Gérer une stratégie de sécurité

Cette page explique comment configurer et utiliser le service d'évaluation de la sécurité après avoir activé Security Command Center. Pour commencer, vous devez créer une stratégie inclut vos stratégies, organisées en ensembles de règles, puis déployez la stratégie à l'aide d'une déploiement de stratégie. Une fois la stratégie déployée, vous pouvez surveiller les dérives affinez davantage votre posture au fil du temps.

Avant de commencer

Effectuez ces tâches avant d'effectuer les autres tâches de cette page.

Activer le niveau Premium ou Enterprise de Security Command Center

Vérifiez que la propriété Niveau Premium ou Enterprise de Security Command Center est activée au niveau de l'organisation.

Si vous souhaitez utiliser les détecteurs Security Health Analytics en tant que stratégies, sélectionnez Service d'analyse de l'état de la sécurité pendant le processus d'activation.

Configurer les autorisations

Pour obtenir les autorisations nécessaires pour utiliser la stratégie, demandez à votre administrateur de vous accorder le Rôle IAM Administrateur de stratégie de sécurité (roles/securityposture.admin). Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Pour en savoir plus sur les rôles et les autorisations liés à l'état de sécurité, consultez la section IAM pour les activations au niveau de l'organisation.

Configurer Google Cloud CLI

Vous devez utilisez la Google Cloud CLI version 461.0.0 ou ultérieure.

Vous pouvez utiliser les exemples gcloud CLI de cette page dans l'un des environnements de développement suivants :

  • Cloud Shell : pour utiliser un terminal en ligne avec gcloud CLI déjà configuré, activez Cloud Shell.

    En bas de cette page, une session Cloud Shell démarre et affiche une invite de ligne de commande. L'initialisation de la session peut prendre quelques secondes.

  • Shell local : pour utiliser gcloud CLI dans un environnement de développement local, installez et initialisez gcloud CLI.

Pour configurer la gcloud CLI afin qu'elle utilise l'emprunt d'identité d'un compte de service pour s'authentifier auprès des Google APIs plutôt que d'utiliser vos identifiants utilisateur, exécutez la commande suivante :

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Pour en savoir plus, consultez Emprunt d'identité d'un compte de service.

Activer les API

Activez les API du service de règles d'administration et du service de stratégie de sécurité:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configurer la connexion à AWS

Pour utiliser les détecteurs Security Health Analytics intégrés spécifiques à AWS, vous devez activer Security Command Center Enterprise et Se connecter à AWS pour détecter les failles

Créer et déployer une stratégie

Pour commencer à utiliser une stratégie de sécurité, vous devez:

  • Créez un fichier YAML de stratégie qui définit les stratégies qui s'appliquent à votre la stratégie de sécurité.
  • Créez une posture dans Google Cloud basée sur le fichier YAML de posture.
  • Déployez la stratégie.

Vous trouverez des instructions détaillées dans les sections suivantes.

Créer un fichier YAML de posture

Une stratégie se compose d'un ou de plusieurs ensembles de règles que vous déployez ensemble. Ces ensembles de règles incluent toutes les règles préventives et détectives que vous souhaitez inclure dans votre posture.

Pour créer votre stratégie, effectuez l'une des opérations suivantes:

Pour en savoir plus sur les champs que vous pouvez utiliser dans une posture, consultez la documentation de référence Posture et la documentation de référence PolicySet.

Créer un fichier de posture à partir d'un modèle de posture prédéfini

Vous pouvez utiliser un modèle de stratégie prédéfini pour créer un fichier de stratégie.

Console

  1. Dans la console Google Cloud, accédez à la page Posture Management (Gestion de la posture).

    Accéder à Posture Management

  2. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé le Niveau Premium ou Enterprise de Security Command Center activé.

  3. Dans l'onglet Modèles, cliquez sur le modèle que vous souhaitez utiliser.

  4. Sur la page Informations sur le modèle, cliquez sur Créer une stratégie.

  5. Attribuez un nom unique à la posture, puis cliquez sur Créer. La page Détails de la posture s'ouvre.

  6. Effectuez l'une des actions suivantes :

gcloud

  1. Consultez les modèles de stratégie prédéfinis pour déterminer celles qui s'appliquent à votre environnement. Vous pouvez appliquer certaines des sans y apporter de modifications. Pour d'autres, vous devez personnaliser en fonction de votre environnement.
  2. Utilisez l'une des méthodes suivantes pour copier les fichiers YAML dans votre propre éditeur de texte :

