Gérer une stratégie de sécurité

Cette page explique comment configurer et utiliser le service de stratégie de sécurité. après avoir activé Security Command Center. Pour commencer, vous devez créer une stratégie inclut vos stratégies, organisées en ensembles de règles, puis déployez la stratégie à l'aide d'une déploiement de stratégie. Après le déploiement d'une stratégie, vous pouvez surveiller les dérives et affinez votre posture au fil du temps.

Avant de commencer

Effectuez ces tâches avant de terminer celles qui figurent sur cette page.

Activer le niveau Premium ou Enterprise de Security Command Center

Vérifiez que les options de niveau Premium ou Enterprise de Security Command Center niveau supérieur est activé au au niveau de l'organisation.

Si vous souhaitez utiliser les détecteurs Security Health Analytics en tant que stratégies, sélectionnez Service d'analyse de l'état de la sécurité pendant le processus d'activation.

Configurer les autorisations

Pour obtenir les autorisations nécessaires pour utiliser la stratégie, demandez à votre administrateur de vous accorder le Rôle IAM Administrateur de stratégie de sécurité (roles/securityposture.admin). Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Pour en savoir plus sur les rôles et la stratégie de sécurité Autorisations, voir IAM pour les niveaux ou d'activations.

Configurer la Google Cloud CLI

Vous devez utiliser la Google Cloud CLI version 461.0.0 ou ultérieure.

Vous pouvez utiliser les exemples gcloud CLI de cette page dans l'un des environnements de développement suivants :

  • Cloud Shell : pour utiliser un terminal en ligne avec gcloud CLI déjà configuré, activez Cloud Shell.

    En bas de cette page, une session Cloud Shell démarre et affiche une invite de ligne de commande. L'initialisation de la session peut prendre quelques secondes.

  • Shell local : pour utiliser gcloud CLI dans un environnement de développement local, installez et initialisez gcloud CLI.

Pour configurer la gcloud CLI afin qu'elle utilise l'emprunt d'identité d'un compte de service pour s'authentifier auprès des Google APIs plutôt que d'utiliser vos identifiants utilisateur, exécutez la commande suivante : 

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Pour en savoir plus, consultez Emprunt d'identité d'un compte de service.

Activer les API

Activez les API du service de règles d'administration et du service de stratégie de sécurité:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configurer la connexion à AWS

Pour utiliser les détecteurs Security Health Analytics intégrés spécifiques à AWS, vous devez activer Security Command Center Enterprise et communiquer à AWS pour détecter les failles la détection.

Créer et déployer une stratégie

Pour commencer à utiliser une stratégie de sécurité, vous devez effectuer les opérations suivantes:

  • Créez un fichier YAML de stratégie qui définit les stratégies qui s'appliquent à votre la stratégie de sécurité.

  • Créez une stratégie dans Google Cloud basée sur le fichier YAML de stratégie.

  • Déployez la stratégie.

Les sections suivantes fournissent des instructions détaillées.

Créer un fichier YAML de stratégie

Une stratégie se compose d'un ou de plusieurs ensembles de règles que vous déployez ensemble. Ces les ensembles de règles comprennent toutes les stratégies préventives et de détection que vous souhaitez inclure dans votre posture.

Pour créer votre stratégie, effectuez l'une des opérations suivantes:

Les stratégies sont des fichiers YAML. Pour en savoir plus sur le fichier posture.yaml et paires clé-valeur, consultez la section Codes YAML de stratégie de sécurité fichier.

Créer un fichier de stratégie à partir d'un modèle de stratégie prédéfini

Vous pouvez utiliser un modèle de stratégie prédéfini pour créer un fichier de stratégie.

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des stratégies.

    Accéder à la page "Gestion de la stratégie"

  2. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé le Niveau Premium ou Enterprise de Security Command Center activé.

  3. Dans l'onglet Modèles, cliquez sur le modèle que vous souhaitez utiliser.

  4. Sur la page Détails du modèle, cliquez sur Créer une stratégie.

  5. Attribuez un nom unique à la stratégie, puis cliquez sur Créer. La stratégie d'informations s'ouvre.

  6. Effectuez l'une des actions suivantes :

gcloud

  1. Examinez la stratégie prédéfinie modèles pour déterminer celles qui s'appliquent à votre environnement. Vous pouvez appliquer certains d'entre eux sans apporter de modifications, mais pour d'autres, vous devez personnaliser les règles pour s'adapter à votre environnement.

  2. Utilisez l'une des méthodes suivantes pour copier les fichiers YAML dans votre propre texte éditeur:

    • Copiez le fichier YAML à partir du contenu de référence dans une stratégie prédéfinie modèles de ML.

