLOAD è il progetto, la cartella o l'organizzazione da cui stai estraendo i criteri. Il carico di lavoro è uno dei seguenti:

   • projects/PROJECT_NUMBER

   • folder/FOLDER_ID

   • organizations/ORGANIZATION_ID

   Ad esempio, per estrarre criteri dalla cartella 3589215982 nel campo 6589215984 organizzazione, esegui questo comando:

   gcloud scc postures extract \
     organizations/6589215984/locations/global/postures/myStagingPosture \
     workload=folder/3589215982 > posture.yaml
   

2. Apri il file posture.yaml risultante per la modifica.

3. Completa una delle seguenti azioni:

   • Se puoi utilizzare la postura senza apportare modifiche (ad esempio, hai utilizzato uno dei modelli _essentials), puoi crearla. Per istruzioni, consulta Creare una postura.
   • Per modificare uno qualsiasi dei set di criteri o criteri, completa la Modifica un file YAML della postura.

Crea una risorsa Terraform con definizioni dei criteri

Puoi creare una configurazione Terraform per creare una risorsa posture.

Ad esempio, puoi creare una risorsa di analisi della posizione che includa vincoli dei criteri dell'organizzazione integrati e personalizzati e rilevatori di Security Health Analytics integrati e personalizzati. Il supporto della gestione della postura per i rilevatori di Security Health Analytics integrati specifici per AWS è in anteprima.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Per ulteriori informazioni, vedi google_securityposture_posture.

Modifica un file YAML della postura

Per modificare un file YAML relativo alla postura:

1. Apri il file YAML della postura in un editor di testo.

2. Verifica name, description e state all'inizio del file.

3. Verifica name, description e state all'inizio del file.

   name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
   description: DESCRIPTION
   state: STATE
   

   Per maggiori dettagli su questi campi, consulta Riferimento Posture.

   Ad esempio:

   name: organizations/3589215982/locations/global/posture/stagingAIPosture
   description: This posture applies to staging environments for Vertex AI.
   state: ACTIVE
   

4. Personalizza le norme all'interno del file in base ai tuoi requisiti.

   Per informazioni dettagliate sui campi che puoi utilizzare, consulta il riferimento PolicySet.

   1. Esamina i criteri esistenti e i relativi valori. Per i criteri che richiedono informazioni specifiche per il tuo ambiente, imposta i valori di conseguenza. Ad esempio, per il criterio ainotebooks.accessMode in l'AI sicura, la postura predefinita estesa, aggiungi le modalità di accesso consentite sotto policy_rules:

      - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
        compliance_standards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          org_policy_constraint:
            canned_constraint_id: ainotebooks.accessMode
            policy_rules:
            - values:
                allowed_values: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      

   2. Aggiungi altri vincoli dei criteri dell'organizzazione, come descritto in Vincoli dei criteri dell'organizzazione. Se stai definendo un criterio dell'organizzazione personalizzato, assicurati che il file YAML include la definizione del vincolo personalizzato. Non puoi utilizzare un vincolo personalizzato creato con altri metodi (ad esempio, con la console Google Cloud).

      Ad esempio, potresti voler impostare compute.trustedImageProjects vincolo per definire progetti può essere utilizzato per l'archiviazione di immagini e il disco e creazione di un'istanza. Se copi questo esempio, assicurati di sostituire allowed_values con l'elenco di progetti idonei:

      - policy_id: Define projects with trusted images.
        compliance_standards:
        - standard:
          control:
        constraint:
          org_policy_constraint:
            canned_constraint_id: compute.trustedImageProjects
            policy_rules:
            - values:
                allowed_values:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      

   3. Aggiungi altri rilevatori di Security Health Analytics, come quelli descritti in Risultati di Security Health Analytics. Ad esempio, aggiungi un rilevatore di Security Health Analytics per creare un rilevamento se un progetto non utilizza una chiave API per l'autenticazione:

      - policy_id: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      Come ulteriore esempio, aggiungi un modulo personalizzato Security Health Analytics per rilevare se I set di dati Vertex AI sono criptati:

      - policy_id: CMEK key is use for Vertex AI DataSet
        compliance_standards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          security_health_analytics_custom_module:
            display_name: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resource_selector:
                resource_types:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            module_enablement_state: ENABLED
      

      Come ulteriore esempio, per Security Command Center Enterprise, aggiungi Security Health Analytics specifico per AWS (anteprima):

      - policy_set_id: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policy_id: S3 bucket replication enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policy_id: S3 bucket logging enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Se aggiungi un rilevatore specifico per AWS, devi eseguire il deployment della postura a livello di organizzazione.

