Halaman ini menjelaskan cara mengonfigurasi dan menggunakan layanan postur keamanan setelah Anda mengaktifkan Security Command Center. Untuk memulai, Anda harus membuat postur yang menyertakan kebijakan, diatur dalam set kebijakan, lalu men-deploy postur menggunakan deployment postur. Setelah postur di-deploy, Anda dapat memantau penyimpangan dan meningkatkan kualitas postur dari waktu ke waktu.
Sebelum memulai
Selesaikan tugas berikut sebelum Anda menyelesaikan tugas lainnya di halaman ini.
Aktifkan tingkat Security Command Center Premium atau Enterprise
Pastikan tingkat Security Command Center Premium atau tingkat Perusahaan diaktifkan di tingkat organisasi.
Jika Anda ingin menggunakan pendeteksi Security Health Analytics sebagai kebijakan, pilih layanan Security Health Analytics selama proses aktivasi.
Siapkan izin
Untuk mendapatkan izin yang diperlukan untuk menggunakan postur,
minta administrator untuk memberi Anda peran IAM
Security Posture Admin (roles/securityposture.admin
).
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Untuk informasi selengkapnya tentang peran postur keamanan dan izin postur keamanan, lihat IAM untuk aktivasi tingkat organisasi.
Menyiapkan Google Cloud CLI
Anda harus menggunakan Google Cloud CLI versi 461.0.0 atau yang lebih baru.
Di konsol Google Cloud, aktifkan Cloud Shell.
Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.
Untuk menyiapkan gcloud CLI agar menggunakan peniruan akun layanan untuk mengautentikasi ke Google API, alih-alih kredensial pengguna Anda, jalankan perintah berikut:
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
Untuk informasi selengkapnya, lihat Peniruan akun layanan.
Mengaktifkan API
Aktifkan Layanan Kebijakan Organisasi dan API layanan postur keamanan:
gcloud services enable orgpolicy.googleapis.com securityposture.googleapis.com
Membuat dan men-deploy postur
Untuk mulai menggunakan postur keamanan, Anda harus menyelesaikan hal-hal berikut:
Buat file YAML postur yang menentukan kebijakan yang berlaku untuk postur keamanan Anda.
Membuat postur di Google Cloud yang didasarkan pada file YAML.
Terapkan posturnya.
Bagian berikut memberikan petunjuk mendetail.
Membuat file YAML postur
Postur terdiri dari satu atau beberapa set kebijakan yang Anda deploy bersama. Rangkaian kebijakan ini mencakup semua kebijakan preventif dan detektif yang ingin disertakan dalam postur Anda.
Untuk membuat postur tubuh, lakukan salah satu hal berikut:
Salin template postur standar. Jika diperlukan, edit kebijakan tersebut agar berlaku untuk lingkungan Anda serta mematuhi standar peraturan dan keamanan bisnis Anda. Untuk mengetahui petunjuknya, lihat Membuat file postur dari template postur standar.
Ekstrak kebijakan yang ada dari lingkungan Anda. Jika diperlukan, edit kebijakan tersebut agar mematuhi standar peraturan dan keamanan bisnis Anda. Untuk mengetahui petunjuknya, lihat Membuat file postur dengan mengekstrak kebijakan dari lingkungan yang ada.
Buat resource Terraform yang menentukan posturnya. Untuk mengetahui petunjuknya, baca bagian Membuat resource Terraform dengan definisi kebijakan.
Postur adalah {i>file<i} YAML. Untuk mengetahui informasi selengkapnya tentang file posture.yaml
dan pasangan nilai kuncinya, lihat File YAML postur keamanan.
Membuat file postur dari template postur yang telah ditentukan
Anda dapat menggunakan template postur yang telah ditentukan sebelumnya untuk membuat file postur.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.
Di tab Templates, klik template yang ingin digunakan.
Di halaman Detail template, klik Create Posture.
Berikan nama unik untuk postur tersebut, lalu klik Buat. Halaman Detail Postur akan terbuka.
Selesaikan salah satu tindakan berikut:
Jika Anda dapat menggunakan postur tanpa membuat perubahan apa pun (misalnya, Anda menggunakan salah satu template _Essentials), Anda dapat men-deploy pose tersebut. Untuk mengetahui petunjuknya, lihat Men-deploy pose.
