Gerenciar uma postura de segurança

Nesta página, descrevemos como configurar e usar o serviço de postura de segurança depois de ativar o Security Command Center. Para começar, você precisa criar uma postura que inclua suas políticas, organizadas em conjuntos de políticas e, em seguida, implante a postura usando uma implantação de postura. Depois que uma postura é implantada, é possível monitorar o deslocamento e refinar ainda mais sua postura ao longo do tempo.

Antes de começar

Conclua estas tarefas antes de finalizar as restantes nesta página.

Ativar o nível Premium ou Enterprise do Security Command Center

Verifique se o nível Premium ou Enterprise do Security Command Center está ativado no nível da organização.

Se você quiser usar os detectores da Análise de integridade da segurança como políticas, selecione o serviço durante o processo de ativação.

Configurar permissões

Para ter as permissões necessárias para usar a postura, peça ao administrador para conceder a você o papel do IAM Administrador do Security posture (roles/securityposture.admin). Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Para mais informações sobre os papéis e as permissões de postura de segurança, consulte IAM para ativações no nível da organização.

Configurar a Google Cloud CLI

Use a Google Cloud CLI versão 461.0.0 ou mais recente.

É possível usar as amostras da CLI do gcloud nesta página de um dos seguintes ambientes de desenvolvimento:

  • Cloud Shell: para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell.

    Na parte de baixo desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.

  • Shell local: para usar a CLI da gcloud em um ambiente de desenvolvimento local, instale e inicialize a CLI gcloud.

Para configurar a CLI da gcloud para usar a representação da conta de serviço para autenticação nas APIs do Google, em vez de suas credenciais de usuário, execute o seguinte comando: 

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Para mais informações, consulte Representação da conta de serviço.

Ativar APIs

Ative o Organization Policy Service e as APIs do serviço Security posture:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configurar a conexão com a AWS

Para usar os detectores integrados do Security Health Analytics específicos para a AWS, ative o Security Command Center Enterprise e conecte-se à AWS para a detecção de vulnerabilidades.

Criar e implantar uma postura

Para começar a usar uma postura de segurança, faça o seguinte:

  • Crie um arquivo YAML de postura que defina as políticas que se aplicam à sua postura de segurança.

  • Criar uma postura no Google Cloud baseada no arquivo YAML de postura.

  • Implante a postura.

As seções a seguir fornecem instruções detalhadas.

Criar um arquivo YAML de postura

Uma postura consiste em um ou mais conjuntos de políticas que você implanta em conjunto. Esses conjuntos de políticas incluem todas as políticas preventivas e de detetive que você quer incluir na sua postura.

Para criar a postura, siga um destes procedimentos:

As posições são arquivos YAML. Saiba mais sobre o arquivo posture.yaml e os pares de chave-valor em Arquivo YAML de postura de segurança.

Criar um arquivo de postura com base em um modelo predefinido

É possível usar um modelo predefinido para criar um arquivo de postura.

Console

  1. No console do Google Cloud, acesse a página Gerenciamento de postura.

    Acessar "Gerenciamento de postura"

  2. Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.

  3. Na guia Modelos, clique na opção que você quer usar.

  4. Na página Detalhes do modelo, clique em Criar postura.

  5. Forneça um nome exclusivo para a postura e clique em Criar. A página Detalhes da postura é aberta.

  6. Conclua uma das seguintes ações:

gcloud

  1. Revise os modelos de postura predefinidos para determinar quais se aplicam ao seu ambiente. Algumas delas podem ser aplicadas sem fazer nenhuma alteração, mas outras exigem a personalização das políticas de acordo com o ambiente.

  2. Use um dos métodos a seguir para copiar os arquivos YAML no seu editor de texto:

    • Copie o arquivo YAML do conteúdo de referência em modelos de postura predefinidas.

    • Execute o comando gcloud scc posture-templates describe para copiar o arquivo YAML.

    gcloud scc posture-templates describe \
organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \
--revision-id=REVISION_ID

    Substitua os seguintes valores:

    • ORGANIZATION_ID é a organização onde você ativou o nível Premium ou Enterprise do Security Command Center.