    • Exécutez la commande gcloud scc posture-templates describe pour copier le fichier YAML .

    gcloud scc posture-templates describe \
organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \
--revision-id=REVISION_ID

    Remplacez les valeurs suivantes :

    • ORGANIZATION_ID est l'organisation au sein de laquelle vous avez activé les niveaux Premium ou Enterprise de Security Command Center.

    • LOCATION est l'emplacement où vous souhaitez déployer et stocker la stratégie. Le seul emplacement accepté est global.

    • POSTURE_TEMPLATE est le nom du modèle du comme décrit dans la section Stratégie prédéfinie modèles de ML.

    • REVISION_ID est la version de révision du une stratégie prédéfinie. Si vous n'incluez pas l'ID de révision, le dernier de la stratégie prédéfinie s'affiche.

    Par exemple, pour visualiser l'IA sécurisée, l'essentiel est une stratégie prédéfinie sous l'organisation 3589215982, exécutez la suivantes:

    gcloud scc posture-templates describe
    organizations/3589215982/locations/global/postureTemplates/secure_ai_essential
    --revision-id=v.1.0

  3. Effectuez l'une des actions suivantes :

    • Si vous pouvez utiliser la stratégie sans la modifier (par exemple, utilisé l'un des modèles _essentials), vous pouvez créer la stratégie. Pour savoir comment procéder, consultez Créer une stratégie.

    • Si vous devez modifier l'un des ensembles de stratégies ou des stratégies, Modifiez un fichier YAML de stratégie.

Créer un fichier de stratégie en extrayant les stratégies d'un environnement existant

Vous pouvez extraire les stratégies (les règles d'administration, y compris les règles personnalisées et tous les détecteurs Security Health Analytics, y compris les détecteurs personnalisés) que vous avez configurés dans un projet, un dossier ou une organisation existants pour créer un fichier de stratégie. Toi vous ne pouvez pas extraire de stratégies d'une organisation, d'un dossier ou d'un projet disposant déjà une stratégie qui lui est appliquée.

Cette commande n'extrait que les stratégies que vous avez configurées précédemment pour le organisation, dossier ou projet, et n'extrait pas les stratégies dossiers ou organisation.

Si vous avez connecté Security Command Center Enterprise à AWS, cette commande extrait les détecteurs propres à AWS (version preview).

  1. Exécutez la commande gcloud scc postures extract pour extraire des règles d'administration et des détecteurs Security Health Analytics dans votre environnement.

    gcloud scc postures extract \
POSTURE_NAME --workload=WORKLOAD

    Remplacez les valeurs suivantes :

    • POSTURE_NAME est le nom de ressource relatif du de sécurité. Exemple : organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION est global.

      • POSTURE_ID est un nom alphanumérique pour votre de sécurité propre à votre organisation. POSTURE_ID correspond à ne doit pas dépasser 63 caractères.

    • WORKLOAD est le projet, le dossier ou l'organisation dont vous extrayez les stratégies. La charge de travail est l'une des suivantes:

      • projects/PROJECT_NUMBER

      • folder/FOLDER_ID

      • organizations/ORGANIZATION_ID

    Par exemple, pour extraire des stratégies du dossier 3589215982 sous le 6589215984, exécutez la commande suivante:

    gcloud scc postures extract organizations/6589215984/locations/global/postures/myStagingPosture workload=folder/3589215982 > posture.yaml

  2. Ouvrez le fichier posture.yaml obtenu pour le modifier.

  3. Effectuez l'une des actions suivantes :

    • Si vous pouvez utiliser la stratégie sans la modifier (par exemple, utilisé l'un des modèles _essentials), vous pouvez créer le de sécurité. Pour savoir comment procéder, consultez Créer une stratégie.

    • Si vous devez modifier l'un des ensembles ou des stratégies, effectuez Modifier fichier YAML de stratégie.

Créer une ressource Terraform avec des définitions de règles

Vous pouvez créer une configuration Terraform pour créer une ressource de stratégie.

Par exemple, vous pouvez créer une ressource de stratégie incluant des métriques les contraintes liées aux règles d'administration et les détecteurs Security Health Analytics intégrés et personnalisés. Gestion de la stratégie intégrée Les détecteurs Security Health Analytics propres à AWS sont disponibles en version preview.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Pour en savoir plus, consultez google_securityposture_posture.

Modifier un fichier YAML de stratégie

Pour modifier un fichier YAML de stratégie, procédez comme suit:

  1. Ouvrez votre fichier YAML de stratégie dans un éditeur de texte.

  2. Vérifiez les éléments name, description et state au début du fichier.

    name: organizations/ORGANIZATION_ID/locations/LOCATION/posture/POSTURE_ID
description: DESCRIPTION
state: STATE

    Consultez la page YAML de la stratégie de sécurité. fichier pour obtenir la description ces paires clé-valeur.

