Administra una postura de seguridad

En esta página, se describe cómo puedes configurar y usar el servicio de estado de seguridad después de activar Security Command Center. Para comenzar, debes crear una postura que incluya tus políticas, organizadas en conjuntos de políticas, y, luego, implementar la postura con una implementación de postura. Después de implementar una postura, puedes supervisar la deriva y mejorarla con el tiempo.

Antes de comenzar

Completa estas tareas antes de completar las restantes en esta página.

Activa el nivel Premium o Enterprise de Security Command Center

Verifica que el nivel Premium o Enterprise de Security Command Center esté activado a nivel de la organización.

Si deseas usar los detectores de Security Health Analytics como políticas, selecciona el servicio de Security Health Analytics durante el proceso de activación.

Configura los permisos

Para obtener los permisos que necesitas para usar la postura, pídele a tu administrador que te otorgue el rol de IAM de Administrador de posturas de seguridad (roles/securityposture.admin). Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Para obtener más información sobre los roles y los permisos de la postura de seguridad, consulta IAM para activaciones a nivel de la organización.

Configura Google Cloud CLI

Debes usar la versión 461.0.0 o posterior de Google Cloud CLI.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

A fin de configurar la CLI de gcloud para usar la identidad temporal como cuenta de servicio y autenticarse en las APIs de Google, en lugar de tus credenciales de usuario, ejecuta el siguiente comando:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Para obtener más información, consulta Identidad temporal como cuenta de servicio.

Habilita las APIs

Habilita las APIs de Organization Policy Service y Security Posture Service:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configura la conexión a AWS

Para usar los detectores integrados de Security Health Analytics que son específicos de AWS, debes activar Security Command Center Enterprise y conectarte a AWS para la detección de vulnerabilidades.

Crea e implementa una postura

Para comenzar a usar una postura de seguridad, debes completar lo siguiente:

• Crea un archivo YAML de postura que defina las políticas que se aplican a tu postura de seguridad.
• Crea una postura en Google Cloud que se base en el archivo YAML de postura.
• Implementa la postura.

En las siguientes secciones, se proporcionan instrucciones detalladas.

Crea un archivo YAML de postura

Una postura consiste en uno o más conjuntos de políticas que se implementan juntos. Estos conjuntos de políticas incluyen todas las políticas preventivas y de detección que deseas incluir en tu postura.

Para crear tu postura, haz una de las siguientes acciones:

• Copia una plantilla de postura predefinida. Si es necesario, realiza las modificaciones necesarias en las políticas para que se apliquen a tu entorno y cumplan con los estándares de seguridad y reglamentarios de tu empresa. Para obtener instrucciones, consulta Crea un archivo de postura a partir de una plantilla de postura predefinida.
• Extrae las políticas existentes de tu entorno. Si es necesario, realiza las modificaciones necesarias en las políticas para que satisfagan los estándares regulatorios y de seguridad de tu empresa. Para obtener instrucciones, consulta Cómo crear un archivo de estado extrayendo políticas de un entorno existente.
• Crea un recurso de Terraform que defina la postura. Para obtener instrucciones, consulta Crea un recurso de Terraform con definiciones de políticas.

Para obtener detalles sobre los campos que puedes usar en una postura, consulta la referencia de Posture y la referencia de PolicySet.

Crea un archivo de postura a partir de una plantilla de postura predefinida

Puedes usar una plantilla de postura predefinida para crear un archivo de postura.

Extrae políticas de un entorno existente para crear un archivo de postura

Puedes extraer las políticas (políticas de la organización, incluidas las políticas personalizadas y todos los detectores de Security Health Analytics, incluidos los detectores personalizados) que configuraste en un proyecto, una carpeta o una organización existentes para crear un archivo de postura. No puedes extraer políticas de una organización, carpeta o proyecto que ya tenga una postura aplicada.

Este comando solo extrae las políticas que configuraste anteriormente para la organización, la carpeta o el proyecto, y no extrae políticas de las carpetas o la organización superiores.

Si conectaste Security Command Center Enterprise a AWS, este comando también extrae los detectores específicos de AWS (Versión preliminar).

