Sicherheitsstatus – Übersicht

Mit einem Sicherheitsstatus können Sie den Sicherheitsstatus Ihrer Cloud-Assets, einschließlich Ihres Cloud-Netzwerks und Ihrer Cloud-Dienste, definieren und verwalten. Mithilfe eines Sicherheitsstatus können Sie Ihre aktuelle Cloud-Sicherheit anhand definierter Benchmarks bewerten. So können Sie das für Ihre Organisation erforderliche Sicherheitsniveau aufrechterhalten. Mithilfe des Sicherheitsstatus können Sie Abweichungen von Ihrem definierten Benchmark erkennen und beheben. Wenn Sie einen Sicherheitsstatus definieren und beibehalten, der den Sicherheitsanforderungen Ihres Unternehmens entspricht, können Sie die Cybersicherheitsrisiken für Ihr Unternehmen reduzieren und dazu beitragen, Angriffe zu verhindern.

In Google Cloud können Sie den Dienst zum Sicherheitsstatus im Security Command Center verwenden, um einen Sicherheitsstatus zu definieren und bereitzustellen, den Sicherheitsstatus Ihrer Google Cloud-Ressourcen zu überwachen und Abweichungen (oder nicht autorisierte Änderungen) von Ihrem definierten Status zu beheben.

Dienst zum Sicherheitsstatus – Übersicht

Der Dienst zum Bestimmen des Sicherheitsstatus ist ein integrierter Dienst für das Security Command Center, mit dem Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud definieren, bewerten und überwachen können. Der Dienst zur Bewertung der Sicherheitslage ist nur verfügbar, wenn Sie ein Abo für die Premium- oder Enterprise-Stufe von Security Command Center erwerben und Security Command Center auf Organisationsebene aktivieren.

Mit dem Dienst zur Sicherheitskonfiguration können Sie Folgendes erreichen:

  • Sorgen Sie dafür, dass Ihre Arbeitslasten den Sicherheitsstandards, Compliance-Verordnungen und den benutzerdefinierten Sicherheitsanforderungen Ihrer Organisation entsprechen.

  • Wenden Sie Ihre Sicherheitskontrollen auf Google Cloud-Projekte, ‑Ordner oder ‑Organisationen an, bevor Sie Arbeitslasten bereitstellen.

  • Überwachen Sie kontinuierlich Abweichungen von Ihren definierten Sicherheitskontrollen und beheben Sie diese.

Der Dienst zur Bewertung der Sicherheitslage wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Komponenten des Dienstes für den Sicherheitsstatus

Der Dienst zum Bestimmen des Sicherheitsstatus umfasst die folgenden Komponenten:

  • Sicherheitsstatus: Eine oder mehrere Richtliniensätze, die die präventiven und erkennungsbezogenen Kontrollen erzwingen, die Ihre Organisation benötigt, um ihren Sicherheitsstandard einzuhalten. Sie können Postures auf Organisations-, Ordner- oder Projektebene bereitstellen. Eine Liste der Körperhaltungsvorlagen finden Sie unter Vordefinierte Körperhaltungsvorlagen.

  • Richtliniengruppen: Eine Reihe von Sicherheitsanforderungen und zugehörigen Steuerelementen in Google Cloud. Ein Richtliniensatz besteht in der Regel aus allen Richtlinien, mit denen Sie die Anforderungen eines bestimmten Sicherheitsstandards oder einer bestimmten Compliance-Verordnung erfüllen können.

  • Richtlinie: Eine bestimmte Einschränkung, die das Verhalten von Ressourcen in Google Cloud steuert oder überwacht. Richtlinien können präventiv (z. B. Einschränkungen von Organisationsrichtlinien) oder prüfend (z. B. Security Health Analytics-Detektoren) sein. Folgende Richtlinien werden unterstützt:

  • Bereitstellung der Sicherheitskonfiguration: Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie sie auf die Organisation, die Ordner oder die Projekte anwenden, die Sie mithilfe der Sicherheitskonfiguration verwalten möchten.

Das folgende Diagramm zeigt die Komponenten einer Beispiel-Sicherheitsposition.

Komponenten im Dienst zum Bestimmen des Sicherheitsstatus

Vordefinierte Posture-Vorlagen

Der Dienst zur Sicherheitskonfiguration umfasst vordefinierte Statusvorlagen, die einem Compliancestandard oder einem von Google empfohlenen Standard wie den Empfehlungen des Blueprints für Google Cloud-Unternehmensgrundlagen entsprechen. Mit diesen Vorlagen können Sie Sicherheitspositionen erstellen, die für Ihr Unternehmen gelten. In der folgenden Tabelle werden die Körperhaltungsvorlagen beschrieben.