    Exemple :

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
description: This posture applies to staging environments for Vertex AI.
state: ACTIVE

  3. Personnalisez les règles du fichier en fonction de vos besoins:

    1. Passez en revue les règles existantes et leurs valeurs. Pour les règles qui nécessitent spécifiques à votre environnement, définissez les valeurs en conséquence. Par exemple, pour la règle ainotebooks.accessMode dans IA sécurisée, stratégie prédéfinie étendue, ajouter les modes d'accès autorisés sous policy_rules:

        - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3(3)
    - standard: NIST SP 800-53
      control: AC-6(1)
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.accessMode
        policy_rules:
        - values:
            allowed_values: service-account
    description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.

    2. Ajoutez des contraintes de règles d'administration supplémentaires, comme indiqué dans Contraintes liées aux règles d'administration. Si vous définissez une règle d'administration personnalisée, assurez-vous que le fichier YAML inclut la définition de la contrainte personnalisée. Vous ne pouvez pas utiliser de que vous avez créée à l'aide d'autres méthodes (par exemple, en utilisant console Google Cloud). Par exemple, vous pouvez définir compute.trustedImageProjects pour définir des projets peut être utilisé pour le stockage d'images et l'instanciation de disque. Si vous copiez cet exemple, veillez à remplacer allowed_values par la liste de projets appropriée:

        - policy_id: Define projects with trusted images.
    compliance_standards:
    - standard:
      control:
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.trustedImageProjects
        policy_rules:
        - values:
            allowed_values:
            - project1
            - project2
            - projectN
    description: This is a complete list of projects from which images can be used.

    3. Ajoutez des détecteurs Security Health Analytics supplémentaires, tels que ceux décrits dans la section Résultats de l'analyse de l'état de la sécurité. Par exemple, ajoutez un détecteur Security Health Analytics pour créer un résultat si un Le projet n'utilise pas de clé API pour l'authentification:

        - policy_id: API Key Exists
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_EXISTS

      Autre exemple : ajoutez un module personnalisé d'analyse de l'état de la sécurité pour détecter Les ensembles de données Vertex AI sont chiffrés:

        - policy_id: CMEK key is use for Vertex AI DataSet
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-12
    - standard: NIST SP 800-53
      control: SC-13
    constraint:
      security_health_analytics_custom_module:
        display_name: "vertexAIDatasetCMEKDisabled"
        config:
          customOutput: {}
          predicate:
            expression: "!has(resource.encryptionSpec)"
          resource_selector:
            resource_types:
            - aiplatform.googleapis.com/Dataset
          severity: CRITICAL
          description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
          recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
        module_enablement_state: ENABLED

      Autre exemple, pour Security Command Center Enterprise, propre à AWS (Preview):

      - policy_set_id: AWS policy set
  description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
  policies:
  - policy_id: S3 bucket replication enabled
    compliance_standards:
    - standard: NIST 800-53 R5
      control: SI-13(5)
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_REPLICATION_ENABLED
    description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.

  - policy_id: S3 bucket logging enabled
    compliance_standards:
    - standard: NIST 800-53 R5
      control: SI-7(8)
    - standard: PCI DSS 3.2.1
      control: 10.3.1
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_LOGGING_ENABLED
    description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.

      Si vous ajoutez un détecteur spécifique à AWS, vous devez déployer la stratégie au niveau de l'organisation.

  4. Importez votre fichier de stratégie dans un dépôt source avec contrôle des versions vous pouvez suivre les modifications que vous y apportez au fil du temps.

Créer une stratégie

Effectuez cette tâche pour créer dans Security Command Center une ressource de stratégie que vous peuvent être déployées. Si vous avez créé une stratégie à partir d'un modèle prédéfini dans la console Google Cloud, la ressource de stratégie est créée automatiquement vous.

gcloud

  1. Exécutez la commande gcloud scc postures create pour créer une stratégie à l'aide de la méthode posture.yaml.

    gcloud scc postures create \
POSTURE_NAME --posture-from-file=POSTURE_FROM_FILE

    Remplacez les valeurs suivantes :

    • POSTURE_NAME est le nom de ressource relatif du de sécurité. Exemple : organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION est global.

      • POSTURE_ID est un nom alphanumérique pour votre propre à votre organisation. POSTURE_ID correspond à ne doit pas dépasser 63 caractères.

    • POSTURE_FROM_FILE est le chemin relatif ou absolu de le fichier posture.yaml.