    • LOCATION é o local em que você quer implantar e armazenar a postura. O único local aceito é global.

    • POSTURE_TEMPLATE é o nome do modelo da postura predefinida, conforme descrito em modelos de postura predefinida.

    • REVISION_ID é a versão de revisão da postura predefinida. Se você não incluir o ID de revisão, a versão mais recente da postura predefinida será exibida.

    Por exemplo, para visualizar a posição predefinida da IA segura na organização 3589215982, execute o seguinte:

    gcloud scc posture-templates describe
    organizations/3589215982/locations/global/postureTemplates/secure_ai_essential
    --revision-id=v.1.0

  3. Conclua uma das seguintes ações:

    • Se você puder usar a postura sem fazer nenhuma mudança (por exemplo, usou um dos modelos _essentials), poderá criá-la. Para mais instruções, consulte Criar uma postura.

    • Se precisar modificar qualquer um dos conjuntos ou políticas de políticas, conclua a seção Modificar um arquivo YAML de postura.

Crie um arquivo de postura extraindo políticas de um ambiente atual

É possível extrair as políticas (políticas da organização, incluindo políticas personalizadas e todos os detectores da Análise de integridade da segurança, inclusive os personalizados) que você configurou em um projeto, pasta ou organização atual para criar um arquivo de postura. Não é possível extrair políticas de uma organização, pasta ou projeto que já tenha uma postura aplicada.

Esse comando extrai apenas as políticas que você configurou anteriormente para a organização, pasta ou projeto e não extrai políticas de pastas mães ou da organização.

Se você conectou o Security Command Center Enterprise à AWS, esse comando também extrai os detectores específicos da AWS (pré-lançamento).

  1. Execute o comando gcloud scc postures extract para extrair as políticas da organização e os detectores da Análise de integridade da segurança no ambiente.

    gcloud scc postures extract \
POSTURE_NAME --workload=WORKLOAD

    Substitua os seguintes valores:

    • POSTURE_NAME é o nome de recurso relativo da postura. Por exemplo, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION é global.

      • POSTURE_ID é um nome alfanumérico para sua postura e é exclusivo para sua organização. POSTURE_ID é limitado a 63 caracteres.

    • WORKLOAD é o projeto, a pasta ou a organização de que você está extraindo as políticas. A carga de trabalho é uma das seguintes:

      • projects/PROJECT_NUMBER

      • folder/FOLDER_ID

      • organizations/ORGANIZATION_ID

    Por exemplo, para extrair políticas da pasta 3589215982 na organização 6589215984, execute o seguinte:

    gcloud scc postures extract organizations/6589215984/locations/global/postures/myStagingPosture folder/3589215982 > posture.yaml

  2. Abra o arquivo posture.yaml resultante para edição.

  3. Conclua uma das seguintes ações:

    • Se você puder usar a postura sem fazer nenhuma mudança (por exemplo, usou um dos modelos _essentials), poderá criá-la. Para mais instruções, consulte Criar uma postura.

    • Se precisar modificar qualquer um dos conjuntos ou políticas de políticas, conclua a etapa Modificar um arquivo YAML de postura.

Criar um recurso do Terraform com definições de política

É possível criar uma configuração do Terraform para criar um recurso de postura.

Por exemplo, é possível criar um recurso de postura que inclua restrições integradas e personalizadas da política da organização e detectores integrados e personalizados da Análise de integridade da segurança. O suporte ao gerenciamento de postura para detectores integrados da Análise de integridade da segurança específicos da AWS está em Pré-lançamento.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Para mais informações, consulte google_securityposture_posture.

Modificar um arquivo YAML de postura

Conclua as etapas abaixo para modificar um arquivo YAML de postura:

  1. Abra o arquivo YAML de postura em um editor de texto.

  2. Verifique name, description e state no início do arquivo.

    name: organizations/ORGANIZATION_ID/locations/LOCATION/posture/POSTURE_ID
description: DESCRIPTION
state: STATE

    Consulte o Arquivo YAML de postura de segurança para ver uma descrição desses valores de chave.

