Sicherheitsstatus verwalten

Auf dieser Seite wird beschrieben, wie Sie den Dienst für den Sicherheitsstatus konfigurieren und verwenden können, nachdem Sie Security Command Center aktiviert haben. Zuerst müssen Sie einen Sicherheitsstatus erstellen, der Ihre in Richtliniensätzen organisierten Richtlinien enthält, und dann den Sicherheitsstatus mithilfe einer Bereitstellung von Sicherheitsstatus bereitstellen. Nachdem ein Sicherheitsstatus bereitgestellt wurde, können Sie ihn auf Driften überwachen und Ihren Sicherheitsstatus im Laufe der Zeit weiter optimieren.

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie die restlichen Aufgaben auf dieser Seite ausführen.

Security Command Center Premium- oder Enterprise-Stufe aktivieren

Prüfen Sie, ob die Premium- oder Enterprise-Stufe von Security Command Center auf Organisationsebene aktiviert ist.

Wenn Sie Security Health Analytics-Detektoren als Richtlinien verwenden möchten, wählen Sie bei der Aktivierung den Security Health Analytics-Dienst aus.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator des Sicherheitsstatus (roles/securityposture.admin) zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwenden des Sicherheitsstatus benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu Rollen für den Sicherheitsstatus und Berechtigungen für den Sicherheitsstatus finden Sie unter IAM für Aktivierungen auf Organisationsebene.

Google Cloud CLI einrichten

Sie müssen die Google Cloud CLI ab Version 461.0.0 verwenden.

Sie können die gcloud CLI-Beispiele auf dieser Seite über eine der folgenden Entwicklungsumgebungen verwenden:

• Cloud Shell: Aktivieren Sie Cloud Shell, um ein Onlineterminal mit der bereits eingerichteten gcloud CLI zu verwenden.

  Unten auf dieser Seite wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Das Initialisieren der Sitzung kann einige Sekunden dauern.

• Lokale Shell: Zur Verwendung der gcloud CLI in einer lokalen Entwicklungsumgebung müssen Sie die gcloud CLI installieren und initialisieren.

Führen Sie den folgenden Befehl aus, um die gcloud CLI so einzurichten, dass die Authentifizierung bei Google APIs anstelle Ihrer Nutzeranmeldedaten erfolgt:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Weitere Informationen finden Sie unter Identitätswechsel für Dienstkonten.

APIs aktivieren

Aktivieren Sie die APIs für den Organisationsrichtliniendienst und den Sicherheitsstatus:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Verbindung zu AWS konfigurieren

Wenn Sie integrierte AWS-spezifische Security Health Analytics-Detektoren verwenden möchten, müssen Sie Security Command Center Enterprise aktivieren und zur Erkennung von Sicherheitslücken eine Verbindung zu AWS herstellen.

Sicherheitsstatus erstellen und bereitstellen

Wenn Sie einen Sicherheitsstatus verwenden möchten, müssen Sie die folgenden Schritte ausführen:

• Erstellen Sie eine YAML-Datei für den Sicherheitsstatus, in der die Richtlinien definiert werden, die für Ihren Sicherheitsstatus gelten.

• Erstellen Sie in Google Cloud einen Sicherheitsstatus, der auf der YAML-Datei für den Sicherheitsstatus basiert.

• Stellen Sie den Sicherheitsstatus bereit.

Die folgenden Abschnitte enthalten eine detaillierte Anleitung.

YAML-Datei für den Sicherheitsstatus erstellen

Ein Sicherheitsstatus besteht aus einem oder mehreren Richtliniensätzen, die Sie gemeinsam bereitstellen. Diese Richtliniensätze enthalten alle präventiven und detektivischen Richtlinien, die Sie in Ihren Sicherheitsstatus aufnehmen möchten.

