Administra una postura de seguridad

En esta página, se describe cómo configurar y usar el servicio de postura de seguridad después de activar Security Command Center. Para empezar, debes crear una postura que incluye tus políticas, organizadas en conjuntos de políticas y, luego, implementar la postura usando un de la postura de seguridad. Después de implementar una postura, puedes supervisar el desvío y perfeccionar más tu postura con el tiempo.

Antes de comenzar

Completa estas tareas antes de completar las tareas restantes de esta página.

Activa el nivel Premium o Enterprise de Security Command Center

Verifica que el elemento Nivel Premium o Enterprise de Security Command Center se activa a nivel de la organización.

Si deseas usar detectores de Security Health Analytics como políticas, selecciona Servicio Security Health Analytics durante el proceso de activación.

Configura los permisos

A fin de obtener los permisos necesarios para usar la postura, solicita a tu administrador que te otorgue el Rol de IAM de Administrador de postura de seguridad (roles/securityposture.admin). Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Para obtener más información sobre los roles y la postura de seguridad permisos, consulta IAM para el nivel de organización activaciones.

Configura Google Cloud CLI

Debes usar la versión 461.0.0 de Google Cloud CLI o una posterior.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

A fin de configurar la CLI de gcloud para usar la identidad temporal como cuenta de servicio y autenticarse en las APIs de Google, en lugar de tus credenciales de usuario, ejecuta el siguiente comando:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Para obtener más información, consulta Identidad temporal como cuenta de servicio.

Habilita las APIs

Habilita el Servicio de políticas de la organización y las APIs del servicio de postura de seguridad:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configura la conexión con AWS

Para usar detectores de Security Health Analytics integrados específicos de AWS, debes Activar Security Command Center Enterprise y conecta a AWS en busca de vulnerabilidades de detección de intrusiones.

Crea e implementa una postura

Para comenzar a usar una postura de seguridad, debes completar lo siguiente:

  • Crea un archivo YAML de postura que defina las políticas que se aplican a tu de seguridad de la nube.

  • Crear una postura en Google Cloud que se base en el archivo YAML de postura

  • Implementa la postura.

En las siguientes secciones, se proporcionan instrucciones detalladas.

Crea un archivo YAML de postura

Una postura consta de uno o más conjuntos de políticas que puedes implementar en conjunto. Estos que incluyen todas las políticas preventivas y de detección que quieres incluir en tu postura.

Para crear tu postura, realiza una de las siguientes acciones:

Para obtener detalles sobre los campos que puedes usar en una postura, consulta la Referencia de Posture y las Referencia de PolicySet.

Crea un archivo de postura a partir de una plantilla de postura predefinida

Puedes usar una plantilla de postura predefinida para crear un archivo de postura.

Console

  1. En la consola de Google Cloud, ve a la página Administración de la postura.

    Ir a Administración de la postura

  2. Verifica que estás viendo la organización a la que activaste Security Command Center nivel Premium o Enterprise activado.

  3. En la pestaña Plantillas, haz clic en la plantilla que quieres usar.

  4. En la página Detalles de la plantilla, haz clic en Crear postura.

  5. Proporciona un nombre único para la postura y haz clic en Crear. La postura detalles.

  6. Realiza una de las acciones siguientes:

gcloud

  1. Revisar la postura predefinida plantillas para determinar cuáles se aplican a tu entorno. Puedes aplicar algunas de ellas sin hacer ningún cambio, pero otros requieren que personalices las políticas para que coincida con tu entorno.

  2. Usa uno de los siguientes métodos para copiar los archivos YAML en tu propio texto Editor:

    • Copiar el archivo YAML del contenido de referencia en la postura predefinida plantillas.

    • Ejecuta el comando gcloud scc posture-templates describe para copiar el archivo YAML .

    gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \
    --revision-id=REVISION_ID

    Reemplaza los siguientes valores:

    • ORGANIZATION_ID es la organización en la que activó el nivel Premium o Enterprise de Security Command Center.

    • LOCATION es la ubicación en la que en las que quieres implementar y almacenar la postura. La única ubicación admitida es global.

    • POSTURE_TEMPLATE es el nombre de la plantilla de la configuración de seguridad, como se describe en Plantillas de postura predefinidas.

