Halaman ini menjelaskan cara mengonfigurasi dan menggunakan layanan postur keamanan setelah Anda mengaktifkan Security Command Center. Untuk memulai, Anda harus membuat postur yang menyertakan kebijakan Anda, yang diatur dalam kumpulan kebijakan, lalu men-deploy postur menggunakan pen-deployment postur. Setelah postur di-deploy, Anda dapat memantau drift dan meningkatkan postur lebih lanjut dari waktu ke waktu.
Sebelum memulai
Selesaikan tugas ini sebelum Anda menyelesaikan tugas lainnya di halaman ini.
Mengaktifkan paket Premium atau Enterprise Security Command Center
Pastikan paket Premium atau Enterprise Security Command Center diaktifkan di tingkat organisasi.
Jika Anda ingin menggunakan detektor Security Health Analytics sebagai kebijakan, pilih layanan Security Health Analytics selama proses aktivasi.
Siapkan izin
Untuk mendapatkan izin yang diperlukan guna menggunakan postur,
minta administrator untuk memberi Anda
peran IAM Security Posture Admin (roles/securityposture.admin
).
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Untuk mengetahui informasi selengkapnya tentang peran postur keamanan dan izin postur keamanan, lihat IAM untuk aktivasi tingkat organisasi.
Menyiapkan Google Cloud CLI
Anda harus menggunakan Google Cloud CLI versi 461.0.0 atau yang lebih baru.
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Untuk menyiapkan gcloud CLI agar menggunakan peniruan akun layanan untuk mengautentikasi ke Google API, alih-alih kredensial pengguna Anda, jalankan perintah berikut:
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
Untuk informasi selengkapnya, lihat Peniruan akun layanan.
Mengaktifkan API
Aktifkan Layanan Kebijakan Organisasi dan API layanan postur keamanan:
gcloud services enable orgpolicy.googleapis.com securityposture.googleapis.com
Mengonfigurasi koneksi ke AWS
Untuk menggunakan pendeteksi Security Health Analytics bawaan yang khusus untuk AWS, Anda harus mengaktifkan Security Command Center Enterprise dan terhubung ke AWS untuk deteksi kerentanan.
Membuat dan men-deploy postur
Untuk mulai menggunakan postur keamanan, Anda harus menyelesaikan hal berikut:
- Buat file YAML postur yang menentukan kebijakan yang berlaku untuk postur keamanan Anda.
- Buat postur di Google Cloud yang didasarkan pada file YAML postur.
- Deploy postur.
Bagian berikut memberikan petunjuk mendetail.
Membuat file YAML postur
Postur terdiri dari satu atau beberapa set kebijakan yang Anda deploy bersama. Kumpulan kebijakan ini mencakup semua kebijakan preventif dan detektif yang ingin disertakan dalam postur Anda.
Untuk membuat postur, lakukan salah satu hal berikut:
- Salin template postur standar. Jika diperlukan, lakukan pengeditan pada kebijakan agar berlaku untuk lingkungan Anda dan mematuhi standar keamanan dan peraturan bisnis Anda. Untuk mengetahui petunjuknya, lihat Membuat file postur dari template postur standar.
- Ekstrak kebijakan yang ada dari lingkungan Anda. Jika diperlukan, lakukan pengeditan pada kebijakan agar mematuhi standar keamanan dan peraturan bisnis Anda. Untuk mengetahui petunjuknya, lihat Membuat file postur dengan mengekstrak kebijakan dari lingkungan yang ada.
- Buat resource Terraform yang menentukan postur. Untuk mengetahui petunjuknya, lihat Membuat resource Terraform dengan definisi kebijakan.
Untuk mengetahui detail tentang kolom yang dapat Anda gunakan dalam postur, lihat
referensi Posture
dan
referensi PolicySet
.
Membuat file postur dari template postur yang telah ditentukan sebelumnya
Anda dapat menggunakan template postur standar untuk membuat file postur.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
Di tab Templates, klik template yang ingin Anda gunakan.
Di halaman Template details, klik Create Posture.
Berikan nama unik untuk postur, lalu klik Buat. Halaman Posture details akan terbuka.
Selesaikan salah satu tindakan berikut:
- Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda
menggunakan salah satu template
_essentials
), Anda dapat men-deploy postur. Untuk mengetahui petunjuknya, lihat Men-deploy postur. - Jika Anda perlu mengubah kumpulan kebijakan atau kebijakan (misalnya,
Anda menggunakan salah satu template _enhanced), selesaikan
Mengubah file YAML postur dan
menetapkan status postur ke
ACTIVE
.
- Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda
menggunakan salah satu template
gcloud
- Tinjau template postur standar untuk menentukan template mana yang berlaku untuk lingkungan Anda. Anda dapat menerapkan beberapa kebijakan tanpa melakukan perubahan apa pun, tetapi kebijakan lainnya mengharuskan Anda menyesuaikan kebijakan agar sesuai dengan lingkungan Anda.
