Mengelola postur keamanan

Halaman ini menjelaskan cara mengonfigurasi dan menggunakan layanan postur keamanan setelah Anda mengaktifkan Security Command Center. Untuk memulai, Anda harus membuat postur yang menyertakan kebijakan, diatur dalam set kebijakan, lalu men-deploy postur menggunakan deployment postur. Setelah postur di-deploy, Anda dapat memantau penyimpangan dan meningkatkan kualitas postur dari waktu ke waktu.

Sebelum memulai

Selesaikan tugas berikut sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Aktifkan tingkat Security Command Center Premium atau Enterprise

Pastikan tingkat Security Command Center Premium atau tingkat Perusahaan diaktifkan di tingkat organisasi.

Jika Anda ingin menggunakan pendeteksi Security Health Analytics sebagai kebijakan, pilih layanan Security Health Analytics selama proses aktivasi.

Siapkan izin

Untuk mendapatkan izin yang diperlukan untuk menggunakan postur, minta administrator untuk memberi Anda peran IAM Security Posture Admin (roles/securityposture.admin). Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Untuk informasi selengkapnya tentang peran postur keamanan dan izin postur keamanan, lihat IAM untuk aktivasi tingkat organisasi.

Menyiapkan Google Cloud CLI

Anda harus menggunakan Google Cloud CLI versi 461.0.0 atau yang lebih baru.

Anda dapat menggunakan sampel gcloud CLI di halaman ini dari salah satu lingkungan pengembangan berikut:

  • Cloud Shell: Untuk menggunakan terminal online dengan gcloud CLI yang sudah disiapkan, aktifkan Cloud Shell.

    Di bagian bawah halaman ini, sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Perlu waktu beberapa detik hingga sesi dimulai.

  • Shell lokal: Untuk menggunakan gcloud CLI di lingkungan pengembangan lokal, instal dan initialize gcloud CLI.

Untuk menyiapkan gcloud CLI agar menggunakan peniruan akun layanan untuk mengautentikasi ke Google API, alih-alih kredensial pengguna Anda, jalankan perintah berikut: 

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Untuk informasi selengkapnya, lihat Peniruan akun layanan.

Mengaktifkan API

Aktifkan Layanan Kebijakan Organisasi dan API layanan postur keamanan:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Membuat dan men-deploy postur

Untuk mulai menggunakan postur keamanan, Anda harus menyelesaikan hal-hal berikut:

  • Buat file YAML postur yang menentukan kebijakan yang berlaku untuk postur keamanan Anda.

  • Membuat postur di Google Cloud yang didasarkan pada file YAML.

  • Terapkan posturnya.

Bagian berikut memberikan petunjuk mendetail.

Membuat file YAML postur

Postur terdiri dari satu atau beberapa set kebijakan yang Anda deploy bersama. Rangkaian kebijakan ini mencakup semua kebijakan preventif dan detektif yang ingin disertakan dalam postur Anda.

Untuk membuat postur tubuh, lakukan salah satu hal berikut:

Postur adalah {i>file<i} YAML. Untuk mengetahui informasi selengkapnya tentang file posture.yaml dan pasangan nilai kuncinya, lihat File YAML postur keamanan.

Membuat file postur dari template postur yang telah ditentukan

Anda dapat menggunakan template postur yang telah ditentukan sebelumnya untuk membuat file postur.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.

  3. Di tab Templates, klik template yang ingin digunakan.

  4. Di halaman Detail template, klik Create Posture.

  5. Berikan nama unik untuk postur tersebut, lalu klik Buat. Halaman Detail Postur akan terbuka.

  6. Selesaikan salah satu tindakan berikut:

    • Jika Anda dapat menggunakan postur tanpa membuat perubahan apa pun (misalnya, Anda menggunakan salah satu template _Essentials), Anda dapat men-deploy pose tersebut. Untuk mengetahui petunjuknya, lihat Men-deploy pose.

    • Jika Anda perlu mengubah salah satu set kebijakan atau kebijakan (misalnya, Anda menggunakan salah satu template _enhanced), selesaikan Mengubah file YAML postur dan menetapkan status postur ke ACTIVE.

gcloud

  1. Tinjau template pose yang telah ditentukan sebelumnya untuk menentukan mana yang berlaku untuk lingkungan Anda. Anda dapat menerapkan beberapa di antaranya tanpa membuat perubahan apa pun, tetapi sebagian lainnya mengharuskan Anda menyesuaikan kebijakan agar cocok dengan lingkungan Anda.

