Gestisci una security posture

In questa pagina viene descritto come configurare e utilizzare il servizio Security posture. dopo aver attivato Security Command Center. Per iniziare, devi creare una postura include i tuoi criteri, organizzati in set di criteri, quindi esegui il deployment della postura utilizzando del deployment della postura. Dopo il deployment di una postura, puoi monitorare la deviazione e perfezionare ulteriormente la postura nel tempo.

Prima di iniziare

Completa queste attività prima di completare quelle rimanenti in questa pagina.

Attiva il livello Security Command Center Premium o Enterprise

Verifica che il livello Premium di Security Command Center o Enterprise viene attivata al livello a livello di organizzazione.

Se vuoi utilizzare i rilevatori di Security Health Analytics come criteri, seleziona Servizio Security Health Analytics durante il processo di attivazione.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per utilizzare la postura, chiedi all'amministratore di concederti Ruolo IAM Amministratore Security Posture (roles/securityposture.admin). Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Per ulteriori informazioni sui ruoli e sulla security posture autorizzazioni, consulta IAM per i livelli di attivazioni.

Configura Google Cloud CLI

Devi utilizzare Google Cloud CLI versione 461.0.0 o successive.

Nella console Google Cloud, attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.

Per configurare gcloud CLI in modo da utilizzare la rappresentazione degli account di servizio per l'autenticazione Le API di Google, invece delle credenziali utente, esegui il comando seguente: 

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Per ulteriori informazioni, vedi Furto d'identità degli account di servizio.

Abilita API

Abilita le API del servizio Criteri dell'organizzazione e del servizio della security posture:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configura la connessione ad AWS

Per usare i rilevatori integrati di Security Health Analytics specifici di AWS, devi attivare Security Command Center Aziende e connetti ad AWS per verificare la vulnerabilità il rilevamento automatico.

Crea ed esegui il deployment di una postura

Per iniziare a utilizzare una postura di sicurezza, devi completare quanto segue:

  • Creare un file YAML della postura che definisce i criteri applicabili al tuo strategia di sicurezza.

  • Creare in Google Cloud una postura basata sul file YAML della postura.

  • Esegui il deployment della postura.

Le seguenti sezioni forniscono istruzioni dettagliate.

Crea un file YAML della postura

Una postura è costituita da uno o più set di criteri di cui viene eseguito il deployment insieme. Questi set di criteri includono tutti i criteri preventivi e di rilevamento che vuoi includi nella tua postura.

Per creare la tua postura, esegui una delle seguenti operazioni:

Le posture sono file YAML. Per ulteriori informazioni sul file posture.yaml e per le rispettive coppie chiave-valore, consulta Security posture YAML un file YAML.

Crea un file di postura da un modello di postura predefinito

Per creare un file di postura, puoi utilizzare un modello di postura predefinito.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della postura.

    Vai a Gestione della postura

  2. Accertati di visualizzare l'organizzazione per la quale hai attivato Security Command Center Premium o Enterprise Livello attivo.

  3. Nella scheda Modelli, fai clic sul modello che vuoi utilizzare.

  4. Nella pagina Dettagli modello, fai clic su Crea postura.

  5. Fornisci un nome univoco per la postura e fai clic su Crea. La postura dei dettagli.

  6. Completa una delle seguenti azioni:

gcloud

  1. Esamina la postura predefinita modelli per determinare quali applicare al tuo ambiente. Puoi applicarne alcuni senza apportare modifiche, mentre altri richiedono la personalizzazione dei criteri. in base al tuo ambiente.

  2. Utilizza uno dei seguenti metodi per copiare i file YAML nel tuo testo Editor:

    • Copia il file YAML dal contenuto di riferimento nella postura predefinita modelli.

    • Esegui il comando gcloud scc posture-templates describe per copiare il file YAML .

    gcloud scc posture-templates describe \
organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \
--revision-id=REVISION_ID

    Sostituisci i seguenti valori:

    • ORGANIZATION_ID è l'organizzazione in cui hai attivato i livelli Premium o Enterprise di Security Command Center.

    • LOCATION è la località in cui di cui vuoi eseguire il deployment e archiviare la postura. L'unica località supportata è global.

    • POSTURE_TEMPLATE è il nome del modello del modello postura, come descritto nella postura predefinita modelli.