Jika Anda perlu mengubah salah satu set kebijakan atau kebijakan (misalnya, Anda menggunakan salah satu template _enhanced), selesaikan Mengubah file YAML postur dan menetapkan status postur ke
ACTIVE
.
gcloud
Tinjau template pose yang telah ditentukan sebelumnya untuk menentukan mana yang berlaku untuk lingkungan Anda. Anda dapat menerapkan beberapa di antaranya tanpa membuat perubahan apa pun, tetapi sebagian lainnya mengharuskan Anda menyesuaikan kebijakan agar cocok dengan lingkungan Anda.
Gunakan salah satu metode berikut untuk menyalin file YAML ke editor teks Anda sendiri:
Salin file YAML dari konten referensi di template postur standar.
Jalankan perintah
gcloud scc posture-templates describe
untuk menyalin file YAML.
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \ --revision-id=REVISION_ID
Ganti nilai berikut:
ORGANIZATION_ID
adalah organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.LOCATION
adalah lokasi tempat Anda ingin men-deploy dan menyimpan postur. Satu-satunya lokasi yang didukung adalahglobal
.POSTURE_TEMPLATE
adalah nama template dari postur yang telah ditentukan seperti yang dijelaskan dalam template pose standar.REVISION_ID
adalah versi revisi untuk postur yang telah ditentukan. Jika Anda tidak menyertakan ID revisi, versi terbaru dari postur yang telah ditentukan akan ditampilkan.
Misalnya, untuk melihat AI aman, postur dasar yang telah ditentukan sebelumnya di organisasi
3589215982
, jalankan perintah berikut:gcloud scc posture-templates describe
organizations/3589215982/locations/global/postureTemplates/secure_ai_essential
--revision-id=v.1.0Selesaikan salah satu tindakan berikut:
Jika Anda dapat menggunakan postur tanpa membuat perubahan apa pun (misalnya, Anda menggunakan salah satu template _Essential), Anda dapat membuat postur tersebut. Untuk mengetahui petunjuknya, lihat Membuat postur.
Jika Anda perlu mengubah salah satu set kebijakan atau kebijakan, selesaikan artikel Mengubah file YAML postur.
Buat file postur dengan mengekstrak kebijakan dari lingkungan yang ada
Anda dapat mengekstrak kebijakan (kebijakan organisasi, termasuk kebijakan kustom dan semua detektor Security Health Analytics, termasuk detektor kustom) yang Anda konfigurasi di project, folder, atau organisasi yang ada untuk membuat file postur. Anda tidak dapat mengekstrak kebijakan dari organisasi, folder, atau project yang sudah menerapkan postur.
Perintah ini hanya mengekstrak kebijakan yang sebelumnya Anda konfigurasi untuk organisasi, folder, atau project dan tidak mengekstrak kebijakan dari folder induk atau organisasi.
Jalankan perintah
gcloud scc postures extract
untuk mengekstrak kebijakan organisasi dan detektor Security Health Analytics yang ada di lingkungan Anda.gcloud scc postures extract \ POSTURE_NAME --workload=WORKLOAD
Ganti nilai berikut:
POSTURE_NAME
adalah nama resource relatif dari pose tersebut. Misalnya,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
.LOCATION
sebesarglobal
.POSTURE_ID
adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi.POSTURE_ID
dibatasi hingga 63 karakter.
WORKLOAD
adalah project, folder, atau organisasi tempat Anda mengekstrak kebijakan. Beban kerja adalah salah satu dari berikut ini:projects/PROJECT_NUMBER
folder/FOLDER_ID
organizations/ORGANIZATION_ID
Misalnya, untuk mengekstrak kebijakan dari folder
3589215982
di organisasi6589215984
, jalankan perintah berikut:gcloud scc postures extract organizations/6589215984/locations/global/postures/myStagingPosture folder/3589215982 > posture.yaml
Buka file
posture.yaml
yang dihasilkan untuk diedit.Selesaikan salah satu tindakan berikut:
Jika Anda dapat menggunakan postur tanpa membuat perubahan apa pun (misalnya, Anda menggunakan salah satu template _Essential), Anda dapat membuat pose tersebut. Untuk mengetahui petunjuknya, lihat Membuat postur.
Jika Anda perlu mengubah salah satu set kebijakan atau kebijakan, selesaikan bagian Mengubah file YAML postur.