    • REVISION_ID es la versión de revisión de la una postura predefinida. Si no incluyes el ID de revisión, se usará de la postura predefinida.

    Por ejemplo, para ver la IA segura, la postura predefinida de esencial en la organización 3589215982, ejecuta el lo siguiente:

    gcloud scc posture-templates describe
    organizations/3589215982/locations/global/postureTemplates/secure_ai_essential
    --revision-id=v.1.0

  3. Realiza una de las acciones siguientes:

    • Si puedes usar la postura sin hacer ningún cambio (por ejemplo, usado una de las plantillas _Essentials), puedes crear la postura. Para obtener instrucciones, consulta Crea una postura.

    • Si necesitas modificar cualquiera de las políticas o conjuntos de políticas, completa Modifica un archivo YAML de postura.

Crea un archivo de postura mediante la extracción de políticas de un entorno existente

Puedes extraer las políticas (políticas de la organización, incluidas las políticas personalizadas y todos los detectores de Security Health Analytics, incluidos los detectores personalizados) que configuraste en un proyecto, una carpeta o una organización existentes para crear un archivo de postura. Tú No puedes extraer políticas de una organización, carpeta o proyecto que ya tengan una postura aplicada a él.

Este comando solo extrae las políticas que configuraste previamente para el organización, carpeta o proyecto, y no extrae políticas carpetas u organización.

Si conectaste Security Command Center Enterprise a AWS, este comando también extrae los detectores específicos de AWS (Preview).

  1. Ejecuta el comando gcloud scc postures extract para extraer el archivo las políticas de la organización y los detectores de Security Health Analytics en tu entorno.

    gcloud scc postures extract \
    POSTURE_NAME --workload=WORKLOAD

    Reemplaza los siguientes valores:

    • POSTURE_NAME es el nombre del recurso relativo del de seguridad y garantizar la postura de seguridad en general. Por ejemplo, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

      • LOCATION es global.

      • POSTURE_ID es un nombre alfanumérico para tu postura que es única para tu organización. POSTURE_ID es con un límite de 63 caracteres.

    • WORKLOAD es el proyecto, la carpeta o la organización. del que extraes las políticas. La carga de trabajo es una de las siguientes:

      • projects/PROJECT_NUMBER

      • folder/FOLDER_ID

      • organizations/ORGANIZATION_ID

    Por ejemplo, para extraer políticas de la carpeta 3589215982 en la 6589215984, ejecuta lo siguiente:

    gcloud scc postures extract organizations/6589215984/locations/global/postures/myStagingPosture workload=folder/3589215982 > posture.yaml

  2. Abre el archivo posture.yaml resultante para editarlo.

  3. Realiza una de las acciones siguientes:

    • Si puedes usar la postura sin hacer ningún cambio (por ejemplo, usaste una de las plantillas _essentials), puedes crear la de seguridad y garantizar la postura de seguridad en general. Para obtener instrucciones, consulta Crea una postura.

    • Si necesitas modificar cualquiera de las políticas o conjuntos de políticas, completa Modificar un archivo YAML de postura.

Crea un recurso de Terraform con definiciones de políticas

Puedes crear una configuración de Terraform para crear un recurso de postura.

Por ejemplo, puedes crear un recurso de postura que incluya modelos restricciones de las políticas de la organización y detectores de Security Health Analytics integrados y personalizados. Compatibilidad con la administración de posturas Los detectores de Security Health Analytics específicos de AWS se encuentran en vista previa.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Para obtener más información, consulta google_securityposture_posture.

Modifica un archivo YAML de postura

Completa los siguientes pasos para modificar un archivo YAML de postura:

  1. Abre el archivo YAML de postura en un editor de texto.

  2. Verifica los elementos name, description y state al principio del archivo.

    name: organizations/ORGANIZATION_ID/locations/LOCATION/posture/POSTURE_ID
    description: DESCRIPTION
    state: STATE
    

    Para obtener detalles sobre estos campos, consulta la Referencia de Posture.

    Por ejemplo:

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
    description: This posture applies to staging environments for Vertex AI.
    state: ACTIVE
    
  3. Personaliza las políticas del archivo para que cumpla con tus requisitos.

    Para obtener detalles sobre los campos que puedes usar, consulta la Referencia de PolicySet.