Führen Sie einen der folgenden Schritte aus, um den Sicherheitsstatus zu erstellen:

• Eine vordefinierte Sicherheitsvorlage kopieren. Nehmen Sie bei Bedarf Änderungen an den Richtlinien vor, damit sie für Ihre Umgebung gelten und den Vorschriften und Sicherheitsstandards Ihres Unternehmens entsprechen. Eine Anleitung dazu finden Sie unter Haltungsdatei aus einer vordefinierten Sicherheitsvorlage erstellen.

• Vorhandene Richtlinien aus Ihrer Umgebung extrahieren. Nehmen Sie bei Bedarf Änderungen an den Richtlinien vor, damit sie den gesetzlichen Vorschriften und Sicherheitsstandards Ihres Unternehmens entsprechen. Eine Anleitung dazu finden Sie unter Sicherheitsdatei durch Extrahieren von Richtlinien aus einer vorhandenen Umgebung erstellen.

• Erstellen Sie eine Terraform-Ressource, die den Sicherheitsstatus definiert. Eine Anleitung dazu finden Sie unter Terraform-Ressource mit Richtliniendefinitionen erstellen.

Sicherheitsstatus sind YAML-Dateien. Weitere Informationen zur Datei posture.yaml und ihren Schlüssel/Wert-Paaren finden Sie unter YAML-Datei für den Sicherheitsstatus.

Sicherheitsstatusdatei aus einer vordefinierten Sicherheitsvorlage erstellen

Sie können eine vordefinierte Sicherheitsvorlage verwenden, um eine Sicherheitsstatusdatei zu erstellen.

Sicherheitsstatusdatei durch Extrahieren von Richtlinien aus einer vorhandenen Umgebung erstellen

Sie können die Richtlinien (Organisationsrichtlinien einschließlich benutzerdefinierter Richtlinien und alle Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Detektoren) extrahieren, die Sie in einem vorhandenen Projekt, Ordner oder einer vorhandenen Organisation konfiguriert haben, um eine Sicherheitsstatusdatei zu erstellen. Sie können keine Richtlinien aus einer Organisation, einem Ordner oder einem Projekt extrahieren, auf die bereits ein Sicherheitsstatus angewendet wurde.

Mit diesem Befehl werden nur die Richtlinien extrahiert, die Sie zuvor für die Organisation, den Ordner oder das Projekt konfiguriert haben. Aus übergeordneten Ordnern oder Organisationen werden keine Richtlinien extrahiert.

Wenn Sie Security Command Center Enterprise mit AWS verbunden haben, extrahiert dieser Befehl auch die AWS-spezifischen Detektoren (Vorschau).

1. Führen Sie den Befehl gcloud scc postures extract aus, um die vorhandenen Organisationsrichtlinien und Security Health Analytics-Detektoren in Ihrer Umgebung zu extrahieren.

   gcloud scc postures extract \
   POSTURE_NAME --workload=WORKLOAD

   Ersetzen Sie die folgenden Werte:

   • POSTURE_NAME ist der relative Ressourcenname des Sicherheitsstatus. Beispiel: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

     • LOCATION ist global.

     • POSTURE_ID ist ein alphanumerischer Name für Ihren Sicherheitsstatus, der für Ihre Organisation eindeutig ist. POSTURE_ID ist auf 63 Zeichen beschränkt.

   • WORKLOAD ist das Projekt, der Ordner oder die Organisation, aus dem bzw. der Sie die Richtlinien extrahieren. Die Arbeitslast ist eine der folgenden:

     • projects/PROJECT_NUMBER

     • folder/FOLDER_ID

     • organizations/ORGANIZATION_ID

   Führen Sie beispielsweise folgenden Befehl aus, um Richtlinien aus dem Ordner 3589215982 in der Organisation 6589215984 zu extrahieren:

   gcloud scc postures extract organizations/6589215984/locations/global/postures/myStagingPosture folder/3589215982 > posture.yaml

2. Öffnen Sie die resultierende posture.yaml-Datei zur Bearbeitung.

