In questa pagina viene descritto come configurare e utilizzare il servizio della postura di sicurezza dopo aver attivato Security Command Center. Per iniziare, devi creare una postura che includa i tuoi criteri, organizzati in set di criteri, quindi eseguire il deployment della postura utilizzando un deployment della postura. Dopo aver implementato una postura, puoi monitorare la deriva e perfezionare ulteriormente la postura nel tempo.
Prima di iniziare
Completa queste attività prima di quelle rimanenti su questa pagina.
Attiva il livello Enterprise o Premium di Security Command Center
Verifica che il livello Premium o Enterprise di Security Command Center sia attivato a livello di organizzazione.
Se vuoi utilizzare i rilevatori di Security Health Analytics come criteri, seleziona il servizio Security Health Analytics durante il processo di attivazione.
Configurare le autorizzazioni
Per ottenere le autorizzazioni necessarie per utilizzare la postura,
chiedi all'amministratore di concederti il ruolo IAM
Amministratore Security Posture (roles/securityposture.admin
).
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Per ulteriori informazioni sui ruoli della postura di sicurezza e sulle relative autorizzazioni, consulta IAM per le attivazioni a livello di organizzazione.
Configura Google Cloud CLI
Devi utilizzare Google Cloud CLI 461.0.0 o versioni successive.
In questa pagina puoi utilizzare gli esempi di gcloud CLI da uno dei seguenti ambienti di sviluppo:
-
Cloud Shell: per utilizzare un terminale online con gcloud CLI già configurato, attiva Cloud Shell.
In fondo a questa pagina viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. L'inizializzazione della sessione può richiedere alcuni secondi.
-
shell locale: per utilizzare gcloud CLI in un ambiente di sviluppo locale, installa e initialize gcloud CLI.
Per configurare gcloud CLI in modo da utilizzare la rappresentazione degli account di servizio per l'autenticazione con le API di Google, anziché le tue credenziali utente, esegui questo comando:
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
Per ulteriori informazioni, consulta Impersonificazione degli account di servizio.
Abilita le API
Abilita il servizio Criteri dell'organizzazione e le API di servizio della postura di sicurezza:
gcloud services enable orgpolicy.googleapis.com securityposture.googleapis.com
Configura la connessione ad AWS
Per utilizzare i rilevatori integrati Security Health Analytics specifici per AWS, devi attivare Security Command Center Enterprise e connetterti ad AWS per il rilevamento delle vulnerabilità.
Crea ed esegui il deployment di una postura
Per iniziare a utilizzare una postura di sicurezza, devi completare quanto segue:
Crea un file YAML postura che definisce i criteri che si applicano alla postura di sicurezza.
Crea una postura in Google Cloud basata sul file YAML della postura.
Esegui il deployment della postura.
Le sezioni seguenti forniscono istruzioni dettagliate.
Crea un file YAML posture
Una postura è composta da uno o più set di criteri di cui esegui il deployment insieme. Questi set di criteri includono tutti i criteri preventivi e di rilevamento che vuoi includere nella tua postura.
Per creare la postura, esegui una delle seguenti operazioni:
Copia un modello di postura predefinito. Se necessario, apporta eventuali modifiche ai criteri in modo che si applichino al tuo ambiente e rispettino gli standard di sicurezza e normativi della tua azienda. Per le istruzioni, consulta Creare un file di postura da un modello di postura predefinito.
Estrai i criteri esistenti dal tuo ambiente. Se necessario, apporta eventuali modifiche ai criteri in modo che siano conformi agli standard normativi e di sicurezza della tua azienda. Per le istruzioni, consulta Creare un file posture estraendo criteri da un ambiente esistente.
Crea una risorsa Terraform che definisce la postura. Per le istruzioni, consulta Creare una risorsa Terraform con definizioni dei criteri.
Le posture sono file YAML. Per ulteriori informazioni sul file posture.yaml
e sulle relative coppie chiave-valore, consulta File YAML della strategia di sicurezza.
Crea un file di postura da un modello di postura predefinito
Puoi utilizzare un modello di postura predefinito per creare un file di postura.
Console
Nella console Google Cloud, vai alla pagina Gestione posture.
Verifica di visualizzare l'organizzazione per cui hai attivato il livello Premium o Enterprise di Security Command Center.
Nella scheda Modelli, fai clic sul modello che vuoi utilizzare.
Nella pagina Dettagli modello, fai clic su Crea postura.
Fornisci un nome univoco per la postura e fai clic su Crea. Si apre la pagina Dettagli posture.
Completa una delle seguenti azioni:
Se puoi utilizzare la postura senza apportare modifiche (ad esempio, se hai utilizzato uno dei modelli _essentials), puoi eseguire il deployment della postura. Per le istruzioni, consulta Eseguire il deployment di una postura.