    1. Revisa las políticas existentes y sus valores. En el caso de las políticas que requieren específica de tu entorno, establece los valores apropiadamente. Por ejemplo, para la política ainotebooks.accessMode en la IA segura, postura predefinida extendida, agregar los modos de acceso permitidos por debajo de policy_rules:

        - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
          compliance_standards:
          - standard: NIST SP 800-53
            control: AC-3(3)
          - standard: NIST SP 800-53
            control: AC-6(1)
          constraint:
            org_policy_constraint:
              canned_constraint_id: ainotebooks.accessMode
              policy_rules:
              - values:
                  allowed_values: service-account
          description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      
    2. Agrega restricciones adicionales a las políticas de la organización, como se documenta en Restricciones de las políticas de la organización. Si defines una política de la organización personalizada, asegúrate de que el archivo incluye la definición de la restricción personalizada. No puedes usar una restricción que creaste con otros métodos (por ejemplo, usando el consola de Google Cloud). Por ejemplo, puedes establecer la compute.trustedImageProjects para definir proyectos se puede que se usan en el almacenamiento de imágenes y la creación de instancias en discos. Si copias este ejemplo, Asegúrate de reemplazar allowed_values por una lista adecuada de proyectos:

        - policy_id: Define projects with trusted images.
          compliance_standards:
          - standard:
            control:
          constraint:
            org_policy_constraint:
              canned_constraint_id: compute.trustedImageProjects
              policy_rules:
              - values:
                  allowed_values:
                  - project1
                  - project2
                  - projectN
          description: This is a complete list of projects from which images can be used.
      
    3. Agrega detectores de Security Health Analytics, como los que se documentan en Resultados de Security Health Analytics. Por ejemplo, agrega un detector de Security Health Analytics para crear un resultado si un El proyecto no utiliza una clave de API para la autenticación:

        - policy_id: API Key Exists
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: API_KEY_EXISTS
      

      Como otro ejemplo, agrega un módulo personalizado de Security Health Analytics para detectar si Los conjuntos de datos de Vertex AI están encriptados:

        - policy_id: CMEK key is use for Vertex AI DataSet
          compliance_standards:
          - standard: NIST SP 800-53
            control: SC-12
          - standard: NIST SP 800-53
            control: SC-13
          constraint:
            security_health_analytics_custom_module:
              display_name: "vertexAIDatasetCMEKDisabled"
              config:
                customOutput: {}
                predicate:
                  expression: "!has(resource.encryptionSpec)"
                resource_selector:
                  resource_types:
                  - aiplatform.googleapis.com/Dataset
                severity: CRITICAL
                description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
                recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
              module_enablement_state: ENABLED
      

      Como otro ejemplo, para Security Command Center Enterprise, agrega un Security Health Analytics que es específico de AWS (vista previa):

      - policy_set_id: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policy_id: S3 bucket replication enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policy_id: S3 bucket logging enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Si agregas un detector específico de AWS, debes implementar la postura a nivel de la organización.

  4. Sube tu archivo de postura a un repositorio de código fuente con control de versión para que puedes hacer un seguimiento de los cambios que le hagas a lo largo del tiempo.

Crea una postura

Completa esta tarea para crear un recurso de postura en Security Command Center que pueden implementar. Si creaste una postura a partir de una plantilla de postura predefinida con en la consola de Google Cloud, el recurso de postura se crea automáticamente para ti.

gcloud

  1. Ejecuta el comando gcloud scc postures create para crear una postura con el elemento archivo posture.yaml.

    gcloud scc postures create \
    POSTURE_NAME --posture-from-file=POSTURE_FROM_FILE

    Reemplaza los siguientes valores:

    • POSTURE_NAME es el nombre del recurso relativo del de seguridad y garantizar la postura de seguridad en general. Por ejemplo, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

      • LOCATION es global.

      • POSTURE_ID es un nombre alfanumérico para tu que es única para tu organización. POSTURE_ID es con un límite de 63 caracteres.

    • POSTURE_FROM_FILE es la ruta de acceso absoluta o relativa a el archivo posture.yaml.

    Por ejemplo, para crear una postura con el ID posture-example-1 en la organización organizations/3589215982, ejecuta lo siguiente:

    gcloud scc postures create organizations/3589215982/locations/global/postures/posture-example-1 --posture-from-file=posture.yaml

    Si falla el proceso de creación de la postura, bórrala. solucionar el error y volver a intentarlo.

