Mengelola postur keamanan

Halaman ini menjelaskan cara mengonfigurasi dan menggunakan layanan postur keamanan setelah Anda mengaktifkan Security Command Center. Untuk memulai, Anda harus membuat postur yang menyertakan kebijakan Anda, yang diatur dalam kumpulan kebijakan, lalu men-deploy postur menggunakan pen-deployment postur. Setelah postur di-deploy, Anda dapat memantau drift dan meningkatkan postur lebih lanjut dari waktu ke waktu.

Sebelum memulai

Selesaikan tugas ini sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Mengaktifkan paket Premium atau Enterprise Security Command Center

Pastikan paket Premium atau Enterprise Security Command Center diaktifkan di tingkat organisasi.

Jika Anda ingin menggunakan detektor Security Health Analytics sebagai kebijakan, pilih layanan Security Health Analytics selama proses aktivasi.

Siapkan izin

Untuk mendapatkan izin yang diperlukan guna menggunakan postur, minta administrator untuk memberi Anda peran IAM Security Posture Admin (roles/securityposture.admin). Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Untuk mengetahui informasi selengkapnya tentang peran postur keamanan dan izin postur keamanan, lihat IAM untuk aktivasi tingkat organisasi.

Menyiapkan Google Cloud CLI

Anda harus menggunakan Google Cloud CLI versi 461.0.0 atau yang lebih baru.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Untuk menyiapkan gcloud CLI agar menggunakan peniruan akun layanan untuk mengautentikasi ke Google API, alih-alih kredensial pengguna Anda, jalankan perintah berikut:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Untuk informasi selengkapnya, lihat Peniruan akun layanan.

Mengaktifkan API

Aktifkan Layanan Kebijakan Organisasi dan API layanan postur keamanan:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Mengonfigurasi koneksi ke AWS

Untuk menggunakan pendeteksi Security Health Analytics bawaan yang khusus untuk AWS, Anda harus mengaktifkan Security Command Center Enterprise dan terhubung ke AWS untuk deteksi kerentanan.

Membuat dan men-deploy postur

Untuk mulai menggunakan postur keamanan, Anda harus menyelesaikan hal berikut:

  • Buat file YAML postur yang menentukan kebijakan yang berlaku untuk postur keamanan Anda.
  • Buat postur di Google Cloud yang didasarkan pada file YAML postur.
  • Deploy postur.

Bagian berikut memberikan petunjuk mendetail.

Membuat file YAML postur

Postur terdiri dari satu atau beberapa set kebijakan yang Anda deploy bersama. Kumpulan kebijakan ini mencakup semua kebijakan preventif dan detektif yang ingin disertakan dalam postur Anda.

Untuk membuat postur, lakukan salah satu hal berikut:

Untuk mengetahui detail tentang kolom yang dapat Anda gunakan dalam postur, lihat referensi Posture dan referensi PolicySet.

Membuat file postur dari template postur yang telah ditentukan sebelumnya

Anda dapat menggunakan template postur standar untuk membuat file postur.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Templates, klik template yang ingin Anda gunakan.

  4. Di halaman Template details, klik Create Posture.

  5. Berikan nama unik untuk postur, lalu klik Buat. Halaman Posture details akan terbuka.

  6. Selesaikan salah satu tindakan berikut:

    • Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda menggunakan salah satu template _essentials), Anda dapat men-deploy postur. Untuk mengetahui petunjuknya, lihat Men-deploy postur.
    • Jika Anda perlu mengubah kumpulan kebijakan atau kebijakan (misalnya, Anda menggunakan salah satu template _enhanced), selesaikan Mengubah file YAML postur dan menetapkan status postur ke ACTIVE.

gcloud

  1. Tinjau template postur standar untuk menentukan template mana yang berlaku untuk lingkungan Anda. Anda dapat menerapkan beberapa kebijakan tanpa melakukan perubahan apa pun, tetapi kebijakan lainnya mengharuskan Anda menyesuaikan kebijakan agar sesuai dengan lingkungan Anda.
  2. Gunakan salah satu metode berikut untuk menyalin file YAML ke editor teks Anda sendiri:

    • Salin file YAML dari konten referensi di template postur standar.
    • Jalankan perintah gcloud scc posture-templates describe untuk menyalin file YAML.
    gcloud scc posture-templates describe \
        organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \
        --revision-id=REVISION_ID
    
    gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/POSTURE_TEMPLATE \
    --revision-id=REVISION_ID

    Ganti nilai berikut:

    • ORGANIZATION_ID adalah organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
    • LOCATION adalah lokasi tempat Anda ingin men-deploy dan menyimpan postur. Satu-satunya lokasi yang didukung adalah global.
    • POSTURE_TEMPLATE adalah nama template postur yang telah ditentukan sebelumnya, seperti yang dijelaskan dalam Template postur standar.
    • REVISION_ID adalah versi revisi untuk postur yang telah ditentukan sebelumnya. Jika Anda tidak menyertakan ID revisi, versi terbaru postur yang telah ditentukan akan ditampilkan.

    Misalnya, untuk melihat postur yang telah ditentukan sebelumnya untuk AI yang aman, esensial di organisasi 3589215982, jalankan perintah berikut:

    gcloud scc posture-templates describe \
        organizations/3589215982/locations/global/postureTemplates/secure_ai_essential \
        --revision-id=v.1.0
    
  3. Selesaikan salah satu tindakan berikut:

    • Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda menggunakan salah satu template _essentials), Anda dapat membuat postur. Untuk mengetahui petunjuknya, lihat Membuat postur.
    • Jika Anda perlu mengubah kumpulan kebijakan atau kebijakan, selesaikan Mengubah file YAML postur.

Membuat file postur dengan mengekstrak kebijakan dari lingkungan yang ada

Anda dapat mengekstrak kebijakan (kebijakan organisasi, termasuk kebijakan kustom dan semua pendeteksi Security Health Analytics, termasuk pendeteksi kustom) yang Anda konfigurasikan di project, folder, atau organisasi yang ada untuk membuat file postur. Anda tidak dapat mengekstrak kebijakan dari organisasi, folder, atau project yang sudah memiliki postur yang diterapkan.

Perintah ini hanya mengekstrak kebijakan yang sebelumnya Anda konfigurasikan untuk organisasi, folder, atau project dan tidak mengekstrak kebijakan dari folder atau organisasi induk.

Jika Anda menghubungkan Security Command Center Enterprise ke AWS, perintah ini juga mengekstrak detektor yang khusus untuk AWS (Pratinjau).

  1. Jalankan perintah gcloud scc postures extract untuk mengekstrak kebijakan organisasi dan detector Security Health Analytics yang ada di lingkungan Anda.

    gcloud scc postures extract POSTURE_NAME \
      --workload=WORKLOAD
    

    Ganti nilai berikut:

    • POSTURE_NAME adalah nama resource relatif dari postur. Contoh, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda. POSTURE_ID dibatasi hingga 63 karakter.
    • WORKLOAD adalah project, folder, atau organisasi tempat Anda mengekstrak kebijakan. Beban kerja adalah salah satu dari berikut:

    • projects/PROJECT_NUMBER

    • folder/FOLDER_ID

    • organizations/ORGANIZATION_ID

    Misalnya, untuk mengekstrak kebijakan dari folder 3589215982 di bawah organisasi 6589215984, jalankan perintah berikut:

    gcloud scc postures extract \
      organizations/6589215984/locations/global/postures/myStagingPosture \
      workload=folder/3589215982 > posture.yaml
    
  2. Buka file posture.yaml yang dihasilkan untuk diedit.

  3. Selesaikan salah satu tindakan berikut:

    • Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda menggunakan salah satu template _essentials), Anda dapat membuat postur. Untuk mengetahui petunjuknya, lihat Membuat postur.
    • Jika Anda perlu mengubah kumpulan kebijakan atau kebijakan, selesaikan Mengubah file YAML postur.

Membuat resource Terraform dengan definisi kebijakan

Anda dapat membuat konfigurasi Terraform untuk membuat resource postur.