    • REVISION_ID è la versione di revisione una postura predefinita. Se non includi l'ID revisione, la versione più recente della postura predefinita,

    Ad esempio, per visualizzare l'AI sicura, la postura predefinita di Essentials nell'organizzazione 3589215982, esegui seguenti:

    gcloud scc posture-templates describe
    organizations/3589215982/locations/global/postureTemplates/secure_ai_essential
    --revision-id=v.1.0

  3. Completa una delle seguenti azioni:

    • Se puoi utilizzare la postura senza apportare modifiche (ad esempio, utilizzato uno dei modelli _essentials), puoi creare la postura. Per le istruzioni, consulta Creare una postura.

    • Per modificare uno qualsiasi dei set di criteri o criteri, completa la Modifica un file YAML della postura.

Crea un file di postura estraendo criteri da un ambiente esistente

Puoi estrarre i criteri (criteri dell'organizzazione, inclusi quelli personalizzati e tutti i rilevatori di Security Health Analytics, inclusi quelli personalizzati) che hai configurato in un progetto, una cartella o un'organizzazione esistente per creare un file della postura. Tu non è in grado di estrarre criteri da un'organizzazione, una cartella o un progetto che ha già una postura applicata.

Questo comando estrae solo i criteri che hai configurato in precedenza per organizzazione, cartella o progetto e non estrae i criteri dall'elemento padre cartelle o organizzazione.

Se hai connesso Security Command Center Enterprise ad AWS, anche questo comando estrae i rilevatori specifici di AWS (anteprima).

  1. Esegui il comando gcloud scc postures extract per estrarre criteri dell'organizzazione e rilevatori di Security Health Analytics nel tuo ambiente.

    gcloud scc postures extract \
POSTURE_NAME --workload=WORKLOAD

    Sostituisci i seguenti valori:

    • POSTURE_NAME è il nome della risorsa relativo del postura. Ad esempio: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION è pari a global.

      • POSTURE_ID è un nome alfanumerico per postura univoco della tua organizzazione. POSTURE_ID è può includere un massimo di 63 caratteri.

    • WORKLOAD è il progetto, la cartella o l'organizzazione da cui estrai i criteri. Il carico di lavoro è uno dei seguenti:

      • projects/PROJECT_NUMBER

      • folder/FOLDER_ID

      • organizations/ORGANIZATION_ID

    Ad esempio, per estrarre criteri dalla cartella 3589215982 nel campo 6589215984 organizzazione, esegui questo comando:

    gcloud scc postures extract organizations/6589215984/locations/global/postures/myStagingPosture workload=folder/3589215982 > posture.yaml

  2. Apri il file posture.yaml risultante per la modifica.

  3. Completa una delle seguenti azioni:

    • Se puoi utilizzare la postura senza apportare modifiche (ad esempio, utilizzato uno dei modelli _essentials), puoi creare postura. Per le istruzioni, consulta Creare una postura.

    • Per modificare una serie di criteri o un criterio, completa Modifica un file YAML della postura.

Crea una risorsa Terraform con definizioni dei criteri

Puoi creare una configurazione Terraform per creare una risorsa posture.

Ad esempio, puoi creare una risorsa della postura che includa risorse integrate e personalizzate vincoli dei criteri dell'organizzazione e rilevatori di Security Health Analytics integrati e personalizzati. Supporto alla gestione della postura per l'integrazione I rilevatori di Security Health Analytics specifici di AWS sono in anteprima.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Per ulteriori informazioni, vedi google_securityposture_posture.

Modifica un file YAML della postura

Completa i seguenti passaggi per modificare un file YAML della postura:

  1. Apri il file YAML della postura in un editor di testo.

  2. Verifica name, description e state all'inizio del file.

    name: organizations/ORGANIZATION_ID/locations/LOCATION/posture/POSTURE_ID
description: DESCRIPTION
state: STATE

    Vedi File YAML della security posture file per una descrizione queste coppie chiave-valore.

    Ad esempio:

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
description: This posture applies to staging environments for Vertex AI.
state: ACTIVE

  3. Personalizza i criteri all'interno del file per soddisfare i tuoi requisiti:

    1. Esamina i criteri esistenti e i relativi valori. Per i criteri che richiedono specifiche per il tuo ambiente, imposta i valori in modo appropriato. Ad esempio, per il criterio ainotebooks.accessMode nel AI sicura, postura predefinita estesa, aggiungi le modalità di accesso consentite sotto policy_rules:

        - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3(3)
    - standard: NIST SP 800-53
      control: AC-6(1)
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.accessMode
        policy_rules:
        - values:
            allowed_values: service-account
    description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.