5. Carica il file della postura in un repository di codice sorgente con controllo della versione, puoi tenere traccia delle modifiche apportate nel tempo.

Crea una postura

Completa questa operazione per creare una risorsa di analisi della posizione in Security Command Center che puoi eseguire il deployment. Se hai creato una postura da un modello di postura predefinito utilizzando la console Google Cloud, la risorsa della postura viene creata automaticamente per te.

Esegui il deployment di una configurazione di sicurezza

Dopo aver creato una postura, esegui il deployment in un progetto, una cartella o un'organizzazione in modo da poter applicare i criteri e le relative definizioni a risorse specifiche nella tua organizzazione e di monitorare le deviazioni. Puoi implementare una sola postura in un progetto, una cartella o un'organizzazione.

Verifica che lo stato della postura sia ACTIVE.

Quando esegui il deployment della postura, si verificano le seguenti azioni:

• Vengono applicate le definizioni per i criteri dell'organizzazione e i rilevatori di Security Health Analytics.
• Il vincolo personalizzato per i criteri dell'organizzazione personalizzati viene creato con l'ID del vincolo per includere l'ID revisione della postura come suffisso del vincolo ID che hai definito nella postura.

• Lo stato predefinito per i moduli personalizzati è impostato su Attivato.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Visualizzare le informazioni sulla postura e sul deployment della postura

Puoi visualizzare le informazioni sulla postura e sul deployment della postura per visualizzare informazioni come:

• Le posture di cui viene eseguito il deployment e la posizione nella gerarchia delle risorse (organizzazioni, progetti e cartelle), la loro applicazione
• Le revisioni e lo stato delle posture
• I dettagli operativi di un deployment di posture

Visualizzare una postura

Puoi visualizzare informazioni su una postura (ad esempio lo stato e le definizioni delle norme).

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Visualizza le informazioni su un'operazione di deployment della postura

Esegui il comando gcloud scc posture-operations describe per visualizzare i dettagli dell'operazione per un'operazione di deployment della postura.

gcloud scc posture-operations describe OPERATION_NAME

Dove OPERATION_NAME è il nome della risorsa relativo l'operazione. Il formato è organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Puoi ottenere OPERATION_ID utilizzando l'argomento --async quando esegui il comando di analisi posturale.

Ad esempio, per visualizzare un'operazione di scansione con il nome organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, esegui il seguente comando:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Visualizzare le informazioni su un deployment della postura

Puoi visualizzare dove viene eseguito il deployment di una postura e lo stato del deployment.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Aggiornare una postura e un deployment della postura

Puoi aggiornare quanto segue:

• Lo stato della postura.
• Le definizioni dei criteri in una postura.
• L'organizzazione, le cartelle o i progetti in cui viene eseguito il deployment di una postura.

Aggiornare le definizioni dei criteri in una postura

Potresti dover aggiornare una postura quando abiliti altri servizi Google Cloud, eseguire il deployment di risorse aggiuntive o richiedere criteri aggiuntivi per soddisfare dei requisiti di conformità in continua evoluzione. Se stai aggiornando una revisione della configurazione di sicurezza di cui è stato eseguito il deployment, questa attività ne crea una nuova. In caso contrario, viene aggiornata la revisione della postura specificata quando esegui il comando di aggiornamento.

1. Apri un file YAML in un editor di testo. Aggiungi i campi da aggiornare, insieme ai relativi valori. Se stai aggiornando i set di criteri, assicurati che il file includa tutti i set di criteri che vuoi includere nella posizione, inclusi quelli esistenti. Per le istruzioni, consulta Modificare un file YAML di postura.