    Par exemple, pour créer une stratégie avec l'ID posture-example-1, sous l'organisation organizations/3589215982, exécutez la suivantes:

    gcloud scc postures create organizations/3589215982/locations/global/postures/posture-example-1 --posture-from-file=posture.yaml

    Si le processus de création de la stratégie échoue, supprimez-la. résolvez l'erreur, puis réessayez.

  2. Pour vérifier que la stratégie a bien été créée, consultez la section Afficher de sécurité.

Pour appliquer cette stratégie à votre environnement, vous devez déployer la de sécurité.

Terraform

Si vous avez créé une configuration Terraform pour la ressource de stratégie, vous devez la provisionner à l'aide de type Infrastructure as Code.

Pour en savoir plus, consultez Terraform sur Google Cloud.

Déployer une stratégie

Après avoir créé une stratégie, vous la déployez dans un projet, un dossier ou une organisation afin que vous puissiez appliquer les stratégies et leurs définitions à des ressources spécifiques dans votre organisation et surveiller les dérives. Vous ne pouvez déployer qu'une seule stratégie projet, dossier ou organisation.

Vérifiez que votre position est ACTIVE.

Lorsque vous déployez la stratégie, les actions suivantes se produisent:

  • Les définitions des règles d'administration et des détecteurs Security Health Analytics sont appliquée.

  • La contrainte personnalisée pour les règles d'administration personnalisées est créée avec ID de contrainte pour inclure l'ID de révision de stratégie en tant que suffixe de la contrainte ID que vous avez défini dans la stratégie.

  • L'état par défaut des modules personnalisés est défini sur Activé.

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des stratégies.

    Accéder à la page "Gestion de la stratégie"

  2. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé le Niveau Premium ou Enterprise de Security Command Center activé.

  3. Dans l'onglet Posture (Stratégie), cliquez sur la stratégie que vous souhaitez déployer.

  4. Sur la page Détails de la stratégie, sélectionnez la révision de la stratégie que vous souhaitez déployer.

  5. Cliquez sur Déployer sur le nœud.

  6. Sélectionnez l'organisation, le dossier ou le projet dans lequel vous souhaitez déployer le la stratégie. Si votre stratégie inclut un détecteur spécifique à AWS, vous devez déployer la stratégie au niveau de l'organisation (Preview).

  7. Cliquez sur Sélectionner.

  8. Répétez les étapes 5 à 7 pour chaque organisation, dossier ou projet que vous vous souhaitez appliquer la stratégie.

gcloud

Exécutez la commande gcloud scc posture-deployments create pour déployer une stratégie projet, dossier ou organisation.

gcloud scc posture-deployments create \
POSTURE_DEPLOYMENT_NAME  --posture-name=POSTURE_NAME \
--posture-revision-id=POSTURE_REVISION_ID \
--target-resource=TARGET_RESOURCE

Remplacez les valeurs suivantes :

  • POSTURE_DEPLOYMENT_NAME est le nom relatif de la ressource pour déploiement de stratégie. Le format est le suivant : organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID

    • LOCATION est global.

    • POSTURE_DEPLOYMENT_ID est un nom unique pour la stratégie. le déploiement. POSTURE_DEPLOYMENT_ID correspond à ne doit pas dépasser 63 caractères.

  • --posture-name=POSTURE_NAME est le nom de la que vous déployez. Le format est le suivant : organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

    • LOCATION est global.

    • POSTURE_ID est un nom alphanumérique pour votre propre à votre organisation.

  • --posture-revision-id=POSTURE_REVISION_ID est le de stratégie de sécurité que vous souhaitez déployer. Vous pouvez l'obtenir à partir de la réponse que vous recevez lorsque vous créez la stratégie ou que vous l'affichez.

  • --target-resource=TARGET_RESOURCE est le nom du l'organisation, le dossier ou le projet sur lesquels vous souhaitez déployer la stratégie. Vous pouvez Utilisez l'un des formats suivants:

    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID
    • projects/PROJECT_NUMBER

    Si votre stratégie inclut un détecteur spécifique à AWS, vous devez déployer la stratégie au niveau de l'organisation (Preview).

Par exemple, pour déployer une stratégie, exécutez la commande suivante:

gcloud scc posture-deployments create
organizations/3589215982/locations/global/postureDeployments/postureDeployment123
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version1 --target-resource=projects/4589215982

Vous pouvez afficher les informations d'état au fur et à mesure de l'exécution de la commande. Si la stratégie échec du processus de création du déploiement, supprimez le déploiement, résolvez l'erreur, puis réessayez.