  2. Gunakan salah satu metode berikut untuk menyalin file YAML ke editor teks Anda sendiri:

    • Salin file YAML dari konten referensi di template postur standar.

    • Jalankan perintah gcloud scc posture-templates describe untuk menyalin file YAML.

    gcloud scc posture-templates describe \
organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \
--revision-id=REVISION_ID

    Ganti nilai berikut:

    • ORGANIZATION_ID adalah organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.

    • LOCATION adalah lokasi tempat Anda ingin men-deploy dan menyimpan postur. Satu-satunya lokasi yang didukung adalah global.

    • POSTURE_TEMPLATE adalah nama template dari postur yang telah ditentukan seperti yang dijelaskan dalam template pose standar.

    • REVISION_ID adalah versi revisi untuk postur yang telah ditentukan. Jika Anda tidak menyertakan ID revisi, versi terbaru dari postur yang telah ditentukan akan ditampilkan.

    Misalnya, untuk melihat AI aman, postur dasar yang telah ditentukan sebelumnya di organisasi 3589215982, jalankan perintah berikut:

    gcloud scc posture-templates describe
    organizations/3589215982/locations/global/postureTemplates/secure_ai_essential
    --revision-id=v.1.0

  3. Selesaikan salah satu tindakan berikut:

    • Jika Anda dapat menggunakan postur tanpa membuat perubahan apa pun (misalnya, Anda menggunakan salah satu template _Essential), Anda dapat membuat postur tersebut. Untuk mengetahui petunjuknya, lihat Membuat postur.

    • Jika Anda perlu mengubah salah satu set kebijakan atau kebijakan, selesaikan artikel Mengubah file YAML postur.

Buat file postur dengan mengekstrak kebijakan dari lingkungan yang ada

Anda dapat mengekstrak kebijakan (kebijakan organisasi, termasuk kebijakan kustom dan semua detektor Security Health Analytics, termasuk detektor kustom) yang Anda konfigurasi di project, folder, atau organisasi yang ada untuk membuat file postur. Anda tidak dapat mengekstrak kebijakan dari organisasi, folder, atau project yang sudah menerapkan postur.

Perintah ini hanya mengekstrak kebijakan yang sebelumnya Anda konfigurasi untuk organisasi, folder, atau project dan tidak mengekstrak kebijakan dari folder induk atau organisasi.

  1. Jalankan perintah gcloud scc postures extract untuk mengekstrak kebijakan organisasi dan detektor Security Health Analytics yang ada di lingkungan Anda.

    gcloud scc postures extract \
POSTURE_NAME --workload=WORKLOAD

    Ganti nilai berikut:

    • POSTURE_NAME adalah nama resource relatif dari pose tersebut. Misalnya, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION sebesar global.

      • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi. POSTURE_ID dibatasi hingga 63 karakter.

    • WORKLOAD adalah project, folder, atau organisasi tempat Anda mengekstrak kebijakan. Beban kerja adalah salah satu dari berikut ini:

      • projects/PROJECT_NUMBER

      • folder/FOLDER_ID

      • organizations/ORGANIZATION_ID

    Misalnya, untuk mengekstrak kebijakan dari folder 3589215982 di organisasi 6589215984, jalankan perintah berikut:

    gcloud scc postures extract organizations/6589215984/locations/global/postures/myStagingPosture folder/3589215982 > posture.yaml

  2. Buka file posture.yaml yang dihasilkan untuk diedit.

  3. Selesaikan salah satu tindakan berikut:

    • Jika Anda dapat menggunakan postur tanpa membuat perubahan apa pun (misalnya, Anda menggunakan salah satu template _Essential), Anda dapat membuat pose tersebut. Untuk mengetahui petunjuknya, lihat Membuat postur.

    • Jika Anda perlu mengubah salah satu set kebijakan atau kebijakan, selesaikan bagian Mengubah file YAML postur.

Membuat resource Terraform dengan definisi kebijakan

Anda dapat membuat konfigurasi Terraform untuk membuat resource postur.