Gunakan salah satu metode berikut untuk menyalin file YAML ke editor teks Anda sendiri:
- Salin file YAML dari konten referensi di template postur standar.
- Jalankan perintah
gcloud scc posture-templates describe
untuk menyalin file YAML.
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \ --revision-id=REVISION_ID
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/POSTURE_TEMPLATE \ --revision-id=REVISION_ID
Ganti nilai berikut:
ORGANIZATION_ID
adalah organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.LOCATION
adalah lokasi tempat Anda ingin men-deploy dan menyimpan postur. Satu-satunya lokasi yang didukung adalahglobal
.POSTURE_TEMPLATE
adalah nama template postur yang telah ditentukan sebelumnya, seperti yang dijelaskan dalam Template postur standar.REVISION_ID
adalah versi revisi untuk postur yang telah ditentukan sebelumnya. Jika Anda tidak menyertakan ID revisi, versi terbaru postur yang telah ditentukan akan ditampilkan.
Misalnya, untuk melihat postur yang telah ditentukan sebelumnya untuk AI yang aman, esensial di organisasi
3589215982
, jalankan perintah berikut:gcloud scc posture-templates describe \ organizations/3589215982/locations/global/postureTemplates/secure_ai_essential \ --revision-id=v.1.0
Selesaikan salah satu tindakan berikut:
- Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda
menggunakan salah satu template
_essentials
), Anda dapat membuat postur. Untuk mengetahui petunjuknya, lihat Membuat postur. - Jika Anda perlu mengubah kumpulan kebijakan atau kebijakan, selesaikan Mengubah file YAML postur.
- Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda
menggunakan salah satu template
Membuat file postur dengan mengekstrak kebijakan dari lingkungan yang ada
Anda dapat mengekstrak kebijakan (kebijakan organisasi, termasuk kebijakan kustom dan semua pendeteksi Security Health Analytics, termasuk pendeteksi kustom) yang Anda konfigurasikan di project, folder, atau organisasi yang ada untuk membuat file postur. Anda tidak dapat mengekstrak kebijakan dari organisasi, folder, atau project yang sudah memiliki postur yang diterapkan.
Perintah ini hanya mengekstrak kebijakan yang sebelumnya Anda konfigurasikan untuk organisasi, folder, atau project dan tidak mengekstrak kebijakan dari folder atau organisasi induk.
Jika Anda menghubungkan Security Command Center Enterprise ke AWS, perintah ini juga mengekstrak detektor yang khusus untuk AWS (Pratinjau).
Jalankan perintah
gcloud scc postures extract
untuk mengekstrak kebijakan organisasi dan detector Security Health Analytics yang ada di lingkungan Anda.gcloud scc postures extract POSTURE_NAME \ --workload=WORKLOAD
Ganti nilai berikut:
POSTURE_NAME
adalah nama resource relatif dari postur. Contoh,organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
.POSTURE_ID
adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.POSTURE_ID
dibatasi hingga 63 karakter.
WORKLOAD
adalah project, folder, atau organisasi tempat Anda mengekstrak kebijakan. Beban kerja adalah salah satu dari berikut:projects/PROJECT_NUMBER
folder/FOLDER_ID
organizations/ORGANIZATION_ID
Misalnya, untuk mengekstrak kebijakan dari folder
3589215982
di bawah organisasi6589215984
, jalankan perintah berikut:gcloud scc postures extract \ organizations/6589215984/locations/global/postures/myStagingPosture \ workload=folder/3589215982 > posture.yaml
Buka file
posture.yaml
yang dihasilkan untuk diedit.Selesaikan salah satu tindakan berikut:
- Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda
menggunakan salah satu template
_essentials
), Anda dapat membuat postur. Untuk mengetahui petunjuknya, lihat Membuat postur. - Jika Anda perlu mengubah kumpulan kebijakan atau kebijakan, selesaikan Mengubah file YAML postur.
- Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda
menggunakan salah satu template
Membuat resource Terraform dengan definisi kebijakan
Anda dapat membuat konfigurasi Terraform untuk membuat resource postur.
Misalnya, Anda dapat membuat resource postur yang menyertakan batasan kebijakan organisasi bawaan dan kustom serta pendeteksi Security Health Analytics bawaan dan kustom. Dukungan pengelolaan postur untuk detektor Security Health Analytics bawaan yang khusus untuk AWS berada dalam Pratinjau.