1. Ejecuta el comando gcloud scc postures extract para extraer las políticas de la organización existentes y los detectores de Security Health Analytics en tu entorno.

   gcloud scc postures extract POSTURE_NAME \
     --workload=WORKLOAD
   

   Reemplaza los siguientes valores:

   • POSTURE_NAME es el nombre de recurso relativo de la postura. Por ejemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

     • POSTURE_ID es un nombre alfanumérico para tu postura que es único para tu organización. POSTURE_ID tiene un límite de 63 caracteres.

   • WORKLOAD es el proyecto, la carpeta o la organización de la que extraes las políticas. La carga de trabajo es una de las siguientes:

   • projects/PROJECT_NUMBER

   • folder/FOLDER_ID

   • organizations/ORGANIZATION_ID

   Por ejemplo, para extraer políticas de la carpeta 3589215982 de la organización 6589215984, ejecuta lo siguiente:

   gcloud scc postures extract \
     organizations/6589215984/locations/global/postures/myStagingPosture \
     workload=folder/3589215982 > posture.yaml
   

2. Abre el archivo posture.yaml resultante para editarlo.

3. Realiza una de las acciones siguientes:

   • Si puedes usar la postura sin hacer ningún cambio (por ejemplo, usaste una de las plantillas de _essentials), puedes crearla. Para obtener instrucciones, consulta Cómo crear una postura.
   • Si necesitas modificar cualquiera de los conjuntos o políticas, completa Modifica un archivo YAML de postura.

Crea un recurso de Terraform con definiciones de políticas

Puedes crear una configuración de Terraform para crear un recurso de postura.

Por ejemplo, puedes crear un recurso de postura que incluya restricciones de políticas de la organización integradas y personalizadas, y detectores de Security Health Analytics integrados y personalizados. La compatibilidad con la administración de postura para los detectores integrados de Security Health Analytics que son específicos de AWS se encuentra en versión preliminar.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
    policies {
      policy_id = "canned_org_policy_for_service"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "run.allowedVPCEgress"
          policy_rules {
            allow_all: true
            condition {
              expression: "!(parameters.denyAll or resource.location in parameters.deniedLocations) && (parameters.allowAll or resource.location in parameters.allowedLocations)"
            }
            parameters {
              fields {
                key: "denyAll"
                value {
                  bool_value: false
                }
              }
              fields {
                key: "allowAll"
                value {
                  bool_value: false
                }
              }
              fields {
                key: "deniedLocations"
                value {
                  null_value: NULL_VALUE
                }
              }
              fields {
                key: "allowedLocations"
                value {
                  string_value: "allowedLocations.all(location, location in [\342\200\230US\342\200\231, \342\200\230EU\342\200\231])"
                }
              }
            }
            resource_types {
              included: "run.googleapis.com/Service"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Para obtener más información, consulta google_securityposture_posture.

Modifica un archivo YAML de postura

Completa los siguientes pasos para modificar un archivo YAML de postura:

1. Abre el archivo YAML de postura en un editor de texto.

2. Verifica name, description y state al comienzo del archivo.

3. Verifica name, description y state al comienzo del archivo.

   name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
   description: DESCRIPTION
   state: STATE
   

   Para obtener detalles sobre estos campos, consulta la referencia de Posture.

   Por ejemplo:

   name: organizations/3589215982/locations/global/posture/stagingAIPosture
   description: This posture applies to staging environments for Vertex AI.
   state: ACTIVE
   

4. Personaliza las políticas del archivo para satisfacer tus requisitos.

   Para obtener detalles sobre los campos que puedes usar, consulta la referencia de PolicySet.

   1. Revisa las políticas existentes y sus valores. En el caso de las políticas que requieren información específica de tu entorno, establece los valores de forma adecuada. Por ejemplo, para la política ainotebooks.accessMode en la postura predefinida extendida de IA segura, agrega los modos de acceso permitidos en policy_rules:

      - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
        compliance_standards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          org_policy_constraint:
            canned_constraint_id: ainotebooks.accessMode
            policy_rules:
            - values:
                allowed_values: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      

   2. Agrega restricciones adicionales de las políticas de la organización, como se documenta en Restricciones de las políticas de la organización. Si defines una política de la organización personalizada, asegúrate de que el archivo YAML incluya la definición de la restricción personalizada. No puedes usar una restricción personalizada que hayas creado con otros métodos (por ejemplo, con la consola de Google Cloud).