3. Führen Sie einen der folgenden Schritte aus:

   • Wenn Sie den Sicherheitsstatus verwenden können, ohne Änderungen vorzunehmen (z. B. eine der Vorlagen vom Typ _essentials), dann erstellen Sie ihn. Eine Anleitung finden Sie unter Sicherheitsstatus erstellen.

   • Wenn Sie Richtliniensätze oder Richtlinien ändern müssen, führen Sie die Schritte unter YAML-Datei für den Status ändern aus.

Terraform-Ressource mit Richtliniendefinitionen erstellen

Sie können eine Terraform-Konfiguration erstellen, um eine Statusressource zu erstellen.

Sie können beispielsweise eine Statusressource erstellen, die integrierte und benutzerdefinierte Einschränkungen für Organisationsrichtlinien sowie integrierte und benutzerdefinierte Security Health Analytics-Detektoren enthält. Die Unterstützung der Verwaltung des Sicherheitsstatus für integrierte AWS-spezifische Security Health Analytics-Detektoren finden Sie in der Vorabversion.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Weitere Informationen finden Sie unter google_securityposture_posture.

YAML-Datei für Sicherheitsstatus ändern

Führen Sie die folgenden Schritte aus, um eine YAML-Datei für den Sicherheitsstatus zu ändern:

1. Öffnen Sie die YAML-Datei für den Sicherheitsstatus in einem Texteditor.

2. Prüfen Sie name, description und state am Anfang der Datei.

   name: organizations/ORGANIZATION_ID/locations/LOCATION/posture/POSTURE_ID
   description: DESCRIPTION
   state: STATE
   

   Eine Beschreibung dieser Schlüssel/Wert-Paare finden Sie unter YAML-Datei für den Sicherheitsstatus.

   Beispiel:

   name: organizations/3589215982/locations/global/posture/stagingAIPosture
   description: This posture applies to staging environments for Vertex AI.
   state: ACTIVE
   

3. Passen Sie die Richtlinien in der Datei an Ihre Anforderungen an:

   1. Prüfen Sie die vorhandenen Richtlinien und ihre Werte. Legen Sie für Richtlinien, die Informationen erfordern, die für Ihre Umgebung spezifisch sind, die Werte entsprechend fest. Fügen Sie beispielsweise für die Richtlinie ainotebooks.accessMode in der sicheren KI, dem erweiterten vordefinierten Sicherheitsstatus, die zulässigen Zugriffsmodi unter policy_rules hinzu:

        - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
          compliance_standards:
          - standard: NIST SP 800-53
            control: AC-3(3)
          - standard: NIST SP 800-53
            control: AC-6(1)
          constraint:
            org_policy_constraint:
              canned_constraint_id: ainotebooks.accessMode
              policy_rules:
              - values:
                  allowed_values: service-account
          description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      

   2. Fügen Sie zusätzliche Einschränkungen für Organisationsrichtlinien hinzu, wie unter Einschränkungen für Organisationsrichtlinien beschrieben. Wenn Sie eine benutzerdefinierte Organisationsrichtlinie definieren, muss die YAML-Datei die Definition der benutzerdefinierten Einschränkung enthalten. Sie können keine benutzerdefinierte Einschränkung verwenden, die Sie mit anderen Methoden erstellt haben (z. B. mit der Google Cloud Console). Sie können beispielsweise die Einschränkung compute.trustedImageProjects festlegen, um Projekte zu definieren, die für den Image-Speicher und die Laufwerksinstanziierung verwendet werden können. Achten Sie beim Kopieren dieses Beispiels darauf, allowed_values durch eine geeignete Liste von Projekten zu ersetzen:

        - policy_id: Define projects with trusted images.
          compliance_standards:
          - standard:
            control:
          constraint:
            org_policy_constraint:
              canned_constraint_id: compute.trustedImageProjects
              policy_rules:
              - values:
                  allowed_values:
                  - project1
                  - project2
                  - projectN
          description: This is a complete list of projects from which images can be used.
      