    • Copiez le fichier YAML à partir du contenu de référence dans modèles de stratégie prédéfinis.
    • Exécutez la commande gcloud scc posture-templates describe pour copier le fichier YAML.
    gcloud scc posture-templates describe \
        organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \
        --revision-id=REVISION_ID
    
    gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/POSTURE_TEMPLATE \
    --revision-id=REVISION_ID

    Remplacez les valeurs suivantes :

    • ORGANIZATION_ID correspond à l'organisation dans laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.
    • LOCATION correspond à l'emplacement où vous souhaitez déployer et stocker la posture. Le seul emplacement accepté est global.
    • POSTURE_TEMPLATE est le nom du modèle de une stratégie prédéfinie, comme décrit dans Modèles de stratégie prédéfinis.
    • REVISION_ID est la version de révision du une stratégie prédéfinie. Si vous n'incluez pas l'ID de révision, le dernier de la stratégie prédéfinie s'affiche.

    Par exemple, pour afficher la posture prédéfinie d'IA sécurisée dans l'organisation 3589215982, exécutez la commande suivante :

    gcloud scc posture-templates describe \
        organizations/3589215982/locations/global/postureTemplates/secure_ai_essential \
        --revision-id=v.1.0
    
  3. Effectuez l'une des actions suivantes :

    • Si vous pouvez utiliser la stratégie sans la modifier (par exemple, utilisé l'un des _essentials modèles), vous pouvez créer la stratégie. Pour savoir comment procéder, consultez Créer une stratégie.
    • Si vous devez modifier l'un des ensembles de règles ou des règles, consultez Modifier un fichier YAML de posture.

Créer un fichier de posture en extrayant des règles d'un environnement existant

Vous pouvez extraire les stratégies (les règles d'administration, y compris les règles personnalisées et tous les détecteurs Security Health Analytics, y compris les détecteurs personnalisés) que vous avez configurés dans un projet, un dossier ou une organisation existants pour créer un fichier de stratégie. Toi vous ne pouvez pas extraire de stratégies d'une organisation, d'un dossier ou d'un projet disposant déjà une stratégie qui lui est appliquée.

Cette commande n'extrait que les stratégies que vous avez configurées précédemment pour le organisation, dossier ou projet, et n'extrait pas les stratégies dossiers ou organisation.

Si vous avez connecté Security Command Center Enterprise à AWS, cette commande extrait également les détecteurs spécifiques à AWS (Preview).

  1. Exécutez la commande gcloud scc postures extract pour extraire les règles d'administration et les détecteurs Security Health Analytics existants dans votre environnement.

    gcloud scc postures extract POSTURE_NAME \
      --workload=WORKLOAD
    

    Remplacez les valeurs suivantes :

    • POSTURE_NAME est le nom de ressource relatif de la posture. Exemple : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID est un nom alphanumérique pour votre de sécurité propre à votre organisation. POSTURE_ID est limité à 63 caractères.
    • WORKLOAD correspond au projet, au dossier ou à l'organisation à partir desquels vous extrayez les règles. La charge de travail est l'une des suivantes:

    • projects/PROJECT_NUMBER

    • folder/FOLDER_ID

    • organizations/ORGANIZATION_ID

    Par exemple, pour extraire des règles du dossier 3589215982 de l'organisation 6589215984, exécutez la commande suivante :

    gcloud scc postures extract \
      organizations/6589215984/locations/global/postures/myStagingPosture \
      workload=folder/3589215982 > posture.yaml
    
  2. Ouvrez le fichier posture.yaml obtenu pour le modifier.

  3. Effectuez l'une des actions suivantes :

    • Si vous pouvez utiliser la stratégie sans la modifier (par exemple, utilisé l'un des _essentials modèles), vous pouvez créer la stratégie. Pour obtenir des instructions, consultez Créer une posture.
    • Si vous devez modifier l'un des ensembles de règles ou des règles, consultez Modifier un fichier YAML de posture.

Créer une ressource Terraform avec des définitions de règles

Vous pouvez créer une configuration Terraform pour créer une ressource de stratégie.

Par exemple, vous pouvez créer une ressource de stratégie incluant des métriques les contraintes liées aux règles d'administration et les détecteurs Security Health Analytics intégrés et personnalisés. Prise en charge de la gestion de la stratégie pour les détecteurs Security Health Analytics intégrés qui sont spécifiques vers AWS est Aperçu :

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Pour en savoir plus, consultez google_securityposture_posture.

Modifier un fichier YAML de posture

Pour modifier un fichier YAML de stratégie, procédez comme suit:

  1. Ouvrez votre fichier YAML de posture dans un éditeur de texte.
  2. Vérifiez les éléments name, description et state au début du fichier.