Se devi modificare uno qualsiasi dei set di criteri o dei criteri (ad esempio, se hai utilizzato uno dei modelli _enhanced), completa Modifica di un file YAML delle posture e imposta lo stato della postura su
ACTIVE
.
gcloud
Esamina i modelli di postura predefiniti per determinare quali si applicano al tuo ambiente. Puoi applicarne alcuni senza apportare modifiche, mentre altri richiedono la personalizzazione dei criteri in base all'ambiente.
Utilizza uno dei seguenti metodi per copiare i file YAML nel tuo editor di testo:
Copia il file YAML dai contenuti di riferimento nei modelli di postura predefiniti.
Esegui il comando
gcloud scc posture-templates describe
per copiare il file YAML.
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \ --revision-id=REVISION_ID
Sostituisci i seguenti valori:
ORGANIZATION_ID
è l'organizzazione in cui hai attivato il livello Premium o Enterprise di Security Command Center.LOCATION
è la località in cui vuoi eseguire il deployment e archiviare la postura. L'unica località supportata èglobal
.POSTURE_TEMPLATE
è il nome modello della postura predefinita, come descritto nei modelli di postura predefiniti.REVISION_ID
è la versione di revisione per la postura predefinita. Se non includi l'ID revisione, viene visualizzata l'ultima versione della postura predefinita.
Ad esempio, per visualizzare la posizione predefinita di Secure AI, Essentials nell'organizzazione
3589215982
, esegui questo comando:gcloud scc posture-templates describe
organizations/3589215982/locations/global/postureTemplates/secure_ai_essential
--revision-id=v.1.0Completa una delle seguenti azioni:
Se puoi utilizzare la postura senza apportare modifiche (ad esempio, se hai utilizzato uno dei modelli _essentials), puoi crearla. Per istruzioni, vedi Creare una postura.
Se devi modificare uno dei set di criteri o dei criteri, completa Modifica un file YAML posture.
Crea un file di postura estraendo i criteri da un ambiente esistente
Puoi estrarre i criteri (criteri dell'organizzazione, inclusi quelli personalizzati e tutti i rilevatori di Security Health Analytics, inclusi quelli personalizzati) che hai configurato in un progetto, una cartella o un'organizzazione esistente per creare un file di posture. Non puoi estrarre i criteri da un'organizzazione, una cartella o un progetto a cui è già applicata una postura.
Questo comando estrae solo i criteri che hai configurato in precedenza per l'organizzazione, la cartella o il progetto e non estrae i criteri dalle cartelle o dall'organizzazione padre.
Se hai collegato Security Command Center Enterprise ad AWS, questo comando estrae anche i rilevatori specifici di AWS (anteprima).
Esegui il comando
gcloud scc postures extract
per estrarre i criteri dell'organizzazione e i rilevatori di Security Health Analytics esistenti nel tuo ambiente.gcloud scc postures extract \ POSTURE_NAME --workload=WORKLOAD
Sostituisci i seguenti valori:
POSTURE_NAME
è il nome risorsa relativa della postura. Ad esempio,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
.LOCATION
è pari aglobal
.POSTURE_ID
è un nome alfanumerico per la tua postura univoco per la tua organizzazione. Il campoPOSTURE_ID
può avere una lunghezza massima di 63 caratteri.
WORKLOAD
è il progetto, la cartella o l'organizzazione da cui stai estraendo i criteri. Il carico di lavoro è uno dei seguenti:projects/PROJECT_NUMBER
folder/FOLDER_ID
organizations/ORGANIZATION_ID
Ad esempio, per estrarre i criteri dalla cartella
3589215982
nell'organizzazione6589215984
, esegui questo codice:gcloud scc postures extract organizations/6589215984/locations/global/postures/myStagingPosture folder/3589215982 > posture.yaml
Apri il file
posture.yaml
risultante per modificarlo.Completa una delle seguenti azioni:
Se puoi utilizzare la postura senza apportare modifiche (ad esempio, se hai utilizzato uno dei modelli _essentials), puoi crearla. Per istruzioni, vedi Creare una postura.
Se devi modificare uno dei set di criteri o dei criteri, completa Modifica un file YAML posture.
Crea una risorsa Terraform con definizioni dei criteri
Puoi creare una configurazione Terraform per creare una risorsa postura.