      Por ejemplo, te recomendamos configurar la restricción compute.trustedImageProjects para definir los proyectos que se pueden usar para el almacenamiento de imágenes y la creación de instancias de disco. Si copias este ejemplo, asegúrate de reemplazar allowed_values por una lista de proyectos adecuada:

      - policy_id: Define projects with trusted images.
        compliance_standards:
        - standard:
          control:
        constraint:
          org_policy_constraint:
            canned_constraint_id: compute.trustedImageProjects
            policy_rules:
            - values:
                allowed_values:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      

   3. Agrega detectores adicionales de Security Health Analytics, como los que se documentan en Resultados de las estadísticas del estado de la seguridad. Por ejemplo, agrega un detector de Security Health Analytics para crear un resultado si un proyecto no usa una clave de API para la autenticación:

      - policy_id: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      Como otro ejemplo, agrega un módulo personalizado de Security Health Analytics para detectar si los conjuntos de datos de Vertex AI están encriptados:

      - policy_id: CMEK key is use for Vertex AI DataSet
        compliance_standards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          security_health_analytics_custom_module:
            display_name: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resource_selector:
                resource_types:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            module_enablement_state: ENABLED
      

      A modo de ejemplo, para Security Command Center Enterprise, agrega un detector de las Estadísticas del estado de la seguridad que sea específico de AWS (Versión preliminar):

      - policy_set_id: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policy_id: S3 bucket replication enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policy_id: S3 bucket logging enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Si agregas un detector específico de AWS, debes implementar la postura a nivel de la organización.

5. Sube tu archivo de postura a un repositorio de origen controlado por versión para que puedas hacer un seguimiento de los cambios que le realices con el tiempo.

Crea una postura

Completa esta tarea para crear un recurso de postura en Security Command Center que puedas implementar. Si creaste una postura a partir de una plantilla predefinida con la consola de Google Cloud, el recurso de postura se crea automáticamente por ti.

Implementa una postura

Después de crear una postura, la implementas en un proyecto, una carpeta o una organización para que puedas aplicar las políticas y sus definiciones a recursos específicos de tu organización y supervisar la deriva. Solo puedes implementar una postura en un proyecto, una carpeta o una organización.

Verifica que el estado de postura sea ACTIVE.

Cuando implementas la postura, se producen las siguientes acciones:

• Se aplican las definiciones de las políticas de la organización y los detectores de Security Health Analytics.
• La restricción personalizada para las políticas de la organización personalizadas se crea con el ID de restricción para incluir el ID de revisión de la postura como sufijo al ID de restricción que definiste en la postura.

• El estado predeterminado de los módulos personalizados se establece en Habilitado.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Consulta la información de la postura y su implementación

Puedes ver la información de la postura y su implementación para ver información como la siguiente:

• Qué posturas se implementan y dónde se aplican en la jerarquía de recursos (organizaciones, proyectos y carpetas)
• Las revisiones y el estado de las posturas
• Los detalles operativos de una implementación de postura

Cómo ver una postura

Puedes ver información sobre una postura (como su estado y las definiciones de políticas).

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Consulta información sobre una operación de implementación de postura

Ejecuta el comando gcloud scc posture-operations describe para ver los detalles de la operación de implementación de postura.

gcloud scc posture-operations describe OPERATION_NAME

En el que OPERATION_NAME es el nombre del recurso relativo para la operación. El formato es organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Puedes obtener OPERATION_ID con el argumento --async cuando ejecutas el comando de postura.

Por ejemplo, para ver una operación de análisis con el nombre organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, ejecuta lo siguiente:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Consulta información sobre una implementación de postura

Puedes ver dónde se implementa una postura, así como el estado de la implementación.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Actualiza una postura y su implementación

Puedes actualizar lo siguiente:

• Es el estado de la postura.
• Las definiciones de políticas en una postura
• La organización, las carpetas o los proyectos a los que se implementa una postura.

Actualiza las definiciones de políticas en una postura

Es posible que debas actualizar una postura cuando habilites más servicios de Google Cloud, implementes recursos adicionales o requieras políticas adicionales para cumplir con requisitos de cumplimiento nuevos o cambiantes. Si actualizas una revisión de postura implementada, esta tarea creará una nueva revisión de postura. De lo contrario, se actualizará la revisión de la postura que especifiques cuando ejecutes el comando de actualización.