  3. Vérifiez les éléments name, description et state au début du fichier.

    name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
    description: DESCRIPTION
    state: STATE
    

    Pour en savoir plus sur ces champs, consultez la documentation de référence Posture.

    Exemple :

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
    description: This posture applies to staging environments for Vertex AI.
    state: ACTIVE
    
  4. Personnalisez les règles du fichier pour répondre à vos besoins.

    Pour en savoir plus sur les champs que vous pouvez utiliser, consultez les Référence PolicySet.

    1. Examinez les règles existantes et leurs valeurs. Pour les règles qui nécessitent des informations spécifiques à votre environnement, définissez les valeurs de manière appropriée. Par exemple, pour la règle ainotebooks.accessMode dans l'IA sécurisée, la stratégie prédéfinie étendue, l'ajout des modes d'accès autorisés sous policy_rules:

      - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
        compliance_standards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          org_policy_constraint:
            canned_constraint_id: ainotebooks.accessMode
            policy_rules:
            - values:
                allowed_values: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      
    2. Ajoutez des contraintes de règles d'administration supplémentaires, comme indiqué dans Contraintes liées aux règles d'administration. Si vous définissez une règle d'administration personnalisée, assurez-vous que le fichier YAML inclut la définition de la contrainte personnalisée. Vous ne pouvez pas utiliser une contrainte personnalisée que vous avez créée à l'aide d'autres méthodes (par exemple, à l'aide de la console Google Cloud).

      Par exemple, vous pouvez définir compute.trustedImageProjects pour définir les projets pouvant être utilisés pour le stockage d'images et sur disque une instanciation. Si vous copiez cet exemple, veillez à remplacer allowed_values par la liste appropriée des projets :

      - policy_id: Define projects with trusted images.
        compliance_standards:
        - standard:
          control:
        constraint:
          org_policy_constraint:
            canned_constraint_id: compute.trustedImageProjects
            policy_rules:
            - values:
                allowed_values:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      
    3. Ajoutez des détecteurs Security Health Analytics supplémentaires, tels que ceux décrits dans la section Résultats de Security Health Analytics. Par exemple, ajoutez un détecteur Security Health Analytics pour créer un résultat si un Le projet n'utilise pas de clé API pour l'authentification:

      - policy_id: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      Autre exemple : ajoutez un module personnalisé d'analyse de l'état de la sécurité pour détecter Les ensembles de données Vertex AI sont chiffrés:

      - policy_id: CMEK key is use for Vertex AI DataSet
        compliance_standards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          security_health_analytics_custom_module:
            display_name: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resource_selector:
                resource_types:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            module_enablement_state: ENABLED
      

      Autre exemple, pour Security Command Center Enterprise, propre à AWS (Preview):

      - policy_set_id: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policy_id: S3 bucket replication enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policy_id: S3 bucket logging enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Si vous ajoutez un détecteur spécifique à AWS, vous devez déployer la posture au niveau de l'organisation.

  5. Importez votre fichier de stratégie dans un dépôt source avec contrôle des versions vous pouvez suivre les modifications que vous y apportez au fil du temps.

Créer une stratégie

Effectuez cette tâche pour créer une ressource d'état de conformité dans Security Command Center que vous pouvez déployer. Si vous avez créé une stratégie à partir d'un modèle prédéfini dans la console Google Cloud, la ressource de stratégie est créée automatiquement vous.

Console

  1. Dans la console Google Cloud, accédez à la page Posture Management (Gestion de la posture).

    Accéder à Posture Management

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Cliquez sur Créer une stratégie. Vous pouvez créer une stratégie une stratégie ou un modèle existants, ou en utilisant les stratégies appliquées à une ressource.

    Créer une stratégie à l'aide d'une stratégie ou d'un modèle existants

    1. Sélectionnez Commencer avec une stratégie ou un modèle existant (parcourir les stratégies).
    2. Spécifiez les détails de la stratégie, tels que son nom et sa description.
    3. Cliquez sur Sélectionner une posture. Vous pouvez créer une stratégie basée sur une stratégie existante ou un modèle.
      • Sélectionnez Posture pour créer une posture à partir d'une posture existante. Sélectionnez une posture dans la liste des postures affichées, puis une ou plusieurs révisions dans la liste des révisions disponibles pour la posture sélectionnée.
      • Sélectionnez Modèle pour créer une stratégie à l'aide d'un modèle, puis sélectionnez un ou plusieurs modèles dans la liste qui s'affiche.
    4. Cliquez sur Enregistrer. Dans la section Ensembles de règles, vous pouvez afficher la liste des ensembles de règles associés à la stratégie sélectionnée.
    5. Sélectionnez les règles dans la liste des ensembles de règles. Vous pouvez également modifier la règle et la déplacer vers un autre ensemble de règles sur cette page. Vous ne pouvez pas créer une posture avec deux stratégies portant le même nom dans le même ensemble de stratégies.
    6. Cliquez sur Créer.