Misalnya, Anda dapat membuat resource postur yang menerapkan batasan kebijakan organisasi storage.uniformBucketLevelAccess:

resource "google_securityposture_posture" "posture_example" {
  posture_id          = "<POSTURE_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  state = "ACTIVE"
  description = "a new posture"
  policy_sets {
      policy_set_id = "org_policy_set"
      description = "set of org policies"
      policies {
          policy_id = "policy_1"
          constraint {
              org_policy_constraint {
                  canned_constraint_id = "storage.uniformBucketLevelAccess"
                  policy_rules {
                      enforce = true
                  }
              }
          }
      }
  }
}

Untuk informasi selengkapnya, lihat google_securityposture_posture.

Mengubah file YAML postur

Selesaikan langkah-langkah berikut untuk mengubah file YAML postur:

  1. Buka file YAML postur Anda di editor teks.

  2. Verifikasi name, description, dan state di awal file.

    name: organizations/ORGANIZATION_ID/locations/LOCATION/posture/POSTURE_ID
description: DESCRIPTION
state: STATE

    Lihat File YAML postur keamanan untuk mengetahui deskripsi nilai kunci ini.

    Contoh:

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
description: This posture applies to staging environments for Vertex AI.
state: ACTIVE

  3. Sesuaikan kebijakan dalam file untuk memenuhi persyaratan Anda:

    1. Tinjau kebijakan yang ada dan nilai-nilainya. Untuk kebijakan yang memerlukan informasi yang spesifik untuk lingkungan Anda, tetapkan nilai dengan tepat. Misalnya, untuk kebijakan ainotebooks.accessMode dalam AI aman, memperluas postur yang telah ditetapkan, tambahkan mode akses yang diizinkan di policy_rules:

        - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3(3)
    - standard: NIST SP 800-53
      control: AC-6(1)
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.accessMode
        policy_rules:
        - values:
            allowed_values: service-account
    description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.

    2. Tambahkan batasan kebijakan organisasi tambahan, seperti yang didokumentasikan dalam Batasan kebijakan organisasi. Jika Anda menentukan kebijakan organisasi kustom, pastikan file YAML menyertakan definisi batasan kustom. Anda tidak dapat menggunakan batasan khusus yang Anda buat menggunakan metode lain (misalnya, menggunakan konsol Google Cloud). Misalnya, Anda mungkin ingin menetapkan batasan compute.trustedImageProjects untuk menentukan project yang dapat digunakan untuk penyimpanan gambar dan pembuatan instance disk. Jika Anda menyalin contoh ini, pastikan Anda mengganti allowed_values dengan daftar project yang sesuai:

        - policy_id: Define projects with trusted images.
    compliance_standards:
    - standard:
      control:
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.trustedImageProjects
        policy_rules:
        - values:
            allowed_values:
            - project1
            - project2
            - projectN
    description: This is a complete list of projects from which images can be used.

    3. Menambahkan pendeteksi Security Health Analytics lainnya, seperti yang didokumentasikan dalam temuan Security Health Analytics. Misalnya, tambahkan detektor Security Health Analytics untuk membuat temuan apakah project tidak menggunakan kunci API untuk autentikasi: 

        - policy_id: API Key Exists
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_EXISTS

      Sebagai contoh lainnya, tambahkan modul kustom Security Health Analytics untuk mendeteksi apakah set data Vertex AI dienkripsi:

        - policy_id: CMEK key is use for Vertex AI DataSet
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-12
    - standard: NIST SP 800-53
      control: SC-13
    constraint:
      security_health_analytics_custom_module:
        display_name: "vertexAIDatasetCMEKDisabled"
        config:
          customOutput: {}
          predicate:
            expression: "!has(resource.encryptionSpec)"
          resource_selector:
            resource_types:
            - aiplatform.googleapis.com/Dataset
          severity: CRITICAL
          description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
          recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
        module_enablement_state: ENABLED

  4. Upload file postur Anda ke repositori sumber yang dikontrol versi sehingga Anda dapat melacak perubahan yang Anda buat pada file tersebut dari waktu ke waktu.