    Exemplo:

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
description: This posture applies to staging environments for Vertex AI.
state: ACTIVE

  3. Personalize as políticas no arquivo para atender aos seus requisitos:

    1. Revise as políticas atuais e os valores delas. Para políticas que exigem informações específicas do seu ambiente, defina os valores adequadamente. Por exemplo, para a política ainotebooks.accessMode na postura predefinida estendida da IA segura, adicione os modos de acesso permitidos em policy_rules:

        - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3(3)
    - standard: NIST SP 800-53
      control: AC-6(1)
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.accessMode
        policy_rules:
        - values:
            allowed_values: service-account
    description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.

    2. Adicione outras restrições de política da organização, conforme documentado em Restrições da política da organização. Se você estiver definindo uma política da organização personalizada, verifique se o arquivo YAML inclui a definição de restrição personalizada. Não é possível usar uma restrição personalizada criada usando outros métodos (por exemplo, usando o console do Google Cloud). Por exemplo, é possível definir a restrição compute.trustedImageProjects para definir que os projetos podem ser usados para armazenamento de imagens e instanciação de disco. Se você copiar esse exemplo, substitua allowed_values pela lista de projetos adequados:

        - policy_id: Define projects with trusted images.
    compliance_standards:
    - standard:
      control:
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.trustedImageProjects
        policy_rules:
        - values:
            allowed_values:
            - project1
            - project2
            - projectN
    description: This is a complete list of projects from which images can be used.

    3. Adicione outros detectores da Análise de integridade da segurança, como os documentados em Descobertas da Análise de integridade da segurança. Por exemplo, adicione um detector da Análise de integridade da segurança para criar uma descoberta se um projeto não estiver usando uma chave de API para autenticação: 

        - policy_id: API Key Exists
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_EXISTS

      Como outro exemplo, adicione um módulo personalizado do Security Health Analytics para detectar se os conjuntos de dados da Vertex AI estão criptografados:

        - policy_id: CMEK key is use for Vertex AI DataSet
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-12
    - standard: NIST SP 800-53
      control: SC-13
    constraint:
      security_health_analytics_custom_module:
        display_name: "vertexAIDatasetCMEKDisabled"
        config:
          customOutput: {}
          predicate:
            expression: "!has(resource.encryptionSpec)"
          resource_selector:
            resource_types:
            - aiplatform.googleapis.com/Dataset
          severity: CRITICAL
          description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
          recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
        module_enablement_state: ENABLED

      Como outro exemplo, para o Security Command Center Enterprise, adicione um detector do Security Health Analytics específico para a AWS (pré-lançamento):

      - policy_set_id: AWS policy set
  description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
  policies:
  - policy_id: S3 bucket replication enabled
    compliance_standards:
    - standard: NIST 800-53 R5
      control: SI-13(5)
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_REPLICATION_ENABLED
    description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.

  - policy_id: S3 bucket logging enabled
    compliance_standards:
    - standard: NIST 800-53 R5
      control: SI-7(8)
    - standard: PCI DSS 3.2.1
      control: 10.3.1
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_LOGGING_ENABLED
    description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.

      Se você adicionar um detector específico para a AWS, será necessário implantar a postura no nível da organização.

  4. Faça upload do arquivo de postura em um repositório de origem com controle de versões para acompanhar as mudanças feitas nele ao longo do tempo.

Criar uma postura

Conclua esta tarefa para criar um recurso de postura no Security Command Center que pode ser implantado. Se você criou uma postura com base em um modelo predefinido usando o console do Google Cloud, o recurso de postura será criado automaticamente para você.

gcloud

  1. Execute o comando gcloud scc postures create para criar uma postura usando o arquivo posture.yaml.

    gcloud scc postures create \
POSTURE_NAME --posture-from-file=POSTURE_FROM_FILE

    Substitua os seguintes valores:

    • POSTURE_NAME é o nome de recurso relativo da postura. Por exemplo, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION é global.

      • POSTURE_ID é um nome alfanumérico para sua postura e é exclusivo para sua organização. POSTURE_ID é limitado a 63 caracteres.