resource "google_securityposture_posture" "posture_example" {
posture_id = "<POSTURE_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
state = "ACTIVE"
description = "a new posture"
policy_sets {
policy_set_id = "org_policy_set"
description = "set of org policies"
policies {
policy_id = "canned_org_policy"
constraint {
org_policy_constraint {
canned_constraint_id = "storage.uniformBucketLevelAccess"
policy_rules {
enforce = true
}
}
}
}
policies {
policy_id = "canned_org_policy_for_service"
constraint {
org_policy_constraint {
canned_constraint_id = "run.allowedVPCEgress"
policy_rules {
allow_all: true
condition {
expression: "!(parameters.denyAll or resource.location in parameters.deniedLocations) && (parameters.allowAll or resource.location in parameters.allowedLocations)"
}
parameters {
fields {
key: "denyAll"
value {
bool_value: false
}
}
fields {
key: "allowAll"
value {
bool_value: false
}
}
fields {
key: "deniedLocations"
value {
null_value: NULL_VALUE
}
}
fields {
key: "allowedLocations"
value {
string_value: "allowedLocations.all(location, location in [\342\200\230US\342\200\231, \342\200\230EU\342\200\231])"
}
}
}
resource_types {
included: "run.googleapis.com/Service"
}
}
}
}
}
}
policy_sets {
policy_set_id = "sha_policy_set"
description = "set of sha policies"
policies {
policy_id = "sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "BIGQUERY_TABLE_CMEK_DISABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
}
policies {
policy_id = "aws_sha_builtin_module"
constraint {
security_health_analytics_module {
module_name = "S3_BUCKET_LOGGING_ENABLED"
module_enablement_state = "ENABLED"
}
}
description = "enable S3_BUCKET_LOGGING_ENABLED"
}
policies {
policy_id = "sha_custom_module"
constraint {
security_health_analytics_custom_module {
display_name = "custom_SHA_policy"
config {
predicate {
expression = "resource.rotationPeriod > duration('2592000s')"
}
custom_output {
properties {
name = "duration"
value_expression {
expression = "resource.rotationPeriod"
}
}
}
resource_selector {
resource_types = ["cloudkms.googleapis.com/CryptoKey"]
}
severity = "LOW"
description = "Custom Module"
recommendation = "Testing custom modules"
}
module_enablement_state = "ENABLED"
}
}
}
}
}
Untuk informasi selengkapnya, lihat google_securityposture_posture.
Mengubah file YAML postur
Selesaikan langkah-langkah berikut untuk mengubah file YAML postur:
- Buka file YAML postur Anda di editor teks.
Verifikasi
name
,description
, danstate
di awal file.Verifikasi
name
,description
, danstate
di awal file.name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID description: DESCRIPTION state: STATE
Untuk mengetahui detail tentang kolom ini, lihat referensi
Posture
.Contoh:
name: organizations/3589215982/locations/global/posture/stagingAIPosture description: This posture applies to staging environments for Vertex AI. state: ACTIVE
Sesuaikan kebijakan dalam file untuk memenuhi persyaratan Anda.
Untuk mengetahui detail tentang kolom yang dapat Anda gunakan, lihat referensi
PolicySet
.Tinjau kebijakan yang ada dan nilainya. Untuk kebijakan yang memerlukan informasi khusus untuk lingkungan Anda, tetapkan nilainya dengan tepat. Misalnya, untuk kebijakan
ainotebooks.accessMode
di postur yang telah ditentukan sebelumnya untuk AI yang aman dan diperluas, tambahkan mode akses yang diizinkan di bagianpolicy_rules
:- policy_id: Define access mode for Vertex AI Workbench notebooks and instances compliance_standards: - standard: NIST SP 800-53 control: AC-3(3) - standard: NIST SP 800-53 control: AC-6(1) constraint: org_policy_constraint: canned_constraint_id: ainotebooks.accessMode policy_rules: - values: allowed_values: service-account description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
Tambahkan batasan kebijakan organisasi tambahan, seperti yang didokumentasikan dalam Batasan kebijakan organisasi. Jika Anda menentukan kebijakan organisasi kustom, pastikan file YAML menyertakan definisi batasan kustom. Anda tidak dapat menggunakan batasan kustom yang dibuat menggunakan metode lain (misalnya, menggunakan konsol Google Cloud).
Misalnya, Anda dapat menetapkan batasan
compute.trustedImageProjects
untuk menentukan project yang dapat digunakan untuk penyimpanan image dan pembuatan instance disk. Jika Anda menyalin contoh ini, pastikan Anda menggantiallowed_values
dengan daftar project yang sesuai:- policy_id: Define projects with trusted images. compliance_standards: - standard: control: constraint: org_policy_constraint: canned_constraint_id: compute.trustedImageProjects policy_rules: - values: allowed_values: - project1 - project2 - projectN description: This is a complete list of projects from which images can be used.
