Postur keamanan memungkinkan Anda menentukan dan mengelola status keamanan aset cloud, termasuk jaringan cloud dan layanan cloud Anda. Anda dapat menggunakan postingan keamanan untuk mengevaluasi keamanan cloud saat ini terhadap tolok ukur yang ditentukan dan mempertahankan tingkat keamanan yang dibutuhkan organisasi Anda. Postur keamanan membantu Anda mendeteksi dan mengurangi penyimpangan dari benchmark yang Anda tentukan. Dengan menentukan dan mempertahankan postur keamanan yang sesuai dengan kebutuhan keamanan bisnis, Anda dapat meminimalkan risiko pengamanan cyber terhadap organisasi dan membantu mencegah terjadinya serangan.
Di Google Cloud, Anda dapat menggunakan layanan postur keamanan di Security Command Center untuk menetapkan dan men-deploy postur keamanan, memantau status keamanan resource Google Cloud, dan mengatasi setiap penyimpangan (atau perubahan yang tidak sah) dari postur yang Anda tetapkan.
Ringkasan layanan postur keamanan
Layanan postur keamanan adalah layanan bawaan untuk Security Command Center yang memungkinkan Anda menentukan, menilai, dan memantau keseluruhan status keamanan Anda di Google Cloud. Layanan postur keamanan hanya tersedia jika Anda membeli langganan paket Security Command Center Premium atau tingkat Enterprise dan mengaktifkan Security Command Center di tingkat organisasi.
Anda dapat menggunakan layanan postur keamanan untuk melakukan hal berikut:
- Pastikan workload Anda sesuai dengan standar keamanan, peraturan kepatuhan, dan persyaratan keamanan khusus organisasi Anda.
- Terapkan kontrol keamanan ke project, folder, atau organisasi Google Cloud sebelum Anda men-deploy workload apa pun.
- Terus pantau dan atasi setiap penyimpangan dari kontrol keamanan yang Anda tentukan.
Layanan postur keamanan otomatis diaktifkan saat Anda mengaktifkan Security Command Center di tingkat organisasi.
Komponen layanan postur keamanan
Layanan postur keamanan mencakup komponen berikut:
- Postur: Satu atau beberapa set kebijakan yang menerapkan kontrol preventif dan detektif yang diperlukan organisasi Anda untuk memenuhi standar keamanannya. Anda dapat men-deploy postur di level organisasi, level folder, atau level project. Untuk daftar template postur, lihat Template postur standar.
- Kumpulan kebijakan: Kumpulan persyaratan keamanan dan kontrol terkait di Google Cloud. Biasanya, kumpulan kebijakan terdiri dari semua kebijakan yang memungkinkan Anda memenuhi persyaratan standar keamanan atau peraturan kepatuhan tertentu.
Kebijakan: Batasan atau pembatasan tertentu yang mengontrol atau memantau perilaku resource di Google Cloud. Kebijakan dapat bersifat preventif (misalnya, batasan kebijakan organisasi) atau detektif (misalnya, detektor Security Health Analytics). Kebijakan yang didukung adalah sebagai berikut:
Batasan Kebijakan Organisasi, termasuk batasan khusus
Pendeteksi Security Health Analytics, termasuk modul kustom
Deployment postur: Setelah membuat postur, Anda dapat men-deploy-nya agar dapat menerapkan postur tersebut ke organisasi, folder, atau project yang ingin dikelola menggunakan postur tersebut.
Diagram berikut menunjukkan komponen contoh postur keamanan.
Template postur yang telah ditentukan sebelumnya
Layanan postur keamanan mencakup template postur yang telah ditentukan sebelumnya, yang mematuhi standar kepatuhan atau mematuhi standar yang direkomendasikan Google, seperti rekomendasi blueprint dasar-dasar perusahaan. Anda dapat menggunakan template ini untuk membuat postur keamanan yang berlaku untuk bisnis Anda. Tabel berikut menjelaskan template postur.