Terraform

Vous pouvez créer une ressource Terraform pour déployer une stratégie.

  resource "google_securityposture_posture_deployment" "posture_deployment_example" {
    posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
    parent = "organizations/<ORGANIZATION_ID>"
    location = "global"
    description = "a new posture deployment"
    target_resource = "<TARGET_RESOURCE>"
    posture_id = "<POSTURE_NAME>"
    posture_revision_id = "<POSTURE_REVISION_ID>"
  }

Pour en savoir plus, consultez google_securityposture_posture_deployment.

Une fois la ressource Terraform créée, provisionnez-la à l'aide de votre de type Infrastructure as Code.

Afficher les informations sur le déploiement de la stratégie et de la stratégie

Vous pouvez afficher des informations sur la stratégie et le déploiement de stratégie, par exemple:

  • Les stratégies déployées et leur emplacement dans la hiérarchie des ressources (organisations, projets et dossiers), elles sont appliquées

  • Révisions et état des stratégies

  • Détails opérationnels d'un déploiement de stratégie

Afficher une stratégie

Vous pouvez afficher des informations sur une stratégie (comme son état et ses règles définitions).

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des stratégies.

    Accéder à la page "Gestion de la stratégie"

  2. Sélectionnez l'organisation pour laquelle vous avez activé le Niveau Premium ou Enterprise de Security Command Center activé.

  3. Dans l'onglet Postures (Postures), cliquez sur la posture que vous souhaitez afficher. La les détails de la stratégie s'affichent.

gcloud

Exécutez la commande gcloud scc postures describe pour afficher une stratégie créé.

gcloud scc postures describe POSTURE_NAME \
--revision-id=REVISION_ID

Remplacez les valeurs suivantes :

  • POSTURE_NAME est le nom de ressource relatif du de sécurité. Exemple : organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

    • LOCATION est global.

    • POSTURE_ID est un nom alphanumérique pour votre stratégie. propre à votre organisation.

  • revision-id=REVISION_ID est une option facultative qui spécifie la version de la stratégie à afficher. Si vous n'incluez pas l'indicateur, la dernière version est renvoyée.

Par exemple, pour afficher une stratégie portant le nom organizations/3589215982/locations/global/postures/posture-example-1 et l'ID de révision abcdefgh, exécutez la commande suivante:

gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1
--revision-id=abcdefgh

Afficher les informations sur une opération de déploiement de stratégie

Exécutez la commande gcloud scc posture-operations describe pour afficher détails d'une opération de déploiement de stratégie.

gcloud scc posture-operations describe OPERATION_NAME

OPERATION_NAME est le nom relatif de la ressource pour l'opération. Le format est le suivant : organizations/ORGANIZATION_ID/LOCATION/global/operations/OPERATION_ID LOCATION est le lieu où vous déployé le déploiement de la stratégie. Vous pouvez obtenir la valeur OPERATION_ID à l'aide de l'argument --async lorsque vous exécutez la commande de stratégie.

Par exemple, pour afficher une opération d'analyse portant le nom organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, exécutez la commande suivante:

gcloud scc posture-operations describe
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Afficher les informations sur le déploiement d'une stratégie

Vous pouvez voir où une stratégie est déployée, ainsi que l'état du déploiement.

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des stratégies.

    Accéder à la page "Gestion de la stratégie"

  2. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé le Niveau Premium ou Enterprise de Security Command Center activé.

  3. Dans l'onglet Postures (Postures), cliquez sur la stratégie que vous avez déployée.

  4. Cliquez sur l'onglet Deployments (Déploiements). Vous pouvez afficher les projets, dossiers organisation dans laquelle la stratégie est déployée, ainsi que le déploiement state.

gcloud

Exécutez la commande gcloud scc posture-deployments describe pour afficher des informations sur une stratégie déployée.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME est le nom relatif de la ressource pour déploiement de stratégie. Le format est le suivant : organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID

  • LOCATION est global.

  • POSTURE_DEPLOYMENT_ID est un nom unique pour la stratégie. le déploiement.

Par exemple, pour afficher les détails d'un déploiement de stratégie nommé organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, exécutez la commande suivante:

gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Mettre à jour un déploiement de stratégie et de stratégie

Vous pouvez mettre à jour les éléments suivants:

  • État de la stratégie.

  • Définitions des règles d'une stratégie.

  • Organisation, dossiers ou projets dans lesquels une stratégie est déployée.

Mettre à jour les définitions de règles d'une stratégie

Vous devrez peut-être mettre à jour une stratégie lorsque vous activerez d'autres services Google Cloud, déployer des ressources supplémentaires, ou exiger des règles supplémentaires pour respecter les nouvelles l'évolution des exigences de conformité. Si vous mettez à jour une révision de stratégie déployée, cette tâche crée une révision de stratégie. Sinon, la révision de stratégie que vous spécifiez lorsque vous exécutez la commande update est mise à jour.

