Diese Seite wurde von der Cloud Translation API übersetzt.

Sicherheitsstatus – Übersicht

Mit einem Sicherheitsstatus können Sie den Sicherheitsstatus Ihrer Cloud-Assets, einschließlich Ihres Cloud-Netzwerks und Ihrer Cloud-Dienste, definieren und verwalten. Anhand eines Sicherheitsstatus können Sie Ihre aktuelle Cloud-Sicherheit anhand von definierten Benchmarks bewerten und das Sicherheitsniveau halten, das Ihre Organisation erfordert. Mit einem Sicherheitsstatus können Sie Abweichungen von der definierten Benchmark erkennen und minimieren. Indem Sie einen Sicherheitsstatus definieren und beibehalten, der den Sicherheitsanforderungen Ihres Unternehmens entspricht, können Sie die Internetsicherheitsrisiken für Ihre Organisation minimieren und das Auftreten von Angriffen verhindern.

In Google Cloud können Sie mit dem Dienst für den Sicherheitsstatus in Security Command Center einen Sicherheitsstatus definieren und bereitstellen, den Sicherheitsstatus Ihrer Google Cloud-Ressourcen überwachen und Abweichungen (oder nicht autorisierte Änderungen) von Ihrem definierten Standort aus beheben.

Übersicht über den Dienst für den Sicherheitsstatus

Der Dienst für den Sicherheitsstatus ist ein integrierter Dienst für das Security Command Center, mit dem Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud definieren, bewerten und überwachen können. Der Dienst für den Sicherheitsstatus ist nur für Sie verfügbar, wenn Sie ein Abo der Premium- oder Enterprise-Stufe von Security Command Center erwerben und Security Command Center auf Organisationsebene aktivieren.

Mit dem Dienst für den Sicherheitsstatus können Sie Folgendes ausführen:

Sorgen Sie dafür, dass Ihre Arbeitslasten den Sicherheitsstandards, Compliancevorschriften und den benutzerdefinierten Sicherheitsanforderungen Ihres Unternehmens entsprechen.
Wenden Sie Ihre Sicherheitskontrollen auf Google Cloud-Projekte, -Ordner oder -Organisationen an, bevor Sie Arbeitslasten bereitstellen.
Achten Sie kontinuierlich auf Abweichungen Ihrer definierten Sicherheitskontrollen und beseitigen Sie diese.

Der Dienst für den Sicherheitsstatus wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Dienstkomponenten für den Sicherheitsstatus

Der Dienst für den Sicherheitsstatus umfasst die folgenden Komponenten:

Sicherheitsstatus:Ein oder mehrere Richtliniensätze, die die präventiven und detektivischen Kontrollen erzwingen, die Ihre Organisation benötigt, um ihren Sicherheitsstandard zu erfüllen. Sie können Sicherheitseinstellungen auf Organisations-, Ordner- oder Projektebene bereitstellen. Eine Liste von Sicherheitsvorlagen finden Sie unter Vordefinierte Sicherheitsvorlagenvorlagen.
Richtliniensätze:Eine Reihe von Sicherheitsanforderungen und zugehörigen Kontrollen in Google Cloud. In der Regel besteht ein Richtliniensatz aus allen Richtlinien, mit denen Sie die Anforderungen eines bestimmten Sicherheitsstandards oder einer bestimmten Complianceregelung erfüllen können.
Richtlinie:Eine bestimmte Einschränkung oder Einschränkung, die das Verhalten von Ressourcen in Google Cloud steuert oder überwacht. Richtlinien können präventiv (z. B. Einschränkungen für Organisationsrichtlinien) oder detektiv (z. B. Security Health Analytics-Detektoren) sein. Folgende Richtlinien werden unterstützt:
- Einschränkungen für Organisationsrichtlinien, einschließlich benutzerdefinierter Einschränkungen
- Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Module
Bereitstellung des Sicherheitsstatus: Nachdem Sie einen Sicherheitsstatus erstellt haben, stellen Sie ihn bereit, damit Sie den Sicherheitsstatus auf die Organisation, die Ordner oder die Projekte anwenden können, die Sie mit dem Sicherheitsstatus verwalten möchten.