2. Esegui il comando gcloud scc postures update per aggiornare la postura.

   gcloud scc postures update POSTURE_NAME \
       --posture-from-file=POSTURE_FROM_FILE \
       --revision-id=POSTURE_REVISION_ID \
       --update-mask=UPDATE_MASK
   

   Sostituisci i seguenti valori:

   • POSTURE_NAME è il nome della risorsa relativa della posa. Ad esempio: organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

     • POSTURE_ID è un nome alfanumerico per la tua posizione che è univoco per la tua organizzazione.

   • POSTURE_FROM_FILE è il percorso relativo o assoluto del file posture.yaml che include le modifiche.

     • LOCATION è pari a global.
     • POSTURE_ID è un nome alfanumerico per una postura unica della tua organizzazione.

   • POSTURE_FROM_FILE è il percorso relativo o assoluto per il file posture.yaml che include le tue modifiche.

   • --revision-id=REVISION_ID è la revisione della postura che di cui vuoi eseguire il deployment. Se hai già eseguito il deployment della postura, il servizio security posture crea automaticamente una nuova versione la postura con un ID revisione diverso e include l'ID revisione nella come output.

   • --update-mask=UPDATE_MASK è l'elenco dei campi da aggiornare in formato separato da virgole. Questo argomento è facoltativo. Puoi impostare UPDATE_MASK su uno dei seguenti valori:

     • * o non specificato: applica le modifiche apportate ai set di criteri e alla descrizione dell'impostazione.
     • policy_sets: applica le modifiche apportate solo ai set di criteri.
     • description: applica le modifiche che hai apportato alla postura .
     • policy_sets, description: applica le modifiche apportate ai set di criteri e alla descrizione della posizione.
     • state: applica solo la modifica di stato.

   Ad esempio, per aggiornare una posizione con il nome posture-example-1 nell'organizzazione organizations/3589215982/locations/global e l'ID revisione impostato su abcd1234, esegui il seguente comando:

   gcloud scc postures update \
       organizations/3589215982/locations/global/posture-example-1 \
       --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
   

   Se il processo di aggiornamento della postura non va a buon fine, risolvi l'errore e riprova.

3. Per verificare che la postura sia stata aggiornata correttamente, consulta Visualizzare una postura.

Modifica lo stato di una postura

Lo stato di una postura determina se è disponibile per il deployment in un progetto, una cartella o un'organizzazione.

Una postura può avere i seguenti stati:

• DRAFT: la revisione della postura non è pronta per il deployment. Non puoi eseguire il deployment di una revisione della postura nello stato DRAFT.
• ACTIVE: la revisione della postura è disponibile per il deployment. Puoi cambiare lo stato da ACTIVE a DRAFT o DEPRECATED.

• DEPRECATED: non è possibile eseguire il deployment di una revisione della postura DEPRECATED in una risorsa. Devi elimina tutti i deployment della postura esistenti prima di poter ritirare una revisione della postura. Se vuoi eseguire nuovamente il deployment di una postura che hai deprecato, devi modificarne lo stato in ACTIVE.

Aggiorna un deployment della postura

Aggiorna il deployment di una postura in un progetto, una cartella o un'organizzazione per eseguire il deployment di una nuova postura o di una nuova revisione di una postura.

Se la revisione della postura che stai aggiornando include un'organizzazione personalizzata un vincolo che è stato eliminato utilizzando la console Google Cloud, non puoi aggiornarlo il deployment della postura usando lo stesso ID postura. Il Servizio Criteri dell'organizzazione impedisce la creazione di vincoli dell'organizzazione personalizzati con lo stesso nome. Devi invece creare una nuova versione della postura o utilizzare un ID postura diverso.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Monitorare la deriva della postura

Puoi monitorare una postura di sicurezza di cui è stato eseguito il deployment per rilevare eventuali deviazioni dai criteri definiti. La deviazione è una modifica di un criterio che viene applicata al di fuori di una postura. Ad esempio, la deviazione si verifica quando un amministratore modifica la definizione del criterio nella console anziché aggiornare il deployment della postura.

Il servizio di analisi della posizione di sicurezza crea risultati che puoi visualizzare nella console Google Cloud o nell'interfaccia a riga di comando gcloud ogni volta che si verifica un'evoluzione.