Membuat resource Terraform dengan definisi kebijakan
Anda dapat membuat konfigurasi Terraform untuk membuat resource postur.
Misalnya, Anda dapat membuat resource postur yang menerapkan
batasan kebijakan organisasi storage.uniformBucketLevelAccess
:
resource "google_securityposture_posture" "posture_example" {
posture_id = "<POSTURE_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
state = "ACTIVE"
description = "a new posture"
policy_sets {
policy_set_id = "org_policy_set"
description = "set of org policies"
policies {
policy_id = "policy_1"
constraint {
org_policy_constraint {
canned_constraint_id = "storage.uniformBucketLevelAccess"
policy_rules {
enforce = true
}
}
}
}
}
}
Untuk informasi selengkapnya, lihat google_securityposture_posture.
Mengubah file YAML postur
Selesaikan langkah-langkah berikut untuk mengubah file YAML postur:
Buka file YAML postur Anda di editor teks.
Verifikasi
name
,description
, danstate
di awal file.name: organizations/ORGANIZATION_ID/locations/LOCATION/posture/POSTURE_ID description: DESCRIPTION state: STATE
Lihat File YAML postur keamanan untuk mengetahui deskripsi nilai kunci ini.
Contoh:
name: organizations/3589215982/locations/global/posture/stagingAIPosture description: This posture applies to staging environments for Vertex AI. state: ACTIVE
Sesuaikan kebijakan dalam file untuk memenuhi persyaratan Anda:
Tinjau kebijakan yang ada dan nilai-nilainya. Untuk kebijakan yang memerlukan informasi yang spesifik untuk lingkungan Anda, tetapkan nilai dengan tepat. Misalnya, untuk kebijakan
ainotebooks.accessMode
dalam AI aman, memperluas postur yang telah ditetapkan, tambahkan mode akses yang diizinkan dipolicy_rules
:- policy_id: Define access mode for Vertex AI Workbench notebooks and instances compliance_standards: - standard: NIST SP 800-53 control: AC-3(3) - standard: NIST SP 800-53 control: AC-6(1) constraint: org_policy_constraint: canned_constraint_id: ainotebooks.accessMode policy_rules: - values: allowed_values: service-account description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
Tambahkan batasan kebijakan organisasi tambahan, seperti yang didokumentasikan dalam Batasan kebijakan organisasi. Jika Anda menentukan kebijakan organisasi kustom, pastikan file YAML menyertakan definisi batasan kustom. Anda tidak dapat menggunakan batasan khusus yang Anda buat menggunakan metode lain (misalnya, menggunakan konsol Google Cloud). Misalnya, Anda mungkin ingin menetapkan batasan
compute.trustedImageProjects
untuk menentukan project yang dapat digunakan untuk penyimpanan gambar dan pembuatan instance disk. Jika Anda menyalin contoh ini, pastikan Anda menggantiallowed_values
dengan daftar project yang sesuai:- policy_id: Define projects with trusted images. compliance_standards: - standard: control: constraint: org_policy_constraint: canned_constraint_id: compute.trustedImageProjects policy_rules: - values: allowed_values: - project1 - project2 - projectN description: This is a complete list of projects from which images can be used.
Menambahkan pendeteksi Security Health Analytics lainnya, seperti yang didokumentasikan dalam temuan Security Health Analytics. Misalnya, tambahkan detektor Security Health Analytics untuk membuat temuan apakah project tidak menggunakan kunci API untuk autentikasi:
- policy_id: API Key Exists constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: API_KEY_EXISTS
Sebagai contoh lainnya, tambahkan modul kustom Security Health Analytics untuk mendeteksi apakah set data Vertex AI dienkripsi:
- policy_id: CMEK key is use for Vertex AI DataSet compliance_standards: - standard: NIST SP 800-53 control: SC-12 - standard: NIST SP 800-53 control: SC-13 constraint: security_health_analytics_custom_module: display_name: "vertexAIDatasetCMEKDisabled" config: customOutput: {} predicate: expression: "!has(resource.encryptionSpec)" resource_selector: resource_types: - aiplatform.googleapis.com/Dataset severity: CRITICAL description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK." recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview." module_enablement_state: ENABLED
Upload file postur Anda ke repositori sumber yang dikontrol versi sehingga Anda dapat melacak perubahan yang Anda buat pada file tersebut dari waktu ke waktu.