    Créer une stratégie à l'aide des règles appliquées à une ressource

    1. Sélectionnez Commencer avec une stratégie appliquée à une ressource (parcourez ressources).
    2. Spécifiez les détails de la stratégie, tels que son nom et sa description.
    3. Cliquez sur Sélectionner des ressources.
    4. Sélectionnez une ressource dans la liste affichée et cliquez sur Créer :

    Vous êtes redirigé vers la page Détails de la posture, qui affiche des informations sur la posture que vous avez créée. Vous pouvez voir les ensembles de règles associés à cette posture.

gcloud

  1. Exécutez la commande gcloud scc postures create pour créer une posture à l'aide du fichier posture.yaml.

    gcloud scc postures create POSTURE_NAME \
        --posture-from-file=POSTURE_FROM_FILE
    

    Remplacez les valeurs suivantes :

    • POSTURE_NAME est le nom de ressource relatif de la posture. Exemple : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID est un nom alphanumérique pour votre propre à votre organisation. POSTURE_ID est limité à 63 caractères.

    Par exemple, pour créer une stratégie avec l'ID posture-example-1 sous l'organisation organizations/3589215982, exécutez la commande suivante:

    gcloud scc postures create \
        organizations/3589215982/locations/global/postures/posture-example-1 \
        --posture-from-file=posture.yaml
    

    Si le processus de création de la stratégie échoue, supprimez-la. résolvez l'erreur, puis réessayez.

  2. Pour vérifier que la posture a bien été créée, consultez la section Afficher une posture.

Pour appliquer cette stratégie à votre environnement, vous devez déployer la stratégie.

Terraform

Si vous avez créé une configuration Terraform pour la ressource de posture, vous devez la provisionner à l'aide de votre pipeline Infrastructure as Code.

Pour en savoir plus, consultez Terraform sur Google Cloud.

Déployer une stratégie

Après avoir créé une stratégie, vous la déployez dans un projet, un dossier ou une organisation pour que vous puissiez appliquer les stratégies et leurs définitions à des ressources spécifiques dans votre organisation et surveiller les dérives. Vous ne pouvez déployer qu'une seule stratégie projet, dossier ou organisation.

Vérifiez que votre position est ACTIVE.

Lorsque vous déployez la posture, les actions suivantes se produisent :

  • Les définitions des règles d'administration et des détecteurs Security Health Analytics sont appliquées.
  • La contrainte personnalisée pour les règles d'administration personnalisées est créée avec un ID de contrainte pour inclure l'ID de révision de la posture en tant que suffixe à l'ID de contrainte que vous avez défini dans la posture.
  • L'état par défaut des modules personnalisés est défini sur Activé.

Console

  1. Dans la console Google Cloud, accédez à la page Posture Management (Gestion de la posture).

    Accéder à "Gestion de la stratégie"

  2. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé le Niveau Premium ou Enterprise de Security Command Center activé.

  3. Dans l'onglet Postures (Stratégies), cliquez sur la stratégie que vous souhaitez déployer.

  4. Sur la page Détails de la stratégie, sélectionnez la révision de la stratégie. La révision de la posture que vous sélectionnez doit être à l'état actif.

  5. Cliquez sur Appliquer aux ressources.

  6. Cliquez sur Sélectionner pour sélectionner l'organisation, le dossier ou le projet sur lesquels vous souhaitez déployer la posture.

  7. Cliquez sur Appliquer la stratégie.

gcloud

Exécutez la commande gcloud scc posture-deployments create pour déployer une stratégie sur d'un projet, d'un dossier ou d'une organisation.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

Remplacez les valeurs suivantes :

  • POSTURE_DEPLOYMENT_NAME est le nom de ressource relatif du déploiement de la posture. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION est global.

  • POSTURE_ID est un nom alphanumérique pour votre stratégie. propre à votre organisation.

  • --posture-name=POSTURE_NAME correspond au nom de la posture que vous déployez. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

Si votre posture inclut un détecteur spécifique à AWS, vous devez la déployer au niveau de l'organisation (Aperçu).

Par exemple, pour déployer une posture, exécutez la commande suivante :

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

Vous pouvez afficher des informations d'état à mesure que la commande est exécutée. Si la stratégie le processus de création du déploiement, supprimer le déploiement, corriger l'erreur, et réessayez.