   3. Fügen Sie zusätzliche Security Health Analytics-Detektoren hinzu, z. B. die in Security Health Analytics-Ergebnissen dokumentierten Detektoren. Fügen Sie beispielsweise einen Security Health Analytics-Detektor hinzu, um ein Ergebnis zu erstellen, wenn ein Projekt keinen API-Schlüssel für die Authentifizierung verwendet:

        - policy_id: API Key Exists
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: API_KEY_EXISTS
      

      Als weiteres Beispiel können Sie ein benutzerdefiniertes Security Health Analytics-Modul hinzufügen, um zu erkennen, ob Vertex AI-Datasets verschlüsselt werden:

        - policy_id: CMEK key is use for Vertex AI DataSet
          compliance_standards:
          - standard: NIST SP 800-53
            control: SC-12
          - standard: NIST SP 800-53
            control: SC-13
          constraint:
            security_health_analytics_custom_module:
              display_name: "vertexAIDatasetCMEKDisabled"
              config:
                customOutput: {}
                predicate:
                  expression: "!has(resource.encryptionSpec)"
                resource_selector:
                  resource_types:
                  - aiplatform.googleapis.com/Dataset
                severity: CRITICAL
                description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
                recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
              module_enablement_state: ENABLED
      

      Als weiteres Beispiel können Sie für Security Command Center Enterprise einen AWS-spezifischen Security Health Analytics-Detektor hinzufügen (Vorschau):

      - policy_set_id: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policy_id: S3 bucket replication enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policy_id: S3 bucket logging enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Wenn Sie einen AWS-spezifischen Detektor hinzufügen, müssen Sie den Status auf Organisationsebene bereitstellen.

4. Laden Sie Ihre Statusdatei in ein Quell-Repository mit Versionsverwaltung hoch, damit Sie die Änderungen im Zeitverlauf verfolgen können.

Sicherheitsstatus erstellen

Führen Sie diese Aufgabe aus, um eine Statusressource in Security Command Center zu erstellen, die Sie bereitstellen können. Wenn Sie mit der Google Cloud Console einen Sicherheitsstatus aus einer vordefinierten Vorlage für den Sicherheitsstatus erstellt haben, wird die Statusressource automatisch für Sie erstellt.

Sicherheitsstatus bereitstellen

Nachdem Sie einen Sicherheitsstatus erstellt haben, stellen Sie ihn in einem Projekt, einem Ordner oder einer Organisation bereit, damit Sie die Richtlinien und ihre Definitionen auf bestimmte Ressourcen in Ihrer Organisation anwenden und auf Abweichungen überwachen können. Sie können nur einen Sicherheitsstatus in einem Projekt, einem Ordner oder einer Organisation bereitstellen.

Prüfen Sie, ob der Status des Sicherheitsstatus ACTIVE lautet.

Wenn Sie den Sicherheitsstatus bereitstellen, werden folgende Aktionen ausgeführt:

• Es werden die Definitionen für Organisationsrichtlinien und Security Health Analytics-Detektoren angewendet.

• Die benutzerdefinierte Einschränkung für benutzerdefinierte Organisationsrichtlinien wird mit der Einschränkungs-ID erstellt, um die ID der Version des Sicherheitsstatus als Suffix der Einschränkungs-ID hinzuzufügen, die Sie im Sicherheitsstatus definiert haben.

• Der Standardstatus für benutzerdefinierte Module ist Aktiviert.

gcloud scc posture-deployments create \
POSTURE_DEPLOYMENT_NAME  --posture-name=POSTURE_NAME \
--posture-revision-id=POSTURE_REVISION_ID \
--target-resource=TARGET_RESOURCE

gcloud scc posture-deployments create
organizations/3589215982/locations/global/postureDeployments/postureDeployment123
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version1 --target-resource=projects/4589215982

  resource "google_securityposture_posture_deployment" "posture_deployment_example" {
    posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
    parent = "organizations/<ORGANIZATION_ID>"
    location = "global"
    description = "a new posture deployment"
    target_resource = "<TARGET_RESOURCE>"
    posture_id = "<POSTURE_NAME>"
    posture_revision_id = "<POSTURE_REVISION_ID>"
  }