Ad esempio, puoi creare una risorsa postura che includa vincoli integrati e personalizzati dei criteri dell'organizzazione e rilevatori integrati e personalizzati di Security Health Analytics. Il supporto della gestione della postura per i rilevatori integrati Security Health Analytics specifici di AWS è disponibile in Anteprima.
resource "google_securityposture_posture" "posture_example" {
posture_id = "<POSTURE_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
state = "ACTIVE"
description = "a new posture"
policy_sets {
policy_set_id = "org_policy_set"
description = "set of org policies"
policies {
policy_id = "canned_org_policy"
constraint {
org_policy_constraint {
canned_constraint_id = "storage.uniformBucketLevelAccess"
policy_rules {
enforce = true
}
}
}
}
}
policy_sets {
policy_set_id = "sha_policy_set"
description = "set of sha policies"
policies {
policy_id = "sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "BIGQUERY_TABLE_CMEK_DISABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
}
policies {
policy_id = "aws_sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "S3_BUCKET_LOGGING_ENABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable S3_BUCKET_LOGGING_ENABLED"
}
policies {
policy_id = "sha_custom_module"
constraint {
security_health_analytics_custom_module {
display_name = "custom_SHA_policy"
config {
predicate {
expression = "resource.rotationPeriod > duration('2592000s')"
}
custom_output {
properties {
name = "duration"
value_expression {
expression = "resource.rotationPeriod"
}
}
}
resource_selector {
resource_types = ["cloudkms.googleapis.com/CryptoKey"]
}
severity = "LOW"
description = "Custom Module"
recommendation = "Testing custom modules"
}
module_enablement_state = "ENABLED"
}
}
}
}
}
Per ulteriori informazioni, vedi google_securityposture_posture.
Modificare un file YAML posture
Completa i seguenti passaggi per modificare un file YAML posture:
Apri il file YAML posture in un editor di testo.
Verifica i valori
name
,description
estate
all'inizio del file.name: organizations/ORGANIZATION_ID/locations/LOCATION/posture/POSTURE_ID description: DESCRIPTION state: STATE
Per una descrizione di queste coppie chiave-valore, consulta File YAML della strategia di sicurezza.
Ad esempio:
name: organizations/3589215982/locations/global/posture/stagingAIPosture description: This posture applies to staging environments for Vertex AI. state: ACTIVE
Personalizza i criteri all'interno del file per soddisfare i tuoi requisiti:
Esamina le norme esistenti e i relativi valori. Per i criteri che richiedono informazioni specifiche per il tuo ambiente, imposta i valori in modo appropriato. Ad esempio, per il criterio
ainotebooks.accessMode
nell'AI sicura, postura predefinita estesa, aggiungi le modalità di accesso consentite inpolicy_rules
:- policy_id: Define access mode for Vertex AI Workbench notebooks and instances compliance_standards: - standard: NIST SP 800-53 control: AC-3(3) - standard: NIST SP 800-53 control: AC-6(1) constraint: org_policy_constraint: canned_constraint_id: ainotebooks.accessMode policy_rules: - values: allowed_values: service-account description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
Aggiungi ulteriori vincoli per i criteri dell'organizzazione, come documentato in Vincoli dei criteri dell'organizzazione. Se definisci un criterio dell'organizzazione personalizzato, assicurati che il file YAML includa la definizione del vincolo personalizzato. Non puoi utilizzare un vincolo personalizzato creato utilizzando altri metodi (ad esempio utilizzando la console Google Cloud). Ad esempio, potresti voler impostare il vincolo
compute.trustedImageProjects
per definire i progetti che possono essere utilizzati per l'archiviazione delle immagini e l'istanza di dischi. Se copi questo esempio, assicurati di sostituireallowed_values
con un elenco di progetti adeguato:- policy_id: Define projects with trusted images. compliance_standards: - standard: control: constraint: org_policy_constraint: canned_constraint_id: compute.trustedImageProjects policy_rules: - values: allowed_values: - project1 - project2 - projectN description: This is a complete list of projects from which images can be used.
Aggiungi altri rilevatori di Security Health Analytics, come quelli documentati nei risultati di Security Health Analytics. Ad esempio, aggiungi un rilevatore Security Health Analytics per creare un risultato se un progetto non utilizza una chiave API per l'autenticazione:
- policy_id: API Key Exists constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: API_KEY_EXISTS
Come ulteriore esempio, aggiungi un modulo personalizzato Security Health Analytics per rilevare se i set di dati Vertex AI sono criptati:
- policy_id: CMEK key is use for Vertex AI DataSet compliance_standards: - standard: NIST SP 800-53 control: SC-12 - standard: NIST SP 800-53 control: SC-13 constraint: security_health_analytics_custom_module: display_name: "vertexAIDatasetCMEKDisabled" config: customOutput: {} predicate: expression: "!has(resource.encryptionSpec)" resource_selector: resource_types: - aiplatform.googleapis.com/Dataset severity: CRITICAL description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK." recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview." module_enablement_state: ENABLED
Come ulteriore esempio, per Security Command Center Enterprise, aggiungi un rilevatore di Security Health Analytics specifico per AWS (anteprima):
- policy_set_id: AWS policy set description: Policy set containing AWS built-in SHA modules for securing S3 buckets. policies: - policy_id: S3 bucket replication enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-13(5) constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_REPLICATION_ENABLED description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled. - policy_id: S3 bucket logging enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-7(8) - standard: PCI DSS 3.2.1 control: 10.3.1 constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_LOGGING_ENABLED description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
Se aggiungi un rilevatore specifico per AWS, devi eseguire il deployment della postura a livello di organizzazione.