Membuat postur

Selesaikan tugas ini untuk membuat resource postur di Security Command Center yang dapat Anda deploy. Jika Anda membuat postur dari template postur yang telah ditentukan menggunakan Konsol Google Cloud, resource postur akan otomatis dibuat untuk Anda.

gcloud

  1. Jalankan perintah gcloud scc postures create untuk membuat postur menggunakan file posture.yaml.

    gcloud scc postures create \
POSTURE_NAME --posture-from-file=POSTURE_FROM_FILE

    Ganti nilai berikut:

    • POSTURE_NAME adalah nama resource relatif dari pose tersebut. Misalnya, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION sebesar global.

      • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi. POSTURE_ID dibatasi hingga 63 karakter.

    • POSTURE_FROM_FILE adalah jalur relatif atau absolut ke file posture.yaml.

    Misalnya, untuk membuat postur dengan ID posture-example-1 di bawah organisasi organizations/3589215982, jalankan perintah berikut:

    gcloud scc postures create organizations/3589215982/locations/global/postures/posture-example-1 --posture-from-file=posture.yaml

    Jika proses pembuatan postur gagal, hapus postur, pecahkan errornya, lalu coba lagi.

  2. Untuk memverifikasi bahwa postur berhasil dibuat, lihat Melihat postur.

Untuk menerapkan postur ini ke lingkungan, Anda harus men-deploy pose.

Terraform

Jika membuat konfigurasi Terraform untuk resource postur, Anda harus menyediakannya menggunakan pipeline infrastruktur sebagai kode Anda.

Untuk mengetahui informasi selengkapnya, lihat artikel Terraform di Google Cloud.

Menerapkan postur

Setelah membuat postur, Anda akan men-deploy-nya ke project, folder, atau organisasi sehingga Anda dapat menerapkan kebijakan beserta definisinya ke resource tertentu dalam organisasi Anda dan memantau penyimpangan. Anda hanya dapat men-deploy satu postur ke project, folder, atau organisasi.

Verifikasi bahwa status postur Anda adalah ACTIVE.

Saat Anda men-deploy postur, tindakan berikut akan terjadi:

  • Definisi untuk kebijakan organisasi dan pendeteksi Security Health Analytics diterapkan.

  • Batasan kustom untuk kebijakan organisasi kustom dibuat dengan ID batasan untuk menyertakan ID revisi postur sebagai akhiran untuk ID batasan yang Anda tentukan di postur.

  • Status default untuk modul kustom ditetapkan ke Enabled.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.

  3. Di tab Postur, klik postur yang ingin di-deploy.

  4. Di halaman Posture details, pilih revisi postur yang ingin Anda deploy.

  5. Klik Deploy to node.

  6. Pilih organisasi, folder, atau project tempat Anda ingin men-deploy postur.

  7. Klik Select.

  8. Ulangi langkah 5 hingga 7 untuk setiap organisasi, folder, atau project tempat Anda ingin menerapkan postur tersebut.

gcloud

Jalankan perintah gcloud scc posture-deployments create untuk men-deploy postur ke project, folder, atau organisasi.

gcloud scc posture-deployments create \
POSTURE_DEPLOYMENT_NAME  --posture-name=POSTURE_NAME \
--posture-revision-id=POSTURE_REVISION_ID \
--target-resource=TARGET_RESOURCE

Ganti nilai berikut:

  • POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • LOCATION sebesar global.

    • POSTURE_DEPLOYMENT_ID adalah nama unik untuk deployment postur. POSTURE_DEPLOYMENT_ID dibatasi hingga 63 karakter.

  • --posture-name=POSTURE_NAME adalah nama untuk postur yang Anda deploy. Formatnya adalah organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

    • LOCATION sebesar global.

    • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi.

  • --posture-revision-id=POSTURE_REVISION_ID adalah revisi postture yang ingin Anda deploy. Anda bisa mendapatkannya dari respons yang diterima saat membuat postur atau melihat posturnya.

  • --target-resource=TARGET_RESOURCE adalah nama organisasi, folder, atau project tempat Anda ingin men-deploy postur. Anda dapat menggunakan salah satu format berikut:

    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID
    • projects/PROJECT_NUMBER

Misalnya, untuk men-deploy postur, jalankan perintah berikut:

gcloud scc posture-deployments create
organizations/3589215982/locations/global/postureDeployments/postureDeployment123
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version1 --target-resource=projects/4589215982

Anda dapat melihat informasi status saat perintah selesai. Jika proses pembuatan deployment postur gagal, hapus deployment, pecahkan errornya, lalu coba lagi.