Bereitstellungsinformationen zu Sicherheitsstatus und Sicherheitsstatus abrufen

Sie können Informationen zum Sicherheitsstatus und zum Sicherheitsstatus abrufen, um folgende Informationen zu sehen:

• Welche Sicherheitsstufen bereitgestellt werden und wo in der Ressourcenhierarchie (Organisationen, Projekte und Ordner) sie angewendet werden

• Überarbeitungen und Status der Sicherheitsmaßnahmen

• Operative Details einer Bereitstellung des Sicherheitsstatus

Sicherheitsstatus ansehen

Sie können Informationen zu einem Sicherheitsstatus aufrufen, z. B. dessen Status- und Richtliniendefinitionen.

gcloud scc postures describe POSTURE_NAME \
--revision-id=REVISION_ID

gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1
--revision-id=abcdefgh

Informationen zu einem Bereitstellungsvorgang für einen Sicherheitsstatus ansehen

Führen Sie den Befehl gcloud scc securityposture-operations describe aus, um die Vorgangsdetails für einen Bereitstellungsvorgang des Sicherheitsstatus anzusehen.

gcloud scc securityposture-operations describe OPERATION_NAME

Dabei ist OPERATION_NAME der relative Ressourcenname für den Vorgang. Das Format ist organizations/ORGANIZATION_ID/LOCATION/global/operations/OPERATION_ID. LOCATION ist der Standort, an dem Sie die Bereitstellung des Sicherheitsstatus bereitgestellt haben. Sie können den OPERATION_ID mit dem Argument --async abrufen, wenn Sie den Posture-Befehl ausführen.

Wenn Sie beispielsweise einen Scanvorgang mit dem Namen organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae ansehen möchten, führen Sie folgenden Befehl aus:

gcloud scc securityposture-operations describe
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Informationen zu einer Bereitstellung des Sicherheitsstatus ansehen

Sie können sehen, wo ein Sicherheitsstatus bereitgestellt wird und welcher Bereitstellungsstatus lautet.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Bereitstellung eines Sicherheitsstatus und eines Sicherheitsstatus aktualisieren

Sie können Folgendes aktualisieren:

• Der Status des Sicherheitsstatus.

• Die Richtliniendefinitionen in einem Sicherheitsstatus.

• Die Organisation, die Ordner oder die Projekte, für die ein Sicherheitsstatus bereitgestellt wird.

Richtliniendefinitionen in einem Sicherheitsstatus aktualisieren

Sie müssen möglicherweise einen Sicherheitsstatus aktualisieren, wenn Sie weitere Google Cloud-Dienste aktivieren, zusätzliche Ressourcen bereitstellen oder zusätzliche Richtlinien benötigen, um neue oder sich ändernde Complianceanforderungen zu erfüllen. Wenn Sie eine bereitgestellte Statusversion aktualisieren, wird mit dieser Aufgabe eine neue Statusversion erstellt. Andernfalls wird die Statusversion, die Sie beim Ausführen des Befehls „update“ angeben, aktualisiert.

1. Öffnen Sie eine YAML-Datei in einem Texteditor. Fügen Sie die zu aktualisierenden Felder mit ihren Werten hinzu. Achten Sie beim Aktualisieren von Richtliniensätzen darauf, dass die Datei alle Richtliniensätze enthält, die Sie in den Sicherheitsstatus aufnehmen möchten, einschließlich der bereits vorhandenen. Eine Anleitung dazu finden Sie unter YAML-Datei für den Sicherheitsstatus ändern.