Carica il file di posture in un repository di codice sorgente con controllo della versione, in modo da poter tenere traccia delle modifiche che apporti nel tempo.
Crea una postura
Completa questa attività per creare una risorsa posture in Security Command Center di cui puoi eseguire il deployment. Se hai creato una postura da un modello di postura predefinito utilizzando la console Google Cloud, la risorsa per la postura viene creata automaticamente.
gcloud
Esegui il comando
gcloud scc postures create
per creare una postura utilizzando il fileposture.yaml
.gcloud scc postures create \ POSTURE_NAME --posture-from-file=POSTURE_FROM_FILE
Sostituisci i seguenti valori:
POSTURE_NAME
è il nome risorsa relativa della postura. Ad esempio,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
.LOCATION
è pari aglobal
.POSTURE_ID
è un nome alfanumerico per la tua postura univoco per la tua organizzazione. Il campoPOSTURE_ID
può avere una lunghezza massima di 63 caratteri.
POSTURE_FROM_FILE
è il percorso relativo o assoluto al fileposture.yaml
.
Ad esempio, per creare una postura con ID
posture-example-1
sotto l'organizzazioneorganizations/3589215982
, esegui questo seguente:gcloud scc postures create organizations/3589215982/locations/global/postures/posture-example-1 --posture-from-file=posture.yaml
Se il processo di creazione della postura non riesce, elimina la postura, correggi l'errore e riprova.
Per verificare che la postura sia stata creata correttamente, consulta Visualizzare una postura.
Per applicare questa postura al tuo ambiente, devi eseguire il deployment della postura.
Terraform
Se hai creato una configurazione Terraform per la risorsa posture, devi eseguirne il provisioning utilizzando la pipeline Infrastructure as Code.
Per saperne di più, vedi Terraform su Google Cloud.
Esegui il deployment di una postura
Dopo aver creato una postura, ne esegui il deployment in un progetto, una cartella o un'organizzazione in modo da poter applicare i criteri e le relative definizioni a risorse specifiche nella tua organizzazione e monitorare le deviazioni. Puoi eseguire il deployment di una sola postura per progetto, cartella o organizzazione.
Verifica che il tuo stato della postura sia ACTIVE
.
Quando esegui il deployment della postura, si verificano le seguenti azioni:
Vengono applicate le definizioni dei criteri dell'organizzazione e dei rilevatori di Security Health Analytics.
Il vincolo personalizzato per i criteri dell'organizzazione personalizzati viene creato con l'ID vincolo per includere l'ID revisione postura come suffisso dell'ID vincolo definito nella postura.
Lo stato predefinito per i moduli personalizzati è impostato su Attivato.
Console
Nella console Google Cloud, vai alla pagina Gestione posture.
Verifica di visualizzare l'organizzazione per cui hai attivato il livello Premium o Enterprise di Security Command Center.
Nella scheda Posture, fai clic sulla postura di cui vuoi eseguire il deployment.
Nella pagina Dettagli posture, seleziona la revisione della postura di cui vuoi eseguire il deployment.
Fai clic su Esegui il deployment al nodo.
Seleziona l'organizzazione, la cartella o il progetto in cui vuoi eseguire il deployment della postura. Se la postura include un rilevatore specifico per AWS, devi eseguire il deployment della postura a livello di organizzazione (anteprima).
Fai clic su Seleziona.
Ripeti i passaggi da 5 a 7 per ogni organizzazione, cartella o progetto a cui vuoi applicare la postura.
gcloud
Esegui il comando gcloud scc posture-deployments create
per eseguire il deployment di una postura in un progetto, una cartella o un'organizzazione.
gcloud scc posture-deployments create \ POSTURE_DEPLOYMENT_NAME --posture-name=POSTURE_NAME \ --posture-revision-id=POSTURE_REVISION_ID \ --target-resource=TARGET_RESOURCE
Sostituisci i seguenti valori:
POSTURE_DEPLOYMENT_NAME
è il nome della risorsa relativa per il deployment della postura. Il formato èorganizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
.LOCATION
è pari aglobal
.POSTURE_DEPLOYMENT_ID
è un nome univoco per il deployment della postura. Il campoPOSTURE_DEPLOYMENT_ID
può avere una lunghezza massima di 63 caratteri.