Terraform

Vous pouvez créer une ressource Terraform pour déployer une posture.

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Pour en savoir plus, consultez google_securityposture_posture_deployment.

Après avoir créé la ressource Terraform, provisionnez-la à l'aide de votre pipeline Infrastructure as Code.

Afficher des informations sur la posture et le déploiement de la posture

Vous pouvez afficher des informations sur la posture et le déploiement de la posture, par exemple :

  • Les stratégies déployées et leur emplacement dans la hiérarchie des ressources (organisations, projets et dossiers), elles sont appliquées
  • Les révisions et l'état des positions
  • Détails opérationnels d'un déploiement de stratégie

Afficher une stratégie

Vous pouvez afficher des informations sur une stratégie (comme son état et ses règles définitions).

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des stratégies.

    Accéder à "Gestion de la stratégie"

  2. Sélectionnez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Dans l'onglet Postures, cliquez sur la posture que vous souhaitez afficher. La les détails de la stratégie s'affichent.

gcloud

Exécutez la commande gcloud scc postures describe pour afficher une posture que vous avez créée.

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

Remplacez les valeurs suivantes :

  • POSTURE_NAME est le nom de ressource relatif de la posture. Exemple : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

  • LOCATION est global.

  • POSTURE_ID est un nom alphanumérique pour votre stratégie. propre à votre organisation.

  • revision-id=REVISION_ID est un indicateur facultatif qui spécifie la version de la posture à afficher. Si vous n'incluez pas le paramètre , la dernière version est renvoyée.

Par exemple, pour afficher une posture portant le nom organizations/3589215982/locations/global/postures/posture-example-1 et l'ID de révision abcdefgh, exécutez la commande suivante :

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Afficher des informations sur une opération de déploiement de stratégie

Exécutez la commande gcloud scc posture-operations describe pour afficher les détails de l'opération de déploiement de la posture.

gcloud scc posture-operations describe OPERATION_NAME

OPERATION_NAME est le nom relatif de la ressource pour l'opération. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Vous pouvez obtenir OPERATION_ID à l'aide de l'argument --async lorsque vous exécutez la commande de posture.

Par exemple, pour afficher une opération d'analyse portant le nom organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, exécutez la commande suivante:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Afficher les informations sur le déploiement d'une stratégie

Vous pouvez voir où une posture est déployée, ainsi que son état de déploiement.

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des stratégies.

    Accéder à "Gestion de la stratégie"

  2. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé le Niveau Premium ou Enterprise de Security Command Center activé.

  3. Dans l'onglet Postures, cliquez sur la posture que vous avez déployée.

  4. Accédez à l'onglet Ressources pour afficher les projets, les dossiers et l'organisation auxquels la posture est déployée, ainsi que l'état du déploiement.

gcloud

Exécutez la commande gcloud scc posture-deployments describe pour afficher des informations sur une stratégie déployée.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME est le nom de la ressource relatif au déploiement de la posture. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION est global.
  • POSTURE_DEPLOYMENT_ID est un nom unique pour le déploiement de la posture.

Par exemple, pour afficher les détails d'un déploiement de stratégie nommé organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, exécutez la commande suivante:

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Mettre à jour une posture et un déploiement de posture

Vous pouvez mettre à jour les éléments suivants:

  • État de la posture.
  • Définitions des règles d'une stratégie.
  • Organisation, dossiers ou projets auxquels une posture est déployée.

Mettre à jour les définitions de règles d'une stratégie

Vous devrez peut-être mettre à jour une stratégie lorsque vous activerez d'autres services Google Cloud, déployer des ressources supplémentaires ou exiger des règles supplémentaires pour respecter les nouvelles l'évolution des exigences de conformité. Si vous mettez à jour une révision de posture déployée, cette tâche crée une nouvelle révision de posture. Sinon, la stratégie que vous spécifiez lorsque vous exécutez la commande update est mise à jour.

  1. Ouvrez un fichier YAML dans un éditeur de texte. Ajoutez les champs que vous souhaitez mettre à jour, ainsi que avec leurs valeurs. Si vous mettez à jour des ensembles de règles, assurez-vous que votre fichier inclut tous les ensembles de règles que vous souhaitez inclure dans l'état de conformité, y compris les ensembles de règles existants. Pour obtenir des instructions, consultez la section Modifier un fichier YAML de posture.
  2. Exécutez la commande gcloud scc postures update pour mettre à jour la stratégie.

    gcloud scc postures update POSTURE_NAME \
        --posture-from-file=POSTURE_FROM_FILE \
        --revision-id=POSTURE_REVISION_ID \
        --update-mask=UPDATE_MASK
    

    Remplacez les valeurs suivantes :

    • POSTURE_NAME est le nom de ressource relatif du de sécurité. Exemple : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID est un nom alphanumérique pour votre stratégie. propre à votre organisation.
    • POSTURE_FROM_FILE est le chemin relatif ou absolu vers le fichier posture.yaml qui inclut vos modifications.