2. Führen Sie den Befehl gcloud scc postures update aus, um den Sicherheitsstatus zu aktualisieren.

   gcloud scc postures update POSTURE_NAME \
   --posture-from-file=POSTURE_FROM_FILE \
   --revision-id=POSTURE_REVISION_ID --update-mask=UPDATE_MASK

   Ersetzen Sie die folgenden Werte:

   • POSTURE_NAME ist der relative Ressourcenname des Sicherheitsstatus. Beispiel: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

     • LOCATION ist global.

     • POSTURE_ID ist ein alphanumerischer Name für Ihren Sicherheitsstatus, der für Ihre Organisation eindeutig ist.

   • POSTURE_FROM_FILE ist der relative oder absolute Pfad zur Datei posture.yaml, die Ihre Änderungen enthält.

   • --revision-id=REVISION_ID ist die Version des Sicherheitsstatus, die Sie bereitstellen möchten. Wenn der Sicherheitsstatus derzeit bereitgestellt ist, erstellt der Dienst für den Sicherheitsstatus automatisch eine neue Version des Sicherheitsstatus mit einer anderen Überarbeitungs-ID und fügt die Versions-ID in die Ausgabe ein.

   • --update-mask=UPDATE_MASK ist die Liste der Felder im kommagetrennten Format, die Sie aktualisieren möchten. Dieses Argument ist optional. Sie können für UPDATE_MASK einen der folgenden Werte festlegen:

     • * oder nicht angegeben: Die vorgenommenen Änderungen werden auf die Richtliniensätze und die Statusbeschreibung angewendet.
     • policy_sets: Die vorgenommenen Änderungen werden nur auf die Richtliniensätze angewendet.
     • description: Die vorgenommenen Änderungen werden nur auf die Beschreibung des Sicherheitsstatus angewendet.
     • policy_sets, description: Wenden Sie die vorgenommenen Änderungen auf die Richtliniensätze und die Beschreibung des Sicherheitsstatus an.
     • state: Nur die Statusänderung wird angewendet.

   Wenn Sie beispielsweise einen Sicherheitsstatus mit dem Namen posture-example-1 unter der Organisation organizations/3589215982/locations/global und der Überarbeitungs-ID auf abcd1234 aktualisieren möchten, führen Sie folgenden Befehl aus:

   gcloud scc postures update organizations/3589215982/locations/global/posture-example-1 --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets

   Wenn die Aktualisierung des Sicherheitsstatus fehlschlägt, beheben Sie den Fehler und versuchen Sie es noch einmal.

3. Unter Sicherheitsstatus ansehen können Sie prüfen, ob der Sicherheitsstatus aktualisiert wurde.

Status eines Sicherheitsstatus ändern

Der Status eines Sicherheitsstatus bestimmt, ob er für die Bereitstellung in einem Projekt, einem Ordner oder einer Organisation verfügbar ist.

Ein Sicherheitsstatus kann die folgenden Status haben:

• DRAFT: Die Version des Sicherheitsstatus ist nicht für die Bereitstellung bereit. Sie können keine Sicherheitsversion mit dem Status DRAFT bereitstellen.

• ACTIVE: Die Version des Sicherheitsstatus ist für die Bereitstellung verfügbar. Sie können den Status von ACTIVE in DRAFT oder DEPRECATED. ändern.

• DEPRECATED: Eine DEPRECATED-Sicherheitsversion kann nicht für eine Ressource bereitgestellt werden. Sie müssen alle vorhandenen Statusbereitstellungs-Deployments des Sicherheitsstatus löschen, bevor Sie eine Statusüberarbeitung verwerfen können. Wenn Sie eine verworfene Überarbeitung des Sicherheitsstatus noch einmal bereitstellen möchten, müssen Sie deren Status in ACTIVE ändern.

Führen Sie den Befehl gcloud scc postures update aus, um den Status eines Sicherheitsstatus zu ändern. Sie können den Sicherheitsstatus nicht gleichzeitig mit der Aktualisierung anderer Felder aktualisieren. Eine Anleitung zum Ausführen des Befehls gcloud scc postures update finden Sie unter YAML-Datei für den Sicherheitsstatus ändern.

