Gestionar una postura de seguridad

En esta página se describe cómo puedes configurar y usar el servicio de postura de seguridad después de activar Security Command Center. Para empezar, debes crear una postura que incluya tus políticas, organizadas en conjuntos de políticas, y, a continuación, implementar la postura mediante una implementación de postura. Una vez que se haya implementado una postura, podrás monitorizar las desviaciones y mejorarla con el tiempo.

Antes de empezar

Completa estas tareas antes de completar las tareas restantes de esta página.

Activar el nivel Premium o Enterprise de Security Command Center

Comprueba que el nivel Premium o Enterprise de Security Command Center esté activado a nivel de organización.

Si quiere usar los detectores de Security Health Analytics como políticas, seleccione el servicio Security Health Analytics durante el proceso de activación.

Configurar permisos

Para obtener los permisos que necesitas para usar Posture, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de Posture de Seguridad (roles/securityposture.admin). Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Para obtener más información sobre los roles y los permisos de la postura de seguridad, consulta Gestión de identidades y accesos para activaciones a nivel de organización.

Configurar Google Cloud CLI

Debes usar la versión 461.0.0 de Google Cloud CLI o una posterior.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Para configurar gcloud CLI de forma que use la suplantación de identidad de la cuenta de servicio para autenticarse en las APIs de Google en lugar de usar tus credenciales de usuario, ejecuta el siguiente comando:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Para obtener más información, consulta el artículo Suplantación de identidad de cuentas de servicio.

Habilitar APIs

Habilita las APIs del servicio de políticas de organización y del servicio de postura de seguridad:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configurar la conexión a AWS

Para usar los detectores de Security Health Analytics integrados que son específicos de AWS, debe activar Security Command Center Enterprise y conectarse a AWS para recoger datos de configuración y de recursos.

Crear y desplegar una postura

Para empezar a usar una postura de seguridad, debes hacer lo siguiente:

• Crea un archivo YAML de postura que defina las políticas que se aplican a tu postura de seguridad.
• Crea una postura en Google Cloud que se base en el archivo YAML de postura.
• Implementa la postura.

En las siguientes secciones se proporcionan instrucciones detalladas.

Crear un archivo YAML de postura

Una postura consta de uno o varios conjuntos de políticas que se implementan juntos. Estos conjuntos de políticas incluyen todas las políticas preventivas y de detección que quiera incluir en su postura.

Para crear tu postura, tienes estas opciones:

• Copia una plantilla de postura predefinida. Si es necesario, edita las políticas para que se apliquen a tu entorno y cumplan los estándares de seguridad y las normativas de tu empresa. Para obtener instrucciones, consulta Crear un archivo de postura a partir de una plantilla de postura predefinida.
• Extrae las políticas de tu entorno. Si es necesario, edite las políticas para que cumplan los estándares de seguridad y los requisitos normativos de su empresa. Para obtener instrucciones, consulta Crear un archivo de postura extrayendo políticas de un entorno.
• Crea un recurso de Terraform que defina la postura. Para obtener instrucciones, consulta Crear un recurso de Terraform con definiciones de políticas.

Para obtener información sobre los campos que puedes usar en una postura, consulta la referencia de Posture y la referencia de PolicySet.

Crear un archivo de postura a partir de una plantilla de postura predefinida

Puedes usar una plantilla de postura predefinida para crear un archivo de postura.

Crear un archivo de postura extrayendo políticas de un entorno

Puedes extraer las políticas (políticas de la organización, incluidas las personalizadas, y todos los detectores de Security Health Analytics, incluidos los personalizados) que hayas configurado en un proyecto, una carpeta o una organización para crear un archivo de postura. No puedes extraer políticas de una organización, una carpeta o un proyecto que ya tenga una postura aplicada.

Este comando solo extrae las políticas que hayas configurado previamente para la organización, la carpeta o el proyecto, y no extrae políticas de las carpetas o la organización principales.

Si ha conectado Security Command Center Enterprise a AWS, este comando también extraerá los detectores específicos de AWS (vista previa).