  2. Para verificar que la postura se creó correctamente, consulta Ver un postura de seguridad en la nube.

Para aplicar esta postura a tu entorno, debes implementar la postura de seguridad en la nube.

Terraform

Si creaste una configuración de Terraform para el recurso de postura, debes aprovisionarlo con tu de infraestructura como código.

Para obtener más información, consulta Terraform en Google Cloud.

Implementa una postura

Después de crear una postura, debes implementarla en un proyecto, una carpeta o una organización para que puedas aplicar las políticas y sus definiciones a recursos específicos en tu organización y supervisar los desvíos. Solo puedes implementar una postura en una proyecto, organización o carpeta.

Verifica que el estado de tu postura sea ACTIVE.

Cuando implementas la postura, ocurren las siguientes acciones:

  • Las definiciones de las políticas de la organización y los detectores de Security Health Analytics son se aplicó.

  • La restricción personalizada para políticas de la organización personalizadas se crea con ID de restricción para incluir el ID de revisión de postura como sufijo de la restricción que definiste en la postura.

  • El estado predeterminado de los módulos personalizados se establece en Habilitado.

Console

  1. En la consola de Google Cloud, ve a la página Administración de la postura.

    Ir a Administración de la postura

  2. Verifica que estás viendo la organización a la que activaste Security Command Center nivel Premium o Enterprise activado.

  3. En la pestaña Postura, haz clic en la postura que deseas implementar.

  4. En la página Detalles de la postura, selecciona la revisión de la postura que quieres implementar.

  5. Haz clic en Implementar en el nodo.

  6. Selecciona la organización, la carpeta o el proyecto en el que quieres implementar postura de seguridad fuerte. Si tu postura incluye un detector específico de AWS, debes implementar la postura a nivel de la organización (Vista previa).

  7. Haz clic en Seleccionar.

  8. Repite del paso 5 al 7 para cada organización, carpeta o proyecto que al que quieres aplicar la postura.

gcloud

Ejecuta el comando gcloud scc posture-deployments create para implementar una postura en una proyecto, organización o carpeta.

gcloud scc posture-deployments create \
POSTURE_DEPLOYMENT_NAME  --posture-name=POSTURE_NAME \
--posture-revision-id=POSTURE_REVISION_ID \
--target-resource=TARGET_RESOURCE

Reemplaza los siguientes valores:

  • POSTURE_DEPLOYMENT_NAME es el nombre del recurso relativo del de la postura de seguridad. El formato es organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID

    • LOCATION es global.

    • POSTURE_DEPLOYMENT_ID es un nombre único para la postura de Google Workspace. POSTURE_DEPLOYMENT_ID es con un límite de 63 caracteres.

  • --posture-name=POSTURE_NAME es el nombre de la postura de seguridad que estás implementando. El formato es organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

    • LOCATION es global.

    • POSTURE_ID es un nombre alfanumérico para tu que es única para tu organización.

  • --posture-revision-id=POSTURE_REVISION_ID es el una revisión de postura de seguridad que quieres implementar. Puedes obtenerla de la respuesta que recibes cuando creas la postura o la ves.

  • --target-resource=TARGET_RESOURCE es el nombre del organización, carpeta o proyecto en el que quieras implementar la postura. Puedes Utiliza uno de los siguientes formatos:

    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID
    • projects/PROJECT_NUMBER

    Si tu postura incluye un detector específico de AWS, debes implementar la postura a nivel de la organización (Vista previa).

Por ejemplo, para implementar una postura, ejecuta el siguiente comando:

gcloud scc posture-deployments create
organizations/3589215982/locations/global/postureDeployments/postureDeployment123
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version1 --target-resource=projects/4589215982

Puedes ver la información del estado a medida que se completa el comando. Si la postura de creación de Deployments falla, borra la implementación solucionar el error y volver a intentarlo.

Terraform

Puedes crear un recurso de Terraform para implementar una postura.

  resource "google_securityposture_posture_deployment" "posture_deployment_example" {
    posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
    parent = "organizations/<ORGANIZATION_ID>"
    location = "global"
    description = "a new posture deployment"
    target_resource = "<TARGET_RESOURCE>"
    posture_id = "<POSTURE_NAME>"
    posture_revision_id = "<POSTURE_REVISION_ID>"
  }

Para obtener más información, consulta google_securityposture_posture_deployment.