    2. Aggiungi altri vincoli dei criteri dell'organizzazione, come documentato in Vincoli dei criteri dell'organizzazione. Se stai definendo un criterio dell'organizzazione personalizzato, assicurati che il file YAML include la definizione del vincolo personalizzato. Non puoi utilizzare un modello di attività creato con altri metodi (ad esempio, utilizzando console Google Cloud). Ad esempio, potresti voler impostare Il vincolo compute.trustedImageProjects per definire i progetti può essere utilizzata per l'archiviazione delle immagini e la creazione di istanze su disco. Se copi questo esempio, assicurati di sostituire allowed_values con un elenco di progetti appropriato:

        - policy_id: Define projects with trusted images.
    compliance_standards:
    - standard:
      control:
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.trustedImageProjects
        policy_rules:
        - values:
            allowed_values:
            - project1
            - project2
            - projectN
    description: This is a complete list of projects from which images can be used.

    3. Aggiungi altri rilevatori di Security Health Analytics, come quelli documentati nei risultati di Security Health Analytics. Ad esempio, aggiungi un rilevatore Security Health Analytics per creare un risultato se progetto non sta utilizzando una chiave API per l'autenticazione:

        - policy_id: API Key Exists
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_EXISTS

      Come ulteriore esempio, aggiungi un modulo personalizzato Security Health Analytics per rilevare se I set di dati Vertex AI sono criptati:

        - policy_id: CMEK key is use for Vertex AI DataSet
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-12
    - standard: NIST SP 800-53
      control: SC-13
    constraint:
      security_health_analytics_custom_module:
        display_name: "vertexAIDatasetCMEKDisabled"
        config:
          customOutput: {}
          predicate:
            expression: "!has(resource.encryptionSpec)"
          resource_selector:
            resource_types:
            - aiplatform.googleapis.com/Dataset
          severity: CRITICAL
          description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
          recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
        module_enablement_state: ENABLED

      Come ulteriore esempio, per Security Command Center Enterprise, aggiungi Security Health Analytics specifico per AWS (anteprima):

      - policy_set_id: AWS policy set
  description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
  policies:
  - policy_id: S3 bucket replication enabled
    compliance_standards:
    - standard: NIST 800-53 R5
      control: SI-13(5)
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_REPLICATION_ENABLED
    description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.

  - policy_id: S3 bucket logging enabled
    compliance_standards:
    - standard: NIST 800-53 R5
      control: SI-7(8)
    - standard: PCI DSS 3.2.1
      control: 10.3.1
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_LOGGING_ENABLED
    description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.

      Se aggiungi un rilevatore specifico per AWS, devi eseguire il deployment della postura a livello di organizzazione.

  4. Carica il file della postura in un repository di codice sorgente con controllo della versione, puoi tenere traccia delle modifiche apportate nel tempo.

Crea una postura

Completa questa attività per creare una risorsa della postura in Security Command Center di cui è possibile eseguire il deployment. Se hai creato una postura da un modello di postura predefinito utilizzando nella console Google Cloud, la risorsa posture viene creata te.

gcloud

  1. Esegui il comando gcloud scc postures create per creare una postura utilizzando posture.yaml file.

    gcloud scc postures create \
POSTURE_NAME --posture-from-file=POSTURE_FROM_FILE

    Sostituisci i seguenti valori:

    • POSTURE_NAME è il nome della risorsa relativo del postura. Ad esempio: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION è pari a global.

      • POSTURE_ID è un nome alfanumerico per una postura unica della tua organizzazione. POSTURE_ID è può includere un massimo di 63 caratteri.

    • POSTURE_FROM_FILE è il percorso relativo o assoluto per il file posture.yaml.

    Ad esempio, per creare una postura con ID posture-example-1 nell'organizzazione organizations/3589215982, esegui l' seguenti:

    gcloud scc postures create organizations/3589215982/locations/global/postures/posture-example-1 --posture-from-file=posture.yaml

    Se il processo di creazione della postura non va a buon fine, elimina la postura, risolvi l'errore e riprova.

  2. Per verificare che la postura sia stata creata, consulta Visualizzare un della postura.

Per applicare questa postura al tuo ambiente, devi eseguire il deployment della postura.