1. Abre un archivo YAML en un editor de texto. Agrega los campos que deseas actualizar junto con sus valores. Si actualizas conjuntos de políticas, asegúrate de que el archivo incluya todos los conjuntos de políticas que deseas incluir en la postura, incluidos los que ya existen. Para obtener instrucciones, consulta Cómo modificar un archivo YAML de postura.

2. Ejecuta el comando gcloud scc postures update para actualizar la postura.

   gcloud scc postures update POSTURE_NAME \
       --posture-from-file=POSTURE_FROM_FILE \
       --revision-id=POSTURE_REVISION_ID \
       --update-mask=UPDATE_MASK
   

   Reemplaza los siguientes valores:

   • POSTURE_NAME es el nombre de recurso relativo de la postura. Por ejemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

     • POSTURE_ID es un nombre alfanumérico para tu postura que es único para tu organización.

   • POSTURE_FROM_FILE es la ruta de acceso relativa o absoluta al archivo posture.yaml que incluye tus cambios.

     • LOCATION es global.
     • POSTURE_ID es un nombre alfanumérico para tu postura que es único para tu organización.

   • POSTURE_FROM_FILE es la ruta de acceso relativa o absoluta al archivo posture.yaml que incluye tus cambios.

   • --revision-id=REVISION_ID es la revisión de la postura que deseas implementar. Si la postura ya está implementada, el servicio de postura de seguridad crea automáticamente una versión nueva de la postura con un ID de revisión diferente y lo incluye en el resultado.

   • --update-mask=UPDATE_MASK es la lista de campos que deseas actualizar, en formato separado por comas. Este argumento es opcional. Puedes establecer UPDATE_MASK en uno de los siguientes valores:

     • * o no especificado: Aplica los cambios que realizaste en los conjuntos de políticas y la descripción de la postura.
     • policy_sets: Aplica solo los cambios que hiciste en los conjuntos de políticas.
     • description: Aplica solo los cambios que hiciste a la descripción de la postura.
     • policy_sets, description: Aplica los cambios que realizaste a los conjuntos de políticas y a la descripción de la postura.
     • state: Aplica solo el cambio de estado.

   Por ejemplo, para actualizar una postura con el nombre posture-example-1 en la organización organizations/3589215982/locations/global y el ID de revisión configurado como abcd1234, ejecuta lo siguiente:

   gcloud scc postures update \
       organizations/3589215982/locations/global/posture-example-1 \
       --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
   

   Si el proceso de actualización de la postura falla, soluciona el problema y vuelve a intentarlo.

3. Para verificar que la postura se haya actualizado correctamente, consulta Cómo ver una postura.

Cambia el estado de una postura

El estado de una postura determina si está disponible para la implementación en un proyecto, una carpeta o una organización.

Una postura puede tener los siguientes estados:

• DRAFT: La revisión de la postura no está lista para la implementación. No puedes implementar una revisión de postura que esté en el estado DRAFT.
• ACTIVE: La revisión de la postura está disponible para la implementación. Puedes cambiar el estado de ACTIVE a DRAFT o DEPRECATED..

• DEPRECATED: No se puede implementar una revisión de postura DEPRECATED en un recurso. Debes borrar todas las implementaciones de postura existentes de la postura antes de poder dar de baja una revisión de postura. Si deseas volver a implementar una revisión de postura que dejaste obsoleta, debes cambiar su estado a ACTIVE.

Actualiza una implementación de postura

Actualiza una implementación de postura en un proyecto, una carpeta o una organización para implementar una nueva postura o una revisión nueva de una postura.

Si la revisión de la postura que actualizas incluye una restricción de organización personalizada que se borró con la consola de Google Cloud, no podrás actualizar la implementación de la postura con el mismo ID de postura. El Servicio de políticas de la organización evita la creación de restricciones de organización personalizadas que tengan el mismo nombre. En su lugar, debes crear una versión nueva de la postura o usar un ID de postura diferente.

Además, se desactivarán los resultados de las implementaciones de políticas que se borraron como parte del proceso de actualización.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Supervisa el desvío de la postura

Puedes supervisar una postura implementada para detectar desviaciones de tus políticas definidas dentro de la postura de seguridad. La deriva es un cambio en una política que se produce fuera de una postura. Por ejemplo, el desvío se produce cuando un administrador cambia una definición de política en la consola en lugar de actualizar la implementación de la postura.