Terraform

Anda dapat membuat resource Terraform untuk men-deploy postur.

  resource "google_securityposture_posture_deployment" "posture_deployment_example" {
    posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
    parent = "organizations/<ORGANIZATION_ID>"
    location = "global"
    description = "a new posture deployment"
    target_resource = "<TARGET_RESOURCE>"
    posture_id = "<POSTURE_NAME>"
    posture_revision_id = "<POSTURE_REVISION_ID>"
  }

Untuk informasi selengkapnya, lihat google_securityposture_posture_deployment.

Setelah Anda membuat resource Terraform, sediakan resource tersebut menggunakan pipeline infrastruktur sebagai kode Anda.

Melihat informasi deployment postur dan postur

Anda dapat melihat informasi postur dan postur deployment untuk melihat informasi seperti berikut:

  • Postur apa yang di-deploy dan di mana dalam hierarki resource (organisasi, project, dan folder) postur tersebut diterapkan

  • Revisi dan status postur

  • Detail operasional dari sebuah postur deployment

Melihat postur

Anda dapat melihat informasi tentang postur (seperti definisi status dan kebijakannya).

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pilih organisasi tempat Anda mengaktifkan paket Security Command Center Premium atau Enterprise.

  3. Di tab Postur, klik postur yang ingin dilihat. Detail postur akan muncul.

gcloud

Jalankan perintah gcloud scc postures describe untuk melihat postur yang Anda buat.

gcloud scc postures describe POSTURE_NAME \
--revision-id=REVISION_ID

Ganti nilai berikut:

  • POSTURE_NAME adalah nama resource relatif dari pose tersebut. Misalnya, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

    • LOCATION sebesar global.

    • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi Anda.

  • revision-id=REVISION_ID adalah flag opsional yang menentukan versi postur yang akan dilihat. Jika Anda tidak menyertakan penanda tersebut, versi terbaru akan ditampilkan.

Misalnya, untuk melihat postur dengan nama organizations/3589215982/locations/global/postures/posture-example-1 dan ID revisi abcdefgh, jalankan perintah berikut:

gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1
--revision-id=abcdefgh

Melihat informasi tentang operasi deployment postur

Jalankan perintah gcloud scc securityposture-operations describe guna melihat detail operasi untuk operasi deployment postur.

gcloud scc securityposture-operations describe OPERATION_NAME

Dengan OPERATION_NAME adalah nama resource relatif untuk operasi. Formatnya adalah organizations/ORGANIZATION_ID/LOCATION/global/operations/OPERATION_ID. LOCATION adalah lokasi tempat Anda men-deploy deployment postur. Anda bisa mendapatkan OPERATION_ID dengan menggunakan argumen --async saat menjalankan perintah postur.

Misalnya, untuk melihat operasi pemindaian dengan nama organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, jalankan perintah berikut:

gcloud scc securityposture-operations describe
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Melihat informasi tentang deployment postur

Anda dapat melihat lokasi deployment postur, serta status deployment.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.

  3. Di tab Postur, klik postur yang Anda deploy.

  4. Klik tab Deployment. Anda dapat melihat project, folder, dan organisasi tempat postur di-deploy, serta status deployment.

gcloud

Jalankan perintah gcloud scc posture-deployments describe untuk melihat informasi tentang postur yang di-deploy.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

Dengan POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION sebesar global.

  • POSTURE_DEPLOYMENT_ID adalah nama unik untuk deployment postur.

Misalnya, untuk melihat detail deployment postur yang diberi nama organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, jalankan perintah berikut:

gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Memperbarui postur dan postur deployment

Anda dapat memperbarui hal berikut:

  • Status postur.

  • Definisi kebijakan dalam postur.

  • Organisasi, folder, atau project tempat postur di-deploy.