  1. Ouvrez un fichier YAML dans un éditeur de texte. Ajoutez les champs que vous souhaitez mettre à jour, ainsi que avec leurs valeurs. Si vous mettez à jour des jeux de règles, assurez-vous que vos inclut tous les ensembles de règles que vous voulez inclure dans la stratégie, y compris les jeux de stratégies qui existent déjà. Pour obtenir des instructions, consultez Modifier un fichier YAML de stratégie.

  2. Exécutez la commande gcloud scc postures update pour mettre à jour la stratégie.

    gcloud scc postures update POSTURE_NAME \
--posture-from-file=POSTURE_FROM_FILE \
--revision-id=POSTURE_REVISION_ID --update-mask=UPDATE_MASK

    Remplacez les valeurs suivantes :

    • POSTURE_NAME est le nom de ressource relatif du de sécurité. Exemple : organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION est global.

      • POSTURE_ID est un nom alphanumérique pour votre stratégie. propre à votre organisation.

    • POSTURE_FROM_FILE est le chemin relatif ou absolu de le fichier posture.yaml qui inclut vos modifications.

    • --revision-id=REVISION_ID est le de stratégie de sécurité que vous souhaitez déployer. Si la stratégie est actuellement déployés, de stratégie de sécurité crée automatiquement une nouvelle version stratégie d'enchères avec un ID de révision différent et inclut cet ID dans le fichier de sortie.

    • --update-mask=UPDATE_MASK est la liste des champs que vous voulez mettre à jour, au format séparé par des virgules. Cet argument est facultatif. Vous pouvez définir UPDATE_MASK sur l'une des valeurs suivantes :

      • * ou non spécifié: appliquez les modifications que vous avez apportées aux ensembles de règles. et la description de la stratégie.
      • policy_sets: appliquer uniquement les modifications que vous avez apportées aux ensembles de règles.
      • description: appliquez uniquement les modifications que vous avez apportées à la description de la stratégie.
      • policy_sets, description: appliquez les modifications que vous avez apportées au les ensembles de règles et la description de la stratégie.
      • state: appliquer uniquement le changement d'état.

    Par exemple, pour mettre à jour une stratégie portant le nom posture-example-1 sous le nom l'organisation organizations/3589215982/locations/global et défini sur abcd1234, exécutez la commande suivante:

    gcloud scc postures update organizations/3589215982/locations/global/posture-example-1 --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets

    Si le processus de mise à jour de la stratégie échoue, corrigez l'erreur, puis réessayez.

  3. Pour vérifier que la stratégie a bien été mise à jour, consultez Afficher un de sécurité.

Modifier l'état d'une stratégie

L'état d'une stratégie détermine si elle peut être déployée sur projet, dossier ou organisation.

Une stratégie peut présenter les états suivants:

  • DRAFT: la révision de stratégie n'est pas prête pour le déploiement. Vous ne pouvez pas déployer de révision de stratégie dont l'état est DRAFT.

  • ACTIVE: la révision de stratégie est disponible pour le déploiement. Vous pouvez modifier l'état de ACTIVE à DRAFT ou DEPRECATED.

  • DEPRECATED: une révision de stratégie DEPRECATED ne peut pas être déployée sur une ressource. Vous devez supprimer tous les déploiements de stratégie existants de la stratégie. avant de pouvoir abandonner une révision de stratégie. Si vous souhaitez redéployer une stratégie que vous avez abandonnée, vous devez remplacer son état par ACTIVE.

Pour modifier l'état d'une stratégie, exécutez la commande gcloud scc postures update. Vous ne pouvez pas mettre à jour l'état de la stratégie en même temps que d'autres . Pour obtenir des instructions sur l'exécution de la commande gcloud scc postures update, consultez Modifier un fichier YAML de stratégie.

Mettre à jour un déploiement de stratégie

Mettez à jour un déploiement de stratégie sur un projet, un dossier ou une organisation pour déployer un une nouvelle stratégie ou déployer une nouvelle révision d'une stratégie.

Si la révision de stratégie que vous mettez à jour inclut une contrainte d'organisation personnalisée supprimé à l'aide de la console Google Cloud, vous ne pouvez pas modifier la stratégie déploiement avec le même ID de stratégie. Le service de règles d'administration empêche la création de contraintes d'organisation personnalisées portant le même nom. À la place, vous devez créez une autre version de la stratégie ou utilisez un autre ID de stratégie.