Misalnya, Anda dapat membuat resource postur yang menyertakan batasan kebijakan organisasi bawaan dan kustom serta pendeteksi Security Health Analytics bawaan dan kustom. Dukungan pengelolaan postur untuk detektor Security Health Analytics bawaan yang khusus untuk AWS berada dalam Pratinjau.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
    policies {
      policy_id = "canned_org_policy_for_service"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "run.allowedVPCEgress"
          policy_rules {
            allow_all: true
            condition {
              expression: "!(parameters.denyAll or resource.location in parameters.deniedLocations) && (parameters.allowAll or resource.location in parameters.allowedLocations)"
            }
            parameters {
              fields {
                key: "denyAll"
                value {
                  bool_value: false
                }
              }
              fields {
                key: "allowAll"
                value {
                  bool_value: false
                }
              }
              fields {
                key: "deniedLocations"
                value {
                  null_value: NULL_VALUE
                }
              }
              fields {
                key: "allowedLocations"
                value {
                  string_value: "allowedLocations.all(location, location in [\342\200\230US\342\200\231, \342\200\230EU\342\200\231])"
                }
              }
            }
            resource_types {
              included: "run.googleapis.com/Service"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Untuk informasi selengkapnya, lihat google_securityposture_posture.

Mengubah file YAML postur

Selesaikan langkah-langkah berikut untuk mengubah file YAML postur:

  1. Buka file YAML postur Anda di editor teks.
  2. Verifikasi name, description, dan state di awal file.

  3. Verifikasi name, description, dan state di awal file.

    name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
    description: DESCRIPTION
    state: STATE
    

    Untuk mengetahui detail tentang kolom ini, lihat referensi Posture.

    Contoh:

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
    description: This posture applies to staging environments for Vertex AI.
    state: ACTIVE
    
  4. Sesuaikan kebijakan dalam file untuk memenuhi persyaratan Anda.

    Untuk mengetahui detail tentang kolom yang dapat Anda gunakan, lihat referensi PolicySet.

    1. Tinjau kebijakan yang ada dan nilainya. Untuk kebijakan yang memerlukan informasi khusus untuk lingkungan Anda, tetapkan nilainya dengan tepat. Misalnya, untuk kebijakan ainotebooks.accessMode di postur yang telah ditentukan sebelumnya untuk AI yang aman dan diperluas, tambahkan mode akses yang diizinkan di bagian policy_rules:

      - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
        compliance_standards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          org_policy_constraint:
            canned_constraint_id: ainotebooks.accessMode
            policy_rules:
            - values:
                allowed_values: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      
    2. Tambahkan batasan kebijakan organisasi tambahan, seperti yang didokumentasikan dalam Batasan kebijakan organisasi. Jika Anda menentukan kebijakan organisasi kustom, pastikan file YAML menyertakan definisi batasan kustom. Anda tidak dapat menggunakan batasan kustom yang dibuat menggunakan metode lain (misalnya, menggunakan konsol Google Cloud).

      Misalnya, Anda dapat menetapkan batasan compute.trustedImageProjects untuk menentukan project yang dapat digunakan untuk penyimpanan image dan pembuatan instance disk. Jika Anda menyalin contoh ini, pastikan Anda mengganti allowed_values dengan daftar project yang sesuai:

      - policy_id: Define projects with trusted images.
        compliance_standards:
        - standard:
          control:
        constraint:
          org_policy_constraint:
            canned_constraint_id: compute.trustedImageProjects
            policy_rules:
            - values:
                allowed_values:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      
    3. Tambahkan detektor Security Health Analytics tambahan, seperti yang didokumentasikan dalam temuan Security Health Analytics. Misalnya, tambahkan detektor Security Health Analytics untuk membuat temuan jika project tidak menggunakan kunci API untuk autentikasi:

      - policy_id: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      Sebagai contoh lain, tambahkan modul kustom Security Health Analytics untuk mendeteksi apakah set data Vertex AI dienkripsi:

      - policy_id: CMEK key is use for Vertex AI DataSet
        compliance_standards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          security_health_analytics_custom_module:
            display_name: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resource_selector:
                resource_types:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            module_enablement_state: ENABLED
      

      Sebagai contoh lain, untuk Security Command Center Enterprise, tambahkan detector Security Health Analytics yang khusus untuk AWS (Pratinjau):

      - policy_set_id: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policy_id: S3 bucket replication enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policy_id: S3 bucket logging enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Jika menambahkan detektor yang khusus untuk AWS, Anda harus men-deploy postur di tingkat organisasi.

  5. Upload file postur Anda ke repositori sumber yang dikontrol versi sehingga Anda dapat melacak perubahan yang Anda buat dari waktu ke waktu.

