设置 Security Command Center

首次为您的组织设置 Security Command Center。如果您已为组织设置 Security Command Center,请参阅使用 Security Command Center 指南。

准备工作

设置权限

要设置 Security Command Center,您需要以下 Identity and Access Management (IAM) 角色:

  • 组织管理员 roles/resourcemanager.organizationAdmin
  • Security Center Admin roles/securitycenter.admin
  • Security Admin roles/iam.securityAdmin
  • Create Service Accounts roles/iam.serviceAccountCreator

详细了解 Security Command Center 角色

验证组织政策

如果您的组织政策已设为 按网域限制身份

  • 您必须登录允许的网域中的帐号 Cloud Console。
  • 您的服务帐号必须位于允许的网域中,或是您网域内某个群组的成员。当启用了网域限制共享时,借助此要求,您就可以允许 @*.gserviceaccount.com 服务访问资源。

如果您使用的是 VPC Service Controls,则必须在启用 Security Command Center 后授予对 Security Command Center 服务帐号的访问权限

为您的组织设置 Security Command Center

如要为您的组织设置 Security Command Center,请选择您希望的 Security Command Center 层级,并启用要在 Security Command Center 信息中心中显示结果的服务或集成来源。然后选择要监控的资源或资产,并为 Security Command Center 服务帐户授予权限。

第 1 步:选择您的层级

您选择的 Security Command Center 层级决定了您可以使用的功能以及 Security Command Center 的使用费用。下表简要介绍了优质层级和标准层级提供的内置 Security Command Center 服务:

层级详情

标准层级特性

  • Security Health Analytics:在标准层级中,Security Health Analytics 可为 Google Cloud 提供代管式漏洞评估扫描服务,此功能可以自动检测您的 Google Cloud 资产中存在的最严重的漏洞和配置错误。标准层级中的 Security Health Analytics 包含以下发现类型:

    • 2SV_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner 自定义扫描:在标准层级中,Web Security Scanner 支持对公共网址和 IP 不受防火墙保护的已部署应用进行自定义扫描。

专业版层级特性

  • Event Threat Detection 会监控贵组织的 Cloud Logging 数据流,并在一个或多个项目已产生日志时使用这些日志来检测以下威胁:
    • 恶意软件
    • 挖矿
    • SSH 暴力破解
    • 传出 DoS
    • IAM 异常授权
    • 数据遭窃
  • Container Threat Detection 可检测以下容器运行时攻击:
    • 已执行添加的二进制文件
    • 已加载添加的库
    • 反向 shell
  • Security Health Analytics:专业版层级中的 Security Health Analytics 会监控许多行业最佳做法,并监控您的 Google Cloud 资产的合规性。您还可以在合规性信息中心查看这些结果,并将其导出为可管理的 CSV 文件。

    专业版层级中的 Security Health Analytics 可基于以下各项标准进行监控和报告:

    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • Web Security Scanner 可提供代管式扫描服务,能够识别 Google Cloud 应用中的以下安全漏洞:
    • 跨站脚本攻击 (XSS)
    • Flash 注入
    • 混合内容
    • 明文密码
    • 使用不安全的 JavaScript 库
  • 专业版层级还包含所有标准层级功能。

如需了解与使用 Security Command Center 相关的费用,请参阅价格页面。

如需订阅 Security Command Center 优质层级,请与销售代表联系或联系我们。如果您没有订阅优质层级,则您可以使用标准层级。

如果您的组织已在使用 Security Command Center,当您升级到优质层级或标准层级时,该层级的所有新功能都将启用。升级到优质层级或标准层级后,您只能在这两个层级之间切换,而不能切换回旧版 Security Command Center。

选择所需层级后,启动 Security Command Center 设置:

  1. 转到 Cloud Console 的 Security Command Center 页面。
    转到 Security Command Center 页面
  2. 组织下拉列表中,选择要为其启用 Security Command Center 的组织,然后点击选择

接下来,您要为组织启用内置服务。

第 2 步:选择服务

选择服务页面上,所有内置服务都会在组织层级默认启用您选择的层级。每项服务都会扫描所有受支持的资源并报告整个组织的发现结果。要停用任何服务,请点击服务名称旁边的下拉菜单,然后选择默认停用

以下是特定服务的说明:

  • 为使 Container Threat Detection 正常运行,您需要确保集群采用了受支持的 Google Kubernetes Engine (GKE) 版本,并且 GKE 集群已正确配置。如需了解详情,请参阅使用 Container Threat Detection

  • Event Threat Detection 依赖于 Google Cloud 生成的日志。要使用 Event Threat Detection,您必须为组织、文件夹和项目启用日志

  • Security Command Center 中自动提供了异常值检测发现结果。 新手入门后,可以按照配置 Security Command Center 中的步骤停用异常检测。

接下来,您可以选择启用或停用个人资源的服务。

第 3 步:选择资源

Security Command Center 设计为在组织级层运行。默认情况下,资源会继承组织的服务设置。所有启用的服务都会扫描组织中所有受支持的资源。此配置是最佳操作模式,可确保系统自动发现和更改新资源。

如果您不希望 Security Command Center 扫描整个组织,则必须在高级设置菜单中排除个别资源。

  1. 转到高级设置菜单,然后点击节点以将其展开。

    高级设置菜单
    “高级设置”菜单(点击可放大)
  2. 要更改资源设置,请点击服务列中的下拉列表以选择启用选项。

    • 默认启用:为资源启用了服务。
    • 默认停用:为资源停用服务。
    • 继承:资源会使用在资源层次结构中为其父级选择的服务设置。

点击搜索文件夹或项目后,系统会打开一个窗口,您可以在其中输入搜索字词,以便快速找到资源并更改其设置。

接下来,您将向 Security Command Center 服务帐号授予权限。

第 4 步:授予权限

启用 Security Command Center 时,系统将以 service-org-organization-id@security-center-api.iam.gserviceaccount.com 格式为您创建服务帐号。此服务帐号在组织级层具有下列 IAM 角色:

  • securitycenter.serviceAgent 能够使Security Command Center 服务帐号可以持续创建和更新组织资产资源元数据的副本。要了解与此角色关联的权限,请参阅访问权限控制
  • serviceusage.serviceUsageAdmin。如需详细了解如何使用此角色,请参阅什么是 Service Usage
  • cloudfunctions.serviceAgent

如需自动向服务帐号授予这些角色,请点击授予角色。如果您希望使用 gcloud 命令行工具手动授予所需的角色,请执行以下操作:

  1. 点击以展开手动授予角色部分,然后复制 gcloud 工具命令。
  2. 在 Cloud Console 工具栏上,点击激活 Cloud Shell
  3. 在分隔的终端窗口中,粘贴您复制的 gcloud 工具命令,然后按 Enter 键。

授予 Security Command Center 服务帐号所需的角色。

接下来,您确认已显示 Security Command Center 设置,并且显示 Security Command Center 探索页面。

第 5 步:等待扫描完成

设置完之后,Security Command Center 将启动初始资源扫描,之后您可以使用信息中心审核并修复组织中的 Google Cloud 安全和数据风险。对某些产品启动扫描之前可能会有延迟。请阅读 Security Command Center 延迟时间概览以详细了解激活过程。

如需详细了解每个内置服务,请参阅本网站上提供的指南。

后续步骤