      • LOCATION est global.
      • POSTURE_ID est un nom alphanumérique pour votre propre à votre organisation.
    • POSTURE_FROM_FILE est le chemin relatif ou absolu vers le fichier posture.yaml qui inclut vos modifications.

    • --revision-id=REVISION_ID est la révision de stratégie qui que vous voulez déployer. Si l'état de sécurité est déjà déployé, le service d'état de sécurité crée automatiquement une nouvelle version de l'état de sécurité avec un ID de révision différent et inclut l'ID de révision dans la sortie.

    • --update-mask=UPDATE_MASK est la liste des champs que vous souhaitez mettre à jour, au format séparé par une virgule. Cet argument est facultatif. Vous pouvez définir UPDATE_MASK sur l'une des valeurs suivantes:

      • * ou non spécifié : appliquez les modifications que vous avez apportées aux ensembles de règles et à la description de l'état.
      • policy_sets: appliquer uniquement les modifications que vous avez apportées aux ensembles de règles.
      • description : appliquez uniquement les modifications que vous avez apportées à la description de la posture.
      • policy_sets, description: appliquez les modifications que vous avez apportées au les ensembles de règles et la description de la stratégie.
      • state : n'appliquez que le changement d'état.

    Par exemple, pour mettre à jour une stratégie portant le nom posture-example-1 sous la l'organisation organizations/3589215982/locations/global et l'ID de révision définie sur abcd1234, exécutez la commande suivante:

    gcloud scc postures update \
        organizations/3589215982/locations/global/posture-example-1 \
        --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
    

    Si le processus de mise à jour de la posture échoue, corrigez l'erreur, puis réessayez.

  3. Pour vérifier que la stratégie a bien été mise à jour, consultez Affichez une stratégie.

Modifier l'état d'une stratégie

L'état d'une posture détermine si elle peut être déployée dans un projet, un dossier ou une organisation.

Une posture peut avoir les états suivants :

  • DRAFT: la révision de stratégie n'est pas prête pour le déploiement. Vous ne pouvez pas déployer de révision de stratégie dont l'état est DRAFT.
  • ACTIVE: la révision de stratégie est disponible pour le déploiement. Vous pouvez modifier l'état de ACTIVE en DRAFT ou DEPRECATED..
  • DEPRECATED: une révision de stratégie DEPRECATED ne peut pas être déployée sur une ressource. Vous devez Supprimer tous les déploiements de stratégie existants de la stratégie avant de pouvoir abandonner une révision de stratégie. Si vous souhaitez redéployer une révision de posture que vous avez abandonnée, vous devez définir son état sur ACTIVE.

Console

  1. Dans la console Google Cloud, accédez à la page Posture Management (Gestion de la posture).

    Accéder à Posture Management

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Dans l'onglet Postures, cliquez sur la posture que vous souhaitez modifier.

  4. Sur la page Détails de la stratégie, cliquez sur Modifier.

  5. Sélectionnez l'état de la posture, puis cliquez sur Enregistrer.

gcloud

Pour modifier l'état d'une stratégie, exécutez la commande gcloud scc postures update. Vous ne pouvez pas mettre à jour l'état de la stratégie en même temps que d'autres . Pour obtenir des instructions sur l'exécution de la commande gcloud scc postures update, voir Modifier un fichier YAML de stratégie.

Mettre à jour un déploiement de stratégie

Mettez à jour un déploiement de stratégie sur un projet, un dossier ou une organisation pour déployer un une nouvelle stratégie ou déployer une nouvelle révision d'une stratégie.

Si la révision de l'état de conformité que vous mettez à jour inclut une contrainte d'organisation personnalisée supprimée à l'aide de la console Google Cloud, vous ne pouvez pas mettre à jour le déploiement de l'état de conformité à l'aide du même ID d'état de conformité. Le service de règles d'administration empêche la création de contraintes d'organisation personnalisées portant le même nom. À la place, vous devez créer une autre version de la stratégie ou en utiliser une autre. ID.

Console

  1. Dans la console Google Cloud, accédez à la page Posture Management (Gestion de la posture).

    Accéder à Posture Management

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Dans l'onglet Postures, cliquez sur la posture que vous souhaitez modifier.