Terraform

Se hai creato una configurazione Terraform per la risorsa posture, devi eseguirne il provisioning Infrastructure as Code.

Per saperne di più, vedi Terraform on Google Cloud.

Esegui il deployment di una postura

Dopo aver creato una postura, esegui il deployment in un progetto, una cartella o un'organizzazione in modo da poter applicare i criteri e le relative definizioni a risorse specifiche nella tua organizzazione e di monitorare le deviazioni. Puoi eseguire il deployment di una sola postura un progetto, una cartella o un'organizzazione.

Verifica che lo stato della postura sia ACTIVE.

Quando esegui il deployment della postura, si verificano queste azioni:

  • Le definizioni dei criteri dell’organizzazione e dei rilevatori di Security Health Analytics sono applicati.

  • Il vincolo personalizzato per i criteri dell'organizzazione personalizzati viene creato con l'ID del vincolo per includere l'ID revisione della postura come suffisso del vincolo ID che hai definito nella postura.

  • Lo stato predefinito dei moduli personalizzati è Abilitato.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della postura.

    Vai a Gestione della postura

  2. Accertati di visualizzare l'organizzazione per la quale hai attivato Security Command Center Premium o Enterprise Livello attivo.

  3. Nella scheda Postura, fai clic sulla postura di cui vuoi eseguire il deployment.

  4. Nella pagina Dettagli postura, seleziona la revisione della postura che di cui vuoi eseguire il deployment.

  5. Fai clic su Esegui il deployment sul nodo.

  6. Seleziona l'organizzazione, la cartella o il progetto in cui vuoi eseguire il deployment della postura. Se la postura include un rilevatore specifico per AWS, devi eseguire il deployment della postura a livello di organizzazione (anteprima).

  7. Fai clic su Seleziona.

  8. Ripeti i passaggi da 5 a 7 per ogni organizzazione, cartella o progetto che a cui applicare la postura.

gcloud

Esegui il comando gcloud scc posture-deployments create per eseguire il deployment di una postura in un un progetto, una cartella o un'organizzazione.

gcloud scc posture-deployments create \
POSTURE_DEPLOYMENT_NAME  --posture-name=POSTURE_NAME \
--posture-revision-id=POSTURE_REVISION_ID \
--target-resource=TARGET_RESOURCE

Sostituisci i seguenti valori:

  • POSTURE_DEPLOYMENT_NAME è il nome della risorsa relativo per del deployment della postura. Il formato è organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • LOCATION è pari a global.

    • POSTURE_DEPLOYMENT_ID è un nome univoco per la postura e deployment continuo. POSTURE_DEPLOYMENT_ID è può includere un massimo di 63 caratteri.

  • --posture-name=POSTURE_NAME è il nome e la postura di cui stai eseguendo il deployment. Il formato è organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

    • LOCATION è pari a global.

    • POSTURE_ID è un nome alfanumerico per una postura unica della tua organizzazione.

  • --posture-revision-id=POSTURE_REVISION_ID è il della postura di cui vuoi eseguire il deployment. Puoi ottenerlo dalla risposta che ricevi quando crei la postura o la visualizzi.

  • --target-resource=TARGET_RESOURCE è il nome del l'organizzazione, la cartella o il progetto in cui vuoi eseguire il deployment della postura. Puoi utilizzare uno dei seguenti formati:

    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID
    • projects/PROJECT_NUMBER

    Se la postura include un rilevatore specifico per AWS, devi eseguire il deployment della postura a livello di organizzazione (anteprima).

Ad esempio, per eseguire il deployment di una postura, esegui questo comando:

gcloud scc posture-deployments create
organizations/3589215982/locations/global/postureDeployments/postureDeployment123
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version1 --target-resource=projects/4589215982

Puoi visualizzare le informazioni sullo stato man mano che il comando viene completato. Se la postura il processo di creazione del deployment non va a buon fine, elimina il deployment, risolvi l'errore e riprova.

Terraform

Puoi creare una risorsa Terraform per eseguire il deployment di una postura.

  resource "google_securityposture_posture_deployment" "posture_deployment_example" {
    posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
    parent = "organizations/<ORGANIZATION_ID>"
    location = "global"
    description = "a new posture deployment"
    target_resource = "<TARGET_RESOURCE>"
    posture_id = "<POSTURE_NAME>"
    posture_revision_id = "<POSTURE_REVISION_ID>"
  }

Per maggiori informazioni, vedi google_securityposture_posture_deployment.