Tambahkan detektor Security Health Analytics tambahan, seperti yang didokumentasikan dalam temuan Security Health Analytics. Misalnya, tambahkan detektor Security Health Analytics untuk membuat temuan jika project tidak menggunakan kunci API untuk autentikasi:
- policy_id: API Key Exists constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: API_KEY_EXISTS
Sebagai contoh lain, tambahkan modul kustom Security Health Analytics untuk mendeteksi apakah set data Vertex AI dienkripsi:
- policy_id: CMEK key is use for Vertex AI DataSet compliance_standards: - standard: NIST SP 800-53 control: SC-12 - standard: NIST SP 800-53 control: SC-13 constraint: security_health_analytics_custom_module: display_name: "vertexAIDatasetCMEKDisabled" config: customOutput: {} predicate: expression: "!has(resource.encryptionSpec)" resource_selector: resource_types: - aiplatform.googleapis.com/Dataset severity: CRITICAL description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK." recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview." module_enablement_state: ENABLED
Sebagai contoh lain, untuk Security Command Center Enterprise, tambahkan detector Security Health Analytics yang khusus untuk AWS (Pratinjau):
- policy_set_id: AWS policy set description: Policy set containing AWS built-in SHA modules for securing S3 buckets. policies: - policy_id: S3 bucket replication enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-13(5) constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_REPLICATION_ENABLED description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled. - policy_id: S3 bucket logging enabled compliance_standards: - standard: NIST 800-53 R5 control: SI-7(8) - standard: PCI DSS 3.2.1 control: 10.3.1 constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: S3_BUCKET_LOGGING_ENABLED description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
Jika menambahkan detektor yang khusus untuk AWS, Anda harus men-deploy postur di tingkat organisasi.
Upload file postur Anda ke repositori sumber yang dikontrol versi sehingga Anda dapat melacak perubahan yang Anda buat dari waktu ke waktu.
Membuat postur
Selesaikan tugas ini untuk membuat resource postur di Security Command Center yang dapat Anda deploy. Jika Anda membuat postur dari template postur yang telah ditentukan menggunakan konsol Google Cloud, resource postur akan otomatis dibuat untuk Anda.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
Klik Buat Postur. Anda dapat membuat postur dengan memulai dari postur atau template yang ada, atau dengan menggunakan kebijakan yang diterapkan ke resource.
Membuat postur menggunakan postur atau template yang ada
- Pilih Mulai dengan postur atau template yang ada (jelajahi postur).
- Tentukan detail postur seperti nama dan deskripsi postur.
- Klik Pilih Postur. Anda dapat membuat postur berdasarkan postur atau template yang ada.
- Pilih Postur untuk membuat postur menggunakan postur yang ada. Pilih postur dari daftar postur yang ditampilkan, lalu pilih satu atau beberapa revisi dari daftar revisi yang tersedia untuk postur yang dipilih.
- Pilih Template untuk membuat postur menggunakan template, lalu pilih satu atau beberapa template dari daftar template yang ditampilkan.
- Klik Simpan. Di bagian Set Kebijakan, Anda dapat melihat daftar set kebijakan yang terkait dengan postur yang dipilih.
- Pilih kebijakan dari daftar kumpulan kebijakan. Anda juga dapat mengedit kebijakan dan memindahkan kebijakan ke kumpulan kebijakan lain di halaman ini. Anda tidak dapat membuat postur dengan dua kebijakan dengan nama yang sama dalam kumpulan kebijakan yang sama.
- Klik Create.
Membuat postur menggunakan kebijakan yang diterapkan pada resource
- Pilih Mulai dengan postur yang diterapkan ke resource (jelajahi resource).
- Tentukan detail postur seperti nama dan deskripsi postur.
- Klik Pilih fasilitas.
- Pilih resource dari daftar resource yang ditampilkan, lalu klik Create.
Anda akan dialihkan ke halaman Posture details yang menampilkan informasi tentang postur yang telah Anda buat. Anda dapat melihat kumpulan kebijakan yang terkait dengan postur tersebut.
gcloud
Jalankan perintah
gcloud scc postures create
untuk membuat postur menggunakan fileposture.yaml
.gcloud scc postures create POSTURE_NAME \ --posture-from-file=POSTURE_FROM_FILE
Ganti nilai berikut:
POSTURE_NAME
adalah nama resource relatif dari postur. Contoh,organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
.POSTURE_ID
adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.POSTURE_ID
dibatasi hingga 63 karakter.
Misalnya, untuk membuat postur dengan ID
posture-example-1
di bawah organisasiorganizations/3589215982
, jalankan perintah berikut:gcloud scc postures create \ organizations/3589215982/locations/global/postures/posture-example-1 \ --posture-from-file=posture.yaml
Jika proses pembuatan postur gagal, hapus postur, pecahkan masalah error, lalu coba lagi.
Untuk memverifikasi bahwa postur berhasil dibuat, lihat Melihat postur.
Untuk menerapkan postur ini ke lingkungan, Anda harus men-deploy postur.
Terraform
Jika Anda membuat konfigurasi Terraform untuk resource postur, Anda harus menyediakannya menggunakan pipeline infrastruktur sebagai kode.
Untuk informasi selengkapnya, lihat Terraform di Google Cloud.
Men-deploy postur
Setelah membuat postur, Anda men-deploy-nya ke project, folder, atau organisasi sehingga Anda dapat menerapkan kebijakan dan definisinya ke resource tertentu di organisasi dan memantau drift. Anda hanya dapat men-deploy satu postur ke project, folder, atau organisasi.
Pastikan status postur Anda adalah ACTIVE
.