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des stratégies.

    Accéder à la page "Gestion de la stratégie"

  2. Vérifiez que vous consultez bien l'organisation que vous avez activée. niveau Premium ou Enterprise de Security Command Center.

  3. Dans l'onglet Postures (Postures), cliquez sur la posture que vous avez modifiée.

  4. Sur la page Détails de la stratégie, sélectionnez la révision de la stratégie que vous mis à jour.

  5. Cliquez sur Déployer sur le nœud.

  6. Sélectionnez l'organisation, le dossier ou le projet dans lequel vous souhaitez déployer le la stratégie. Si un message indique que le déploiement existe déjà, Supprimez le déploiement avant de réessayer. Si votre stratégie inclut un détecteur spécifique à AWS, vous devez déployer la stratégie au niveau de l'organisation (Preview).

  7. Cliquez sur Sélectionner.

gcloud

Exécutez la commande gcloud scc posture-deployments update pour déployer une stratégie.

gcloud scc posture-deployments update \
POSTURE_DEPLOYMENT_NAME --description=DESCRIPTION \
--update-mask=UPDATE_MASK --posture-id=POSTURE_ID \
--posture-revision-id=POSTURE_REVISION_ID

Remplacez les valeurs suivantes :

  • POSTURE_DEPLOYMENT_NAME est le nom relatif de la ressource pour déploiement de stratégie. Le format est le suivant : organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID

    • LOCATION est global.

    • POSTURE_DEPLOYMENT_ID est un nom unique pour la stratégie. le déploiement.

  • --description=DESCRIPTION correspond à la description facultative. pour la stratégie déployée.

  • --posture-id=POSTURE_ID est le nom de votre stratégie. propre à votre organisation. Il a le format suivant : organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_NAME.

  • --posture-revision-id=POSTURE_REVISION_ID est le de stratégie de sécurité que vous souhaitez déployer. Vous pouvez l'obtenir à partir de la réponse que vous recevez lorsque vous créez la stratégie ou consultez la de sécurité.

  • --update-mask=UPDATE_MASK est la liste des champs que vous voulez mettre à jour, au format séparé par des virgules. Cet argument est facultatif.

Par exemple, pour mettre à jour un déploiement de stratégie avec les critères suivants:

  • Organisation : organizations/3589215982/locations/global
  • ID de déploiement de la stratégie: postureDeploymentexample
  • ID de stratégie: StagingAIPosture
  • Révision: version2

Exécutez la commande suivante :

gcloud scc posture-deployments update
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version2

Vous pouvez afficher les informations d'état au fur et à mesure de l'exécution de la commande. Si la stratégie échec du processus de mise à jour du déploiement, supprimez le déploiement, résolvez l'erreur, puis réessayez.

Surveiller la dérive de la position

Vous pouvez surveiller la dérive d'une stratégie déployée par rapport aux stratégies que vous avez définies dans la stratégie de sécurité. Une dérive est une modification d'une stratégie qui se produit en dehors d'une stratégie. Par exemple, une dérive survient lorsqu'un administrateur modifie la définition de la règle dans la console au lieu de mettre à jour le déploiement de la stratégie.

Le service de stratégie de sécurité crée des résultats que vous pouvez consulter la console Google Cloud ou gcloud CLI à chaque dérive.

Console

Si vous avez créé une stratégie qui s'applique aux charges de travail Vertex AI, vous pouvez surveiller les dérives de deux manières: à partir de la page Résultats Vue d'ensemble. Pour toutes les autres positions, vous pouvez surveiller les dérives Résultats

Pour surveiller les dérives à partir de la page Résultats:

  1. Dans la console Google Cloud, accédez à la page Résultats.

    Accéder

  2. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé le Niveau Premium ou Enterprise de Security Command Center activé.

  3. Dans le volet Quick filters (Filtres rapides), sélectionnez le résultat Posture violation (Non-respect de la stratégie). Vous pouvez également saisir le filtre suivant dans l'aperçu de la requête:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"

  4. Pour afficher les détails d'un résultat, cliquez dessus.

Pour surveiller les dérives à partir de la page Présentation (charges de travail Vertex AI uniquement):

  1. Dans la console Google Cloud, accédez à la page Présentation.

    Accéder à la page "Présentation"

  2. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé le Niveau Premium ou Enterprise de Security Command Center activé.

  3. Examinez le volet Résultats de la charge de travail d'IA.

    • L'onglet Failles affiche toutes les failles liées aux les modules personnalisés Security Health Analytics qui s'appliquent spécifiquement aux charges de travail Vertex AI.
    • L'onglet Dérive des stratégies indique toute dérive liée au Vertex AI les règles d'administration que vous avez appliquées à une stratégie.