Dopo aver creato la risorsa Terraform, esegui il provisioning utilizzando il tuo Infrastructure as Code.

Visualizza le informazioni sul deployment della postura e della postura

Puoi visualizzare le informazioni sul deployment della postura e della postura per vedere informazioni come le seguenti:

  • Le posture di cui viene eseguito il deployment e la posizione nella gerarchia delle risorse (organizzazioni, progetti e cartelle), la loro applicazione

  • Le revisioni e lo stato delle posture

  • I dettagli operativi di un deployment della postura

Visualizza una postura

Puoi visualizzare le informazioni su una postura, ad esempio stato e criterio ).

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della postura.

    Vai a Gestione della postura

  2. Seleziona l'organizzazione in cui hai attivato Security Command Center Premium o Enterprise Livello attivo.

  3. Nella scheda Posture, fai clic sulla postura che vuoi visualizzare. La vengono visualizzati i dettagli della postura.

gcloud

Esegui il comando gcloud scc postures describe per vedere una postura che è stato creato.

gcloud scc postures describe POSTURE_NAME \
--revision-id=REVISION_ID

Sostituisci i seguenti valori:

  • POSTURE_NAME è il nome della risorsa relativo del postura. Ad esempio: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

    • LOCATION è pari a global.

    • POSTURE_ID è un nome alfanumerico per la tua postura univoco della tua organizzazione.

  • revision-id=REVISION_ID è un flag facoltativo che specifica la versione della postura da visualizzare. Se non includi il flag, viene restituita l'ultima versione.

Ad esempio, per visualizzare una postura con il nome organizations/3589215982/locations/global/postures/posture-example-1 e l'ID revisione abcdefgh, esegui il comando seguente:

gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1
--revision-id=abcdefgh

Visualizza le informazioni su un'operazione di deployment della postura

Esegui il comando gcloud scc posture-operations describe per visualizzare per un'operazione di deployment della postura.

gcloud scc posture-operations describe OPERATION_NAME

Dove OPERATION_NAME è il nome della risorsa relativo l'operazione. Il formato è organizations/ORGANIZATION_ID/LOCATION/global/operations/OPERATION_ID. LOCATION è la località in cui del deployment della postura. Puoi ottenere OPERATION_ID mediante l'argomento --async quando esegui il comando posture.

Ad esempio, per visualizzare un'operazione di scansione con il nome organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, esegui questo comando:

gcloud scc posture-operations describe
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Visualizza le informazioni sul deployment di una postura

Puoi visualizzare dove viene eseguito il deployment di una postura e lo stato del deployment.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della postura.

    Vai a Gestione della postura

  2. Accertati di visualizzare l'organizzazione per la quale hai attivato Security Command Center Premium o Enterprise Livello attivo.

  3. Nella scheda Posture, fai clic sulla postura di cui hai eseguito il deployment.

  4. Fai clic sulla scheda Deployment. Puoi visualizzare i progetti, le cartelle dell'organizzazione in cui viene eseguito il deployment della postura, stato.

gcloud

Esegui il comando gcloud scc posture-deployments describe per visualizzare su una postura di cui è stato eseguito il deployment.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

Dove POSTURE_DEPLOYMENT_NAME è il nome della risorsa relativo per del deployment della postura. Il formato è organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION è pari a global.

  • POSTURE_DEPLOYMENT_ID è un nome univoco per la postura e deployment continuo.

Ad esempio, per visualizzare i dettagli di un deployment della postura denominato organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, esegui questo comando:

gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Aggiorna un deployment della postura e della postura

Puoi aggiornare quanto segue:

  • Lo stato della postura.

  • Le definizioni dei criteri in una postura.

  • L'organizzazione, le cartelle o i progetti in cui viene eseguito il deployment di una postura.

Aggiorna le definizioni dei criteri in una postura

Potresti dover aggiornare una postura quando abiliti altri servizi Google Cloud, eseguire il deployment di risorse aggiuntive o richiedere criteri aggiuntivi per soddisfare dei requisiti di conformità in continua evoluzione. Se stai aggiornando una revisione della postura di cui è stato eseguito il deployment, questa attività crea una nuova revisione della postura. Altrimenti, la revisione della postura che specifichi quando esegui l'aggiornamento del comando di aggiornamento.