Saat Anda men-deploy postur, tindakan berikut akan terjadi:
- Definisi untuk kebijakan organisasi dan Security Health Analytics Detector diterapkan.
- Batasan khusus untuk kebijakan organisasi kustom dibuat dengan ID batasan untuk menyertakan ID revisi postur sebagai akhiran untuk ID batasan yang Anda tentukan dalam postur.
Status default untuk modul kustom ditetapkan ke Diaktifkan.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
Pada tab Postur, klik postur yang ingin Anda deploy.
Di halaman Posture details, pilih revisi postur. Revisi postur yang Anda pilih harus dalam status aktif.
Klik Terapkan ke resource.
Klik Select untuk memilih organisasi, folder, atau project tempat Anda ingin men-deploy postur.
Klik Terapkan postur.
gcloud
Jalankan perintah gcloud scc posture-deployments create
untuk men-deploy postur ke
project, folder, atau organisasi.
gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
--posture-name=POSTURE_NAME \
--posture-revision-id=POSTURE_REVISION_ID \
--target-resource=TARGET_RESOURCE
Ganti nilai berikut:
POSTURE_DEPLOYMENT_NAME
adalah nama resource relatif untuk deployment postur. Formatnya adalahorganizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.LOCATION
adalahglobal
.POSTURE_ID
adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.--posture-name=POSTURE_NAME
adalah nama untuk postur yang Anda deploy. Formatnya adalahorganizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
.
Jika postur Anda menyertakan detektor yang khusus untuk AWS, Anda harus men-deploy postur di tingkat organisasi (Pratinjau).
Misalnya, untuk men-deploy postur, jalankan perintah berikut:
gcloud scc posture-deployments create \
organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
--posture-revision-id=version1 \
--target-resource=projects/4589215982
Anda dapat melihat informasi status saat perintah selesai. Jika proses pembuatan deployment postur gagal, hapus deployment, pecahkan masalah error, lalu coba lagi.
Terraform
Anda dapat membuat resource Terraform untuk men-deploy postur.
resource "google_securityposture_posture_deployment" "posture_deployment_example" {
posture_deployment_id = "<POSTURE_DEPLOYMENT_ID>"
parent = "organizations/<ORGANIZATION_ID>"
location = "global"
description = "a new posture deployment"
target_resource = "<TARGET_RESOURCE>"
posture_id = "<POSTURE_NAME>"
posture_revision_id = "<POSTURE_REVISION_ID>"
}
Untuk informasi selengkapnya, lihat google_securityposture_posture_deployment.
Setelah membuat resource Terraform, sediakan resource tersebut menggunakan pipeline infrastruktur sebagai kode.
Melihat informasi postur dan deployment postur
Anda dapat melihat informasi postur dan deployment postur untuk melihat informasi seperti berikut:
- Postur apa yang di-deploy dan di mana dalam hierarki resource (organisasi, project, dan folder) postur tersebut diterapkan
- Revisi dan status postur
- Detail operasional deployment postur
Melihat postur
Anda dapat melihat informasi tentang postur (seperti status dan definisi kebijakannya).
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pilih organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
Di tab Postur, klik postur yang ingin Anda lihat. Detail postur akan muncul.
gcloud
Jalankan perintah gcloud scc postures describe
untuk melihat postur yang Anda
buat.
gcloud scc postures describe POSTURE_NAME \
--revision-id=REVISION_ID
Ganti nilai berikut:
POSTURE_NAME
adalah nama resource relatif dari postur. Contoh,organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
.LOCATION
adalahglobal
.POSTURE_ID
adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.revision-id=REVISION_ID
adalah flag opsional yang menentukan versi postur yang akan dilihat. Jika Anda tidak menyertakan tanda, versi terbaru akan ditampilkan.
Misalnya, untuk melihat postur dengan nama
organizations/3589215982/locations/global/postures/posture-example-1
dan ID revisi abcdefgh
, jalankan perintah berikut:
gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1 \
--revision-id=abcdefgh
Melihat informasi tentang operasi deployment postur
Jalankan perintah gcloud scc posture-operations describe
untuk melihat detail operasi
untuk operasi deployment postur.
gcloud scc posture-operations describe OPERATION_NAME
Dengan OPERATION_NAME
adalah nama resource relatif untuk operasi. Formatnya adalah
organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID
.
Anda bisa mendapatkan OPERATION_ID
dengan menggunakan argumen --async
saat menjalankan perintah postur.
Misalnya, untuk melihat operasi pemindaian dengan nama
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
,
jalankan perintah berikut:
gcloud scc posture-operations describe \
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae
Melihat informasi tentang deployment postur
Anda dapat melihat tempat deployment postur, serta status deployment.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
Di tab Posture, klik postur yang Anda deploy.