  4. Pour afficher les détails d'un résultat, cliquez dessus.

gcloud

Pour afficher les résultats de dérive dans la gcloud CLI, exécutez la commande suivante:

gcloud scc findings list ORGANIZATION_ID \
--filter="category=\"SECURITY_POSTURE_DRIFT\""

ORGANIZATION_ID est l'ID de l'organisation.

Pour en savoir plus sur la résolution de ces problèmes, consultez Service de stratégie de sécurité résultats. Vous pouvez exporter ces résultats de la même manière que tout autre résultat de Security Command Center. Pour en savoir plus, consultez la page Options d'intégration. et Exporter des données Security Command Center.

Pour désactiver une dérive vous pouvez mettre à jour le déploiement de la stratégie avec le même ID de stratégie et la même révision de stratégie.

Générer un résultat de dérive à des fins de test

Après avoir déployé une stratégie, vous pouvez surveiller les dérives par rapport à vos stratégies. À voir les résultats des dérives en action dans un environnement de test, procédez comme suit:

  1. Dans la console, accédez à la page Règle d'administration.

    Accéder à la page "Règle d'administration"

  2. Modifiez l'une des stratégies que vous avez définies dans la stratégie déployée. Pour Par exemple, si vous utilisez une stratégie d'IA sécurisée prédéfinie, vous pouvez modifier Restreindre l'accès des adresses IP publiques sur les nouveaux notebooks Vertex AI Workbench et des instances.

  3. Après avoir modifié la règle, cliquez sur Définir une stratégie.

  4. Accéder à la page Résultats

    Accéder

  5. Dans la section Nom à afficher pour la source du volet Filtres rapides, procédez comme suit : sélectionnez Security Posture (Stratégie de sécurité). Un résultat lié à votre modification devrait s'afficher en cinq minutes.

  6. Pour afficher les détails du résultat, cliquez dessus.

Supprimer un déploiement de stratégie

Vous pouvez supprimer un déploiement de stratégie s'il ne s'est pas déployé correctement, exigent une stratégie particulière, ou que vous ne souhaitez plus appliquer une stratégie en particulier est attribué à un projet, un dossier ou une organisation. Pour supprimer un déploiement de stratégie, le déploiement de la stratégie doit présenter l'un des états suivants:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Pour vérifier l'état d'un déploiement de stratégie, consultez Afficher les informations sur le déploiement d'une stratégie.

Lorsque vous supprimez un déploiement de stratégie, vous retirez la stratégie ressource (organisation, dossier ou projet) à laquelle vous l'avez attribuée.

Voici le résultat des différents types de règles:

  • Lorsque vous supprimez un déploiement de stratégie qui inclut une organisation personnalisée , les règles d'administration personnalisées sont supprimées. Toutefois, continue d'exister.

  • Lorsque vous supprimez un déploiement de stratégie qui inclut l'analyse de l'état de la sécurité intégrée l'état final des modules Security Health Analytics dépend de l'organisation, le dossier ou le projet dans lequel le déploiement a existé.

    • Si vous avez déployé une stratégie sur un dossier ou un projet, Les détecteurs Security Health Analytics héritent de leur état de l'organisation parente ou un dossier.
    • Si vous avez déployé une stratégie au niveau de l'organisation, L'état par défaut des détecteurs Security Health Analytics est rétabli. Pour une description de états par défaut, consultez la section Activer et désactiver les détecteurs.

Exécuter la commande gcloud scc posture-deployments delete pour supprimer une stratégie le déploiement.

gcloud scc posture-deployments delete
POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME est le nom relatif de la ressource pour déploiement de stratégie. Le format est le suivant : organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID

  • LOCATION est global.

  • POSTURE_DEPLOYMENT_ID est le nom unique de la stratégie. le déploiement.

Par exemple, pour supprimer un déploiement de stratégie nommé organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, exécutez la commande suivante:

gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Supprimer une stratégie

Lorsque vous supprimez une stratégie, vous supprimez également toutes les révisions. Vous ne pouvez pas supprimer un stratégie d'enchères déployée. Vous devez supprimer le déploiement de stratégie pour pouvoir terminer cette tâche.

Exécutez la commande gcloud scc postures delete pour supprimer une stratégie.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME est le nom de ressource relatif du de sécurité. Par exemple, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID. L'ID de stratégie est un nom alphanumérique propre à votre organisation. LOCATION est global.

Par exemple, pour supprimer une stratégie nommée organizations/3589215982/locations/global/postures/posture-example-1, exécutez la commande suivante:

gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1

Étape suivante