El servicio de postura de seguridad crea hallazgos que puedes ver en la consola de Google Cloud o gcloud CLI cada vez que se produce una deriva.

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

Para obtener más información sobre cómo abordar estos resultados, consulta Resultados del servicio de postura de seguridad. Puedes exportar estos resultados de la misma manera que exportas cualquier otro resultado de Security Command Center. Para obtener más información, consulta Opciones de integración y Exporta datos de Security Command Center.

Para inactivar un resultado de deriva, puedes actualizar la implementación de la postura con el mismo ID y la misma revisión de la postura.

Genera un hallazgo de deriva para realizar pruebas

Después de implementar una postura, puedes supervisar si hay derivas en tus políticas. Para ver los resultados de la deriva en acción en un entorno de prueba, completa lo siguiente:

1. En la consola, ve a la página Política de la organización.

   Ir a la política de la organización

2. Edita una de las políticas que definiste en la postura implementada. Por ejemplo, si usas una postura de IA segura predefinida, puedes editar la política Restringir el acceso de IP pública en los notebooks y las instancias nuevos de Vertex AI Workbench.

3. Después de cambiar la política, haz clic en Establecer política.

4. Ir a la página Resultados

   Ir a hallazgos

5. En el panel Filtros rápidos, en la sección Nombre visible de la fuente, selecciona Posición de seguridad. En un plazo de cinco minutos, debería aparecer un hallazgo relacionado con el cambio.

6. Para ver los detalles del resultado, haz clic en él.

Borra una implementación de postura

Puedes borrar una implementación de postura si no se implementó correctamente, si ya no necesitas una postura en particular o si ya no quieres que se asigne una postura en particular a un proyecto, una carpeta o una organización. Para borrar una implementación de postura, esta debe estar en uno de los siguientes estados:

• ACTIVE
• CREATE_FAILED
• UPDATE_FAILED
• DELETE_FAILED

Para verificar el estado de una implementación de postura, consulta Cómo ver información sobre una implementación de postura.

Cuando borras una implementación de postura, quitas la postura del recurso (tu organización, carpeta o proyecto) al que se le asignó. Además, desactiva los hallazgos asociados.

El resultado de los diferentes tipos de políticas es el siguiente:

• Cuando borras una implementación de postura que incluye políticas de la organización personalizadas, estas se borran. Sin embargo, la restricción personalizada sigue existiendo.

• Cuando borras una implementación de postura que incluye detectores integrados de Security Health Analytics, el estado final de los módulos de Security Health Analytics depende de la organización, la carpeta o el proyecto en el que existía la implementación.

  • Si implementaste una postura en una carpeta o un proyecto, los detectores integrados de Security Health Analytics heredan su estado de la organización o carpeta superior.
  • Si implementaste una postura a nivel de la organización, los detectores integrados de Security Health Analytics volverán al estado predeterminado. Para obtener una descripción de los estados predeterminados, consulta Habilita e inhabilita los detectores.

gcloud scc posture-deployments deletePOSTURE_DEPLOYMENT_NAME

Por ejemplo, para borrar una implementación de postura que se llame organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, ejecuta lo siguiente:

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Cómo borrar una postura

Cuando borras una postura, también borras todas las revisiones. No puedes borrar una posición si se implementó alguna de sus revisiones. Para completar esta tarea, debes borrar todas las implementaciones de postura.

Ejecuta el comando gcloud scc postures delete para borrar una postura.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME es el nombre de recurso relativo de la posición. Por ejemplo:organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID El ID de postura es un nombre alfanumérico para tu postura que es único para tu organización.

Por ejemplo, para borrar una postura llamada organizations/3589215982/locations/global/postures/posture-example-1, ejecuta lo siguiente:

gcloud scc postures delete \
    organizations/3589215982/locations/global/postures/posture-example-1

¿Qué sigue?

• Lee la descripción general de las posturas de seguridad.
• Obtén información sobre los módulos personalizados para las estadísticas del estado de la seguridad.
• Obtén más información sobre las restricciones personalizadas de las políticas de la organización.
• Revisa los registros de auditoría para ver las operaciones relacionadas con la postura.
• Exporta datos del servicio de postura de seguridad.