Buka tab Resource untuk melihat project, folder, dan organisasi tempat postur di-deploy, serta status deployment.
gcloud
Jalankan perintah gcloud scc posture-deployments describe
untuk melihat
informasi tentang postur yang di-deploy.
gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME
Dengan POSTURE_DEPLOYMENT_NAME
adalah nama resource relatif untuk deployment postur. Formatnya adalah
organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.
LOCATION
adalahglobal
.POSTURE_DEPLOYMENT_ID
adalah nama unik untuk deployment postur.
Misalnya, untuk melihat detail deployment postur yang bernama
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
,
jalankan perintah berikut:
gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1
Memperbarui postur dan deployment postur
Anda dapat memperbarui hal berikut:
- Status postur.
- Definisi kebijakan dalam postur.
- Organisasi, folder, atau project tempat postur di-deploy.
Memperbarui definisi kebijakan dalam postur
Anda mungkin perlu memperbarui postur saat mengaktifkan lebih banyak layanan Google Cloud, men-deploy resource tambahan, atau memerlukan kebijakan tambahan untuk memenuhi persyaratan kepatuhan baru atau yang berubah. Jika Anda memperbarui revisi postur yang di-deploy, tugas ini akan membuat revisi postur baru. Jika tidak, revisi postur yang Anda tentukan saat menjalankan perintah update akan diperbarui.
- Buka file YAML di editor teks. Tambahkan kolom yang ingin Anda perbarui, beserta nilainya. Jika Anda memperbarui kumpulan kebijakan, pastikan file Anda menyertakan semua kumpulan kebijakan yang ingin Anda sertakan dalam postur, termasuk kumpulan kebijakan yang sudah ada. Untuk mengetahui petunjuknya, lihat Mengubah file YAML postur.
Jalankan perintah
gcloud scc postures update
untuk memperbarui postur.gcloud scc postures update POSTURE_NAME \ --posture-from-file=POSTURE_FROM_FILE \ --revision-id=POSTURE_REVISION_ID \ --update-mask=UPDATE_MASK
Ganti nilai berikut:
POSTURE_NAME
adalah nama resource relatif dari postur. Contoh,organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
.POSTURE_ID
adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.
POSTURE_FROM_FILE
adalah jalur relatif atau absolut ke fileposture.yaml
yang menyertakan perubahan Anda.LOCATION
adalahglobal
.POSTURE_ID
adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.
POSTURE_FROM_FILE
adalah jalur relatif atau absolut ke fileposture.yaml
yang menyertakan perubahan Anda.--revision-id=REVISION_ID
adalah revisi postur yang ingin Anda deploy. Jika postur sudah di-deploy, layanan postur keamanan akan otomatis membuat versi baru postur dengan ID revisi yang berbeda dan menyertakan ID revisi dalam output.--update-mask=UPDATE_MASK
adalah daftar kolom yang ingin Anda perbarui, dalam format yang dipisahkan koma. Argumen ini bersifat opsional. Anda dapat menetapkanUPDATE_MASK
ke salah satu nilai berikut:*
atau tidak ditentukan: Terapkan perubahan yang Anda buat pada kumpulan kebijakan dan deskripsi postur.policy_sets
: Menerapkan perubahan yang Anda buat hanya ke kumpulan kebijakan.description
: Menerapkan perubahan yang Anda buat hanya pada deskripsi postur.policy_sets, description
: Terapkan perubahan yang Anda buat pada kumpulan kebijakan dan deskripsi postur.state
: Hanya terapkan perubahan status.
Misalnya, untuk memperbarui postur dengan nama
posture-example-1
di bawah organisasiorganizations/3589215982/locations/global
dan ID revisi ditetapkan keabcd1234
, jalankan perintah berikut:gcloud scc postures update \ organizations/3589215982/locations/global/posture-example-1 \ --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
Jika proses pembaruan postur gagal, pecahkan masalah error, lalu coba lagi.
Untuk memverifikasi bahwa postur berhasil diperbarui, lihat Melihat postur.
Mengubah status postur
Status postur menentukan apakah postur tersebut tersedia untuk di-deploy ke project, folder, atau organisasi.
Postur dapat memiliki status berikut:
DRAFT
: Revisi postur belum siap untuk di-deploy. Anda tidak dapat men-deploy revisi postur yang berada dalam statusDRAFT
.ACTIVE
: Revisi postur tersedia untuk di-deploy. Anda dapat mengubah status dariACTIVE
menjadiDRAFT
atauDEPRECATED.
DEPRECATED
: Revisi posturDEPRECATED
tidak dapat di-deploy ke resource. Anda harus menghapus semua deployment postur yang ada dari postur sebelum dapat menghentikan penggunaan revisi postur. Jika ingin men-deploy ulang revisi postur yang tidak digunakan lagi, Anda harus mengubah statusnya menjadiACTIVE
.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
Di tab Postur, klik postur yang ingin diperbarui.
Di halaman Posture details, klik Edit.
Pilih status postur, lalu klik Simpan.
gcloud
Untuk mengubah status postur, jalankan perintah gcloud scc postures update
.