| {i>Template<i} postur | Nama template | Deskripsi |
|---|---|---|
secure_by_default_essential |
Template ini menerapkan kebijakan yang membantu mencegah kesalahan konfigurasi dan masalah keamanan umum yang disebabkan oleh setelan default. Anda dapat men-deploy template ini tanpa mengubahnya. |
|
secure_by_default_extended |
Template ini menerapkan kebijakan yang membantu mencegah kesalahan konfigurasi dan masalah keamanan umum yang disebabkan oleh setelan default. Sebelum men-deploy template ini, Anda harus menyesuaikannya agar cocok dengan lingkungan Anda. |
|
secure_ai_essential |
Template ini menerapkan kebijakan yang membantu Anda mengamankan workload Gemini dan Vertex AI. Anda dapat men-deploy template ini tanpa mengubahnya. |
|
secure_ai_extended |
Template ini menerapkan kebijakan yang membantu Anda mengamankan workload Gemini dan Vertex AI. Sebelum men-deploy template ini, Anda harus menyesuaikannya agar cocok dengan lingkungan Anda. |
|
big_query_essential |
Template ini menerapkan kebijakan yang membantu Anda mengamankan BigQuery. Anda dapat men-deploy template ini tanpa mengubahnya. |
|
cloud_storage_essential |
Template ini menerapkan kebijakan yang membantu Anda mengamankan Cloud Storage. Anda dapat men-deploy template ini tanpa mengubahnya. |
|
cloud_storage_extended |
Template ini menerapkan kebijakan yang membantu Anda mengamankan Cloud Storage. Sebelum men-deploy template ini, Anda harus menyesuaikannya agar cocok dengan lingkungan Anda. |
|
vpcsc_essential |
Template ini menerapkan kebijakan yang membantu Anda mengamankan Kontrol Layanan VPC. Anda dapat men-deploy template ini tanpa mengubahnya. |
|
vpcsc_extended |
Template ini menerapkan kebijakan yang membantu Anda mengamankan Kontrol Layanan VPC. Sebelum men-deploy template ini, Anda harus menyesuaikannya agar cocok dengan lingkungan Anda. |
|
Rekomendasi Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0 |
cis_2_0 |
Template ini menerapkan kebijakan yang membantu Anda mendeteksi saat lingkungan Google Cloud Anda tidak selaras dengan CIS Google Cloud Computing Platform Benchmark v2.0.0. Anda dapat men-deploy template ini tanpa mengubahnya. |
nist_800_53 |
Template ini menerapkan kebijakan yang membantu Anda mendeteksi saat lingkungan Google Cloud Anda tidak sesuai dengan standar National Institute of Standards and Technology (NIST) SP 800-53. Anda dapat men-deploy template ini tanpa mengubahnya. |
|
iso_27001 |
Template ini menerapkan kebijakan yang membantu Anda mendeteksi jika lingkungan Google Cloud Anda tidak sesuai dengan standar Organisasi Internasional untuk Standar (ISO) 27001. Anda dapat men-deploy template ini tanpa mengubahnya. |
|
pci_dss_v_3_2_1 |
Template ini menerapkan kebijakan yang membantu Anda mendeteksi saat lingkungan Google Cloud Anda tidak sesuai dengan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) versi 3.2.1 dan versi 1.0. Anda dapat men-deploy template ini tanpa mengubahnya. |
Men-deploy postur dan memantau penyimpangan
Untuk menerapkan postur dengan semua kebijakannya di resource Google Cloud, Anda harus men-deploy postur tersebut. Anda dapat menentukan tingkat hierarki resource (organisasi, folder, atau project) tempat postur diterapkan. Anda hanya dapat men-deploy satu postur ke setiap organisasi, folder, atau project.
Postur diwarisi oleh project dan folder turunan. Oleh karena itu, jika Anda men-deploy postur di level organisasi dan level project, semua kebijakan dalam kedua postur tersebut berlaku untuk resource dalam project. Jika ada perbedaan dalam definisi kebijakan (misalnya, kebijakan disetel ke Izinkan pada tingkat organisasi dan ke Tolak pada level project), postur tingkat rendah digunakan oleh resource dalam project tersebut.
Sebagai praktik terbaik, sebaiknya Anda men-deploy postur di tingkat organisasi yang menyertakan kebijakan yang dapat berlaku untuk seluruh bisnis Anda. Selanjutnya, Anda dapat menerapkan kebijakan yang lebih ketat ke folder atau project yang memerlukannya. Misalnya, jika menggunakan blueprint Enterprise Foundation untuk menyiapkan infrastruktur, Anda harus membuat project tertentu (misalnya prj-c-kms) yang dibuat khusus untuk memuat kunci enkripsi bagi semua project dalam sebuah folder. Anda dapat menggunakan postur keamanan untuk menetapkan batasan kebijakan organisasi constraints/gcp.restrictCmekCryptoKeyProjects di folder common dan folder lingkungan (development, nonproduction, dan production) sehingga semua project hanya menggunakan kunci dari project utama.
Setelah men-deploy postur, Anda dapat memantau lingkungan untuk setiap penyimpangan dari postur yang Anda tentukan. Security Command Center melaporkan instance penyimpangan sebagai temuan yang dapat Anda tinjau, filter, dan selesaikan. Selain itu, Anda dapat mengekspor temuan ini dengan cara yang sama seperti mengekspor temuan lain dari Security Command Center. Untuk mengetahui informasi selengkapnya, lihat Opsi integrasi dan Mengekspor data Security Command Center.
Menggunakan postur keamanan dengan Vertex AI dan Gemini
Anda dapat menggunakan postur keamanan untuk membantu mempertahankan keamanan beban kerja AI Anda. Layanan postur keamanan mencakup hal berikut:
Template postur standar yang khusus untuk workload AI.
Panel di halaman Overview yang memungkinkan Anda memantau kerentanan yang ditemukan oleh modul kustom Security Health Analytics yang berlaku untuk AI, dan memungkinkan Anda melihat setiap penyimpangan dari kebijakan organisasi Vertex AI yang ditentukan dalam postur.
Batas layanan postur keamanan
Layanan postur keamanan mencakup batasan berikut:
- Maksimum 100 postur dalam satu organisasi.
- Maksimum 400 kebijakan dalam postur.
- Maksimum 1.000 deployment postur dalam satu organisasi.