1. Ejecuta el comando gcloud scc postures extract para extraer las políticas de la organización y los detectores de Security Health Analytics de tu entorno.

   gcloud scc postures extract POSTURE_NAME \
       --workload=WORKLOAD
   

   Sustituye los siguientes valores:

   • POSTURE_NAME es el nombre de recurso relativo de la postura. Por ejemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

     • POSTURE_ID es un nombre alfanumérico de tu postura que es único en tu organización. POSTURE_ID tiene un límite de 63 caracteres.

   • WORKLOAD es el proyecto, la carpeta o la organización de la que estás extrayendo las políticas. La carga de trabajo es una de las siguientes:

   • projects/PROJECT_NUMBER

   • folder/FOLDER_ID

   • organizations/ORGANIZATION_ID

   Por ejemplo, para extraer políticas de la carpeta 3589215982 de la organización 6589215984, ejecuta lo siguiente:

   gcloud scc postures extract \
     organizations/6589215984/locations/global/postures/myStagingPosture \
     workload=folder/3589215982 > posture.yaml
   

2. Abre el archivo posture.yaml resultante para editarlo.

3. Lleva a cabo una de las siguientes acciones:

   • Si puedes usar la postura sin hacer ningún cambio (por ejemplo, si has usado una de las plantillas _essentials), puedes crearla. Para obtener instrucciones, consulta el artículo Crear una postura.
   • Si necesitas modificar alguno de los conjuntos o políticas, consulta el artículo Modificar un archivo YAML de postura.

Crear un recurso de Terraform con definiciones de políticas

Puedes crear una configuración de Terraform para crear un recurso de postura.

Por ejemplo, puedes crear un recurso de postura que incluya restricciones de políticas de organización integradas y personalizadas, así como detectores de Security Health Analytics integrados y personalizados. La compatibilidad con la gestión de la postura de los detectores de Security Health Analytics integrados que son específicos de AWS está en vista previa.

resource "google_securityposture_posture" "posture1"{
  posture_id  = "posture_example"
  parent      = "organizations/123456789"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression  = "resource.matchTag('org_id/tag_key_short_name,'tag_value_short_name')"
            	title       = "a CEL condition"
            }
          }
        }
      }
    }
    policies {
      policy_id = "custom_org_policy"
      constraint {
        org_policy_constraint_custom {
          custom_constraint {
            name           = "organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade"
            display_name   = "Disable GKE auto upgrade"
            description    = "Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced."
            action_type    = "ALLOW"
            condition      = "resource.management.autoUpgrade == false"
            method_types   = ["CREATE", "UPDATE"]
            resource_types = ["container.googleapis.com/NodePool"]
          }
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression = "resource.matchTagId('tagKeys/key_id','tagValues/value_id')"
            	title = "a CEL condition"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Para obtener más información, consulta google_securityposture_posture.

Modificar un archivo YAML de postura

Sigue estos pasos para modificar un archivo YAML de postura:

1. Abre el archivo YAML de postura en un editor de texto.

2. Verifica los valores name, description y state al principio del archivo.

   name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
   description: DESCRIPTION
   state: STATE
   

   Para obtener más información sobre estos campos, consulta la referencia de Posture.

   Por ejemplo:

   name: organizations/3589215982/locations/global/posture/stagingAIPosture
   description: This posture applies to staging environments for Vertex AI.
   state: ACTIVE
   

3. Personaliza las políticas del archivo para que se ajusten a tus requisitos.

   Para obtener información sobre los campos que puedes usar, consulta la referencia de PolicySet.

   1. Revisa las políticas y sus valores. En las políticas que requieran información específica de tu entorno, define los valores correspondientes. Por ejemplo, en la política ainotebooks.accessMode de la postura predefinida ampliada de IA segura, añade los modos de acceso permitidos en policyRules:

      - policyId: Define access mode for Vertex AI Workbench notebooks and instances
        complianceStandards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          orgPolicyConstraint:
            cannedConstraintId: ainotebooks.accessMode
            policyRules:
            - values:
                allowedValues: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      

   2. Añade restricciones de política de organización adicionales, tal como se describe en Restricciones de las políticas de organización. Si vas a definir una política de organización personalizada, asegúrate de que el archivo YAML incluya la definición de la restricción personalizada. No puedes usar una restricción personalizada que hayas creado con otros métodos (por ejemplo, con la consolaGoogle Cloud ).