Después de crear el recurso de Terraform, aprovéchalo usando tu de infraestructura como código.

Visualiza la información de la postura y del Deployment de la postura

Puedes ver la información de la postura y la implementación de la postura para ver información como la siguiente:

  • Qué posturas se implementan y en qué lugar de la jerarquía de recursos (organizaciones, proyectos y carpetas) se aplican

  • Las revisiones y el estado de las posturas

  • Los detalles operativos de una implementación de postura

Visualiza una postura

Puedes ver información sobre una postura (como su estado y política definiciones).

Console

  1. En la consola de Google Cloud, ve a la página Administración de la postura.

    Ir a Administración de la postura

  2. Selecciona la organización en la que activaste Security Command Center nivel Premium o Enterprise activado.

  3. En la pestaña Posturas, haz clic en la postura que deseas ver. El los detalles de la postura de seguridad.

gcloud

Ejecuta el comando gcloud scc postures describe para ver una postura que crear.

gcloud scc postures describe POSTURE_NAME \
--revision-id=REVISION_ID

Reemplaza los siguientes valores:

  • POSTURE_NAME es el nombre del recurso relativo del de seguridad y garantizar la postura de seguridad en general. Por ejemplo, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

    • LOCATION es global.

    • POSTURE_ID es un nombre alfanumérico para tu postura que es única para tu organización.

  • revision-id=REVISION_ID es una marca opcional que especifica qué versión de la postura se debe ver. Si no incluyes la marca, se devuelve la versión más reciente.

Por ejemplo, para ver una postura con el nombre organizations/3589215982/locations/global/postures/posture-example-1 y el ID de revisión abcdefgh, ejecuta lo siguiente:

gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1
--revision-id=abcdefgh

Ver información sobre una operación de implementación de posturas

Ejecuta el comando gcloud scc posture-operations describe para ver detalles de la operación para una operación de implementación de postura.

gcloud scc posture-operations describe OPERATION_NAME

Donde OPERATION_NAME es el nombre del recurso relativo para la operación. El formato es organizations/ORGANIZATION_ID/LOCATION/global/operations/OPERATION_ID LOCATION es la ubicación en la que implementó el Deployment de postura. Puedes obtener el OPERATION_ID con el argumento --async cuando ejecutes el comando de postura.

Por ejemplo, para ver una operación de análisis con el nombre organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, ejecuta lo siguiente:

gcloud scc posture-operations describe
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Ver información sobre una implementación de postura

Puedes ver en qué lugar se implementa una postura, además del estado de la implementación.

Console

  1. En la consola de Google Cloud, ve a la página Administración de la postura.

    Ir a Administración de la postura

  2. Verifica que estás viendo la organización a la que activaste Security Command Center nivel Premium o Enterprise activado.

  3. En la pestaña Posturas, haz clic en la postura que implementaste.

  4. Haga clic en la pestaña Deployments. Puedes ver los proyectos, las carpetas y la organización en la que se implementa la postura, así como el estado para cada estado.

gcloud

Ejecuta el comando gcloud scc posture-deployments describe para ver información sobre una postura implementada.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

Donde POSTURE_DEPLOYMENT_NAME es el nombre del recurso relativo para el de la postura de seguridad. El formato es organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID

  • LOCATION es global.

  • POSTURE_DEPLOYMENT_ID es un nombre único para la postura de Google Workspace.

Por ejemplo, para ver los detalles de una implementación de postura con el nombre organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, ejecuta lo siguiente:

gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Actualiza una postura y una implementación de posturas

Puedes actualizar lo siguiente:

  • El estado de la postura.

  • Las definiciones de la política en una postura.

  • La organización, las carpetas o los proyectos en los que se implementa una postura.

Actualiza las definiciones de la política en una postura

Es posible que debas actualizar una postura cuando habilites más servicios de Google Cloud implementar recursos adicionales o requerir políticas adicionales para cumplir con las cambios en los requisitos de cumplimiento. Si actualizas una revisión de postura implementada, esta tarea crea una nueva revisión de postura. De lo contrario, la revisión de postura que que especificas cuando ejecutas el comando update.