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

Per ulteriori informazioni su come risolvere questi risultati, consulta Risultati del servizio Security posture. Puoi esportare questi risultati nello stesso modo in cui esporti qualsiasi altro risultato da Security Command Center. Per ulteriori informazioni, consulta Opzioni di integrazione e Esportazione dei dati di Security Command Center.

Per disattivare un rilevamento di deriva, puoi aggiornare il deployment della postura con lo stesso ID postura e la stessa revisione della postura.

Generare un esito relativo alla deriva a scopo di test

Dopo aver implementato una posizione, puoi monitorare eventuali deviazioni dalle tue norme. A per vedere i risultati della deviazione in azione in un ambiente di test, completa quanto segue:

1. Nella console, vai alla pagina Criterio dell'organizzazione.

   Vai a Criterio dell'organizzazione

2. Modifica uno dei criteri che hai definito nella postura di cui è stato eseguito il deployment. Ad esempio, se utilizzi una posizione di IA sicura predefinita, puoi modificare il criterio Limita l'accesso all'IP pubblico sui nuovi blocchi note e istanze di Vertex AI Workbench.

3. Dopo aver modificato il criterio, fai clic su Imposta criterio.

4. Vai alla pagina Risultati.

   Vai a Risultati

5. Nel riquadro Filtri rapidi, nella sezione Nome visualizzato dell'origine, Seleziona Security posture. Dovrebbe essere visualizzato un risultato correlato alla modifica entro cinque minuti.

6. Fai clic sul risultato per visualizzarne i dettagli.

Eliminare un deployment di configurazione di sicurezza

Puoi eliminare il deployment di una postura se non è stato eseguito correttamente, se non hai più bisogno di una determinata postura o se non vuoi più che una determinata postura sia assegnata a un progetto, a una cartella o a un'organizzazione. Per eliminare un deployment della postura, il deployment della postura deve trovarsi in uno dei seguenti stati:

• ACTIVE
• CREATE_FAILED
• UPDATE_FAILED
• DELETE_FAILED

Per verificare lo stato di un deployment di posture, consulta Visualizzare le informazioni su un deployment di posture.

Quando elimini un deployment della postura, la rimuovi dalla risorsa (organizzazione, cartella o progetto) a cui l'hai assegnata.

L'output per diversi tipi di criteri è:

• Quando elimini un deployment della postura che include l'organizzazione personalizzata criteri, i criteri dell'organizzazione personalizzati vengono eliminati. Tuttavia, il vincolo personalizzato continua a esistere.

• Quando elimini un deployment della postura che include Security Health Analytics integrato rilevatori, lo stato finale dei moduli Security Health Analytics dipende l'organizzazione, la cartella o il progetto in cui si trovava il deployment.

  • Se hai eseguito il deployment di una postura su una cartella o un progetto, I rilevatori di Security Health Analytics ereditano il proprio stato da quello padre un'organizzazione o una cartella.
  • Se hai implementato una postura a livello di organizzazione, i rilevatori di Security Health Analytics integrati tornano allo stato predefinito. Per una descrizione degli stati predefiniti, vedi Attiva e disattiva i rilevatori.

gcloud scc posture-deployments deletePOSTURE_DEPLOYMENT_NAME

Ad esempio, per eliminare un deployment della postura denominato organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, esegui questo comando:

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Eliminare una configurazione di sicurezza

Quando elimini una postura, elimini anche tutte le revisioni. Non puoi eliminare un della postura, se viene eseguito il deployment delle revisioni. Prima di poter completare questa attività, devi eliminare tutti i deployment della postura.

Esegui il comando gcloud scc postures delete per eliminare una postura.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME è il nome della risorsa relativo del postura. Ad esempio, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID. L'ID postura è un nome alfanumerico per la postura univoco per la tua organizzazione.

Ad esempio, per eliminare una postura denominata organizations/3589215982/locations/global/postures/posture-example-1, esegui quanto segue:

gcloud scc postures delete \
    organizations/3589215982/locations/global/postures/posture-example-1

Passaggi successivi

• Leggi la panoramica delle posture di sicurezza.
• Scopri di più sui moduli personalizzati per Security Health Analytics.
• Scopri di più sui vincoli dei criteri dell'organizzazione personalizzati.
• Controlla i log di controllo per le operazioni relative alla conformità.
• Esporta i dati del servizio Postura di sicurezza.