      Por ejemplo, puedes definir la restricción compute.trustedImageProjects para especificar los proyectos que se pueden usar para el almacenamiento de imágenes y la creación de instancias de disco. Si copias este ejemplo, asegúrate de sustituir allowedValues por una lista de proyectos adecuada:

      - policyId: Define projects with trusted images.
        complianceStandards:
        - standard:
          control:
        constraint:
          orgPolicyConstraint:
            cannedConstraintId: compute.trustedImageProjects
            policyRules:
            - values:
                allowedValues:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      

   3. Añade detectores de Security Health Analytics adicionales, como los que se describen en el artículo sobre los resultados de Security Health Analytics. Por ejemplo, añade un detector de Security Health Analytics para crear un resultado si un proyecto no usa una clave de API para la autenticación:

      - policyId: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      Otro ejemplo es añadir un módulo personalizado de Security Health Analytics para detectar si los conjuntos de datos de Vertex AI están cifrados:

      - policyId: CMEK key is use for Vertex AI DataSet
        complianceStandards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          securityHealthAnalyticsCustomModule:
            displayName: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resourceSelector:
                resourceTypes:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            moduleEnablementState: ENABLED
      

      Otro ejemplo: en Security Command Center Enterprise, añade un detector de Security Health Analytics específico de AWS (vista previa):

      - policySetId: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policyId: S3 bucket replication enabled
          complianceStandards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policyId: S3 bucket logging enabled
          complianceStandards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Si añade un detector específico de AWS, debe implementar la postura a nivel de organización.

4. Sube tu archivo de postura a un repositorio de origen con control de versiones para poder hacer un seguimiento de los cambios que le hagas a lo largo del tiempo.

Crear una postura

Completa esta tarea para crear un recurso de postura en Security Command Center que puedas implementar. Si has creado una postura a partir de una plantilla de postura predefinida mediante la consola Google Cloud , el recurso de postura se creará automáticamente.

Implementar una postura

Después de crear una postura, la implementas en un proyecto, una carpeta o una organización para poder aplicar las políticas y sus definiciones a recursos específicos de tu organización y monitorizar las desviaciones. Solo puedes desplegar una postura en un proyecto, una carpeta o una organización.

Comprueba que tu postura sea ACTIVE.

Cuando implementas la postura, se realizan las siguientes acciones:

• Se aplican las definiciones de las políticas de la organización y los detectores de Security Health Analytics.
• Por cada política de organización personalizada definida en la postura, se crea una nueva restricción personalizada. Esto es así aunque hayas creado la postura a partir de una plantilla o de políticas extraídas y no hayas modificado esas políticas. El ID de la restricción incluye el ID de revisión de la postura como sufijo. Si se eliminan todas las implementaciones de la postura, el sufijo se sustituye por un UUID aleatorio.
• Por cada detector personalizado de Security Health Analytics definido en la postura, se crea una nueva restricción personalizada. Esto es así aunque hayas creado la postura a partir de una plantilla o de políticas extraídas y hayas mantenido esas políticas sin cambios.

• El estado predeterminado de los módulos personalizados es Habilitado.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Ver información sobre la postura y su implementación

Puedes ver información sobre la postura y su implementación, como la siguiente:

• Qué posturas se han implementado y en qué parte de la jerarquía de recursos (organizaciones, proyectos y carpetas) se han aplicado
• Las revisiones y el estado de las posturas
• Detalles operativos de un despliegue de postura

Ver una postura

Puedes ver información sobre una postura (como su estado y las definiciones de la política).

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Ver información sobre una operación de implementación de posturas

Ejecuta el comando gcloud scc posture-operations describe para ver los detalles de una operación de despliegue de posturas.

gcloud scc posture-operations describe OPERATION_NAME

Donde OPERATION_NAME es el nombre de recurso relativo de la operación. El formato es organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Puedes obtener el OPERATION_ID mediante el argumento --async cuando ejecutes el comando de postura.

Por ejemplo, para ver una operación de análisis con el nombre organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, ejecuta lo siguiente:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Ver información sobre una implementación de postura

Puedes ver dónde se ha implementado una postura, así como el estado de la implementación.

gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Actualizar una postura y un despliegue de postura

Puedes actualizar lo siguiente:

• El estado de la postura.
• Las definiciones de políticas de una postura.
• La organización, las carpetas o los proyectos en los que se implementa una postura.