  1. Apri un file YAML in un editor di testo. Aggiungi i campi da aggiornare, con i loro valori. Se aggiorni le serie di criteri, assicurati che include tutti i set di criteri che vuoi includere nella postura, incluse le serie di criteri già esistenti. Per le istruzioni, consulta Modificare un file YAML della postura.

  2. Esegui il comando gcloud scc postures update per aggiornare la postura.

    gcloud scc postures update POSTURE_NAME \
--posture-from-file=POSTURE_FROM_FILE \
--revision-id=POSTURE_REVISION_ID --update-mask=UPDATE_MASK

    Sostituisci i seguenti valori:

    • POSTURE_NAME è il nome della risorsa relativo del postura. Ad esempio: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION è pari a global.

      • POSTURE_ID è un nome alfanumerico per la tua postura univoco della tua organizzazione.

    • POSTURE_FROM_FILE è il percorso relativo o assoluto per il file posture.yaml che include le tue modifiche.

    • --revision-id=REVISION_ID è il della postura di cui vuoi eseguire il deployment. Se la postura è attualmente di cui è stato eseguito il deployment, il servizio security posture crea automaticamente una nuova versione la postura con un ID revisione diverso e include l'ID revisione nella come output.

    • --update-mask=UPDATE_MASK è l'elenco di campi che da aggiornare, in formato separato da virgole. Questo argomento è facoltativo. Puoi impostare UPDATE_MASK su una delle seguenti opzioni valori:

      • * o non specificato: applica le modifiche apportate ai set di criteri e la descrizione della postura.
      • policy_sets: applica le modifiche apportate solo ai set di criteri.
      • description: applica le modifiche che hai apportato solo alla descrizione della postura.
      • policy_sets, description: applica le modifiche apportate alla i set di criteri e la descrizione della postura.
      • state: applica solo la modifica di stato.

    Ad esempio, per aggiornare una postura con il nome posture-example-1 sotto la organizzazione organizations/3589215982/locations/global e ID revisione impostato su abcd1234, esegui il comando seguente:

    gcloud scc postures update organizations/3589215982/locations/global/posture-example-1 --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets

    Se il processo di aggiornamento della postura non va a buon fine, risolvi l'errore e riprova.

  3. Per verificare che la postura sia stata aggiornata, consulta Visualizzare un della postura.

Modifica lo stato di una postura

Lo stato di una postura determina se è disponibile per il deployment in un un progetto, una cartella o un'organizzazione.

Una postura può avere i seguenti stati:

  • DRAFT: la revisione della postura non è pronta per il deployment. Non puoi eseguire il deployment revisione della postura in stato DRAFT.

  • ACTIVE: la revisione della postura è disponibile per il deployment. Puoi modificare stato da ACTIVE a DRAFT o DEPRECATED.

  • DEPRECATED: non è possibile eseguire il deployment di una revisione della postura DEPRECATED in una risorsa. Devi eliminare tutti i deployment della postura esistenti prima di poter ritirare una revisione della postura. Se vuoi eseguire nuovamente il deployment di una postura che hai deprecato, devi modificarne lo stato in ACTIVE.

Per modificare lo stato di una postura, esegui il comando gcloud scc postures update. Non puoi aggiornare lo stato della postura nello stesso momento in cui aggiorni altre campi. Per istruzioni sull'esecuzione del comando gcloud scc postures update, consulta Modificare un file YAML della postura.

Aggiorna un deployment della postura

Aggiorna un deployment della postura in un progetto, una cartella o un'organizzazione per eseguire il deployment una nuova postura o eseguire il deployment di una nuova revisione di una postura.

Se la revisione della postura che stai aggiornando include un vincolo dell'organizzazione personalizzato eliminata utilizzando la console Google Cloud, non puoi aggiornare la postura utilizzando lo stesso ID postura. Il servizio Criteri dell'organizzazione impedisce la creazione di vincoli dell'organizzazione personalizzati con lo stesso nome. Devi invece crea una nuova versione della postura o utilizza un ID postura diverso.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della postura.

    Vai a Gestione della postura

  2. Verifica di visualizzare l'organizzazione che hai attivato il livello Premium o Enterprise di Security Command Center.