  4. Sur la page Détails de la stratégie, sélectionnez la révision de la stratégie.

  5. Cliquez sur Appliquer aux ressources.

  6. Cliquez sur Sélectionner pour sélectionner l'organisation, le dossier ou le projet sur lesquels vous souhaitez déployer la posture. Si un message indique que le déploiement existe déjà, supprimez-le avant de réessayer.

gcloud

Exécutez la commande gcloud scc posture-deployments update pour déployer une stratégie.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

Remplacez les valeurs suivantes :

  • POSTURE_DEPLOYMENT_NAME est le nom de ressource relatif du déploiement de la posture. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • POSTURE_DEPLOYMENT_ID est un nom unique pour le déploiement de la posture.
  • --description=DESCRIPTION est la description facultative de l'état de déploiement.

  • --posture-id=POSTURE_ID est le nom de votre posture qui est unique à votre organisation. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_NAME.

  • --posture-revision-id=POSTURE_REVISION_ID est la révision de la posture que vous souhaitez déployer. Vous pouvez l'obtenir à partir de la réponse que vous recevez lorsque vous créez la posture ou affichez la posture.

  • --update-mask=UPDATE_MASK est la liste des champs que vous souhaitez mettre à jour, au format séparé par une virgule. Cet argument est facultatif.

Par exemple, pour mettre à jour un déploiement de stratégie avec les critères suivants:

  • Organisation : organizations/3589215982/locations/global
  • ID de déploiement de la stratégie: postureDeploymentexample
  • ID de stratégie: StagingAIPosture
  • Révision : version2

Exécutez la commande suivante :

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Vous pouvez afficher des informations d'état à mesure que la commande est exécutée. Si le processus de mise à jour du déploiement de la posture échoue, supprimez le déploiement, corrigez l'erreur, puis réessayez.

Surveiller la dérive de la posture

Vous pouvez surveiller la dérive d'une stratégie déployée par rapport aux stratégies que vous avez définies dans la stratégie de sécurité. Une dérive est une modification d'une stratégie qui se produit en dehors d'une stratégie. Par exemple, une dérive se produit lorsqu'un administrateur modifie la définition de la règle dans la console au lieu de mettre à jour le déploiement de la stratégie.

Le service d'état de sécurité crée des résultats que vous pouvez consulter dans la console Google Cloud ou la gcloud CLI chaque fois qu'une dérive se produit.

Console

Si vous avez créé une stratégie qui s'applique aux charges de travail Vertex AI, vous pouvez surveiller les dérives de deux manières: à partir de la page Résultats la page Vue d'ensemble. Pour toutes les autres postures, vous pouvez surveiller la dérive depuis la page Résultats.

Pour surveiller la dérive depuis la page Résultats :

  1. Dans la console Google Cloud, accédez à la page Résultats.

    Accéder

  2. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé le Niveau Premium ou Enterprise de Security Command Center activé.

  3. Dans le volet Filtres rapides, sélectionnez le résultat Non-respect de la stratégie. Vous pouvez également saisir le filtre suivant dans l'aperçu de la requête:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
    
  4. Pour afficher les détails d'un résultat, cliquez dessus.

Pour surveiller les dérives à partir de la page Présentation (charges de travail Vertex AI uniquement): 1. Dans la console Google Cloud, accédez à la page Présentation.

Accéder à la page "Présentation"

1. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé le Niveau Premium ou Enterprise de Security Command Center activé. 1. Examinez le volet Résultats concernant la charge de travail d'IA.

  • L'onglet Failles affiche toutes les failles liées aux les modules personnalisés Security Health Analytics qui s'appliquent spécifiquement charges de travail Vertex AI.
  • L'onglet Dérive entre les règles indique toute dérive liée au les règles d'administration Vertex AI que vous avez appliquées dans un de sécurité.
  • Pour afficher les détails d'un résultat, cliquez dessus.

gcloud

Dans la gcloud CLI, pour afficher les résultats de dérive, exécutez la commande suivante :

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

ORGANIZATION_ID est l'ID de l'organisation.

Pour en savoir plus sur la résolution de ces problèmes, consultez la section Résultats du service de stratégie de sécurité. Vous pouvez exporter ces résultats de la même manière que vous exportez d'autres résultats depuis Security Command Center. Pour en savoir plus, consultez les pages Options d'intégration et Exporter des données de Security Command Center.

Pour désactiver un résultat de dérive, vous pouvez mettre à jour le déploiement de la stratégie avec le même ID de stratégie et révision de stratégie.