Das folgende Diagramm zeigt die Komponenten eines Beispiel-Sicherheitsstatus.

Komponenten im Dienst für den Sicherheitsstatus

Vordefinierte Sicherheitsvorlagen

Der Dienst für den Sicherheitsstatus umfasst vordefinierte Sicherheitsvorlagen, die einem Compliancestandard oder einem von Google empfohlenen Standard wie den Blueprint-Empfehlungen für Unternehmensgrundlagen entsprechen. Sie können diese Vorlagen verwenden, um Sicherheitsmaßnahmen zu erstellen, die für Ihr Unternehmen gelten. In der folgenden Tabelle werden die Vorlagen für den Sicherheitsstatus beschrieben.

Vorlage für den Sicherheitsstatus	Name der Vorlage	Beschreibung
Standardmäßig sicher und unverzichtbar	`secure_by_default_essential`	Diese Vorlage implementiert die Richtlinien, die dazu beitragen, häufige Fehlkonfigurationen und allgemeine Sicherheitsprobleme zu vermeiden, die durch Standardeinstellungen verursacht werden. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen.
Standardmäßig sicher, erweitert	`secure_by_default_extended`	Diese Vorlage implementiert die Richtlinien, die dazu beitragen, häufige Fehlkonfigurationen und allgemeine Sicherheitsprobleme zu vermeiden, die durch Standardeinstellungen verursacht werden. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen.
Empfehlungen für sichere KI, Grundlagen	`secure_ai_essential`	Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie Gemini- und Vertex AI-Arbeitslasten sichern können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen.
Erweiterte Empfehlungen für sichere KI	`secure_ai_extended`	Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie Gemini- und Vertex AI-Arbeitslasten sichern können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen.
BigQuery-Empfehlungen, Grundlagen	`big_query_essential`	In dieser Vorlage werden Richtlinien implementiert, mit denen Sie BigQuery schützen können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen.
Cloud Storage-Empfehlungen, Grundlagen	`cloud_storage_essential`	In dieser Vorlage sind Richtlinien implementiert, mit denen Sie Cloud Storage schützen können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen.
Cloud Storage-Empfehlungen, erweitert	`cloud_storage_extended`	In dieser Vorlage sind Richtlinien implementiert, mit denen Sie Cloud Storage schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen.
Empfehlungen zu VPC Service Controls, Grundlagen	`vpcsc_essential`	In dieser Vorlage werden Richtlinien implementiert, mit denen Sie VPC Service Controls schützen können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen.
VPC Service Controls-Empfehlungen, erweitert	`vpcsc_extended`	In dieser Vorlage werden Richtlinien implementiert, mit denen Sie VPC Service Controls schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen.
Empfehlungen vom Center for Internet Security (CIS) der Google Cloud Computing Platform Benchmark 2.0.0	`cis_2_0`	Diese Vorlage enthält Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud-Umgebung nicht mit der CIS Google Cloud Computing Platform Benchmark Version 2.0.0 übereinstimmt. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen.
NIST SP 800-53-Standardempfehlungen	`nist_800_53`	In dieser Vorlage sind Richtlinien implementiert, mit denen Sie erkennen können, wenn Ihre Google Cloud-Umgebung nicht dem Standard SP 800-53 des National Institute of Standards and Technology (NIST) entspricht. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen.
Empfehlungen nach ISO 27001	`iso_27001`	In dieser Vorlage sind Richtlinien implementiert, mit denen Sie erkennen können, wenn Ihre Google Cloud-Umgebung nicht mit dem Standard ISO 27001 (International Organization for Standards) übereinstimmt. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen.
Empfehlungen für PCI-DSS-Standards	`pci_dss_v_3_2_1`	Diese Vorlage implementiert Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud-Umgebung nicht dem Payment Card Industry Data Security Standard (PCI-DSS) Version 3.2.1 und Version 1.0 entspricht. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen.