--posture-name=POSTURE_NAME
è il nome della postura che stai implementando. Il formato èorganizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
.LOCATION
è pari aglobal
.POSTURE_ID
è un nome alfanumerico per la tua postura univoco per la tua organizzazione.
--posture-revision-id=POSTURE_REVISION_ID
è la revisione della postura di cui vuoi eseguire il deployment. Puoi ottenerla dalla risposta che ricevi quando crei la postura o la visualizzi.--target-resource=TARGET_RESOURCE
è il nome dell'organizzazione, della cartella o del progetto in cui eseguire il deployment della postura. Puoi utilizzare uno dei seguenti formati:organizations/ORGANIZATION_ID
folders/FOLDER_ID
projects/PROJECT_NUMBER
Se la postura include un rilevatore specifico per AWS, devi eseguire il deployment della postura a livello di organizzazione (anteprima).
Ad esempio, per eseguire il deployment di una postura, esegui questo comando:
gcloud scc posture-deployments create
organizations/3589215982/locations/global/postureDeployments/postureDeployment123
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version1 --target-resource=projects/4589215982
Puoi visualizzare le informazioni sullo stato man mano che il comando viene completato. Se il processo di creazione del deployment della postura non va a buon fine, elimina il deployment, risolvi i problemi relativi all'errore e riprova.
Terraform
Puoi creare una risorsa Terraform per eseguire il deployment di una postura.
resource "google_securityposture_posture_deployment" "posture_deployment_example" {
posture_deployment_id = "<POSTURE_DEPLOYMENT_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
description = "a new posture deployment"
target_resource = "<TARGET_RESOURCE>"
posture_id = "<POSTURE_NAME>"
posture_revision_id = "<POSTURE_REVISION_ID>"
}
Per ulteriori informazioni, vedi google_securityposture_posture_deployment.
Dopo aver creato la risorsa Terraform, esegui il provisioning utilizzando la pipeline Infrastructure as Code.
Visualizza informazioni sul deployment di postura e postura
Puoi visualizzare informazioni sul deployment di postura e postura per vedere informazioni come le seguenti:
Le posizioni di cui viene eseguito il deployment e la posizione nella gerarchia delle risorse (organizzazioni, progetti e cartelle)
Revisioni e stato delle posizioni
I dettagli operativi del deployment di una postura
Visualizza una postura
Puoi visualizzare informazioni su una postura (ad esempio il suo stato e le definizioni dei criteri).
Console
Nella console Google Cloud, vai alla pagina Gestione posture.
Seleziona l'organizzazione per cui hai attivato il livello Security Command Center Premium o Enterprise.
Nella scheda Posture, fai clic sulla postura che vuoi visualizzare. Vengono visualizzati i dettagli della postura.
gcloud
Esegui il comando gcloud scc postures describe
per visualizzare una postura che hai creato.
gcloud scc postures describe POSTURE_NAME \ --revision-id=REVISION_ID
Sostituisci i seguenti valori:
POSTURE_NAME
è il nome risorsa relativa della postura. Ad esempio,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
.LOCATION
è pari aglobal
.POSTURE_ID
è il nome alfanumerico della postura univoco per la tua organizzazione.
revision-id=REVISION_ID
è un flag facoltativo che specifica quale versione della postura visualizzare. Se non includi il flag, viene restituita l'ultima versione.
Ad esempio, per visualizzare una postura con il nome
organizations/3589215982/locations/global/postures/posture-example-1
e l'ID revisione abcdefgh
, esegui questo codice:
gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1
--revision-id=abcdefgh
Visualizza le informazioni su un'operazione di deployment della postura
Esegui il comando gcloud scc posture-operations describe
per visualizzare i dettagli dell'operazione per un'operazione di deployment della postura.
gcloud scc posture-operations describe OPERATION_NAME
Dove OPERATION_NAME
è il nome della risorsa relativo per l'operazione. Il formato è organizations/ORGANIZATION_ID/
.
LOCATION
/global/operations/OPERATION_IDLOCATION
è la località in cui hai
eseguito il deployment del deployment della postura. Puoi ottenere OPERATION_ID
utilizzando l'argomento --async
quando esegui il comando posture.
Ad esempio, per visualizzare un'operazione di scansione con il nome
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
,
esegui questo comando:
gcloud scc posture-operations describe
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
Visualizza le informazioni sul deployment di una postura
Puoi visualizzare in cui viene eseguito il deployment di una postura e lo stato del deployment.
Console
Nella console Google Cloud, vai alla pagina Gestione posture.
Verifica di visualizzare l'organizzazione per cui hai attivato il livello Premium o Enterprise di Security Command Center.
Nella scheda Posture, fai clic sulla postura di cui hai eseguito il deployment.