    • POSTURE_FROM_FILE é o caminho relativo ou absoluto para o arquivo posture.yaml.

    Por exemplo, para criar uma postura com o ID posture-example-1 na organização organizations/3589215982, execute o seguinte:

    gcloud scc postures create organizations/3589215982/locations/global/postures/posture-example-1 --posture-from-file=posture.yaml

    Se o processo de criação da postura falhar, exclua a postura, resolva o erro e tente novamente.

  2. Para verificar se a postura foi criada, consulte Visualizar uma postura.

Para aplicar essa postura ao seu ambiente, implante a postura.

Terraform

Se você criou uma configuração do Terraform para o recurso de postura, será preciso provisioná-la usando o pipeline de infraestrutura como código.

Para mais informações, acesse Terraform no Google Cloud.

Implantar uma postura

Depois de criar uma postura, implante-a em um projeto, uma pasta ou uma organização para que seja possível aplicar as políticas e as definições delas a recursos específicos na organização e monitorar desvios. Só é possível implantar uma postura em um projeto, pasta ou organização.

Verifique se o estado da posição é ACTIVE.

Quando você implanta a postura, as seguintes ações ocorrem:

  • As definições de políticas da organização e dos detectores da Análise de integridade da segurança são aplicadas.

  • A restrição personalizada para políticas da organização personalizadas é criada com o ID de restrição para incluir o ID de revisão de postura como um sufixo do ID de restrição definido na postura.

  • O estado padrão dos módulos personalizados é definido como Ativado.

Console

  1. No console do Google Cloud, acesse a página Gerenciamento de postura.

    Acessar "Gerenciamento de postura"

  2. Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.

  3. Na guia Posture, clique na que você quer implantar.

  4. Na página Detalhes da postura, selecione a revisão que você quer implantar.

  5. Clique em Implantar no nó.

  6. Selecione a organização, a pasta ou o projeto em que você quer implantar a postura. Se sua postura incluir um detector específico para a AWS, será necessário implantá-la no nível da organização (Preview).

  7. Clique em Selecionar.

  8. Repita as etapas 5 a 7 para cada organização, pasta ou projeto em que você quer aplicar a postura.

gcloud

Execute o comando gcloud scc posture-deployments create para implantar uma postura em um projeto, pasta ou organização.

gcloud scc posture-deployments create \
POSTURE_DEPLOYMENT_NAME  --posture-name=POSTURE_NAME \
--posture-revision-id=POSTURE_REVISION_ID \
--target-resource=TARGET_RESOURCE

Substitua os seguintes valores:

  • POSTURE_DEPLOYMENT_NAME é o nome do recurso relativo para a implantação da postura. O formato é organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • LOCATION é global.

    • POSTURE_DEPLOYMENT_ID é um nome exclusivo para a implantação da postura. POSTURE_DEPLOYMENT_ID é limitado a 63 caracteres.

  • --posture-name=POSTURE_NAME é o nome da postura que você está implantando. O formato é organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

    • LOCATION é global.

    • POSTURE_ID é um nome alfanumérico para sua postura e é exclusivo para sua organização.

  • --posture-revision-id=POSTURE_REVISION_ID é a revisão de postura que você quer implantar. Ele pode ser encontrado na resposta que você recebe ao criar a postura ou visualizá-la.

  • --target-resource=TARGET_RESOURCE é o nome da organização, pasta ou projeto em que você quer implantar a postura. Você pode usar um dos seguintes formatos:

    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID
    • projects/PROJECT_NUMBER

    Se sua postura incluir um detector específico para a AWS, será necessário implantá-la no nível da organização (Preview).

Por exemplo, para implantar uma postura, execute o seguinte comando:

gcloud scc posture-deployments create
organizations/3589215982/locations/global/postureDeployments/postureDeployment123
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version1 --target-resource=projects/4589215982

É possível visualizar as informações de status enquanto o comando é concluído. Se o processo de criação de implantação da postura falhar, exclua a implantação, solucione o erro e tente novamente.