Körperhaltungen erstellen und Drift beobachten

Wenn Sie einen Sicherheitsstatus mit allen zugehörigen Richtlinien für eine Google Cloud-Ressource erzwingen möchten, stellen Sie den Sicherheitsstatus bereit. Sie können angeben, für welche Ebene der Ressourcenhierarchie (Organisation, Ordner oder Projekt) der Sicherheitsstatus gilt. Sie können pro Organisation, Ordner oder Projekt nur einen Sicherheitsstatus bereitstellen.

Sicherheitseinstellungen werden von untergeordneten Ordnern und Projekten übernommen. Wenn Sie daher Standorte auf Organisations- und Projektebene bereitstellen, gelten alle Richtlinien in beiden Sicherheitsstufen für die Ressourcen im Projekt. Bei Unterschieden in den Richtliniendefinitionen (z. B. wenn eine Richtlinie auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt ist), wird von den Ressourcen in diesem Projekt der untergeordnete Status verwendet.

Als Best Practice empfehlen wir, einen Sicherheitsstatus auf Organisationsebene bereitzustellen, der Richtlinien enthält, die für das gesamte Unternehmen gelten können. Sie können dann strengere Richtlinien auf Ordner oder Projekte anwenden, für die sie erforderlich sind. Wenn Sie beispielsweise den Blueprint für Unternehmensgrundlagen zum Einrichten Ihrer Infrastruktur verwenden, erstellen Sie bestimmte Projekte (z. B. prj-c-kms), die speziell für die Verschlüsselungsschlüssel für alle Projekte in einem Ordner erstellt wurden. Sie können einen Sicherheitsstatus verwenden, um die Einschränkung der Organisationsrichtlinie constraints/gcp.restrictCmekCryptoKeyProjects für die Ordner common und die Umgebungsordner (development, nonproduction und production) festzulegen, sodass alle Projekte nur Schlüssel aus den Schlüsselprojekten verwenden.

Nachdem Sie den Sicherheitsstatus bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von Ihrem definierten Sicherheitsstatus überwachen. Security Command Center meldet Drift-Instanzen als Ergebnisse, die Sie prüfen, filtern und auflösen können. Darüber hinaus können Sie diese Ergebnisse genauso wie alle anderen Ergebnisse aus Security Command Center exportieren. Weitere Informationen finden Sie unter Integrationsoptionen und Security Command Center-Daten exportieren.

Sicherheitsstatus mit Vertex AI und Gemini verwenden

Mithilfe von Sicherheitsmaßnahmen können Sie die Sicherheit Ihrer KI-Arbeitslasten aufrechterhalten. Der Dienst für den Sicherheitsstatus umfasst Folgendes:

Vordefinierte Sicherheitsvorlagen speziell für KI-Arbeitslasten.
Ein Bereich auf der Seite Übersicht, in dem Sie Sicherheitslücken beobachten können, die von den benutzerdefinierten Security Health Analytics-Modulen für KI gefunden wurden. Außerdem können Sie jede Abweichung von den Vertex AI-Organisationsrichtlinien sehen, die in einem Sicherheitsstatus definiert sind.

Dienst für den Sicherheitsstatus mit AWS verwenden

Wenn Sie Security Command Center Enterprise zur Erkennung von Sicherheitslücken mit AWS verbinden, enthält der Security Health Analytics-Dienst integrierte Detektoren, die Ihre AWS-Umgebung überwachen und Ergebnisse erstellen können.

Wenn Sie eine Statusdatei erstellen oder ändern, können Sie AWS-spezifische Security Health Analytics-Detektoren einschließen. Sie müssen diese Statusdatei auf Organisationsebene bereitstellen.

Dienstlimits für den Sicherheitsstatus

Für den Dienst für den Sicherheitsstatus gelten die folgenden Limits:

Maximal 100 Einstellungen pro Organisation.
Maximal 400 Richtlinien pro Sicherheitsstatus.
Maximal 1.000 Sicherheitsbereitstellungen pro Organisation.

Nächste Schritte

Sicherheitsstatus erstellen und bereitstellen