Fai clic sulla scheda Deployment. Puoi visualizzare i progetti, le cartelle e l'organizzazione in cui viene eseguito il deployment della postura, nonché lo stato del deployment.
gcloud
Esegui il comando gcloud scc posture-deployments describe
per visualizzare
le informazioni su una postura di cui è stato eseguito il deployment.
gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME
Dove POSTURE_DEPLOYMENT_NAME
è il nome della risorsa relativa per il deployment della postura. Il formato è organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
.
LOCATION
è pari aglobal
.POSTURE_DEPLOYMENT_ID
è un nome univoco per il deployment della postura.
Ad esempio, per visualizzare i dettagli per un deployment di postura denominato
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
,
esegui questo comando:
gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
Aggiorna una postura e il deployment della postura
Puoi aggiornare quanto segue:
Lo stato della postura.
Le definizioni delle norme in una postura.
L'organizzazione, le cartelle o i progetti in cui viene eseguito il deployment di una postura.
Aggiornare le definizioni dei criteri in una postura
Potrebbe essere necessario aggiornare una postura quando abiliti altri servizi Google Cloud, esegui il deployment di risorse aggiuntive o richiedi ulteriori criteri per soddisfare requisiti di conformità nuovi o variabili. Se stai aggiornando una revisione della postura di cui è stato eseguito il deployment, questa attività ne crea una nuova. In caso contrario, la revisione della postura specificata quando esegui il comando di aggiornamento viene aggiornata.
Apri un file YAML in un editor di testo. Aggiungi i campi da aggiornare insieme ai relativi valori. Se aggiorni i set di criteri, assicurati che il file includa tutti i set di criteri che vuoi includere nella postura, compresi i set di criteri già esistenti. Per le istruzioni, consulta Modificare un file YAML posture.
Esegui il comando
gcloud scc postures update
per aggiornare la postura.gcloud scc postures update POSTURE_NAME \ --posture-from-file=POSTURE_FROM_FILE \ --revision-id=POSTURE_REVISION_ID --update-mask=UPDATE_MASK
Sostituisci i seguenti valori:
POSTURE_NAME
è il nome risorsa relativa della postura. Ad esempio,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
.LOCATION
è pari aglobal
.POSTURE_ID
è il nome alfanumerico della postura univoco per la tua organizzazione.
POSTURE_FROM_FILE
è il percorso relativo o assoluto al fileposture.yaml
che include le modifiche.--revision-id=REVISION_ID
è la revisione della postura di cui vuoi eseguire il deployment. Se al momento viene eseguito il deployment della postura, il servizio della postura di sicurezza crea automaticamente una nuova versione della postura con un ID revisione diverso e include l'ID revisione nell'output.--update-mask=UPDATE_MASK
è l'elenco di campi da aggiornare, in formato separato da virgole. Questo argomento è facoltativo. Puoi impostareUPDATE_MASK
su uno dei seguenti valori:*
o non specificato: applica le modifiche apportate ai set di criteri e alla descrizione della postura.policy_sets
: applica le modifiche apportate solo agli insiemi di criteri.description
: applica le modifiche apportate solo alla descrizione della postura.policy_sets, description
: applica le modifiche apportate ai set di criteri e alla descrizione della postura.state
: applica solo la modifica dello stato.
Ad esempio, per aggiornare una postura con il nome
posture-example-1
nell'organizzazioneorganizations/3589215982/locations/global
e l'ID revisione impostato suabcd1234
, esegui questo comando:gcloud scc postures update organizations/3589215982/locations/global/posture-example-1 --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
Se il processo di aggiornamento della postura non riesce, risolvi l'errore e riprova.
Per verificare che la postura sia stata aggiornata correttamente, consulta Visualizzare una postura.
Modificare lo stato di una postura
Lo stato di una postura determina se è disponibile per il deployment in un progetto, una cartella o un'organizzazione.
Una postura può avere i seguenti stati:
DRAFT
: la revisione della postura non è pronta per il deployment. Non puoi eseguire il deployment di una revisione della postura in statoDRAFT
.ACTIVE
: la revisione della postura è disponibile per il deployment. Puoi cambiare lo stato daACTIVE
aDRAFT
oDEPRECATED.
DEPRECATED
: non è possibile eseguire il deployment di una revisione della postura diDEPRECATED
in una risorsa. Devi eliminare tutti i deployment della postura esistenti prima di poter ritirare una revisione della postura. Se vuoi rieseguire il deployment di una revisione della postura deprecata, devi modificarne lo stato inACTIVE
.
Per modificare lo stato di una postura, esegui il comando gcloud scc postures update
.
Non puoi aggiornare lo stato della postura nello stesso momento in cui aggiorni altri campi. Per istruzioni sull'esecuzione del comando gcloud scc postures update
, consulta Modificare un file YAML posture.