Memperbarui definisi kebijakan dalam postur

Anda mungkin perlu mengubah postur jika mengaktifkan lebih banyak layanan Google Cloud, men-deploy resource tambahan, atau mewajibkan kebijakan tambahan untuk memenuhi persyaratan kepatuhan yang baru atau yang berubah. Jika Anda memperbarui revisi postur yang di-deploy, tugas ini akan membuat revisi postur baru. Jika tidak, revisi postur yang Anda tentukan saat menjalankan perintah update akan diperbarui.

  1. Buka file YAML di editor teks. Tambahkan kolom yang ingin Anda perbarui, bersama dengan nilainya. Jika Anda memperbarui kumpulan kebijakan, pastikan file Anda menyertakan semua kumpulan kebijakan yang ingin disertakan dalam postur, termasuk kumpulan kebijakan yang sudah ada. Untuk mengetahui petunjuknya, lihat Mengubah file YAML postur.

  2. Jalankan perintah gcloud scc postures update untuk memperbarui postur.

    gcloud scc postures update POSTURE_NAME \
--posture-from-file=POSTURE_FROM_FILE \
--revision-id=POSTURE_REVISION_ID --update-mask=UPDATE_MASK

    Ganti nilai berikut:

    • POSTURE_NAME adalah nama resource relatif dari pose tersebut. Misalnya, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION sebesar global.

      • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi Anda.

    • POSTURE_FROM_FILE adalah jalur relatif atau absolut ke file posture.yaml yang menyertakan perubahan Anda.

    • --revision-id=REVISION_ID adalah revisi postture yang ingin Anda deploy. Jika postur tersebut saat ini di-deploy, layanan postur keamanan akan otomatis membuat versi baru dari pose tersebut dengan ID revisi yang berbeda dan menyertakan ID revisi dalam output.

    • --update-mask=UPDATE_MASK adalah daftar kolom yang ingin diperbarui, dalam format yang dipisahkan koma. Argumen ini bersifat opsional. Anda dapat menetapkan UPDATE_MASK ke salah satu nilai berikut:

      • * atau tidak ditentukan: Terapkan perubahan yang Anda buat pada kumpulan kebijakan dan deskripsi postur.
      • policy_sets: Hanya terapkan perubahan yang Anda buat ke kumpulan kebijakan.
      • description: Terapkan perubahan yang Anda buat pada deskripsi postur saja.
      • policy_sets, description: Terapkan perubahan yang Anda buat pada kumpulan kebijakan dan deskripsi postur.
      • state: Hanya menerapkan perubahan status.

    Misalnya, untuk memperbarui postur dengan nama posture-example-1 di bagian organizations/3589215982/locations/global organisasi dan ID revisi yang ditetapkan ke abcd1234, jalankan perintah berikut:

    gcloud scc postures update organizations/3589215982/locations/global/posture-example-1 --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets

    Jika proses pembaruan postur gagal, pecahkan masalah error, lalu coba lagi.

  3. Untuk memastikan bahwa postur berhasil diperbarui, lihat Melihat postur.

Mengubah status postur

Status postur menentukan apakah postur tersedia untuk deployment ke project, folder, atau organisasi.

Postur dapat memiliki status berikut:

  • DRAFT: Revisi postur belum siap untuk deployment. Anda tidak dapat men-deploy revisi postur yang ada dalam status DRAFT.

  • ACTIVE: Revisi postur tersedia untuk deployment. Anda dapat mengubah status dari ACTIVE menjadi DRAFT atau DEPRECATED.

  • DEPRECATED: Revisi postur DEPRECATED tidak dapat di-deploy ke resource. Anda harus menghapus semua deployment postur yang ada sebelum dapat menghentikan revisi postur. Jika ingin men-deploy ulang revisi postur yang sudah tidak digunakan lagi, Anda harus mengubah statusnya menjadi ACTIVE.

Untuk mengubah status postur, jalankan perintah gcloud scc postures update. Anda tidak dapat memperbarui status postur pada saat yang sama dengan memperbarui kolom lainnya. Untuk petunjuk tentang cara menjalankan perintah gcloud scc postures update, lihat Mengubah file YAML postur.

Memperbarui deployment postur

Memperbarui deployment postur pada project, folder, atau organisasi untuk men-deploy postur baru atau men-deploy revisi postur baru.