Actualizar las definiciones de las políticas de una postura

Es posible que tengas que actualizar una postura cuando habilites más Google Cloud servicios, despliegues recursos adicionales o necesites políticas adicionales para cumplir requisitos nuevos o cambiantes. Si actualiza una revisión de postura implementada, esta tarea crea una nueva revisión de postura. De lo contrario, se actualizará la revisión de la postura que especifiques al ejecutar el comando update.

1. Abre un archivo YAML en un editor de texto. Añada los campos que quiera actualizar junto con sus valores. Si vas a actualizar conjuntos de políticas, asegúrate de que tu archivo incluya todos los conjuntos de políticas que quieras incluir en la postura, incluidos los conjuntos de políticas que ya existan. Para obtener instrucciones, consulta Modificar un archivo YAML de postura.

2. Ejecuta el comando gcloud scc postures update para actualizar la postura.

   gcloud scc postures update POSTURE_NAME \
       --posture-from-file=POSTURE_FROM_FILE \
       --revision-id=POSTURE_REVISION_ID \
       --update-mask=UPDATE_MASK
   

   Sustituye los siguientes valores:

   • POSTURE_NAME es el nombre de recurso relativo de la postura. Por ejemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

     • POSTURE_ID es un nombre alfanumérico de tu postura que es único en tu organización.

   • POSTURE_FROM_FILE es la ruta relativa o absoluta al archivo posture.yaml que incluye los cambios.

     • POSTURE_ID es un nombre alfanumérico de tu postura que es único en tu organización.

   • POSTURE_FROM_FILE es la ruta relativa o absoluta al archivo posture.yaml que incluye los cambios.

   • --revision-id=REVISION_ID es la revisión de la postura que quieres implementar. Si la postura ya se ha desplegado, el servicio de postura de seguridad crea automáticamente una nueva versión de la postura con un ID de revisión diferente e incluye el ID de revisión en el resultado.

   • --update-mask=UPDATE_MASK es la lista de campos que quieres actualizar, en formato de lista separada por comas. Este argumento es opcional. Puedes asignar a UPDATE_MASK uno de los siguientes valores:

     • * o sin especificar: aplica los cambios que hayas hecho en los conjuntos de políticas y en la descripción de la postura.
     • policy_sets: aplica solo los cambios que hayas hecho en los conjuntos de políticas.
     • description: aplica solo los cambios que has hecho en la descripción de la postura.
     • policy_sets, description: aplica los cambios que hayas hecho a los conjuntos de políticas y a la descripción de la postura.
     • state: aplica solo el cambio de estado.

   Por ejemplo, para actualizar una postura con el nombre posture-example-1 en la organización organizations/3589215982/locations/global y el ID de revisión abcd1234, ejecuta lo siguiente:

   gcloud scc postures update \
       organizations/3589215982/locations/global/posture-example-1 \
       --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
   

   Si el proceso de actualización de la postura falla, soluciona el error y vuelve a intentarlo.

3. Para comprobar que la postura se ha actualizado correctamente, consulta Ver una postura.

Cambiar el estado de una postura

El estado de una postura determina si está disponible para implementarse en un proyecto, una carpeta o una organización.

Una postura puede tener los siguientes estados:

• DRAFT: La revisión de la postura no está lista para implementarse. No puedes implementar una revisión de postura que esté en el estado DRAFT.
• ACTIVE: La revisión de la postura está disponible para su implementación. Puedes cambiar el estado de ACTIVE a DRAFT o DEPRECATED..

• DEPRECATED: no se puede desplegar una revisión de la postura DEPRECATED en un recurso. Debes eliminar todos los despliegues de posturas de la postura antes de poder retirar una revisión de postura. Si quieres volver a implementar una revisión de postura que has retirado, debes cambiar su estado a ACTIVE.

Actualizar un despliegue de postura

Actualiza una implementación de postura en un proyecto, una carpeta o una organización para implementar una postura nueva o una revisión nueva de una postura.

Si la revisión de postura que estás actualizando incluye una restricción de organización personalizada que se ha eliminado mediante la consola, no puedes actualizar el despliegue de postura con el mismo ID de postura. Google Cloud El servicio de políticas de la organización impide la creación de restricciones de la organización personalizadas que tengan el mismo nombre. En su lugar, debe crear una nueva versión de la postura o usar otro ID de postura.