Bereitstellung eines Sicherheitsstatus aktualisieren

Aktualisieren Sie die Bereitstellung eines Sicherheitsstatus für ein Projekt, einen Ordner oder eine Organisation, um einen neuen Sicherheitsstatus oder eine neue Überarbeitung eines Sicherheitsstatus bereitzustellen.

Wenn die zu aktualisierende Statusversion eine benutzerdefinierte Organisationseinschränkung enthält, die über die Google Cloud Console gelöscht wurde, können Sie die Bereitstellung des Sicherheitsstatus nicht mit derselben Status-ID aktualisieren. Der Organisationsrichtliniendienst verhindert das Erstellen benutzerdefinierter Organisationseinschränkungen, die denselben Namen haben. Stattdessen müssen Sie eine neue Version des Sicherheitsstatus erstellen oder eine andere Status-ID verwenden.

gcloud scc posture-deployments update \
POSTURE_DEPLOYMENT_NAME --description=DESCRIPTION \
--update-mask=UPDATE_MASK --posture-id=POSTURE_ID \
--posture-revision-id=POSTURE_REVISION_ID

gcloud scc posture-deployments update
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version2

Drift der Körperhaltung beobachten

Sie können einen bereitgestellten Sicherheitsstatus auf Abweichungen von den definierten Richtlinien innerhalb des Sicherheitsstatus überwachen. Drift ist eine Änderung an einer Richtlinie, die außerhalb eines Sicherheitsstatus erfolgt. Ein Drift tritt beispielsweise auf, wenn ein Administrator eine Richtliniendefinition in der Console ändert, anstatt die Bereitstellung des Sicherheitsstatus zu aktualisieren.

Der Dienst für den Sicherheitsstatus erstellt Ergebnisse, die Sie bei Abweichungen in der Google Cloud Console oder in der gcloud CLI aufrufen können.

gcloud scc findings list ORGANIZATION_ID \
--filter="category=\"SECURITY_POSTURE_DRIFT\""

Weitere Informationen zum Umgang mit diesen Ergebnissen finden Sie unter Ergebnisse des Sicherheitsstatus. Sie können diese Ergebnisse genauso wie alle anderen Ergebnisse aus Security Command Center exportieren. Weitere Informationen finden Sie unter Integrationsoptionen und Security Command Center-Daten exportieren.

Wenn Sie ein Driftergebnis deaktivieren möchten, können Sie die Bereitstellung des Sicherheitsstatus aktualisieren, indem Sie dieselbe Status-ID und Statusversion verwenden.

Drift-Ergebnis zu Testzwecken generieren

Nachdem Sie einen Sicherheitsstatus bereitgestellt haben, können Sie Abweichungen von Ihren Richtlinien überwachen. So können Sie Driftergebnisse in einer Testumgebung in Aktion sehen:

1. Rufen Sie in der Console die Seite Organisationsrichtlinie auf.

   Zur Organisationsrichtlinie

2. Bearbeiten Sie eine der Richtlinien, die Sie im bereitgestellten Sicherheitsstatus definiert haben. Wenn Sie beispielsweise einen vordefinierten sicheren KI-Status verwenden, können Sie die Richtlinie Zugriff von öffentlichen IP-Adressen auf neue Vertex AI Workbench-Notebooks und -Instanzen einschränken bearbeiten.

3. Nachdem Sie die Richtlinie geändert haben, klicken Sie auf Richtlinie festlegen.

4. Rufen Sie die Seite Ergebnisse auf.

   Zu Ergebnissen

5. Wählen Sie im Bereich Schnellfilter im Abschnitt Anzeigename der Quelle die Option Sicherheitsstatus aus. Innerhalb von fünf Minuten sollte ein Ergebnis für Ihre Änderung angezeigt werden.