Anda tidak dapat memperbarui status postur sekaligus memperbarui kolom
lain. Untuk mengetahui petunjuk tentang cara menjalankan perintah gcloud scc postures update
,
lihat Mengubah file YAML postur.
Memperbarui deployment postur
Perbarui deployment postur di project, folder, atau organisasi untuk men-deploy postur baru atau men-deploy revisi postur baru.
Jika revisi postur yang Anda perbarui menyertakan batasan organisasi kustom yang dihapus menggunakan konsol Google Cloud, Anda tidak dapat memperbarui deployment postur menggunakan ID postur yang sama. Layanan Kebijakan Organisasi mencegah pembuatan batasan organisasi kustom yang memiliki nama yang sama. Sebagai gantinya, Anda harus membuat versi baru postur atau menggunakan ID postur yang berbeda.
Selain itu, temuan untuk deployment kebijakan yang dihapus sebagai bagian dari proses update akan dinonaktifkan.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
Di tab Postur, klik postur yang ingin diperbarui.
Di halaman Posture details, pilih revisi postur.
Klik Terapkan ke resource.
Klik Select untuk memilih organisasi, folder, atau project tempat Anda ingin men-deploy postur. Jika Anda melihat pesan bahwa deployment sudah ada, hapus deployment sebelum mencoba lagi.
gcloud
Jalankan perintah gcloud scc posture-deployments update
untuk men-deploy postur.
gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
--description=DESCRIPTION \
--update-mask=UPDATE_MASK \
--posture-id=POSTURE_ID \
--posture-revision-id=POSTURE_REVISION_ID
Ganti nilai berikut:
POSTURE_DEPLOYMENT_NAME
adalah nama resource relatif untuk deployment postur. Formatnya adalahorganizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.POSTURE_DEPLOYMENT_ID
adalah nama unik untuk deployment postur.
--description=DESCRIPTION
adalah deskripsi opsional untuk postur yang di-deploy.--posture-id=POSTURE_ID
adalah nama untuk postur Anda yang unik untuk organisasi Anda. Formatnya adalahorganizations/ORGANIZATION_ID/locations/global/postures/POSTURE_NAME
--posture-revision-id=POSTURE_REVISION_ID
adalah revisi postur yang ingin Anda deploy. Anda bisa mendapatkannya dari respons yang Anda terima saat membuat postur atau melihat postur.--update-mask=UPDATE_MASK
adalah daftar kolom yang ingin Anda perbarui, dalam format yang dipisahkan koma. Argumen ini bersifat opsional.
Misalnya, untuk mengupdate deployment postur dengan kriteria berikut:
- Organisasi:
organizations/3589215982/locations/global
- ID deployment postur:
postureDeploymentexample
- ID Postur:
StagingAIPosture
- Revisi:
version2
Jalankan perintah berikut:
gcloud scc posture-deployments update \
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
--posture-revision-id=version2
Anda dapat melihat informasi status saat perintah selesai. Jika proses update deployment postur gagal, hapus deployment, pecahkan masalah error, lalu coba lagi.
Memantau penyimpangan postur
Anda dapat memantau postur yang di-deploy untuk mengetahui penyimpangan dari kebijakan yang ditentukan dalam postur keamanan. Drift adalah perubahan pada kebijakan yang terjadi di luar postur. Misalnya, drift terjadi saat administrator mengubah definisi kebijakan di konsol, bukan memperbarui deployment postur.
Layanan postur keamanan membuat temuan yang dapat Anda lihat di konsol Google Cloud atau gcloud CLI setiap kali terjadi penyimpangan.
Konsol
Jika telah membuat postur yang berlaku untuk beban kerja Vertex AI, Anda dapat memantau penyimpangan dengan dua cara: dari halaman Temuan, dan dari halaman Ringkasan. Untuk semua postur lainnya, Anda dapat memantau drift dari halaman Temuan.
Untuk memantau penyimpangan dari halaman Temuan:
Di konsol Google Cloud, buka halaman Temuan.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
Di panel Quick filters, pilih temuan Posture violation. Anda juga dapat memasukkan filter berikut di Pratinjau kueri:
state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
Untuk melihat detail temuan, klik temuan.
Untuk memantau drift dari halaman Ringkasan (khusus beban kerja Vertex AI): 1. Di konsol Google Cloud, buka halaman Ringkasan.
1. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Security Command Center Premium atau Enterprise. 1. Tinjau panel Temuan Workload AI.
- Tab Vulnerabilities menampilkan semua kerentanan yang terkait dengan modul kustom Security Health Analytics yang berlaku khusus untuk workload Vertex AI.
- Tab Policy Drift menampilkan drift apa pun yang terkait dengan kebijakan organisasi Vertex AI yang telah Anda terapkan dalam postur.
- Untuk melihat detail temuan, klik temuan.
gcloud
Di gcloud CLI, untuk melihat temuan penyimpangan, jalankan perintah berikut:
gcloud scc findings list ORGANIZATION_ID \
--filter="category=\"SECURITY_POSTURE_DRIFT\""
Dengan ORGANIZATION_ID
sebagai ID organisasi.