Además, se desactivarán los resultados de las implementaciones de políticas que se hayan eliminado como parte del proceso de actualización.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Monitorizar la deriva de la postura

Puedes monitorizar una postura implementada para detectar desviaciones de las políticas definidas en la postura de seguridad. La deriva es un cambio en una política que se produce fuera de una postura. Por ejemplo, la deriva se produce cuando un administrador cambia una definición de política en la consola en lugar de actualizar la implementación de la postura.

El servicio de postura de seguridad crea resultados que puedes ver en la Google Cloud consola o en la CLI de gcloud cuando se produce una deriva.

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

Para obtener más información sobre cómo abordar estas conclusiones, consulta el artículo Conclusiones del servicio de postura de seguridad. Puede exportar estos resultados de la misma forma que exporta cualquier otro resultado de Security Command Center. Para obtener más información, consulta el artículo Exportar datos de Security Command Center.

Para desactivar un resultado de deriva, puedes actualizar la implementación de la postura con el mismo ID y la misma revisión de la postura.

Generar un resultado de deriva con fines de prueba

Una vez que hayas implementado una postura, podrás monitorizar las desviaciones de tus políticas. Para ver los resultados de la deriva en un entorno de prueba, haz lo siguiente:

1. En la consola, ve a la página Política de la organización.

   Ir a Política de organización

2. Edita una de las políticas que hayas definido en la postura implementada. Por ejemplo, si usas una postura de IA segura predefinida, puedes editar la política Restringir el acceso a IP públicas en los nuevos notebooks e instancias de Vertex AI Workbench.

3. Después de cambiar la política, haz clic en Definir política.

4. Ve a la página Resultados.

   Ir a Resultados

5. En el panel Filtros rápidos, en la sección Nombre visible de la fuente, selecciona Postura de seguridad. En un plazo de cinco minutos, debería aparecer un resultado relacionado con el cambio.

6. Para ver los detalles de la detección, haz clic en ella.

Eliminar un despliegue de postura

Puedes eliminar una implementación de postura si no se ha implementado correctamente, si ya no necesitas una postura concreta o si ya no quieres que se asigne una postura concreta a un proyecto, una carpeta o una organización. Para eliminar una implementación de postura, esta debe tener uno de los siguientes estados:

• ACTIVE
• CREATE_FAILED
• UPDATE_FAILED
• DELETE_FAILED

Para verificar el estado de un despliegue de posturas, consulta Ver información sobre un despliegue de posturas.

Cuando eliminas una implementación de postura, quitas la postura del recurso (tu organización, carpeta o proyecto) al que la hayas asignado. Además, se desactivan los hallazgos asociados.

Los resultados de los distintos tipos de políticas son los siguientes:

• Cuando eliminas una implementación de postura que incluye políticas de organización personalizadas, estas se eliminan. Sin embargo, la restricción personalizada sigue existiendo.

• Cuando eliminas una implementación de postura que incluye detectores de Security Health Analytics integrados, el estado final de los módulos de Security Health Analytics depende de la organización, la carpeta o el proyecto en los que se encontraba la implementación.

  • Si has implementado una postura en una carpeta o un proyecto, los detectores de Security Health Analytics integrados heredarán su estado de la organización o la carpeta superior.
  • Si has implementado una postura a nivel de organización, los detectores de Security Health Analytics integrados volverán al estado predeterminado. Para ver una descripción de los estados predeterminados, consulta el artículo Habilitar e inhabilitar detectores.

gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Eliminar una postura

Cuando eliminas una postura, también se eliminan todas las revisiones. No puedes eliminar una postura si alguna de sus revisiones está implementada. Debes eliminar todos los despliegues de postura para poder completar esta tarea.

 gcloud scc postures delete POSTURE_NAME

 gcloud scc postures delete \
     organizations/3589215982/locations/global/postures/posture-example-1

Siguientes pasos

• Consulta la descripción general de las posturas de seguridad.
• Consulta información sobre los módulos personalizados de Security Health Analytics.
• Consulta información sobre las restricciones de políticas de la organización personalizadas.
• Consulta los registros de auditoría de las operaciones relacionadas con la postura.
• Exportar datos del servicio de postura de seguridad.