Membuat postur

Selesaikan tugas ini untuk membuat resource postur di Security Command Center yang dapat Anda deploy. Jika Anda membuat postur dari template postur yang telah ditentukan menggunakan konsol Google Cloud, resource postur akan otomatis dibuat untuk Anda.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Klik Buat Postur. Anda dapat membuat postur dengan memulai dari postur atau template yang ada, atau dengan menggunakan kebijakan yang diterapkan ke resource.

    Membuat postur menggunakan postur atau template yang ada

    1. Pilih Mulai dengan postur atau template yang ada (jelajahi postur).
    2. Tentukan detail postur seperti nama dan deskripsi postur.
    3. Klik Pilih Postur. Anda dapat membuat postur berdasarkan postur atau template yang ada.
      • Pilih Postur untuk membuat postur menggunakan postur yang ada. Pilih postur dari daftar postur yang ditampilkan, lalu pilih satu atau beberapa revisi dari daftar revisi yang tersedia untuk postur yang dipilih.
      • Pilih Template untuk membuat postur menggunakan template, lalu pilih satu atau beberapa template dari daftar template yang ditampilkan.
    4. Klik Simpan. Di bagian Set Kebijakan, Anda dapat melihat daftar set kebijakan yang terkait dengan postur yang dipilih.
    5. Pilih kebijakan dari daftar kumpulan kebijakan. Anda juga dapat mengedit kebijakan dan memindahkan kebijakan ke kumpulan kebijakan lain di halaman ini. Anda tidak dapat membuat postur dengan dua kebijakan dengan nama yang sama dalam kumpulan kebijakan yang sama.
    6. Klik Create.

    Membuat postur menggunakan kebijakan yang diterapkan pada resource

    1. Pilih Mulai dengan postur yang diterapkan ke resource (jelajahi resource).
    2. Tentukan detail postur seperti nama dan deskripsi postur.
    3. Klik Pilih fasilitas.
    4. Pilih resource dari daftar resource yang ditampilkan, lalu klik Create.

    Anda akan dialihkan ke halaman Posture details yang menampilkan informasi tentang postur yang telah Anda buat. Anda dapat melihat kumpulan kebijakan yang terkait dengan postur tersebut.

gcloud

  1. Jalankan perintah gcloud scc postures create untuk membuat postur menggunakan file posture.yaml.

    gcloud scc postures create POSTURE_NAME \
        --posture-from-file=POSTURE_FROM_FILE
    

    Ganti nilai berikut:

    • POSTURE_NAME adalah nama resource relatif dari postur. Contoh, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda. POSTURE_ID dibatasi hingga 63 karakter.

    Misalnya, untuk membuat postur dengan ID posture-example-1 di bawah organisasi organizations/3589215982, jalankan perintah berikut:

    gcloud scc postures create \
        organizations/3589215982/locations/global/postures/posture-example-1 \
        --posture-from-file=posture.yaml
    

    Jika proses pembuatan postur gagal, hapus postur, pecahkan masalah error, lalu coba lagi.

  2. Untuk memverifikasi bahwa postur berhasil dibuat, lihat Melihat postur.

Untuk menerapkan postur ini ke lingkungan, Anda harus men-deploy postur.

Terraform

Jika Anda membuat konfigurasi Terraform untuk resource postur, Anda harus menyediakannya menggunakan pipeline infrastruktur sebagai kode.

Untuk informasi selengkapnya, lihat Terraform di Google Cloud.

Men-deploy postur

Setelah membuat postur, Anda men-deploy-nya ke project, folder, atau organisasi sehingga Anda dapat menerapkan kebijakan dan definisinya ke resource tertentu di organisasi dan memantau drift. Anda hanya dapat men-deploy satu postur ke project, folder, atau organisasi.

Pastikan status postur Anda adalah ACTIVE.

Saat Anda men-deploy postur, tindakan berikut akan terjadi:

  • Definisi untuk kebijakan organisasi dan Security Health Analytics Detector diterapkan.
  • Batasan khusus untuk kebijakan organisasi kustom dibuat dengan ID batasan untuk menyertakan ID revisi postur sebagai akhiran untuk ID batasan yang Anda tentukan dalam postur.
  • Status default untuk modul kustom ditetapkan ke Diaktifkan.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Pada tab Postur, klik postur yang ingin Anda deploy.