Jika revisi postur yang Anda perbarui menyertakan batasan organisasi kustom yang dihapus menggunakan Google Cloud Console, Anda tidak dapat memperbarui deployment postur menggunakan ID postur yang sama. Layanan Kebijakan Organisasi mencegah pembuatan batasan organisasi kustom yang memiliki nama yang sama. Sebagai gantinya, Anda harus membuat versi baru postur atau menggunakan ID postur yang berbeda.

Konsol

  1. Di konsol Google Cloud, buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.

  3. Di tab Postur, klik postur yang telah diperbarui.

  4. Di halaman Posture details, pilih revisi postur yang Anda perbarui.

  5. Klik Deploy to node.

  6. Pilih organisasi, folder, atau project tempat Anda ingin men-deploy postur. Jika Anda melihat pesan bahwa deployment sudah ada, hapus deployment tersebut sebelum mencoba lagi.

  7. Klik Select.

gcloud

Jalankan perintah gcloud scc posture-deployments update untuk men-deploy postur.

gcloud scc posture-deployments update \
POSTURE_DEPLOYMENT_NAME --description=DESCRIPTION \
--update-mask=UPDATE_MASK --posture-id=POSTURE_ID \
--posture-revision-id=POSTURE_REVISION_ID

Ganti nilai berikut:

  • POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • LOCATION sebesar global.

    • POSTURE_DEPLOYMENT_ID adalah nama unik untuk deployment postur.

  • --description=DESCRIPTION adalah deskripsi opsional untuk postur yang di-deploy.

  • --posture-id=POSTURE_ID adalah nama untuk postur Anda yang unik untuk organisasi Anda. Formatnya adalah organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_NAME

  • --posture-revision-id=POSTURE_REVISION_ID adalah revisi postture yang ingin Anda deploy. Anda bisa mendapatkannya dari respons yang Anda terima saat membuat postur atau melihat pose.

  • --update-mask=UPDATE_MASK adalah daftar kolom yang ingin diperbarui, dalam format yang dipisahkan koma. Argumen ini bersifat opsional.

Misalnya, untuk memperbarui deployment postur dengan kriteria berikut:

  • Organisasi: organizations/3589215982/locations/global
  • ID deployment postur: postureDeploymentexample
  • ID Postur: StagingAIPosture
  • Revisi: version2

Jalankan perintah berikut:

gcloud scc posture-deployments update
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version2

Anda dapat melihat informasi status saat perintah selesai. Jika proses update deployment postur gagal, hapus deployment, pecahkan errornya, lalu coba lagi.

Memantau penyimpangan postur

Anda dapat memantau postur yang di-deploy untuk penyimpangan dari kebijakan yang Anda tentukan dalam postur keamanan. Drift adalah perubahan pada kebijakan yang terjadi di luar postur. Misalnya, penyimpangan terjadi ketika administrator mengubah definisi kebijakan di konsol, bukan memperbarui deployment postur.

Layanan postur keamanan membuat temuan yang dapat Anda lihat di Google Cloud Console atau gcloud CLI setiap kali terjadi penyimpangan.

Konsol

Jika telah membuat postur yang berlaku untuk workload Vertex AI, Anda dapat memantau penyimpangan dengan dua cara: dari halaman Findings, dan dari halaman Overview. Untuk semua postur lainnya, Anda dapat memantau penyimpangan dari halaman Findings.

Untuk memantau penyimpangan dari halaman Penemuan:

  1. Di konsol Google Cloud, buka halaman Findings.

    Buka Temuan

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.

  3. Di panel Filter cepat, pilih temuan Pelanggaran postur. Anda juga dapat memasukkan filter berikut di Pratinjau kueri:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"

  4. Untuk melihat detail suatu temuan, klik temuan.

Untuk memantau penyimpangan dari halaman Overview (khusus workload Vertex AI):

  1. Di konsol Google Cloud, buka halaman Overview.

    Buka Ringkasan

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Premium atau Enterprise.

  3. Tinjau panel AI Workload Findings.

    • Tab Kerentanan menampilkan semua kerentanan yang terkait dengan modul kustom Security Health Analytics yang berlaku khusus untuk workload Vertex AI.
    • Tab Policy Drift menampilkan penyimpangan terkait kebijakan organisasi Vertex AI yang telah Anda terapkan dalam sebuah postur.