Membuat postur
Selesaikan tugas ini untuk membuat resource postur di Security Command Center yang dapat Anda deploy. Jika Anda membuat postur dari template postur yang telah ditentukan menggunakan Konsol Google Cloud, resource postur akan otomatis dibuat untuk Anda.
gcloud
Jalankan perintah
gcloud scc postures create
untuk membuat postur menggunakan fileposture.yaml
.gcloud scc postures create \ POSTURE_NAME --posture-from-file=POSTURE_FROM_FILE
Ganti nilai berikut:
POSTURE_NAME
adalah nama resource relatif dari pose tersebut. Misalnya,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
.LOCATION
sebesarglobal
.POSTURE_ID
adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi.POSTURE_ID
dibatasi hingga 63 karakter.
POSTURE_FROM_FILE
adalah jalur relatif atau absolut ke fileposture.yaml
.
Misalnya, untuk membuat postur dengan ID
posture-example-1
di bawah organisasiorganizations/3589215982
, jalankan perintah berikut:gcloud scc postures create organizations/3589215982/locations/global/postures/posture-example-1 --posture-from-file=posture.yaml
Jika proses pembuatan postur gagal, hapus postur, pecahkan errornya, lalu coba lagi.
Untuk memverifikasi bahwa postur berhasil dibuat, lihat Melihat postur.
Untuk menerapkan postur ini ke lingkungan, Anda harus men-deploy pose.
Terraform
Jika membuat konfigurasi Terraform untuk resource postur, Anda harus menyediakannya menggunakan pipeline infrastruktur sebagai kode Anda.
Untuk mengetahui informasi selengkapnya, lihat artikel Terraform di Google Cloud.
Menerapkan postur
Setelah membuat postur, Anda akan men-deploy-nya ke project, folder, atau organisasi sehingga Anda dapat menerapkan kebijakan beserta definisinya ke resource tertentu dalam organisasi Anda dan memantau penyimpangan. Anda hanya dapat men-deploy satu postur ke project, folder, atau organisasi.
Verifikasi bahwa status postur Anda adalah ACTIVE
.
Saat Anda men-deploy postur, tindakan berikut akan terjadi:
Definisi untuk kebijakan organisasi dan pendeteksi Security Health Analytics diterapkan.
Batasan kustom untuk kebijakan organisasi kustom dibuat dengan ID batasan untuk menyertakan ID revisi postur sebagai akhiran untuk ID batasan yang Anda tentukan di postur.
Status default untuk modul kustom ditetapkan ke Enabled.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.
Di tab Postur, klik postur yang ingin di-deploy.
Di halaman Posture details, pilih revisi postur yang ingin Anda deploy.
Klik Deploy to node.
Pilih organisasi, folder, atau project tempat Anda ingin men-deploy postur.
Klik Select.
Ulangi langkah 5 hingga 7 untuk setiap organisasi, folder, atau project tempat Anda ingin menerapkan postur tersebut.
gcloud
Jalankan perintah gcloud scc posture-deployments create
untuk men-deploy postur ke
project, folder, atau organisasi.
gcloud scc posture-deployments create \ POSTURE_DEPLOYMENT_NAME --posture-name=POSTURE_NAME \ --posture-revision-id=POSTURE_REVISION_ID \ --target-resource=TARGET_RESOURCE
Ganti nilai berikut:
POSTURE_DEPLOYMENT_NAME
adalah nama resource relatif untuk deployment postur. Formatnya adalahorganizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
.LOCATION
sebesarglobal
.POSTURE_DEPLOYMENT_ID
adalah nama unik untuk deployment postur.POSTURE_DEPLOYMENT_ID
dibatasi hingga 63 karakter.
--posture-name=POSTURE_NAME
adalah nama untuk postur yang Anda deploy. Formatnya adalahorganizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
.LOCATION
sebesarglobal
.POSTURE_ID
adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi.
--posture-revision-id=POSTURE_REVISION_ID
adalah revisi postture yang ingin Anda deploy. Anda bisa mendapatkannya dari respons yang diterima saat membuat postur atau melihat posturnya.--target-resource=TARGET_RESOURCE
adalah nama organisasi, folder, atau project tempat Anda ingin men-deploy postur. Anda dapat menggunakan salah satu format berikut:organizations/ORGANIZATION_ID
folders/FOLDER_ID
projects/PROJECT_NUMBER
Misalnya, untuk men-deploy postur, jalankan perintah berikut:
gcloud scc posture-deployments create
organizations/3589215982/locations/global/postureDeployments/postureDeployment123
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version1 --target-resource=projects/4589215982
Anda dapat melihat informasi status saat perintah selesai. Jika proses pembuatan deployment postur gagal, hapus deployment, pecahkan errornya, lalu coba lagi.