Aggiorna un deployment di posture
Aggiorna il deployment di una postura su un progetto, una cartella o un'organizzazione per eseguire il deployment di una nuova postura o di una nuova revisione di una postura.
Se la revisione della postura che stai aggiornando include un vincolo dell'organizzazione personalizzato che è stato eliminato utilizzando la console Google Cloud, non puoi aggiornare il deployment della postura utilizzando lo stesso ID postura. Il servizio Criteri dell'organizzazione impedisce la creazione di vincoli personalizzati dell'organizzazione che hanno lo stesso nome. Devi invece creare una nuova versione della postura o utilizzare un ID postura diverso.
Console
Nella console Google Cloud, vai alla pagina Gestione posture.
Verifica di visualizzare l'organizzazione per cui hai attivato il livello Premium o Enterprise di Security Command Center.
Nella scheda Posture, fai clic sulla postura che hai aggiornato.
Nella pagina Dettagli posture, seleziona la revisione della postura che hai aggiornato.
Fai clic su Esegui il deployment al nodo.
Seleziona l'organizzazione, la cartella o il progetto in cui vuoi eseguire il deployment della postura. Se viene visualizzato un messaggio che indica che il deployment esiste già, elimina il deployment prima di riprovare. Se la postura include un rilevatore specifico per AWS, devi eseguire il deployment della postura a livello di organizzazione (anteprima).
Fai clic su Seleziona.
gcloud
Esegui il comando gcloud scc posture-deployments update
per eseguire il deployment di una postura.
gcloud scc posture-deployments update \ POSTURE_DEPLOYMENT_NAME --description=DESCRIPTION \ --update-mask=UPDATE_MASK --posture-id=POSTURE_ID \ --posture-revision-id=POSTURE_REVISION_ID
Sostituisci i seguenti valori:
POSTURE_DEPLOYMENT_NAME
è il nome della risorsa relativa per il deployment della postura. Il formato èorganizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
.LOCATION
è pari aglobal
.POSTURE_DEPLOYMENT_ID
è un nome univoco per il deployment della postura.
--description=DESCRIPTION
è la descrizione facoltativa della postura di cui è stato eseguito il deployment.--posture-id=POSTURE_ID
è il nome della postura univoco per la tua organizzazione. Il formato èorganizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_NAME
--posture-revision-id=POSTURE_REVISION_ID
è la revisione della postura di cui vuoi eseguire il deployment. Puoi ottenerla dalla risposta che ricevi quando crei la postura o la visualizzi.--update-mask=UPDATE_MASK
è l'elenco di campi da aggiornare, in formato separato da virgole. Questo argomento è facoltativo.
Ad esempio, per aggiornare il deployment di una postura con i seguenti criteri:
- Organizzazione:
organizations/3589215982/locations/global
- ID deployment posture:
postureDeploymentexample
- ID posture:
StagingAIPosture
- Revisione:
version2
Esegui questo comando:
gcloud scc posture-deployments update
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version2
Puoi visualizzare le informazioni sullo stato man mano che il comando viene completato. Se il processo di aggiornamento del deployment della postura non riesce, elimina il deployment, risolvi i problemi relativi all'errore e riprova.
Monitora la deriva della postura
Puoi monitorare una postura di cui è stato eseguito il deployment per rilevare la deviazione dai criteri definiti all'interno della postura di sicurezza. La deriva è una modifica a una norma che si verifica al di fuori di una postura. Ad esempio, la deviazione si verifica quando un amministratore modifica una definizione di criterio nella console anziché aggiornare il deployment della postura.
Il servizio della postura di sicurezza crea risultati che puoi visualizzare nella console Google Cloud o in gcloud CLI ogni volta che si verifica una deviazione.
Console
Se hai creato una postura che si applica ai carichi di lavoro di Vertex AI, puoi monitorare la deriva in due modi: dalla pagina Risultati e dalla pagina Panoramica. Per tutte le altre posture, puoi monitorare la deviazione dalla pagina Risultati.
Per monitorare le deviazioni dalla pagina Risultati:
Nella console Google Cloud, vai alla pagina Risultati.
Verifica di visualizzare l'organizzazione per cui hai attivato il livello Premium o Enterprise di Security Command Center.
Nel riquadro Filtri rapidi, seleziona il risultato Violazione della postura. Puoi anche inserire il seguente filtro in Anteprima query:
state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
Per visualizzare i dettagli di un risultato, fai clic sul risultato.
Per monitorare le deviazioni dalla pagina Panoramica (solo carichi di lavoro Vertex AI):
Nella console Google Cloud, vai alla pagina Panoramica.
Verifica di visualizzare l'organizzazione per cui hai attivato il livello Premium o Enterprise di Security Command Center.
Esamina il riquadro Risultati carichi di lavoro AI.