Untuk informasi selengkapnya tentang cara mengatasi temuan ini, lihat Temuan layanan postur keamanan. Anda dapat mengekspor temuan ini dengan cara yang sama seperti saat mengekspor temuan lainnya dari Security Command Center. Untuk informasi selengkapnya, lihat Opsi integrasi dan Mengekspor data Security Command Center.
Untuk menonaktifkan temuan drift, Anda dapat memperbarui deployment postur dengan ID postur dan revisi postur yang sama.
Membuat temuan drift untuk tujuan pengujian
Setelah men-deploy postur, Anda dapat memantau penyimpangan dari kebijakan Anda. Untuk melihat penerapan temuan drift di lingkungan pengujian, selesaikan hal berikut:
Di konsol, buka halaman Organization policy.
Edit salah satu kebijakan yang Anda tentukan dalam postur yang di-deploy. Misalnya, jika menggunakan postur AI aman yang telah ditetapkan, Anda dapat mengedit kebijakan Batasi akses IP publik di notebook dan instance Vertex AI Workbench baru.
Setelah Anda mengubah kebijakan, klik Set Policy.
Buka halaman Temuan.
Di panel Quick filters, di bagian Source display name, pilih Security Posture. Temuan yang terkait dengan perubahan Anda akan muncul dalam waktu lima menit.
Untuk melihat detail temuan, klik temuan.
Menghapus deployment postur
Anda dapat menghapus deployment postur jika tidak di-deploy dengan benar, Anda tidak lagi memerlukan postur tertentu, atau Anda tidak lagi ingin postur tertentu disertakan ke project, folder, atau organisasi. Untuk menghapus deployment postur, deployment postur harus berada dalam salah satu status berikut:
ACTIVE
CREATE_FAILED
UPDATE_FAILED
DELETE_FAILED
Untuk memverifikasi status deployment postur, lihat Melihat informasi tentang deployment postur.
Saat menghapus deployment postur, Anda akan menghapus postur dari resource (organisasi, folder, atau project) tempat Anda menetapkannya. Selain itu, tindakan ini akan menonaktifkan temuan terkait.
Output untuk berbagai jenis kebijakan adalah:
- Saat Anda menghapus deployment postur yang menyertakan kebijakan organisasi kustom, kebijakan organisasi kustom akan dihapus. Namun, batasan kustom tetap ada.
Saat Anda menghapus deployment postur yang menyertakan detektor Security Health Analytics bawaan, status akhir modul Security Health Analytics bergantung pada organisasi, folder, atau project tempat deployment berada.
- Jika Anda men-deploy postur di folder atau project, detector Security Health Analytics bawaan akan mewarisi statusnya dari organisasi atau folder induk.
- Jika Anda men-deploy postur di tingkat organisasi, detector Security Health Analytics bawaan akan kembali ke status default. Untuk deskripsi status default, lihat Mengaktifkan dan menonaktifkan pendeteksi.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
Pada tab Postur, klik postur yang ingin Anda hapus dari resource yang ditetapkan.
Di halaman Posture details, pilih revisi postur dan buka Resources.
Dari daftar resource tempat revisi postur aktif saat ini di-deploy, klik Hapus.
gcloud
Jalankan perintah gcloud scc posture-deployments delete
untuk menghapus deployment postur.
gcloud scc posture-deployments deletePOSTURE_DEPLOYMENT_NAME
POSTURE_DEPLOYMENT_NAME
adalah nama resource relatif untuk deployment postur. Formatnya adalah
organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID
.
POSTURE_DEPLOYMENT_ID
adalah nama unik untuk deployment postur.
Misalnya, untuk menghapus deployment postur yang bernama
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
,
jalankan perintah berikut:
gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1
Menghapus postur
Saat menghapus postur, Anda juga menghapus semua revisi. Anda tidak dapat menghapus postur jika salah satu revisinya di-deploy. Anda harus menghapus semua deployment postur sebelum dapat menyelesaikan tugas ini.
Konsol
Di konsol Google Cloud, buka halaman Posture Management.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
Di tab Postur, klik postur yang ingin dihapus.
Di halaman Detail postur, klik Hapus.
gcloud
Jalankan perintah gcloud scc postures delete
untuk menghapus postur.
gcloud scc postures delete POSTURE_NAME
POSTURE_NAME
adalah nama resource relatif dari
postur. Contoh,
organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID
. ID postur adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.
Misalnya, untuk menghapus postur yang bernama
organizations/3589215982/locations/global/postures/posture-example-1
, jalankan
hal berikut:
gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1
Langkah selanjutnya
- Baca ringkasan postur keamanan.
- Pelajari modul kustom untuk Security Health Analytics.
- Pelajari batasan kebijakan organisasi kustom.
- Periksa log audit untuk operasi terkait postur.
- Mengekspor data layanan postur keamanan.