Générer un résultat de dérive à des fins de test

Une fois que vous avez déployé une posture, vous pouvez surveiller les écarts par rapport à vos règles. Pour voir les résultats de dérive en action dans un environnement de test, procédez comme suit :

  1. Dans la console, accédez à la page Règle d'administration.

    Accéder à la règle d'administration

  2. Modifiez l'une des stratégies que vous avez définies dans la stratégie déployée. Par exemple, si vous utilisez une posture d'IA sécurisée prédéfinie, vous pouvez modifier la règle Limiter l'accès des adresses IP publiques sur les nouveaux notebooks et instances Vertex AI Workbench.

  3. Après avoir modifié la règle, cliquez sur Définir la règle.

  4. Accéder à la page Résultats

    Accéder

  5. Dans le volet Filtres rapides, dans la section Nom à afficher pour la source, sélectionnez Security Posture (Posture de sécurité). Un résultat lié à votre modification devrait s'afficher en cinq minutes.

  6. Pour afficher les détails du résultat, cliquez dessus.

Supprimer un déploiement de stratégie

Vous pouvez supprimer un déploiement de posture s'il ne s'est pas déployé correctement, si vous n'avez plus besoin d'une posture particulière ou si vous ne souhaitez plus qu'une posture particulière soit attribuée à un projet, un dossier ou une organisation. Pour supprimer un déploiement de posture, celui-ci doit présenter l'un des états suivants :

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Pour vérifier l'état d'un déploiement de stratégie, consultez Affichez les informations sur le déploiement d'une stratégie.

Lorsque vous supprimez un déploiement de stratégie, vous supprimez la stratégie de la ressource (votre organisation, dossier ou projet) auquel vous l'avez attribuée.

Voici le résultat des différents types de règles:

  • Lorsque vous supprimez un déploiement de stratégie qui inclut une organisation personnalisée , les règles d'administration personnalisées sont supprimées. Toutefois, la contrainte personnalisée continue d'exister.
  • Lorsque vous supprimez un déploiement de stratégie qui inclut l'analyse de l'état de la sécurité intégrée des détecteurs, l'état final des modules Security Health Analytics dépend de L'organisation, le dossier ou le projet sur lequel le déploiement a eu lieu

    • Si vous avez déployé une posture sur un dossier ou un projet, les détecteurs intégrés de Security Health Analytics héritent de leur état de l'organisation ou du dossier parent.
    • Si vous avez déployé une stratégie au niveau de l'organisation, les détecteurs intégrés de Security Health Analytics reviennent à l'état par défaut. Pour une description des états par défaut, consultez Activez et désactivez les détecteurs.

Console

  1. Dans la console Google Cloud, accédez à la page Posture Management (Gestion de la posture).

    Accéder à Posture Management

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Dans l'onglet Postures, cliquez sur la posture que vous souhaitez supprimer de la ressource à laquelle elle est attribuée.

  4. Sur la page Détails de la posture, sélectionnez la révision de la posture, puis accédez à Ressources.

  5. À partir de la liste des ressources où la révision de stratégie active actuelle est déployé, cliquez sur Supprimer.

gcloud

Exécuter la commande gcloud scc posture-deployments delete pour supprimer une stratégie le déploiement.

gcloud scc posture-deployments deletePOSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME est le nom de la ressource relative pour la déploiement de stratégie. Le format est le suivant : organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID

  • POSTURE_DEPLOYMENT_ID est le nom unique du déploiement de la posture.

Par exemple, pour supprimer un déploiement de stratégie nommé organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, exécutez la commande suivante:

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Supprimer une stratégie

Lorsque vous supprimez une stratégie, vous supprimez également toutes les révisions. Vous ne pouvez pas supprimer un si l'une de ses révisions est déployée. Vous devez supprimer tous les déploiements de posture avant de pouvoir effectuer cette tâche.

Console

  1. Dans la console Google Cloud, accédez à la page Posture Management (Gestion de la posture).

    Accéder à Posture Management

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Dans l'onglet Postures, cliquez sur la posture que vous souhaitez supprimer.

  4. Sur la page Détails de la posture, cliquez sur Supprimer.

gcloud

Exécutez la commande gcloud scc postures delete pour supprimer une posture.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME est le nom de ressource relatif du de sécurité. Par exemple, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID. L'ID de posture est un nom alphanumérique unique à votre organisation.

Par exemple, pour supprimer une posture nommée organizations/3589215982/locations/global/postures/posture-example-1, exécutez la commande suivante :

gcloud scc postures delete \
    organizations/3589215982/locations/global/postures/posture-example-1

Étape suivante