  3. Nella scheda Posture, fai clic sulla postura che hai aggiornato.

  4. Nella pagina Dettagli postura, seleziona la revisione della postura che aggiornato.

  5. Fai clic su Esegui il deployment sul nodo.

  6. Seleziona l'organizzazione, la cartella o il progetto in cui vuoi eseguire il deployment della postura. Se viene visualizzato un messaggio che indica che il deployment esiste già, eliminare il deployment prima di riprovare. Se la tua postura include un rilevatore specifico per AWS, devi di eseguire il deployment della postura a livello di organizzazione (anteprima).

  7. Fai clic su Seleziona.

gcloud

Esegui il comando gcloud scc posture-deployments update per eseguire il deployment di una postura.

gcloud scc posture-deployments update \
POSTURE_DEPLOYMENT_NAME --description=DESCRIPTION \
--update-mask=UPDATE_MASK --posture-id=POSTURE_ID \
--posture-revision-id=POSTURE_REVISION_ID

Sostituisci i seguenti valori:

  • POSTURE_DEPLOYMENT_NAME è il nome della risorsa relativo per del deployment della postura. Il formato è organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • LOCATION è pari a global.

    • POSTURE_DEPLOYMENT_ID è un nome univoco per la postura e deployment continuo.

  • --description=DESCRIPTION è la descrizione facoltativa per la postura di cui è stato eseguito il deployment.

  • --posture-id=POSTURE_ID è il nome della tua postura univoco della tua organizzazione. Il formato è organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_NAME

  • --posture-revision-id=POSTURE_REVISION_ID è il della postura di cui vuoi eseguire il deployment. Puoi ottenerlo dalla risposta che ricevi quando crei la postura o visualizzi le della postura.

  • --update-mask=UPDATE_MASK è l'elenco di campi che da aggiornare, in formato separato da virgole. Questo argomento è facoltativo.

Ad esempio, per aggiornare un deployment della postura con i seguenti criteri:

  • Organizzazione: organizations/3589215982/locations/global
  • ID deployment posture: postureDeploymentexample
  • ID posture: StagingAIPosture
  • Revisione: version2

Esegui questo comando:

gcloud scc posture-deployments update
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version2

Puoi visualizzare le informazioni sullo stato man mano che il comando viene completato. Se la postura il processo di aggiornamento del deployment non va a buon fine, elimina il deployment, risolvi l'errore e riprova.

Monitora la deviazione della postura

Puoi monitorare una postura di cui è stato eseguito il deployment per rilevare la deviazione dai criteri definiti all'interno strategia di sicurezza. La deviazione è una modifica di un criterio che viene applicata al di fuori di una postura. Ad esempio, la deviazione si verifica quando un amministratore modifica la definizione del criterio nella console anziché aggiornare il deployment della postura.

Il servizio Security posture crea dei risultati che puoi visualizzare nella console Google Cloud o gcloud CLI ogni volta che si verifica la deviazione.

Console

Se hai creato una postura applicabile ai carichi di lavoro Vertex AI, Puoi monitorare la deviazione in due modi: dalla pagina Risultati e dalla Panoramica. Per tutte le altre posture, puoi monitorare la deviazione Pagina Risultati.

Per monitorare la deviazione dalla pagina Risultati:

  1. Nella console Google Cloud, vai alla pagina Risultati.

    Vai ai risultati

  2. Accertati di visualizzare l'organizzazione per la quale hai attivato Security Command Center Premium o Enterprise Livello attivo.

  3. Nel riquadro Filtri rapidi, seleziona il risultato Violazione della postura. Puoi anche inserire il seguente filtro in Anteprima query:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"

  4. Fai clic su un risultato per visualizzarne i dettagli.

Per monitorare la deviazione dalla pagina Panoramica (carichi di lavoro Vertex AI) di produzione):

  1. Nella console Google Cloud, vai alla pagina Panoramica.

    Vai alla panoramica

  2. Accertati di visualizzare l'organizzazione per la quale hai attivato Security Command Center Premium o Enterprise Livello attivo.

  3. Esamina il riquadro Risultati carichi di lavoro IA.

    • La scheda Vulnerabilità mostra tutte le vulnerabilità correlate a qualsiasi Moduli personalizzati di Security Health Analytics che si applicano nello specifico ai carichi di lavoro Vertex AI.
    • La scheda Deviazione criteri mostra eventuali deviazioni relative a Vertex AI i criteri dell'organizzazione applicati in una postura.

