设置 Security Command Center

首次为您的组织设置 Security Command Center。如果您已为组织设置 Security Command Center,请参阅使用 Security Command Center 指南。

准备工作

设置权限

要设置 Security Command Center,您需要以下 Identity and Access Management (IAM) 角色:

  • 组织管理员 roles/resourcemanager.organizationAdmin
  • Security Center Admin roles/securitycenter.admin
  • Security Admin roles/iam.securityAdmin
  • Create Service Accounts roles/iam.serviceAccountCreator

详细了解 Security Command Center 角色

验证组织政策

如果您的组织政策已设为 按网域限制身份

  • 您必须登录允许的网域中的帐号 Cloud Console;
  • 您的服务帐号必须位于允许的网域中,或是您网域内某个群组的成员。这样,当启用了网域限制共享时,您就可以允许 @*.gserviceaccount.com 服务访问资源。

如果您使用的是 VPC Service Controls,则必须在启用 Security Command Center 后授予对 Security Command Center 服务帐号的访问权限

为您的组织设置 Security Command Center

要为您的组织设置 Security Command Center,请选择您希望的 Security Command Center 层级,启用要在 Security Command Center 信息中心内显示发现结果的服务或安全来源,选择要监控的资源或素材资源,然后向 Security Command Center 服务帐号授予权限。

第 1 步:选择您的层级

您选择的 Security Command Center 层级会影响您可以使用的特性以及 Security Command Center 的使用费用。下表简要介绍了优质层级和标准层级提供的内置 Security Command Center 服务:

层级详情

标准层级特性

  • Security Health Analytics:在标准层级中,Security Health Analytics 可为 Google Cloud 提供代管式漏洞评估扫描服务,此功能可以自动检测您的 Google Cloud 资产中存在的最严重的漏洞和配置错误。标准层级中的 Security Health Analytics 包含以下发现类型:

    • 2SV_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • ORG_POLICY_CONFIDENTIAL_VM_POLICY
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner 自定义扫描:在标准层级中,Web Security Scanner 支持对公共网址和 IP 不受防火墙保护的已部署应用进行自定义扫描。

优质层级特性

  • Event Threat Detection 会监控贵组织的 Cloud Logging 数据流,并在一个或多个项目已产生日志时使用这些日志来检测以下威胁:
    • 恶意软件
    • 挖矿
    • SSH 暴力破解
    • 传出 DoS
    • IAM 异常授权
  • Container Threat Detection 可检测以下容器运行时攻击:
    • 可疑二进制文件
    • 可疑库
    • 反向 shell
  • Security Health Analytics:专业版层级中的 Security Health Analytics 会监控许多行业最佳做法,并监控您的 Google Cloud 资产的合规性。您还可以在合规性信息中心查看这些结果,并将其导出为可管理的 CSV 文件。

    专业版层级中的 Security Health Analytics 可基于以下各项标准进行监控和报告:

    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • Web Security Scanner 可提供代管式扫描服务,能够识别 Google Cloud 应用中的以下安全漏洞:
    • 跨站脚本攻击 (XSS)
    • Flash 注入
    • 混合内容
    • 明文密码
    • 使用不安全的 JavaScript 库
  • 优质层级还包含所有标准层级功能。

如需了解与使用 Security Command Center 相关的费用,请参阅价格页面。

如需订阅 Security Command Center 优质层级,请与销售代表联系或联系我们。如果您没有订阅优质层级,则标准层级将自动可用。

如果您的组织已在使用 Security Command Center,当您升级到优质层级或标准层级时,该层级的所有新功能都将启用。升级到优质层级或标准层级后,您只能在这两个层级之间切换,而不能切换回旧版 Security Command Center。

选择所需层级后,启动 Security Command Center 设置:

  1. 转到 Cloud Console 的 Security Command Center 页面。
    转到 Security Command Center 页面
  2. 组织下拉列表中,选择要为其启用 Security Command Center 的组织,然后点击选择

接下来,您要为组织启用内置服务。

第 2 步:选择服务

Security Command Center 中自动提供了异常值检测发现结果。要在“Security Command Center”信息中心显示来自其他安全来源的发现结果,您需要启用要用作安全来源的服务。

选择服务页面上,所有内置服务均在组织级层为您选择的 Security Command Center 层级启用。要停用任何服务,请点击服务名称旁边的切换开关。

如果您启用 Container Threat Detection 作为服务,则需要确保您的集群采用受支持的 Google Kubernetes Engine (GKE) 版本。如需了解详情,请参阅使用 Container Threat Detection

接下来,您可以选择启用或停用个人资源的服务。

第 3 步:选择资源

资源标签页中,您可以更改每个受支持资源的受支持服务设置。默认情况下,资源会继承组织的服务设置。如需选择为单个资源启用或停用服务,请点击服务列中的下拉列表,以选择资源上的服务启用。

  • 开启:为资源启用服务。
  • 关闭:停用资源的服务。
  • 继承自父级资源:资源会使用资源层次结构中为其父级资源选择的服务设置。

接下来,您将向 Security Command Center 服务帐号授予权限。

第 4 步:授予权限

启用 Security Command Center 时,系统将以 service-org-organization-id@security-center-api.iam.gserviceaccount.com 格式为您创建服务帐号。此服务帐号在组织级层具有下列 IAM 角色:

  • securitycenter.serviceAgent 能够使Security Command Center 服务帐号可以持续创建和更新组织资产资源元数据的副本。要了解与此角色关联的权限,请参阅访问权限控制
  • serviceusage.serviceUsageAdmin。如需详细了解如何使用此角色,请参阅什么是 Service Usage
  • cloudfunctions.serviceAgent

如需自动向服务帐号授予这些角色,请点击授予角色。如果您希望使用 gcloud 命令行工具手动授予所需的角色,请执行以下操作:

  1. 点击以展开手动授予角色部分,然后复制 gcloud 工具命令。
  2. 在 Cloud Console 工具栏上,点击激活 Cloud Shell
  3. 在分隔的终端窗口中,粘贴您复制的 gcloud 工具命令,然后按 Enter 键。

授予 Security Command Center 服务帐号所需的角色。

接下来,您确认已显示 Security Command Center 设置,并且显示 Security Command Center 探索页面。

第 5 步:等待扫描完成

设置完之后,Security Command Center 将启动初始资源扫描,之后您可以使用信息中心审核并修复组织中的 Google Cloud 安全和数据风险。对某些产品启动扫描之前可能会有延迟。请阅读 Security Command Center 延迟时间概览以详细了解激活过程。

如需详细了解每个内置服务,请参阅本网站上提供的指南。

后续步骤