Terraform

É possível criar um recurso do Terraform para implantar uma postura.

  resource "google_securityposture_posture_deployment" "posture_deployment_example" {
    posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
    parent = "organizations/<ORGANIZATION_ID>"
    location = "global"
    description = "a new posture deployment"
    target_resource = "<TARGET_RESOURCE>"
    posture_id = "<POSTURE_NAME>"
    posture_revision_id = "<POSTURE_REVISION_ID>"
  }

Para mais informações, consulte google_securityposture_posture_deployment.

Depois de criar o recurso do Terraform, provisione-o usando o pipeline de infraestrutura como código.

Acessar informações de postura e implantação de postura

É possível visualizar informações de postura e implantação de postura para conferir dados como:

  • Quais posturas são implantadas e em que parte da hierarquia de recursos (organizações, projetos e pastas) elas são aplicadas

  • As revisões e o estado das posturas

  • Os detalhes operacionais de uma implantação de postura

Ver uma postura

É possível visualizar informações sobre uma postura, como as definições de estado e política.

Console

  1. No console do Google Cloud, acesse a página Gerenciamento de postura.

    Acessar "Gerenciamento de postura"

  2. Selecione a organização em que você ativou o nível Premium ou Enterprise do Security Command Center.

  3. Na guia Posturas, clique naquela que você quer conferir. Os detalhes da postura aparecem.

gcloud

Execute o comando gcloud scc postures describe para ver uma postura que você criou.

gcloud scc postures describe POSTURE_NAME \
--revision-id=REVISION_ID

Substitua os seguintes valores:

  • POSTURE_NAME é o nome de recurso relativo da postura. Por exemplo, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

    • LOCATION é global.

    • POSTURE_ID é um nome alfanumérico para a postura exclusivo da sua organização.

  • revision-id=REVISION_ID é uma sinalização opcional que especifica qual versão da postura será visualizada. Se você não incluir a sinalização, a versão mais recente será retornada.

Por exemplo, para ver uma postura com o nome organizations/3589215982/locations/global/postures/posture-example-1 e o ID de revisão abcdefgh, execute o comando a seguir:

gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1
--revision-id=abcdefgh

Conferir informações sobre uma operação de implantação de postura

Execute o comando gcloud scc securityposture-operations describe para visualizar os detalhes de uma operação de implantação de postura.

gcloud scc securityposture-operations describe OPERATION_NAME

Em que OPERATION_NAME é o nome do recurso relativo para a operação. O formato é organizations/ORGANIZATION_ID/LOCATION/global/operations/OPERATION_ID. LOCATION é o local em que você implantou a implantação da postura. Confira o OPERATION_ID usando o argumento --async ao executar o comando de postura.

Por exemplo, para visualizar uma operação de verificação com o nome organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, execute o seguinte:

gcloud scc securityposture-operations describe
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Conferir informações sobre uma implantação de postura

É possível conferir onde uma postura é implantada e o estado dela.

Console

  1. No console do Google Cloud, acesse a página Gerenciamento de postura.

    Acessar "Gerenciamento de postura"

  2. Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.

  3. Na guia Postures, clique na postura que você implantou.

  4. Clique na guia Deployments. É possível visualizar os projetos, as pastas e a organização em que a postura foi implantada, bem como o estado da implantação.

gcloud

Execute o comando gcloud scc posture-deployments describe para visualizar as informações sobre uma postura implantada.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

Em que POSTURE_DEPLOYMENT_NAME é o nome do recurso relativo para a implantação da postura. O formato é organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION é global.

  • POSTURE_DEPLOYMENT_ID é um nome exclusivo para a implantação da postura.

Por exemplo, para visualizar os detalhes de uma implantação de postura chamada organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, execute o seguinte:

gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Atualizar uma postura e implantar postura

É possível atualizar o seguinte:

  • O estado da postura.

  • As definições de política em uma postura.

  • A organização, as pastas ou os projetos em que uma postura é implantada.