Terraform
Anda dapat membuat resource Terraform untuk men-deploy postur.
resource "google_securityposture_posture_deployment" "posture_deployment_example" {
posture_deployment_id = "<POSTURE_DEPLOYMENT_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
description = "a new posture deployment"
target_resource = "<TARGET_RESOURCE>"
posture_id = "<POSTURE_NAME>"
posture_revision_id = "<POSTURE_REVISION_ID>"
}
Untuk informasi selengkapnya, lihat google_securityposture_posture_deployment.
Setelah Anda membuat resource Terraform, sediakan resource tersebut menggunakan pipeline infrastruktur sebagai kode Anda.
Melihat informasi deployment postur dan postur
Anda dapat melihat informasi postur dan postur deployment untuk melihat informasi seperti berikut:
Postur apa yang di-deploy dan di mana dalam hierarki resource (organisasi, project, dan folder) postur tersebut diterapkan
Revisi dan status postur
Detail operasional dari sebuah postur deployment
Melihat postur
Anda dapat melihat informasi tentang postur (seperti definisi status dan kebijakannya).
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pilih organisasi tempat Anda mengaktifkan paket Security Command Center Premium atau Enterprise.
Di tab Postur, klik postur yang ingin dilihat. Detail postur akan muncul.
gcloud
Jalankan perintah gcloud scc postures describe
untuk melihat postur yang Anda
buat.
gcloud scc postures describe POSTURE_NAME \ --revision-id=REVISION_ID
Ganti nilai berikut:
POSTURE_NAME
adalah nama resource relatif dari pose tersebut. Misalnya,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
.LOCATION
sebesarglobal
.POSTURE_ID
adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi Anda.
revision-id=REVISION_ID
adalah flag opsional yang menentukan versi postur yang akan dilihat. Jika Anda tidak menyertakan penanda tersebut, versi terbaru akan ditampilkan.
Misalnya, untuk melihat postur dengan nama
organizations/3589215982/locations/global/postures/posture-example-1
dan ID revisi abcdefgh
, jalankan perintah berikut:
gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1
--revision-id=abcdefgh
Melihat informasi tentang operasi deployment postur
Jalankan perintah gcloud scc securityposture-operations describe
guna melihat
detail operasi untuk operasi deployment postur.
gcloud scc securityposture-operations describe OPERATION_NAME
Dengan OPERATION_NAME
adalah nama resource relatif untuk
operasi. Formatnya adalah
organizations/ORGANIZATION_ID/
.
LOCATION
/global/operations/OPERATION_IDLOCATION
adalah lokasi tempat Anda men-deploy deployment postur. Anda bisa mendapatkan
OPERATION_ID
dengan menggunakan argumen --async
saat menjalankan perintah postur.
Misalnya, untuk melihat operasi pemindaian dengan nama organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
, jalankan perintah berikut:
gcloud scc securityposture-operations describe
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
Melihat informasi tentang deployment postur
Anda dapat melihat lokasi deployment postur, serta status deployment.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.
Di tab Postur, klik postur yang Anda deploy.
Klik tab Deployment. Anda dapat melihat project, folder, dan organisasi tempat postur di-deploy, serta status deployment.
gcloud
Jalankan perintah gcloud scc posture-deployments describe
untuk melihat
informasi tentang postur yang di-deploy.
gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME
Dengan POSTURE_DEPLOYMENT_NAME
adalah nama resource relatif untuk deployment postur. Formatnya adalah
organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
.
LOCATION
sebesarglobal
.POSTURE_DEPLOYMENT_ID
adalah nama unik untuk deployment postur.
Misalnya, untuk melihat detail deployment postur yang diberi nama organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
, jalankan perintah berikut:
gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
Memperbarui postur dan postur deployment
Anda dapat memperbarui hal berikut:
Status postur.
Definisi kebijakan dalam postur.
Organisasi, folder, atau project tempat postur di-deploy.