  4. Di halaman Posture details, pilih revisi postur. Revisi postur yang Anda pilih harus dalam status aktif.

  5. Klik Terapkan ke resource.

  6. Klik Select untuk memilih organisasi, folder, atau project tempat Anda ingin men-deploy postur.

  7. Klik Terapkan postur.

gcloud

Jalankan perintah gcloud scc posture-deployments create untuk men-deploy postur ke project, folder, atau organisasi.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

Ganti nilai berikut:

  • POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION adalah global.

  • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.

  • --posture-name=POSTURE_NAME adalah nama untuk postur yang Anda deploy. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

Jika postur Anda menyertakan detektor yang khusus untuk AWS, Anda harus men-deploy postur di tingkat organisasi (Pratinjau).

Misalnya, untuk men-deploy postur, jalankan perintah berikut:

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

Anda dapat melihat informasi status saat perintah selesai. Jika proses pembuatan deployment postur gagal, hapus deployment, pecahkan masalah error, lalu coba lagi.

Terraform

Anda dapat membuat resource Terraform untuk men-deploy postur.

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Untuk informasi selengkapnya, lihat google_securityposture_posture_deployment.

Setelah membuat resource Terraform, sediakan resource tersebut menggunakan pipeline infrastruktur sebagai kode.

Melihat informasi postur dan deployment postur

Anda dapat melihat informasi postur dan deployment postur untuk melihat informasi seperti berikut:

  • Postur apa yang di-deploy dan di mana dalam hierarki resource (organisasi, project, dan folder) postur tersebut diterapkan
  • Revisi dan status postur
  • Detail operasional deployment postur

Melihat postur

Anda dapat melihat informasi tentang postur (seperti status dan definisi kebijakannya).

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pilih organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Postur, klik postur yang ingin Anda lihat. Detail postur akan muncul.

gcloud

Jalankan perintah gcloud scc postures describe untuk melihat postur yang Anda buat.

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

Ganti nilai berikut:

  • POSTURE_NAME adalah nama resource relatif dari postur. Contoh, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

  • LOCATION adalah global.

  • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.

  • revision-id=REVISION_ID adalah flag opsional yang menentukan versi postur yang akan dilihat. Jika Anda tidak menyertakan tanda, versi terbaru akan ditampilkan.

Misalnya, untuk melihat postur dengan nama organizations/3589215982/locations/global/postures/posture-example-1 dan ID revisi abcdefgh, jalankan perintah berikut:

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Melihat informasi tentang operasi deployment postur

Jalankan perintah gcloud scc posture-operations describe untuk melihat detail operasi untuk operasi deployment postur.

gcloud scc posture-operations describe OPERATION_NAME

Dengan OPERATION_NAME adalah nama resource relatif untuk operasi. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Anda bisa mendapatkan OPERATION_ID dengan menggunakan argumen --async saat menjalankan perintah postur.

Misalnya, untuk melihat operasi pemindaian dengan nama organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, jalankan perintah berikut:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Melihat informasi tentang deployment postur

Anda dapat melihat tempat deployment postur, serta status deployment.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Posture, klik postur yang Anda deploy.

  4. Buka tab Resource untuk melihat project, folder, dan organisasi tempat postur di-deploy, serta status deployment.

gcloud

Jalankan perintah gcloud scc posture-deployments describe untuk melihat informasi tentang postur yang di-deploy.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

Dengan POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION adalah global.
  • POSTURE_DEPLOYMENT_ID adalah nama unik untuk deployment postur.

Misalnya, untuk melihat detail deployment postur yang bernama organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, jalankan perintah berikut:

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Memperbarui postur dan deployment postur

Anda dapat memperbarui hal berikut:

  • Status postur.
  • Definisi kebijakan dalam postur.
  • Organisasi, folder, atau project tempat postur di-deploy.

Memperbarui definisi kebijakan dalam postur

Anda mungkin perlu memperbarui postur saat mengaktifkan lebih banyak layanan Google Cloud, men-deploy resource tambahan, atau memerlukan kebijakan tambahan untuk memenuhi persyaratan kepatuhan baru atau yang berubah. Jika Anda memperbarui revisi postur yang di-deploy, tugas ini akan membuat revisi postur baru. Jika tidak, revisi postur yang Anda tentukan saat menjalankan perintah update akan diperbarui.