Atualizar as definições de política em uma postura

Talvez seja necessário atualizar uma postura quando você ativar mais serviços do Google Cloud, implantar recursos adicionais ou exigir políticas adicionais para atender aos requisitos de conformidade novos ou que estejam mudando. Se você estiver atualizando uma revisão de postura implantada, essa tarefa criará uma nova revisão de postura. Caso contrário, a revisão de postura especificada ao executar o comando de atualização será atualizada.

  1. Abra um arquivo YAML em um editor de texto. Adicione os campos que você quer atualizar e os respectivos valores. Se você estiver atualizando conjuntos de políticas, verifique se o arquivo inclui todos os conjuntos de políticas que você quer incluir na postura, incluindo os que já existem. Para instruções, consulte Modificar um arquivo YAML de postura.

  2. Execute o comando gcloud scc postures update para atualizar a postura.

    gcloud scc postures update POSTURE_NAME \
--posture-from-file=POSTURE_FROM_FILE \
--revision-id=POSTURE_REVISION_ID --update-mask=UPDATE_MASK

    Substitua os seguintes valores:

    • POSTURE_NAME é o nome de recurso relativo da postura. Por exemplo, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

      • LOCATION é global.

      • POSTURE_ID é um nome alfanumérico para a postura exclusivo da sua organização.

    • POSTURE_FROM_FILE é o caminho relativo ou absoluto para o arquivo posture.yaml que inclui as alterações.

    • --revision-id=REVISION_ID é a revisão de postura que você quer implantar. Se a postura estiver implantada, o serviço de postura de segurança criará automaticamente uma nova versão da postura com um ID de revisão diferente e o incluirá na saída.

    • --update-mask=UPDATE_MASK é a lista de campos que você quer atualizar, em formato separado por vírgulas. Esse argumento é opcional. É possível definir UPDATE_MASK como um dos seguintes valores:

      • * ou não especificada: aplique as mudanças feitas nos conjuntos de políticas e na descrição da postura.
      • policy_sets: aplique as alterações feitas apenas aos conjuntos de políticas.
      • description: aplique as mudanças feitas apenas à descrição da postura.
      • policy_sets, description: aplique as mudanças feitas aos conjuntos de políticas e à descrição da postura.
      • state: aplica somente a mudança de estado.

    Por exemplo, para atualizar uma postura com o nome posture-example-1 na organização organizations/3589215982/locations/global e o ID de revisão definido como abcd1234, execute o seguinte:

    gcloud scc postures update organizations/3589215982/locations/global/posture-example-1 --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets

    Se o processo de atualização de postura falhar, resolva o problema e tente de novo.

  3. Para verificar se a postura foi atualizada, consulte Visualizar uma postura.

Mudar o estado de uma postura

O estado de uma postura determina se ela está disponível para implantação em um projeto, pasta ou organização.

Uma postura pode ter os seguintes estados:

  • DRAFT: a revisão de postura não está pronta para implantação. Não é possível implantar uma revisão de postura que esteja no estado DRAFT.

  • ACTIVE: a revisão de postura está disponível para implantação. É possível mudar o estado de ACTIVE para DRAFT ou DEPRECATED..

  • DEPRECATED: uma revisão de postura DEPRECATED não pode ser implantada em um recurso. Exclua todas as implantações de postura atuais antes de suspender o uso de uma revisão. Se você quiser reimplantar uma revisão de postura que descontinuou, altere o estado dela para ACTIVE.

Para mudar o estado de uma postura, execute o comando gcloud scc postures update. Não é possível atualizar o estado de postura ao mesmo tempo que atualiza outros campos. Para instruções sobre como executar o comando gcloud scc postures update, consulte Modificar um arquivo YAML de postura.

Atualizar uma implantação de postura

Atualize uma implantação de postura em um projeto, pasta ou organização para implantar uma nova postura ou implantar uma nova revisão de uma postura.

Se a revisão de postura que você está atualizando incluir uma restrição de organização personalizada que foi excluída usando o console do Google Cloud, não será possível atualizar a implantação de postura usando o mesmo ID de postura. O Organization Policy Service impede a criação de restrições personalizadas da organização com o mesmo nome. Em vez disso, é necessário criar uma nova versão ou usar um ID diferente.