6. Klicken Sie auf ein Ergebnis, um sich die Details dazu anzeigen zu lassen.

Bereitstellung eines Sicherheitsstatus löschen

Sie können eine Bereitstellung eines Sicherheitsstatus löschen, wenn sie nicht ordnungsgemäß bereitgestellt wurde, ein bestimmter Sicherheitsstatus nicht mehr erforderlich ist oder wenn ein bestimmter Sicherheitsstatus einem Projekt, Ordner oder einer Organisation nicht mehr zugewiesen werden soll. Zum Löschen einer Bereitstellung des Sicherheitsstatus muss diese Bereitstellung sich in einem der folgenden Status befinden:

• ACTIVE
• CREATE_FAILED
• UPDATE_FAILED
• DELETE_FAILED

Informationen zum Prüfen des Status einer Bereitstellung im Sicherheitsstatus finden Sie unter Informationen zu einer Bereitstellung im Sicherheitsstatus ansehen.

Wenn Sie eine Bereitstellung des Sicherheitsstatus löschen, entfernen Sie den Sicherheitsstatus aus der Ressource (Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt), der Sie sie zugewiesen haben.

Die Ausgabe für verschiedene Richtlinientypen sieht so aus:

• Wenn Sie eine Bereitstellung des Sicherheitsstatus löschen, die benutzerdefinierte Organisationsrichtlinien enthält, werden die benutzerdefinierten Organisationsrichtlinien gelöscht. Die benutzerdefinierte Einschränkung ist jedoch weiterhin vorhanden.

• Wenn Sie eine Bereitstellung des Sicherheitsstatus löschen, die integrierte Security Health Analytics-Detektoren enthält, hängt der endgültige Zustand der Security Health Analytics-Module von der Organisation, dem Ordner oder dem Projekt ab, in dem die Bereitstellung vorhanden war.

  • Wenn Sie einen Sicherheitsstatus für einen Ordner oder ein Projekt bereitgestellt haben, übernehmen die Detektoren von Security Health Analytics ihren Status von der übergeordneten Organisation oder dem übergeordneten Ordner.
  • Wenn Sie einen Sicherheitsstatus auf Organisationsebene bereitgestellt haben, werden die integrierten Security Health Analytics-Detektoren auf den Standardzustand zurückgesetzt. Eine Beschreibung der Standardzustände finden Sie unter Detektoren aktivieren und deaktivieren.

Führen Sie den Befehl gcloud scc posture-deployments delete aus, um ein Posture-Deployment zu löschen.

gcloud scc posture-deployments delete
POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME ist der relative Ressourcenname für die Bereitstellung des Sicherheitsstatus. Das Format ist organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

• LOCATION ist global.

• POSTURE_DEPLOYMENT_ID ist der eindeutige Name für das Deployment des Sicherheitsstatus.

Wenn Sie beispielsweise eine Bereitstellung des Sicherheitsstatus mit dem Namen organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1 löschen möchten, führen Sie folgenden Befehl aus:

gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Sicherheitsstatus löschen

Wenn Sie einen Sicherheitsstatus löschen, werden auch alle Überarbeitungen gelöscht. Sie können einen bereitgestellten Sicherheitsstatus nicht löschen. Sie müssen die Bereitstellung des Sicherheitsstatus löschen, bevor Sie diese Aufgabe ausführen können.

Führen Sie den Befehl gcloud scc postures delete aus, um einen Sicherheitsstatus zu löschen.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME ist der relative Ressourcenname des Sicherheitsstatus. Beispiel: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID Die Status-ID ist ein alphanumerischer Name für Ihren Sicherheitsstatus, der für Ihre Organisation eindeutig ist. LOCATION ist global.

Wenn Sie beispielsweise einen Sicherheitsstatus mit dem Namen organizations/3589215982/locations/global/postures/posture-example-1 löschen möchten, führen Sie folgenden Befehl aus:

gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1

Nächste Schritte

• Informationen zum Sicherheitsstatus prüfen

• Audit-Logs auf Vorgänge im Zusammenhang mit dem Sicherheitsstatus prüfen

• Dienstdaten für den Sicherheitsstatus exportieren