  1. Abre un archivo YAML en un editor de texto. Agrega los campos que quieras actualizar con sus valores. Si estás actualizando conjuntos de políticas, asegúrate de que tus incluye todos los conjuntos de políticas que quieres incluir en la postura incluidos los conjuntos de políticas que ya existen. Para obtener instrucciones, consulta Modifica un archivo YAML de postura.

  2. Ejecuta el comando gcloud scc postures update para actualizar la postura.

    gcloud scc postures update POSTURE_NAME \
    --posture-from-file=POSTURE_FROM_FILE \
    --revision-id=POSTURE_REVISION_ID --update-mask=UPDATE_MASK

    Reemplaza los siguientes valores:

    • POSTURE_NAME es el nombre del recurso relativo del de seguridad y garantizar la postura de seguridad en general. Por ejemplo, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

      • LOCATION es global.

      • POSTURE_ID es un nombre alfanumérico para tu postura que es única para tu organización.

    • POSTURE_FROM_FILE es la ruta de acceso absoluta o relativa a el archivo posture.yaml que incluye tus cambios.

    • --revision-id=REVISION_ID es el una revisión de postura de seguridad que quieres implementar. Si actualmente la postura es implementada, de postura de seguridad crea automáticamente una versión nueva del con un ID de revisión diferente y, además, incluye el ID de revisión en la salida.

    • --update-mask=UPDATE_MASK es la lista de campos que que quieres actualizar, en formato separado por comas. Este argumento es opcional. Puedes establecer UPDATE_MASK en una de las siguientes opciones: valores:

      • * o sin especificar: Aplica los cambios que realizaste a los conjuntos de políticas y la descripción de la postura.
      • policy_sets: Aplica los cambios que hiciste solo a los conjuntos de políticas.
      • description: Aplica los cambios que realizaste solo en la descripción de la postura.
      • policy_sets, description: Aplica los cambios que hiciste en el de políticas y la descripción de la postura.
      • state: Aplica solo el cambio de estado.

    Por ejemplo, para actualizar una postura con el nombre posture-example-1 debajo de la organización organizations/3589215982/locations/global y la El ID de revisión establecido en abcd1234 ejecuta lo siguiente:

    gcloud scc postures update organizations/3589215982/locations/global/posture-example-1 --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets

    Si el proceso de actualización de postura falla, soluciona el error y vuelve a intentarlo.

  3. Para verificar que la postura se actualizó correctamente, consulta Ver un postura de seguridad en la nube.

Cómo cambiar el estado de una postura

El estado de una postura determina si está disponible para su implementación en un proyecto, organización o carpeta.

Una postura puede tener los siguientes estados:

  • DRAFT: La revisión de la postura no está lista para la implementación. No puedes implementar un de postura que tenga el estado DRAFT.

  • ACTIVE: La revisión de postura está disponible para su implementación. Puedes cambiar el estado de ACTIVE a DRAFT o DEPRECATED.

  • DEPRECATED: Una revisión de postura DEPRECATED no se puede implementar en un recurso. Debes borrar todas las implementaciones de postura existentes de la postura para dar de baja una revisión de postura. Si quieres volver a implementar una postura revisión que ya no está disponible, debes cambiar su estado a ACTIVE.

Para cambiar el estado de una postura, ejecuta el comando gcloud scc postures update. No puedes actualizar el estado de postura al mismo tiempo que actualizas otros . Para obtener instrucciones sobre cómo ejecutar el comando gcloud scc postures update, consulta Modifica un archivo YAML de postura.

Actualizar una implementación de postura

Actualizar una implementación de postura en un proyecto, organización o carpeta para implementar un implementar una nueva postura o implementar una revisión nueva de una postura.

Si la revisión de postura que actualizas incluye una restricción de organización personalizada que se borró con la consola de Google Cloud, no puedes actualizar la postura con el mismo ID de postura. El Servicio de políticas de la organización impide de restricciones de organización personalizadas que tienen el mismo nombre. En cambio, debes crea una versión nueva de la postura o usa un ID de postura diferente.