Memperbarui definisi kebijakan dalam postur
Anda mungkin perlu mengubah postur jika mengaktifkan lebih banyak layanan Google Cloud, men-deploy resource tambahan, atau mewajibkan kebijakan tambahan untuk memenuhi persyaratan kepatuhan yang baru atau yang berubah. Jika Anda memperbarui revisi postur yang di-deploy, tugas ini akan membuat revisi postur baru. Jika tidak, revisi postur yang Anda tentukan saat menjalankan perintah update akan diperbarui.
Buka file YAML di editor teks. Tambahkan kolom yang ingin Anda perbarui, bersama dengan nilainya. Jika Anda memperbarui kumpulan kebijakan, pastikan file Anda menyertakan semua kumpulan kebijakan yang ingin disertakan dalam postur, termasuk kumpulan kebijakan yang sudah ada. Untuk mengetahui petunjuknya, lihat Mengubah file YAML postur.
Jalankan perintah
gcloud scc postures update
untuk memperbarui postur.gcloud scc postures update POSTURE_NAME \ --posture-from-file=POSTURE_FROM_FILE \ --revision-id=POSTURE_REVISION_ID --update-mask=UPDATE_MASK
Ganti nilai berikut:
POSTURE_NAME
adalah nama resource relatif dari pose tersebut. Misalnya,organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
.LOCATION
sebesarglobal
.POSTURE_ID
adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi Anda.
POSTURE_FROM_FILE
adalah jalur relatif atau absolut ke fileposture.yaml
yang menyertakan perubahan Anda.--revision-id=REVISION_ID
adalah revisi postture yang ingin Anda deploy. Jika postur tersebut saat ini di-deploy, layanan postur keamanan akan otomatis membuat versi baru dari pose tersebut dengan ID revisi yang berbeda dan menyertakan ID revisi dalam output.--update-mask=UPDATE_MASK
adalah daftar kolom yang ingin diperbarui, dalam format yang dipisahkan koma. Argumen ini bersifat opsional. Anda dapat menetapkanUPDATE_MASK
ke salah satu nilai berikut:*
atau tidak ditentukan: Terapkan perubahan yang Anda buat pada kumpulan kebijakan dan deskripsi postur.policy_sets
: Hanya terapkan perubahan yang Anda buat ke kumpulan kebijakan.description
: Terapkan perubahan yang Anda buat pada deskripsi postur saja.policy_sets, description
: Terapkan perubahan yang Anda buat pada kumpulan kebijakan dan deskripsi postur.state
: Hanya menerapkan perubahan status.
Misalnya, untuk memperbarui postur dengan nama
posture-example-1
di bagianorganizations/3589215982/locations/global
organisasi dan ID revisi yang ditetapkan keabcd1234
, jalankan perintah berikut:gcloud scc postures update organizations/3589215982/locations/global/posture-example-1 --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
Jika proses pembaruan postur gagal, pecahkan masalah error, lalu coba lagi.
Untuk memastikan bahwa postur berhasil diperbarui, lihat Melihat postur.
Mengubah status postur
Status postur menentukan apakah postur tersedia untuk deployment ke project, folder, atau organisasi.
Postur dapat memiliki status berikut:
DRAFT
: Revisi postur belum siap untuk deployment. Anda tidak dapat men-deploy revisi postur yang ada dalam statusDRAFT
.ACTIVE
: Revisi postur tersedia untuk deployment. Anda dapat mengubah status dariACTIVE
menjadiDRAFT
atauDEPRECATED.
DEPRECATED
: Revisi posturDEPRECATED
tidak dapat di-deploy ke resource. Anda harus menghapus semua deployment postur yang ada sebelum dapat menghentikan revisi postur. Jika ingin men-deploy ulang revisi postur yang sudah tidak digunakan lagi, Anda harus mengubah statusnya menjadiACTIVE
.
Untuk mengubah status postur, jalankan perintah gcloud scc postures update
.
Anda tidak dapat memperbarui status postur pada saat yang sama dengan memperbarui kolom
lainnya. Untuk petunjuk tentang cara menjalankan perintah gcloud scc postures update
, lihat Mengubah file YAML postur.
Memperbarui deployment postur
Memperbarui deployment postur pada project, folder, atau organisasi untuk men-deploy postur baru atau men-deploy revisi postur baru.