Posture-Vorlage Name der Vorlage Beschreibung
Integrierte Sicherheit, Grundlagen secure_by_default_essential Diese Vorlage enthält Richtlinien, mit denen häufige Fehlkonfigurationen und Sicherheitsprobleme durch Standardeinstellungen vermieden werden können. Sie können diese Vorlage ohne Änderungen bereitstellen.
Integrierte Sicherheit, erweitert secure_by_default_extended In dieser Vorlage sind die Richtlinien implementiert, mit denen häufige Fehlkonfigurationen und Sicherheitsprobleme durch Standardeinstellungen vermieden werden können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen.
Empfehlungen für sichere KI secure_ai_essential In dieser Vorlage werden Richtlinien implementiert, mit denen Sie Gemini- und Vertex AI-Arbeitslasten schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen.
Empfehlungen für sichere KI, erweitert secure_ai_extended In dieser Vorlage werden Richtlinien implementiert, mit denen Sie Gemini- und Vertex AI-Arbeitslasten schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen.
BigQuery-Empfehlungen, Grundlagen big_query_essential In dieser Vorlage werden Richtlinien implementiert, mit denen Sie BigQuery schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen.
Cloud Storage-Empfehlungen, Grundlagen cloud_storage_essential In dieser Vorlage werden Richtlinien implementiert, mit denen Sie Cloud Storage schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen.
Cloud Storage-Empfehlungen, erweitert cloud_storage_extended In dieser Vorlage werden Richtlinien implementiert, mit denen Sie Cloud Storage schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen.
VPC-Empfehlungen, Grundlagen vpc_networking_essential Diese Vorlage implementiert Richtlinien, mit denen Sie Ihre Virtual Private Cloud (VPC) schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen.
Erweiterte VPC-Empfehlungen vpc_networking_extended Diese Vorlage implementiert Richtlinien, mit denen Sie Ihre VPC schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen.
Empfehlungen des Center for Internet Security (CIS) für den Google Cloud Computing Platform Benchmark v2.0.0 cis_2_0 In dieser Vorlage sind Richtlinien implementiert, mit denen Sie erkennen können, ob Ihre Google Cloud-Umgebung nicht dem CIS Google Cloud Computing Platform Benchmark v2.0.0 entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen.
NIST SP 800-53-Standardempfehlungen nist_800_53 In dieser Vorlage sind Richtlinien implementiert, mit denen Sie erkennen können, ob Ihre Google Cloud-Umgebung nicht den Standards SP 800-53 des National Institute of Standards and Technology (NIST) entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen.
Empfehlungen des ISO 27001-Standards iso_27001 In dieser Vorlage sind Richtlinien implementiert, mit denen Sie erkennen können, ob Ihre Google Cloud-Umgebung nicht dem ISO 27001-Standard der International Organization for Standardization (ISO) entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen.
Empfehlungen zum PCI-DSS-Standard pci_dss_v_3_2_1 Diese Vorlage implementiert Richtlinien, mit denen Sie erkennen können, ob Ihre Google Cloud-Umgebung nicht den PCI DSS-Versionen 3.2.1 und 1.0 (Payment Card Industry Data Security Standard) entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen.

Sicherheitspositionen bereitstellen und Abweichungen beobachten

Wenn Sie eine Haltung mit allen zugehörigen Richtlinien für eine Google Cloud-Ressource erzwingen möchten, müssen Sie die Haltung bereitstellen. Sie können angeben, auf welche Ebene der Ressourcenhierarchie (Organisation, Ordner oder Projekt) sich die Haltung bezieht. Sie können für jede Organisation, jeden Ordner oder jedes Projekt nur eine Posture bereitstellen.

Haltungen werden von untergeordneten Ordnern und Projekten übernommen. Wenn Sie also Postures auf Organisations- und Projektebene bereitstellen, gelten alle Richtlinien in beiden Postures für die Ressourcen im Projekt. Wenn es Unterschiede bei den Richtliniendefinitionen gibt (z. B. ist eine Richtlinie auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ gesetzt), wird die Position auf der niedrigeren Ebene von den Ressourcen in diesem Projekt verwendet.

Wir empfehlen, eine Haltung auf Organisationsebene zu implementieren, die Richtlinien enthält, die für Ihr gesamtes Unternehmen gelten können. Anschließend können Sie strengere Richtlinien auf Ordner oder Projekte anwenden, für die dies erforderlich ist. Wenn Sie beispielsweise den Enterprise Foundations-Blueprint zum Einrichten Ihrer Infrastruktur verwenden, erstellen Sie bestimmte Projekte (z. B. prj-c-kms), die speziell zum Speichern der Verschlüsselungsschlüssel für alle Projekte in einem Ordner erstellt wurden. Sie können mit einer Sicherheitskonfiguration die Einschränkung der constraints/gcp.restrictCmekCryptoKeyProjects-Organisationsrichtlinie für den Ordner common und die Umgebungsordner (development, nonproduction und production) so festlegen, dass alle Projekte nur Schlüssel aus den Schlüsselprojekten verwenden.

Nachdem Sie die Bewertung bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von der definierten Bewertung überwachen. Abweichungen werden im Security Command Center als Ergebnisse gemeldet, die Sie prüfen, filtern und beheben können. Außerdem können Sie diese Ergebnisse genauso wie andere Ergebnisse aus dem Security Command Center exportieren. Weitere Informationen finden Sie unter Integrationsoptionen und Security Command Center-Daten exportieren.

Sicherheitspositionen mit Vertex AI und Gemini verwenden

Mit Sicherheitspositionen können Sie die Sicherheit Ihrer KI-Arbeitslasten aufrechterhalten. Der Dienst zum Sicherheitsstatus umfasst Folgendes:

Dienst zum Sicherheitsstatus mit AWS verwenden

Wenn Sie Security Command Center Enterprise mit AWS zur Erkennung von Sicherheitslücken verbinden, enthält der Security Health Analytics-Dienst integrierte Sensoren, mit denen Ihre AWS-Umgebung überwacht und Ergebnisse erstellt werden können.

Wenn Sie eine Posture-Datei erstellen oder ändern, können Sie Security Health Analytics-Detektoren einschließen, die speziell für AWS gelten. Sie müssen diese Datei auf Organisationsebene bereitstellen.

Limits für den Dienst zum Bestimmen des Sicherheitsstatus

Für den Dienst zum Bestimmen des Sicherheitsstatus gelten die folgenden Einschränkungen:

  • Maximal 100 Posen in einer Organisation.
  • Maximal 400 Richtlinien in einer Posture.
  • Maximal 1.000 Bereitstellungen für die Gerätesicherheit in einer Organisation.

Nächste Schritte