  4. Fai clic su un risultato per visualizzarne i dettagli.

gcloud

In gcloud CLI, per visualizzare i risultati della deviazione, esegui questo comando:

gcloud scc findings list ORGANIZATION_ID \
--filter="category=\"SECURITY_POSTURE_DRIFT\""

Dove ORGANIZATION_ID è l'ID dell'organizzazione.

Per ulteriori informazioni su come risolvere questi risultati, consulta Servizio Security posture risultati. Puoi esportare questi risultati come faresti con qualsiasi altro risultato da Security Command Center. Per ulteriori informazioni, vedi Opzioni di integrazione ed Esportazione dei dati di Security Command Center.

Disattivare una deviazione puoi aggiornare il deployment della postura con lo stesso ID e la stessa revisione della postura.

Generare un risultato di deviazione a scopo di test

Dopo aver eseguito il deployment di una postura, puoi monitorare la deviazione rispetto ai criteri. A per vedere i risultati della deviazione in azione in un ambiente di test, completa quanto segue:

  1. Nella console, vai alla pagina Criterio dell'organizzazione.

    Vai a Criterio dell'organizzazione

  2. Modifica uno dei criteri che hai definito nella postura di cui è stato eseguito il deployment. Per Ad esempio, se utilizzi una postura AI sicura predefinita, puoi modificare Limita l'accesso all'IP pubblico sui nuovi blocchi note di Vertex AI Workbench e Istanze.

  3. Dopo aver modificato il criterio, fai clic su Imposta criterio.

  4. Vai alla pagina Risultati.

    Vai ai risultati

  5. Nel riquadro Filtri rapidi, nella sezione Nome visualizzato dell'origine, Seleziona Security posture. Dovrebbe essere visualizzato un risultato correlato alla modifica entro cinque minuti.

  6. Fai clic sul risultato per visualizzarne i dettagli.

Elimina un deployment della postura

Puoi eliminare un deployment della postura se non è stato eseguito correttamente, una determinata postura, oppure non ne desideri più e assegnato a un progetto, a una cartella o a un'organizzazione. Per eliminare un deployment della postura, il deployment della postura deve trovarsi in uno dei seguenti stati:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Per verificare lo stato di un deployment della postura, consulta Visualizzare le informazioni sul deployment di una postura.

Quando elimini un deployment della postura, la rimuovi dalla risorsa (organizzazione, cartella o progetto) a cui l'hai assegnata.

L'output per diversi tipi di criteri è:

  • Quando elimini un deployment della postura che include l'organizzazione personalizzata criteri, i criteri dell'organizzazione personalizzati vengono eliminati. Tuttavia, continua a esistere.

  • Quando elimini un deployment della postura che include Security Health Analytics integrato rilevatori, lo stato finale dei moduli Security Health Analytics dipende dell'organizzazione, della cartella o del progetto in cui si trovava il deployment.

    • Se hai eseguito il deployment di una postura su una cartella o un progetto, I rilevatori di Security Health Analytics ereditano lo stato dall'organizzazione principale o cartella.
    • Se hai eseguito il deployment di una postura a livello di organizzazione, I rilevatori di Security Health Analytics tornano allo stato predefinito. Per una descrizione vedi Attivare e disattivare i rilevatori.

Esegui il comando gcloud scc posture-deployments delete per eliminare una postura e deployment continuo.

gcloud scc posture-deployments delete
POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME è il nome della risorsa relativo per del deployment della postura. Il formato è organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION è pari a global.

  • POSTURE_DEPLOYMENT_ID è il nome univoco della postura e deployment continuo.

Ad esempio, per eliminare un deployment della postura denominato organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, esegui questo comando:

gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Elimina una postura

Quando elimini una postura, elimini anche tutte le revisioni. Non puoi eliminare un della postura di cui viene eseguito il deployment. Prima di poter completare questa attività, devi eliminare il deployment della postura.

Esegui il comando gcloud scc postures delete per eliminare una postura.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME è il nome della risorsa relativo del postura. Ad esempio: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID. L'ID postura è un nome alfanumerico univoco per la tua organizzazione. LOCATION è global.

Ad esempio, per eliminare una postura denominata organizations/3589215982/locations/global/postures/posture-example-1, esegui questo comando:

gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1

Passaggi successivi