  1. Buka file YAML di editor teks. Tambahkan kolom yang ingin Anda perbarui, beserta nilainya. Jika Anda memperbarui kumpulan kebijakan, pastikan file Anda menyertakan semua kumpulan kebijakan yang ingin Anda sertakan dalam postur, termasuk kumpulan kebijakan yang sudah ada. Untuk mengetahui petunjuknya, lihat Mengubah file YAML postur.
  2. Jalankan perintah gcloud scc postures update untuk memperbarui postur.

    gcloud scc postures update POSTURE_NAME \
        --posture-from-file=POSTURE_FROM_FILE \
        --revision-id=POSTURE_REVISION_ID \
        --update-mask=UPDATE_MASK
    

    Ganti nilai berikut:

    • POSTURE_NAME adalah nama resource relatif dari postur. Contoh, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.
    • POSTURE_FROM_FILE adalah jalur relatif atau absolut ke file posture.yaml yang menyertakan perubahan Anda.

      • LOCATION adalah global.
      • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.
    • POSTURE_FROM_FILE adalah jalur relatif atau absolut ke file posture.yaml yang menyertakan perubahan Anda.

    • --revision-id=REVISION_ID adalah revisi postur yang ingin Anda deploy. Jika postur sudah di-deploy, layanan postur keamanan akan otomatis membuat versi baru postur dengan ID revisi yang berbeda dan menyertakan ID revisi dalam output.

    • --update-mask=UPDATE_MASK adalah daftar kolom yang ingin Anda perbarui, dalam format yang dipisahkan koma. Argumen ini bersifat opsional. Anda dapat menetapkan UPDATE_MASK ke salah satu nilai berikut:

      • * atau tidak ditentukan: Terapkan perubahan yang Anda buat pada kumpulan kebijakan dan deskripsi postur.
      • policy_sets: Menerapkan perubahan yang Anda buat hanya ke kumpulan kebijakan.
      • description: Menerapkan perubahan yang Anda buat hanya pada deskripsi postur.
      • policy_sets, description: Terapkan perubahan yang Anda buat pada kumpulan kebijakan dan deskripsi postur.
      • state: Hanya terapkan perubahan status.

    Misalnya, untuk memperbarui postur dengan nama posture-example-1 di bawah organisasi organizations/3589215982/locations/global dan ID revisi ditetapkan ke abcd1234, jalankan perintah berikut:

    gcloud scc postures update \
        organizations/3589215982/locations/global/posture-example-1 \
        --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
    

    Jika proses pembaruan postur gagal, pecahkan masalah error, lalu coba lagi.

  3. Untuk memverifikasi bahwa postur berhasil diperbarui, lihat Melihat postur.

Mengubah status postur

Status postur menentukan apakah postur tersebut tersedia untuk di-deploy ke project, folder, atau organisasi.

Postur dapat memiliki status berikut:

  • DRAFT: Revisi postur belum siap untuk di-deploy. Anda tidak dapat men-deploy revisi postur yang berada dalam status DRAFT.
  • ACTIVE: Revisi postur tersedia untuk di-deploy. Anda dapat mengubah status dari ACTIVE menjadi DRAFT atau DEPRECATED.
  • DEPRECATED: Revisi postur DEPRECATED tidak dapat di-deploy ke resource. Anda harus menghapus semua deployment postur yang ada dari postur sebelum dapat menghentikan penggunaan revisi postur. Jika ingin men-deploy ulang revisi postur yang tidak digunakan lagi, Anda harus mengubah statusnya menjadi ACTIVE.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Postur, klik postur yang ingin diperbarui.

  4. Di halaman Posture details, klik Edit.

  5. Pilih status postur, lalu klik Simpan.

gcloud

Untuk mengubah status postur, jalankan perintah gcloud scc postures update. Anda tidak dapat memperbarui status postur sekaligus memperbarui kolom lain. Untuk mengetahui petunjuk tentang cara menjalankan perintah gcloud scc postures update, lihat Mengubah file YAML postur.

Memperbarui deployment postur

Perbarui deployment postur di project, folder, atau organisasi untuk men-deploy postur baru atau men-deploy revisi postur baru.