Jika revisi postur yang Anda perbarui menyertakan batasan organisasi kustom yang dihapus menggunakan Google Cloud Console, Anda tidak dapat memperbarui deployment postur menggunakan ID postur yang sama. Layanan Kebijakan Organisasi mencegah pembuatan batasan organisasi kustom yang memiliki nama yang sama. Sebagai gantinya, Anda harus membuat versi baru postur atau menggunakan ID postur yang berbeda.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.
Di tab Postur, klik postur yang telah diperbarui.
Di halaman Posture details, pilih revisi postur yang Anda perbarui.
Klik Deploy to node.
Pilih organisasi, folder, atau project tempat Anda ingin men-deploy postur. Jika Anda melihat pesan bahwa deployment sudah ada, hapus deployment tersebut sebelum mencoba lagi.
Klik Select.
gcloud
Jalankan perintah gcloud scc posture-deployments update
untuk men-deploy postur.
gcloud scc posture-deployments update \ POSTURE_DEPLOYMENT_NAME --description=DESCRIPTION \ --update-mask=UPDATE_MASK --posture-id=POSTURE_ID \ --posture-revision-id=POSTURE_REVISION_ID
Ganti nilai berikut:
POSTURE_DEPLOYMENT_NAME
adalah nama resource relatif untuk deployment postur. Formatnya adalahorganizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
.LOCATION
sebesarglobal
.POSTURE_DEPLOYMENT_ID
adalah nama unik untuk deployment postur.
--description=DESCRIPTION
adalah deskripsi opsional untuk postur yang di-deploy.--posture-id=POSTURE_ID
adalah nama untuk postur Anda yang unik untuk organisasi Anda. Formatnya adalahorganizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_NAME
--posture-revision-id=POSTURE_REVISION_ID
adalah revisi postture yang ingin Anda deploy. Anda bisa mendapatkannya dari respons yang Anda terima saat membuat postur atau melihat pose.--update-mask=UPDATE_MASK
adalah daftar kolom yang ingin diperbarui, dalam format yang dipisahkan koma. Argumen ini bersifat opsional.
Misalnya, untuk memperbarui deployment postur dengan kriteria berikut:
- Organisasi:
organizations/3589215982/locations/global
- ID deployment postur:
postureDeploymentexample
- ID Postur:
StagingAIPosture
- Revisi:
version2
Jalankan perintah berikut:
gcloud scc posture-deployments update
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version2
Anda dapat melihat informasi status saat perintah selesai. Jika proses update deployment postur gagal, hapus deployment, pecahkan errornya, lalu coba lagi.
Memantau penyimpangan postur
Anda dapat memantau postur yang di-deploy untuk penyimpangan dari kebijakan yang Anda tentukan dalam postur keamanan. Drift adalah perubahan pada kebijakan yang terjadi di luar postur. Misalnya, penyimpangan terjadi ketika administrator mengubah definisi kebijakan di konsol, bukan memperbarui deployment postur.
Layanan postur keamanan membuat temuan yang dapat Anda lihat di Google Cloud Console atau gcloud CLI setiap kali terjadi penyimpangan.
Konsol
Jika telah membuat postur yang berlaku untuk workload Vertex AI, Anda dapat memantau penyimpangan dengan dua cara: dari halaman Findings, dan dari halaman Overview. Untuk semua postur lainnya, Anda dapat memantau penyimpangan dari halaman Findings.
Untuk memantau penyimpangan dari halaman Penemuan:
Di konsol Google Cloud, buka halaman Findings.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.
Di panel Filter cepat, pilih temuan Pelanggaran postur. Anda juga dapat memasukkan filter berikut di Pratinjau kueri:
state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
Untuk melihat detail suatu temuan, klik temuan.
Untuk memantau penyimpangan dari halaman Overview (khusus workload Vertex AI):
Di konsol Google Cloud, buka halaman Overview.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.
Tinjau panel AI Workload Findings.
- Tab Kerentanan menampilkan semua kerentanan yang terkait dengan modul kustom Security Health Analytics yang berlaku khusus untuk workload Vertex AI.
- Tab Policy Drift menampilkan penyimpangan terkait kebijakan organisasi Vertex AI yang telah Anda terapkan dalam sebuah postur.