  4. Untuk melihat detail suatu temuan, klik temuan.

gcloud

Di gcloud CLI, untuk melihat temuan penyimpangan, jalankan perintah berikut:

gcloud scc findings list ORGANIZATION_ID \
--filter="category=\"SECURITY_POSTURE_DRIFT\""

Dengan ORGANIZATION_ID adalah ID organisasi.

Untuk mengetahui informasi selengkapnya tentang cara mengatasi temuan ini, lihat Temuan layanan postur keamanan. Anda dapat mengekspor temuan ini dengan cara yang sama seperti mengekspor temuan lainnya dari Security Command Center. Untuk informasi selengkapnya, lihat Opsi integrasi dan Mengekspor data Security Command Center.

Untuk menonaktifkan temuan drift, Anda dapat mengupdate deployment postur dengan ID postur dan revisi postur yang sama.

Membuat temuan drift untuk tujuan pengujian

Setelah men-deploy postur, Anda dapat memantau penyimpangan dari kebijakan Anda. Untuk melihat penerapan temuan penyimpangan di lingkungan pengujian, selesaikan hal berikut:

  1. Di konsol, buka halaman Organization policy.

    Buka kebijakan Organisasi

  2. Edit salah satu kebijakan yang Anda tentukan dalam postur yang di-deploy. Misalnya, jika menggunakan postur AI aman yang telah ditetapkan sebelumnya, Anda dapat mengedit kebijakan Batasi akses IP publik di notebook dan instance Vertex AI Workbench baru.

  3. Setelah Anda mengubah kebijakan, klik Tetapkan Kebijakan.

  4. Buka halaman Temuan.

    Buka Temuan

  5. Di panel Quick filters, di bagian Source display name, pilih Security Posture. Temuan yang terkait dengan perubahan akan muncul dalam waktu lima menit.

  6. Untuk melihat detail temuan, klik temuan.

Menghapus deployment postur

Anda dapat menghapus deployment postur jika tidak di-deploy dengan benar, tidak lagi memerlukan postur tertentu, atau tidak lagi ingin postur tertentu ditetapkan ke project, folder, atau organisasi. Untuk menghapus deployment postur, deployment postur harus dalam salah satu status berikut:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Untuk memverifikasi status deployment postur, lihat Melihat informasi tentang deployment postur.

Saat menghapus deployment postur, Anda menghapus postur itu dari resource (organisasi, folder, atau project Anda) yang Anda tetapkan.

Output untuk berbagai jenis kebijakan adalah:

  • Saat Anda menghapus deployment postur yang menyertakan kebijakan organisasi kustom, kebijakan organisasi kustom tersebut akan dihapus. Namun, batasan khusus tetap ada.

  • Saat Anda menghapus deployment postur yang menyertakan pendeteksi Security Health Analytics bawaan, status akhir modul Security Health Analytics bergantung pada organisasi, folder, atau project tempat deployment tersebut ada.

    • Jika Anda men-deploy postur pada folder atau project, detektor Security Health Analytics bawaan mewarisi statusnya dari organisasi atau folder induk.
    • Jika Anda men-deploy postur di tingkat organisasi, detektor Analisis Kesehatan Keamanan bawaan akan kembali ke status default. Untuk deskripsi tentang status default, lihat Mengaktifkan dan menonaktifkan detektor.

Jalankan perintah gcloud scc posture-deployments delete untuk menghapus deployment pose.

gcloud scc posture-deployments delete
POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION sebesar global.

  • POSTURE_DEPLOYMENT_ID adalah nama unik untuk deployment postur.

Misalnya, untuk menghapus deployment postur yang bernama organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, jalankan perintah berikut:

gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Menghapus postur

Saat menghapus postur, Anda juga akan menghapus semua revisi. Anda tidak dapat menghapus posture yang di-deploy. Anda harus menghapus deployment postur sebelum dapat menyelesaikan tugas ini.

Jalankan perintah gcloud scc postures delete untuk menghapus postur.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME adalah nama resource relatif dari postur. Contoh, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID. ID postur adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi Anda. LOCATION adalah global.

Misalnya, untuk menghapus postur yang bernama organizations/3589215982/locations/global/postures/posture-example-1, jalankan perintah berikut:

gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1

Langkah selanjutnya