Console

  1. No console do Google Cloud, acesse a página Gerenciamento de postura.

    Acessar "Gerenciamento de postura"

  2. Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.

  3. Na guia Posturas, clique na que você atualizou.

  4. Na página Detalhes da postura, selecione a revisão que você atualizou.

  5. Clique em Implantar no nó.

  6. Selecione a organização, a pasta ou o projeto em que você quer implantar a postura. Se for exibida uma mensagem informando que a implantação já existe, exclua-a antes de tentar novamente. Se sua postura incluir um detector específico para a AWS, será necessário implantá-la no nível da organização (Preview).

  7. Clique em Selecionar.

gcloud

Execute o comando gcloud scc posture-deployments update para implantar uma postura.

gcloud scc posture-deployments update \
POSTURE_DEPLOYMENT_NAME --description=DESCRIPTION \
--update-mask=UPDATE_MASK --posture-id=POSTURE_ID \
--posture-revision-id=POSTURE_REVISION_ID

Substitua os seguintes valores:

  • POSTURE_DEPLOYMENT_NAME é o nome do recurso relativo para a implantação da postura. O formato é organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • LOCATION é global.

    • POSTURE_DEPLOYMENT_ID é um nome exclusivo para a implantação da postura.

  • --description=DESCRIPTION é a descrição opcional da postura implantada.

  • --posture-id=POSTURE_ID é o nome da postura exclusivo da sua organização. O formato é organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_NAME.

  • --posture-revision-id=POSTURE_REVISION_ID é a revisão de postura que você quer implantar. Ele pode ser encontrado na resposta que você recebe ao criar a postura ou visualizá-la.

  • --update-mask=UPDATE_MASK é a lista de campos que você quer atualizar, em formato separado por vírgulas. Esse argumento é opcional.

Por exemplo, para atualizar uma implantação de postura com os seguintes critérios:

  • Organização: organizations/3589215982/locations/global
  • ID de implantação da postura: postureDeploymentexample
  • ID da postura: StagingAIPosture
  • Revisão: version2

Execute este comando:

gcloud scc posture-deployments update
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version2

É possível visualizar as informações de status enquanto o comando é concluído. Se o processo de atualização de implantação da postura falhar, exclua a implantação, solucione o erro e tente novamente.

Monitorar o deslocamento de postura

É possível monitorar uma postura implantada em relação ao desvio das políticas definidas dentro da postura de segurança. Deslocamento é uma mudança em uma política que ocorre fora de uma postura. Por exemplo, o deslocamento ocorre quando um administrador altera uma definição de política no console em vez de atualizar a implantação da postura.

O serviço de postura de segurança cria descobertas que podem ser visualizadas no console do Google Cloud ou na CLI gcloud sempre que ocorrer deslocamento.

Console

Se você criou uma postura que se aplica às cargas de trabalho da Vertex AI, é possível monitorar desvios de duas maneiras: na página Descobertas e na página Visão geral. Para todas as outras posições, é possível monitorar o desvio na página Descobertas.

Para monitorar desvios da página Descobertas:

  1. No console do Google Cloud, acesse a página Descobertas.

    Acesse Descobertas

  2. Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.

  3. No painel Filtros rápidos, selecione a descoberta Violação de postura. Também é possível inserir o seguinte filtro na Visualização da consulta:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"

  4. Para ver os detalhes de uma descoberta, clique nela.

Para monitorar desvios na página Visão geral (somente cargas de trabalho da Vertex AI):

  1. No console do Google Cloud, acesse a página Visão geral.

    Ir para Visão geral

  2. Verifique se você está visualizando a organização em que ativou o nível Premium ou Enterprise do Security Command Center.

  3. Consulte o painel Descobertas de carga de trabalho de IA.

    • A guia Vulnerabilidades mostra todas as vulnerabilidades relacionadas a qualquer módulo personalizado da Análise de integridade da segurança que se aplica especificamente às cargas de trabalho da Vertex AI.
    • A guia Deslocamento de políticas mostra qualquer desvio relacionado às políticas da organização da Vertex AI que você aplicou em uma postura.