Console

  1. En la consola de Google Cloud, ve a la página Administración de la postura.

    Ir a Administración de la postura

  2. Verifica que estás viendo la organización que activaste el nivel Premium o Enterprise de Security Command Center.

  3. En la pestaña Posturas, haz clic en la postura que actualizaste.

  4. En la página Detalles de la postura, selecciona la revisión de la postura que se actualicen.

  5. Haz clic en Implementar en el nodo.

  6. Selecciona la organización, la carpeta o el proyecto en el que quieres implementar postura de seguridad fuerte. Si ves un mensaje que indica que la implementación ya existe, borrar la implementación antes de volver a intentarlo. Si tu postura incluye un detector específico de AWS, debes implementar la postura a nivel de la organización (vista previa).

  7. Haz clic en Seleccionar.

gcloud

Ejecuta el comando gcloud scc posture-deployments update para implementar una postura.

gcloud scc posture-deployments update \
POSTURE_DEPLOYMENT_NAME --description=DESCRIPTION \
--update-mask=UPDATE_MASK --posture-id=POSTURE_ID \
--posture-revision-id=POSTURE_REVISION_ID

Reemplaza los siguientes valores:

  • POSTURE_DEPLOYMENT_NAME es el nombre del recurso relativo del de la postura de seguridad. El formato es organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID

    • LOCATION es global.

    • POSTURE_DEPLOYMENT_ID es un nombre único para la postura de Google Workspace.

  • --description=DESCRIPTION es la descripción opcional. para la postura implementada.

  • --posture-id=POSTURE_ID es el nombre de tu postura que es única para tu organización. El formato es organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_NAME.

  • --posture-revision-id=POSTURE_REVISION_ID es el una revisión de postura de seguridad que quieres implementar. Puedes obtenerla de la respuesta que recibes cuando creas la postura o visualizas de la organización.

  • --update-mask=UPDATE_MASK es la lista de campos que que quieres actualizar, en formato separado por comas. Este argumento es opcional.

Por ejemplo, para actualizar un Deployment de postura con el los siguientes criterios:

  • Organización: organizations/3589215982/locations/global
  • ID de la implementación de la postura: postureDeploymentexample
  • ID de la postura: StagingAIPosture
  • Revisión: version2

Ejecuta el siguiente comando:

gcloud scc posture-deployments update
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version2

Puedes ver la información del estado a medida que se completa el comando. Si la postura falla el proceso de actualización del Deployment, borra la implementación solucionar el error y volver a intentarlo.

Supervisa el desvío de postura

Puedes supervisar una postura implementada para detectar desvíos de tus políticas definidas en de seguridad en la nube. El desvío es un cambio en una política que ocurre fuera de una postura. Por ejemplo, el desvío se produce cuando un administrador cambia un la definición de la política en la consola, en lugar de actualizar la implementación de la postura.

El servicio de postura de seguridad crea hallazgos que puedes ver en en la consola de Google Cloud o en gcloud CLI.

Console

Si creaste una postura que se aplica a las cargas de trabajo de Vertex AI, puedes puedes supervisar el desvío de dos maneras: desde la página Hallazgos y desde la Descripción general. Para todas las demás posturas, puedes supervisar el desvío Hallazgos.

Para supervisar el desvío desde la página Hallazgos, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Hallazgos.

    Ir a hallazgos

  2. Verifica que estás viendo la organización a la que activaste Security Command Center nivel Premium o Enterprise activado.

  3. En el panel Filtros rápidos, selecciona el hallazgo Infracción de postura. También puedes ingresar el siguiente filtro en Vista previa de la consulta:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
    
  4. Para ver los detalles de un hallazgo, haz clic en él.

Para supervisar los desvíos desde la página Descripción general (cargas de trabajo de Vertex AI solo):

  1. En la consola de Google Cloud, ve a la página Descripción general.

    Ir a Descripción general

  2. Verifica que estás viendo la organización a la que activaste Security Command Center nivel Premium o Enterprise activado.