Jika revisi postur yang Anda perbarui menyertakan batasan organisasi kustom yang dihapus menggunakan konsol Google Cloud, Anda tidak dapat memperbarui deployment postur menggunakan ID postur yang sama. Layanan Kebijakan Organisasi mencegah pembuatan batasan organisasi kustom yang memiliki nama yang sama. Sebagai gantinya, Anda harus membuat versi baru postur atau menggunakan ID postur yang berbeda.

Selain itu, temuan untuk deployment kebijakan yang dihapus sebagai bagian dari proses update akan dinonaktifkan.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Postur, klik postur yang ingin diperbarui.

  4. Di halaman Posture details, pilih revisi postur.

  5. Klik Terapkan ke resource.

  6. Klik Select untuk memilih organisasi, folder, atau project tempat Anda ingin men-deploy postur. Jika Anda melihat pesan bahwa deployment sudah ada, hapus deployment sebelum mencoba lagi.

gcloud

Jalankan perintah gcloud scc posture-deployments update untuk men-deploy postur.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

Ganti nilai berikut:

  • POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • POSTURE_DEPLOYMENT_ID adalah nama unik untuk deployment postur.
  • --description=DESCRIPTION adalah deskripsi opsional untuk postur yang di-deploy.

  • --posture-id=POSTURE_ID adalah nama untuk postur Anda yang unik untuk organisasi Anda. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_NAME

  • --posture-revision-id=POSTURE_REVISION_ID adalah revisi postur yang ingin Anda deploy. Anda bisa mendapatkannya dari respons yang Anda terima saat membuat postur atau melihat postur.

  • --update-mask=UPDATE_MASK adalah daftar kolom yang ingin Anda perbarui, dalam format yang dipisahkan koma. Argumen ini bersifat opsional.

Misalnya, untuk mengupdate deployment postur dengan kriteria berikut:

  • Organisasi: organizations/3589215982/locations/global
  • ID deployment postur: postureDeploymentexample
  • ID Postur: StagingAIPosture
  • Revisi: version2

Jalankan perintah berikut:

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Anda dapat melihat informasi status saat perintah selesai. Jika proses update deployment postur gagal, hapus deployment, pecahkan masalah error, lalu coba lagi.

Memantau penyimpangan postur

Anda dapat memantau postur yang di-deploy untuk mengetahui penyimpangan dari kebijakan yang ditentukan dalam postur keamanan. Drift adalah perubahan pada kebijakan yang terjadi di luar postur. Misalnya, drift terjadi saat administrator mengubah definisi kebijakan di konsol, bukan memperbarui deployment postur.

Layanan postur keamanan membuat temuan yang dapat Anda lihat di konsol Google Cloud atau gcloud CLI setiap kali terjadi penyimpangan.

Konsol

Jika telah membuat postur yang berlaku untuk beban kerja Vertex AI, Anda dapat memantau penyimpangan dengan dua cara: dari halaman Temuan, dan dari halaman Ringkasan. Untuk semua postur lainnya, Anda dapat memantau drift dari halaman Temuan.

Untuk memantau penyimpangan dari halaman Temuan:

  1. Di konsol Google Cloud, buka halaman Temuan.

    Buka Temuan

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di panel Quick filters, pilih temuan Posture violation. Anda juga dapat memasukkan filter berikut di Pratinjau kueri:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
    
  4. Untuk melihat detail temuan, klik temuan.

Untuk memantau drift dari halaman Ringkasan (khusus beban kerja Vertex AI): 1. Di konsol Google Cloud, buka halaman Ringkasan.

Buka Ringkasan

1. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Security Command Center Premium atau Enterprise. 1. Tinjau panel Temuan Workload AI.

  • Tab Vulnerabilities menampilkan semua kerentanan yang terkait dengan modul kustom Security Health Analytics yang berlaku khusus untuk workload Vertex AI.
  • Tab Policy Drift menampilkan drift apa pun yang terkait dengan kebijakan organisasi Vertex AI yang telah Anda terapkan dalam postur.
  • Untuk melihat detail temuan, klik temuan.

gcloud

Di gcloud CLI, untuk melihat temuan penyimpangan, jalankan perintah berikut:

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

Dengan ORGANIZATION_ID sebagai ID organisasi.

