设置 Security Command Center

首次为您的组织设置 Security Command Center。如果您已为组织设置 Security Command Center,请参阅使用 Security Command Center 指南。

准备工作

设置权限

要设置 Security Command Center,您需要以下 Identity and Access Management (IAM) 角色:

  • 组织管理员 roles/resourcemanager.organizationAdmin
  • Security Center Admin roles/securitycenter.admin
  • Security Admin roles/iam.securityAdmin
  • Create Service Accounts roles/iam.serviceAccountCreator

详细了解 Security Command Center 角色

验证组织政策

如果您的组织政策已设为 按网域限制身份

  • 您必须登录允许的网域中的帐号 Cloud Console。
  • 您的服务帐号必须位于允许的网域中,或是您网域内某个群组的成员。当启用了网域限制共享时,借助此要求,您就可以允许 @*.gserviceaccount.com 服务访问资源。

为您的组织设置 Security Command Center

如要为您的组织设置 Security Command Center,请选择您希望的 Security Command Center 层级,并启用要在 Security Command Center 信息中心中显示结果的服务或集成来源。然后选择要监控的资源或资产,并为 Security Command Center 服务帐户授予权限。

第 1 步:选择您的层级

您选择的 Security Command Center 层级决定了您可以使用的功能以及 Security Command Center 的使用费用。下表简要介绍了优质层级和标准层级提供的内置 Security Command Center 服务:

层级详情

标准层级特性

  • Security Health Analytics:在标准层级中,Security Health Analytics 可为 Google Cloud 提供代管式漏洞评估扫描服务,此功能可以自动检测您的 Google Cloud 资产中存在的最严重的漏洞和配置错误。标准层级中的 Security Health Analytics 包含以下发现类型:

    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner 自定义扫描:在标准层级中,Web Security Scanner 支持对公共网址和 IP 不受防火墙保护的已部署应用进行自定义扫描。

专业版层级特性

  • Event Threat Detection 会监控贵组织的 Cloud Logging 数据流,并在一个或多个项目已产生日志时使用这些日志来检测以下威胁:
    • 恶意软件
    • 挖矿
    • SSH 暴力破解
    • 传出 DoS
    • IAM 异常授权
    • 数据遭窃
  • Container Threat Detection 可检测以下容器运行时攻击:
    • 已执行添加的二进制文件
    • 已加载添加的库
    • 反向 shell
  • Security Health Analytics:专业版层级中的 Security Health Analytics 会监控许多行业最佳做法,并监控您的 Google Cloud 资产的合规性。您还可以在合规性信息中心查看这些结果,并将其导出为可管理的 CSV 文件。

    专业版层级中的 Security Health Analytics 可基于以下各项标准进行监控和报告:

    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • Web Security Scanner 可提供代管式扫描服务,能够识别 Google Cloud 应用中的以下安全漏洞:
    • 跨站脚本攻击 (XSS)
    • Flash 注入
    • 混合内容
    • 明文密码
    • 使用不安全的 JavaScript 库
  • 专业版层级还包含所有标准层级功能。

如需了解与使用 Security Command Center 相关的费用,请参阅价格页面。

如需订阅 Security Command Center 优质层级,请与销售代表联系或联系我们。如果您没有订阅优质层级,则您可以使用标准层级。

如果您的组织已在使用 Security Command Center,当您升级到优质层级或标准层级时,该层级的所有新功能都将启用。升级到优质层级或标准层级后,您只能在这两个层级之间切换,而不能切换回旧版 Security Command Center。

选择所需层级后,启动 Security Command Center 设置:

  1. 转到 Cloud Console 的 Security Command Center 页面。
    转到 Security Command Center 页面
  2. 组织下拉列表中,选择要为其启用 Security Command Center 的组织,然后点击选择

接下来,您要为组织启用内置服务。

第 2 步:选择服务

选择服务页面上,所有内置服务都会在组织层级默认启用您选择的层级。每项服务都会扫描所有受支持的资源并报告整个组织的发现结果。要停用任何服务,请点击服务名称旁边的下拉菜单,然后选择默认停用

以下是特定服务的说明:

  • 为使 Container Threat Detection 正常运行,您需要确保集群采用了受支持的 Google Kubernetes Engine (GKE) 版本,并且 GKE 集群已正确配置。如需了解详情,请参阅使用 Container Threat Detection

  • Event Threat Detection 依赖于 Google Cloud 生成的日志。要使用 Event Threat Detection,您必须为组织、文件夹和项目启用日志

  • Security Command Center 中自动提供了异常值检测发现结果。 新手入门后,可以按照配置 Security Command Center 中的步骤停用异常检测。

接下来,您可以选择启用或停用个人资源的服务。

第 3 步:选择资源

Security Command Center 设计为在组织级层运行。默认情况下,资源会继承组织的服务设置。所有启用的服务都会扫描组织中所有受支持的资源。此配置是最佳操作模式,可确保系统自动发现和更改新资源。

如果您不希望 Security Command Center 扫描整个组织,则必须在高级设置菜单中排除个别资源。

  1. 转到高级设置菜单,然后点击节点以将其展开。

    高级设置菜单
    “高级设置”菜单(点击可放大)
  2. 要更改资源设置,请点击服务列中的下拉列表以选择启用选项。

    • 默认启用:为资源启用了服务。
    • 默认停用:为资源停用服务。
    • 继承:资源会使用在资源层次结构中为其父级选择的服务设置。

点击搜索文件夹或项目后,系统会打开一个窗口,您可以在其中输入搜索字词,以便快速找到资源并更改其设置。

接下来,您将向 Security Command Center 服务帐号授予权限。

第 4 步:授予权限

启用 Security Command Center 时,系统将以 service-org-organization-id@security-center-api.iam.gserviceaccount.com 格式为您创建服务帐号。此服务帐号在组织级层具有下列 IAM 角色:

  • securitycenter.serviceAgent 能够使Security Command Center 服务帐号可以持续创建和更新组织资产资源元数据的副本。要了解与此角色关联的权限,请参阅访问权限控制
  • serviceusage.serviceUsageAdmin。如需详细了解如何使用此角色,请参阅什么是 Service Usage
  • cloudfunctions.serviceAgent

如需自动向服务帐号授予这些角色,请点击授予角色。如果您希望使用 gcloud 命令行工具手动授予所需的角色,请执行以下操作:

  1. 点击以展开手动授予角色部分,然后复制 gcloud 工具命令。
  2. 在 Cloud Console 工具栏上,点击激活 Cloud Shell
  3. 在分隔的终端窗口中,粘贴您复制的 gcloud 工具命令,然后按 Enter 键。

授予 Security Command Center 服务帐号所需的角色。

接下来,您确认已显示 Security Command Center 设置,并且显示 Security Command Center 探索页面。

第 5 步:等待扫描完成

设置完之后,Security Command Center 将启动初始资源扫描,之后您可以使用信息中心审核并修复组织中的 Google Cloud 安全和数据风险。对某些产品启动扫描之前可能会有延迟。请阅读 Security Command Center 延迟时间概览以详细了解激活过程。

如需详细了解每个内置服务,请参阅本网站上提供的指南。

后续步骤