  3. Revisa el panel Hallazgos de la carga de trabajo de IA.

    • La pestaña Vulnerabilidades muestra todas las vulnerabilidades relacionadas con cualquier Los módulos personalizados de Security Health Analytics que se aplican específicamente a las cargas de trabajo de Vertex AI.
    • En la pestaña Policy Drift, se muestran los desvíos relacionados con Vertex AI las políticas de la organización que aplicaste en una postura.
  4. Para ver los detalles de un hallazgo, haz clic en él.

gcloud

En gcloud CLI, ejecuta el siguiente comando para ver los resultados de los desvíos:

gcloud scc findings list ORGANIZATION_ID \
--filter="category=\"SECURITY_POSTURE_DRIFT\""

En el ejemplo anterior, ORGANIZATION_ID es el ID de la organización.

Para obtener más información sobre cómo abordar estos hallazgos, consulta Servicio de postura de seguridad de los resultados de búsqueda. Puedes exportar estos resultados de la misma manera en la que exportas cualquier otro resultado. en Security Command Center. Para obtener más información, consulta Opciones de integración y Exporta datos de Security Command Center.

Para desactivar un hallazgo de desvío, puedes actualizar el Deployment de postura con los mismos el ID y la revisión de la postura.

Generar un hallazgo de desvío con fines de prueba

Después de implementar una postura, puedes supervisar el desvío de tus políticas. Para para ver los resultados de desvíos en acción en un entorno de pruebas, completa lo siguiente:

  1. En la consola, ve a la página Política de la organización.

    Ir a Política de la organización

  2. Edita una de las políticas que definiste en la postura implementada. Para Por ejemplo, si usas una postura de IA segura predefinida, podrías editar Restringir el acceso de IP pública en notebooks nuevos de Vertex AI Workbench y .

  3. Después de cambiar la política, haz clic en Establecer política.

  4. Ir a la página Resultados

    Ir a hallazgos

  5. En la sección Nombre visible de la fuente del panel Filtros rápidos, haz lo siguiente: selecciona Postura de seguridad. Debería aparecer un hallazgo relacionado con tu cambio en cinco minutos.

  6. Para ver los detalles del hallazgo, haz clic en él.

Borrar una implementación de postura

Puedes borrar una implementación de postura si no se implementó correctamente, ya no requieren una postura determinada o ya no quieren una postura asignados a un proyecto, organización o carpeta. Para borrar un Deployment de postura, la implementación de postura debe estar en uno de los siguientes estados:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Para verificar el estado de una implementación de postura, consulta Visualiza información sobre una implementación de postura.

Cuando borras un Deployment de postura, quitas la postura del recurso (tu organización, carpeta o proyecto) al que lo asignaste.

El resultado de los diferentes tipos de políticas es el siguiente:

  • Cuando borras una implementación de postura que incluye datos de organización de la organización, se borran las políticas personalizadas. Sin embargo, la configuración restricción sigue existiendo.

  • Cuando borras una implementación de postura que incluye Security Health Analytics integradas el estado final de los módulos de Security Health Analytics depende del la organización, la carpeta o el proyecto en el que existía la implementación.

    • Si implementaste una postura en una carpeta o proyecto, las capacidades integradas Los detectores de Security Health Analytics heredan su estado de la organización superior. o carpeta.
    • Si implementaste una postura a nivel de la organización, las capacidades integradas Los detectores de Security Health Analytics vuelven al estado predeterminado. Para obtener una descripción de los estados predeterminados, consulta Habilita o inhabilita los detectores.

Ejecuta el comando gcloud scc posture-deployments delete para borrar una postura de Google Workspace.

gcloud scc posture-deployments delete
POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME es el nombre del recurso relativo del de la postura de seguridad. El formato es organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID

  • LOCATION es global.

  • POSTURE_DEPLOYMENT_ID es el nombre único de la postura. de Google Workspace.

Por ejemplo, para borrar un Deployment de postura con el nombre organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, ejecuta lo siguiente:

gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Borrar una postura

Cuando borras una postura, también se borran todas las revisiones. No puedes borrar de seguridad que se implementa. Debes borrar la implementación de la postura para poder completar esta tarea.

Ejecuta el comando gcloud scc postures delete para borrar una postura.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME es el nombre del recurso relativo del de seguridad y garantizar la postura de seguridad en general. Por ejemplo:organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID El ID de postura es un nombre alfanumérico para tu postura que es único para tu organización. LOCATION es global.

Por ejemplo, para borrar una postura que tiene el nombre organizations/3589215982/locations/global/postures/posture-example-1, ejecuta lo siguiente:

gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1

¿Qué sigue?