Untuk informasi selengkapnya tentang cara mengatasi temuan ini, lihat Temuan layanan postur keamanan. Anda dapat mengekspor temuan ini dengan cara yang sama seperti saat mengekspor temuan lainnya dari Security Command Center. Untuk informasi selengkapnya, lihat Opsi integrasi dan Mengekspor data Security Command Center.

Untuk menonaktifkan temuan drift, Anda dapat memperbarui deployment postur dengan ID postur dan revisi postur yang sama.

Membuat temuan drift untuk tujuan pengujian

Setelah men-deploy postur, Anda dapat memantau penyimpangan dari kebijakan Anda. Untuk melihat penerapan temuan drift di lingkungan pengujian, selesaikan hal berikut:

  1. Di konsol, buka halaman Organization policy.

    Buka Kebijakan organisasi

  2. Edit salah satu kebijakan yang Anda tentukan dalam postur yang di-deploy. Misalnya, jika menggunakan postur AI aman yang telah ditetapkan, Anda dapat mengedit kebijakan Batasi akses IP publik di notebook dan instance Vertex AI Workbench baru.

  3. Setelah Anda mengubah kebijakan, klik Set Policy.

  4. Buka halaman Temuan.

    Buka Temuan

  5. Di panel Quick filters, di bagian Source display name, pilih Security Posture. Temuan yang terkait dengan perubahan Anda akan muncul dalam waktu lima menit.

  6. Untuk melihat detail temuan, klik temuan.

Menghapus deployment postur

Anda dapat menghapus deployment postur jika tidak di-deploy dengan benar, Anda tidak lagi memerlukan postur tertentu, atau Anda tidak lagi ingin postur tertentu disertakan ke project, folder, atau organisasi. Untuk menghapus deployment postur, deployment postur harus berada dalam salah satu status berikut:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Untuk memverifikasi status deployment postur, lihat Melihat informasi tentang deployment postur.

Saat menghapus deployment postur, Anda akan menghapus postur dari resource (organisasi, folder, atau project) tempat Anda menetapkannya. Selain itu, tindakan ini akan menonaktifkan temuan terkait.

Output untuk berbagai jenis kebijakan adalah:

  • Saat Anda menghapus deployment postur yang menyertakan kebijakan organisasi kustom, kebijakan organisasi kustom akan dihapus. Namun, batasan kustom tetap ada.
  • Saat Anda menghapus deployment postur yang menyertakan detektor Security Health Analytics bawaan, status akhir modul Security Health Analytics bergantung pada organisasi, folder, atau project tempat deployment berada.

    • Jika Anda men-deploy postur di folder atau project, detector Security Health Analytics bawaan akan mewarisi statusnya dari organisasi atau folder induk.
    • Jika Anda men-deploy postur di tingkat organisasi, detector Security Health Analytics bawaan akan kembali ke status default. Untuk deskripsi status default, lihat Mengaktifkan dan menonaktifkan pendeteksi.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Pada tab Postur, klik postur yang ingin Anda hapus dari resource yang ditetapkan.

  4. Di halaman Posture details, pilih revisi postur dan buka Resources.

  5. Dari daftar resource tempat revisi postur aktif saat ini di-deploy, klik Hapus.

gcloud

Jalankan perintah gcloud scc posture-deployments delete untuk menghapus deployment postur.

gcloud scc posture-deployments deletePOSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • POSTURE_DEPLOYMENT_ID adalah nama unik untuk deployment postur.

Misalnya, untuk menghapus deployment postur yang bernama organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, jalankan perintah berikut:

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Menghapus postur

Saat menghapus postur, Anda juga menghapus semua revisi. Anda tidak dapat menghapus postur jika salah satu revisinya di-deploy. Anda harus menghapus semua deployment postur sebelum dapat menyelesaikan tugas ini.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Postur, klik postur yang ingin dihapus.

  4. Di halaman Detail postur, klik Hapus.

gcloud

Jalankan perintah gcloud scc postures delete untuk menghapus postur.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME adalah nama resource relatif dari postur. Contoh, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID. ID postur adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.

Misalnya, untuk menghapus postur yang bernama organizations/3589215982/locations/global/postures/posture-example-1, jalankan hal berikut:

gcloud scc postures delete \
    organizations/3589215982/locations/global/postures/posture-example-1

Langkah selanjutnya