Untuk melihat detail suatu temuan, klik temuan.
gcloud
Di gcloud CLI, untuk melihat temuan penyimpangan, jalankan perintah berikut:
gcloud scc findings list ORGANIZATION_ID \ --filter="category=\"SECURITY_POSTURE_DRIFT\""
Dengan ORGANIZATION_ID adalah ID organisasi.
Untuk mengetahui informasi selengkapnya tentang cara mengatasi temuan ini, lihat Temuan layanan postur keamanan. Anda dapat mengekspor temuan ini dengan cara yang sama seperti mengekspor temuan lainnya dari Security Command Center. Untuk informasi selengkapnya, lihat Opsi integrasi dan Mengekspor data Security Command Center.
Untuk menonaktifkan temuan drift, Anda dapat mengupdate deployment postur dengan ID postur dan revisi postur yang sama.
Membuat temuan drift untuk tujuan pengujian
Setelah men-deploy postur, Anda dapat memantau penyimpangan dari kebijakan Anda. Untuk melihat penerapan temuan penyimpangan di lingkungan pengujian, selesaikan hal berikut:
Di konsol, buka halaman Organization policy.
Edit salah satu kebijakan yang Anda tentukan dalam postur yang di-deploy. Misalnya, jika menggunakan postur AI aman yang telah ditetapkan sebelumnya, Anda dapat mengedit kebijakan Batasi akses IP publik di notebook dan instance Vertex AI Workbench baru.
Setelah Anda mengubah kebijakan, klik Tetapkan Kebijakan.
Buka halaman Temuan.
Di panel Quick filters, di bagian Source display name, pilih Security Posture. Temuan yang terkait dengan perubahan akan muncul dalam waktu lima menit.
Untuk melihat detail temuan, klik temuan.
Menghapus deployment postur
Anda dapat menghapus deployment postur jika tidak di-deploy dengan benar, tidak lagi memerlukan postur tertentu, atau tidak lagi ingin postur tertentu ditetapkan ke project, folder, atau organisasi. Untuk menghapus deployment postur, deployment postur harus dalam salah satu status berikut:
ACTIVE
CREATE_FAILED
UPDATE_FAILED
DELETE_FAILED
Untuk memverifikasi status deployment postur, lihat Melihat informasi tentang deployment postur.
Saat menghapus deployment postur, Anda menghapus postur itu dari resource (organisasi, folder, atau project Anda) yang Anda tetapkan.
Output untuk berbagai jenis kebijakan adalah:
Saat Anda menghapus deployment postur yang menyertakan kebijakan organisasi kustom, kebijakan organisasi kustom tersebut akan dihapus. Namun, batasan khusus tetap ada.
Saat Anda menghapus deployment postur yang menyertakan pendeteksi Security Health Analytics bawaan, status akhir modul Security Health Analytics bergantung pada organisasi, folder, atau project tempat deployment tersebut ada.
- Jika Anda men-deploy postur pada folder atau project, detektor Security Health Analytics bawaan mewarisi statusnya dari organisasi atau folder induk.
- Jika Anda men-deploy postur di tingkat organisasi, detektor Analisis Kesehatan Keamanan bawaan akan kembali ke status default. Untuk deskripsi tentang status default, lihat Mengaktifkan dan menonaktifkan detektor.
Jalankan perintah gcloud scc posture-deployments delete
untuk menghapus deployment
pose.
gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME
POSTURE_DEPLOYMENT_NAME
adalah nama resource relatif untuk
deployment postur. Formatnya adalah
organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID
.
LOCATION
sebesarglobal
.POSTURE_DEPLOYMENT_ID
adalah nama unik untuk deployment postur.
Misalnya, untuk menghapus deployment postur yang bernama organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
, jalankan perintah berikut:
gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
Menghapus postur
Saat menghapus postur, Anda juga akan menghapus semua revisi. Anda tidak dapat menghapus posture yang di-deploy. Anda harus menghapus deployment postur sebelum dapat menyelesaikan tugas ini.
Jalankan perintah gcloud scc postures delete
untuk menghapus postur.
gcloud scc postures delete POSTURE_NAME
POSTURE_NAME
adalah nama resource relatif dari
postur. Contoh,
organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID
. ID postur adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi Anda. LOCATION
adalah global
.
Misalnya, untuk menghapus postur yang bernama
organizations/3589215982/locations/global/postures/posture-example-1
,
jalankan perintah berikut:
gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1