  4. Para ver os detalhes de uma descoberta, clique nela.

gcloud

Na CLI gcloud, execute o comando a seguir para visualizar as descobertas de deslocamento:

gcloud scc findings list ORGANIZATION_ID \
--filter="category=\"SECURITY_POSTURE_DRIFT\""

Em que ORGANIZATION_ID é o ID da organização.

Para mais informações sobre como abordar essas descobertas, consulte Descobertas do serviço de postura de segurança. É possível exportar essas descobertas da mesma maneira que você exporta outras descobertas do Security Command Center. Para mais informações, consulte Opções de integração e Como exportar dados do Security Command Center.

Para desativar uma descoberta de deslocamento, é possível atualizar a implantação de postura com o mesmo ID e revisão de postura.

Gerar uma descoberta de deslocamento para fins de teste

Depois de implantar uma postura, é possível monitorar desvios em relação às suas políticas. Para ver descobertas de deslocamento em ação em um ambiente de teste, faça o seguinte:

  1. No console, acesse a página Política da organização.

    Acessar a política da organização

  2. Edite uma das políticas que você definiu na postura implantada. Por exemplo, se você usa uma postura segura de IA predefinida, é possível editar a política Restringir o acesso de IP público em novos notebooks e instâncias do Vertex AI Workbench.

  3. Depois de alterar a política, clique em Definir política.

  4. Acesse a página Descobertas.

    Acesse Descobertas

  5. No painel Filtros rápidos, na seção Nome de exibição da origem, selecione Posição de segurança. Uma descoberta relacionada à sua alteração aparecerá em cinco minutos.

  6. Para ver os detalhes da descoberta, clique nela.

Excluir uma implantação de postura

É possível excluir uma implantação de postura se ela não for implantada corretamente, se não precisar mais de uma postura específica ou se não quiser mais que uma determinada postura seja atribuída a um projeto, uma pasta ou uma organização. Para excluir uma implantação de postura, ela precisa estar em um dos seguintes estados:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Para verificar o estado de uma implantação de postura, consulte Ver informações sobre uma implantação de postura.

Ao excluir uma implantação de postura, ela é removida do recurso (organização, pasta ou projeto) a que você atribuiu a postura.

A saída para diferentes tipos de políticas é:

  • Quando você exclui uma implantação de postura que inclui políticas da organização personalizadas, essas políticas são excluídas. No entanto, a restrição personalizada continua a existir.

  • Quando você exclui uma implantação de postura que inclui detectores integrados da Análise de integridade da segurança, o estado final dos módulos depende da organização, da pasta ou do projeto em que a implantação existia.

    • Se você implantou uma postura em uma pasta ou projeto, os detectores integrados da Análise de integridade da segurança herdarão o estado da organização ou pasta pai.
    • Se você implantou uma postura no nível da organização, os detectores integrados da Análise de integridade da segurança serão revertidos para o estado padrão. Para conferir uma descrição dos estados padrão, consulte Ativar e desativar detectores.

Execute o comando gcloud scc posture-deployments delete para excluir uma implantação de postura.

gcloud scc posture-deployments delete
POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME é o nome do recurso relativo para a implantação da postura. O formato é organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION é global.

  • POSTURE_DEPLOYMENT_ID é o nome exclusivo da implantação da postura.

Por exemplo, para excluir uma implantação de postura chamada organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, execute o seguinte:

gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Excluir uma postura

Ao excluir uma postura, você também exclui todas as revisões. Não é possível excluir uma postura implantada. É necessário excluir a implantação de postura antes de concluir esta tarefa.

Execute o comando gcloud scc postures delete para excluir uma postura.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME é o nome de recurso relativo da postura. Por exemplo, organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID. O ID da postura é um nome alfanumérico exclusivo para sua organização. LOCATION é global.

Por exemplo, para excluir uma postura chamada organizations/3589215982/locations/global/postures/posture-example-1, execute o seguinte:

gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1

A seguir