- La scheda Vulnerabilità mostra tutte le vulnerabilità correlate a qualsiasi modulo personalizzato di Security Health Analytics che si applica specificamente ai carichi di lavoro di Vertex AI.
- La scheda Deviazione dai criteri mostra qualsiasi deviazione relativa ai criteri dell'organizzazione di Vertex AI che hai applicato in una postura.
Per visualizzare i dettagli di un risultato, fai clic sul risultato.
gcloud
Nell'interfaccia alla gcloud CLI, per visualizzare i risultati relativi alla deriva, esegui questo comando:
gcloud scc findings list ORGANIZATION_ID \ --filter="category=\"SECURITY_POSTURE_DRIFT\""
Dove ORGANIZATION_ID è l'ID dell'organizzazione.
Per ulteriori informazioni su come gestire questi risultati, consulta Risultati del servizio Security posture. Puoi esportare questi risultati nello stesso modo in cui esporti gli altri risultati da Security Command Center. Per maggiori informazioni, vedi Opzioni di integrazione ed Esportazione dei dati di Security Command Center.
Per disattivare un risultato di deriva, puoi aggiornare il deployment della postura con lo stesso ID postura e la stessa revisione della postura.
Generare un risultato di deviazione a scopo di test
Dopo aver eseguito il deployment di una postura, puoi monitorare la deviazione dai criteri. Per vedere i risultati della deriva in azione in un ambiente di test, completa quanto segue:
Nella console, vai alla pagina Criterio dell'organizzazione.
Modifica uno dei criteri che hai definito nella postura di cui è stato eseguito il deployment. Ad esempio, se utilizzi una postura di IA sicura predefinita, puoi modificare il criterio Limita l'accesso con IP pubblico sui nuovi blocchi note e istanze di Vertex AI Workbench.
Dopo aver modificato il criterio, fai clic su Imposta criterio.
Vai alla pagina Risultati.
Nel riquadro Filtri rapidi, nella sezione Nome visualizzato dell'origine, seleziona Postura di sicurezza. Entro cinque minuti dovrebbe essere visualizzato un risultato correlato alla modifica.
Per visualizzare i dettagli del risultato, fai clic sul risultato.
Elimina un deployment di posture
Puoi eliminare un deployment di posture se non è stato eseguito correttamente, se non hai più una determinata postura o se non desideri più che una determinata postura venga assegnata a un progetto, una cartella o un'organizzazione. Per eliminare il deployment di una postura, il deployment deve essere in uno dei seguenti stati:
ACTIVE
CREATE_FAILED
UPDATE_FAILED
DELETE_FAILED
Per verificare lo stato del deployment di una postura, vedi Visualizzare le informazioni sul deployment di una postura.
Quando elimini il deployment di una postura, la rimuovi dalla risorsa (organizzazione, cartella o progetto) assegnata.
L'output per diversi tipi di criteri è il seguente:
Quando elimini un deployment di postura che include criteri dell'organizzazione personalizzati, questi vengono eliminati. Tuttavia, il vincolo personalizzato continua a esistere.
Quando elimini il deployment di una postura che include rilevatori di Security Health Analytics integrati, lo stato finale dei moduli di Security Health Analytics dipende dall'organizzazione, dalla cartella o dal progetto in cui esisteva il deployment.
- Se hai eseguito il deployment di una postura su una cartella o un progetto, i rilevatori integrati di Security Health Analytics ereditano il proprio stato dall'organizzazione o dalla cartella padre.
- Se hai eseguito il deployment di una postura a livello di organizzazione, i rilevatori di Security Health Analytics integrati ripristinano lo stato predefinito. Per una descrizione degli stati predefiniti, vedi Attivare e disattivare i rilevatori.
Esegui il comando gcloud scc posture-deployments delete
per eliminare il deployment di una postura.
gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME
POSTURE_DEPLOYMENT_NAME
è il nome della risorsa relativa per il deployment della postura. Il formato è organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
.
LOCATION
è pari aglobal
.POSTURE_DEPLOYMENT_ID
è il nome univoco del deployment della postura.
Ad esempio, per eliminare un deployment di postura denominato
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
,
esegui questo comando:
gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
Eliminare una postura
Quando elimini una postura, elimini anche tutte le revisioni. Non puoi eliminare una postura di cui è stato eseguito il deployment. Devi eliminare il deployment della postura prima di poter completare questa attività.
Esegui il comando gcloud scc postures delete
per eliminare una postura.
gcloud scc postures delete POSTURE_NAME
POSTURE_NAME
è il nome risorsa relativa della postura. Ad esempio,
organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
. L'ID posture è un nome alfanumerico della postura univoco per la tua organizzazione. LOCATION
è global
.
Ad esempio, per eliminare una postura denominata
organizations/3589215982/locations/global/postures/posture-example-1
,
esegui questo comando:
gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1