Una postura de seguridad te permite definir y administrar el estado de seguridad de tus recursos en la nube, incluidos los servicios y la red en la nube. Puedes usar una postura de seguridad para evaluar tu actual nivel de seguridad en la nube según comparativas definidas, lo que te ayuda a mantener el nivel de seguridad que requiere tu organización. Una postura de seguridad te ayuda a detectar y mitigar cualquier desvío de la comparativa definida. Si defines y mantienes una postura de seguridad que coincida con las necesidades de seguridad de tu negocio, puedes reducir los riesgos de seguridad cibernética para tu organización y ayudar a evitar que se produzcan ataques.
En Google Cloud, puedes usar el servicio de postura de seguridad en Security Command Center para definir e implementar una postura de seguridad, supervisar el estado de seguridad de tus recursos de Google Cloud y abordar cualquier desviación (o cambio no autorizado) de la postura definida.
Descripción general del servicio de postura de seguridad
El servicio de postura de seguridad es un servicio integrado en Security Command Center que te permite definir, evaluar y supervisar el estado general de tu seguridad en Google Cloud. El servicio de postura de seguridad solo está disponible si compras una suscripción al nivel Premium o Enterprise de Security Command Center y activas Security Command Center a nivel de la organización.
Puedes usar el servicio de postura de seguridad para lograr los siguientes objetivos:
Asegúrate de que tus cargas de trabajo cumplan con los estándares de seguridad, las reglamentaciones de cumplimiento y los requisitos de seguridad personalizados de tu organización.
Aplica tus controles de seguridad a los proyectos, las carpetas o las organizaciones de Google Cloud antes de implementar cargas de trabajo.
Supervisa continuamente y resuelve cualquier desvío de los controles de seguridad definidos.
El servicio de estado de seguridad se habilita automáticamente cuando activa Security Command Center a nivel de la organización.
Componentes del servicio de postura de seguridad
El servicio de postura de seguridad incluye los siguientes componentes:
Postura: Uno o más conjuntos de políticas que aplican los controles preventivos y de detección que tu organización necesita para cumplir con su estándar de seguridad. Puedes implementar posturas a nivel de la organización, de la carpeta o del proyecto. Para obtener una lista de plantillas de postura, consulta Plantillas de posturas predefinidas.
Conjuntos de políticas: Un conjunto de requisitos de seguridad y controles asociados en Google Cloud. Por lo general, un conjunto de políticas consta de todas las políticas que te permiten cumplir con los requisitos de un estándar de seguridad o una regulación de cumplimiento en particular.
Política: Es una restricción o limitación particular que controla o supervisa el comportamiento de los recursos en Google Cloud. Las políticas pueden ser preventivas (por ejemplo, restricciones de políticas de la organización) o de detección (por ejemplo, detectores de Security Health Analytics). Las políticas admitidas son las siguientes:
Restricciones de la política de la organización, incluidas las restricciones personalizadas
Detectores de Security Health Analytics, incluidos los módulos personalizados
Implementación de postura: Después de crear una postura, la implementas para poder aplicarla a la organización, las carpetas o los proyectos que deseas administrar con ella.
En el siguiente diagrama, se muestran los componentes de una postura de seguridad de ejemplo.
Plantillas de postura predefinidas
El servicio de postura de seguridad incluye plantillas de postura predefinidas que cumplen con un estándar de cumplimiento o con un estándar recomendado por Google, como las recomendaciones del plano de bases empresariales. Puedes usar estas plantillas para crear posturas de seguridad que se apliquen a tu empresa. En la siguiente tabla, se describen las plantillas de postura.
Plantilla de postura | Nombre de la plantilla | Descripción |
---|---|---|
Seguridad predeterminada y elementos esenciales | secure_by_default_essential |
Esta plantilla implementa las políticas que ayudan a evitar configuraciones incorrectas y problemas de seguridad comunes causados por la configuración predeterminada. Puedes implementar esta plantilla sin hacer ningún cambio en ella. |
Seguridad predeterminada extendida | secure_by_default_extended |
Esta plantilla implementa las políticas que ayudan a evitar configuraciones incorrectas y problemas de seguridad comunes causados por la configuración predeterminada. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
Nociones básicas de las recomendaciones de IA seguras | secure_ai_essential |
Esta plantilla implementa políticas que te ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Puedes implementar esta plantilla sin hacerle ningún cambio. |
Recomendaciones de IA segura, extendidas | secure_ai_extended |
Esta plantilla implementa políticas que te ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
Nociones básicas y recomendaciones de BigQuery | big_query_essential |
Esta plantilla implementa políticas que te ayudan a proteger BigQuery. Puedes implementar esta plantilla sin realizar ningún cambio en ella. |
Recomendaciones y aspectos básicos de Cloud Storage | cloud_storage_essential |
Esta plantilla implementa políticas que te ayudan a proteger Cloud Storage. Puedes implementar esta plantilla sin hacer ningún cambio en ella. |
Se extendieron las recomendaciones de Cloud Storage | cloud_storage_extended |
Esta plantilla implementa políticas que te ayudan a proteger Cloud Storage. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
Recomendaciones y aspectos básicos de las VPC | vpc_networking_essential |
Esta plantilla implementa políticas que te ayudan a proteger la nube privada virtual (VPC). Puedes implementar esta plantilla sin hacerle ningún cambio. |
Recomendaciones de VPC, extendidas | vpc_networking_extended |
Esta plantilla implementa políticas que te ayudan a proteger la VPC. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
Recomendaciones de la versión 2.0.0 de las comparativas de Google Cloud Computing Platform del Centro para la Seguridad de Internet (CIS) | cis_2_0 |
Esta plantilla implementa políticas que te ayudan a detectar cuando tu entorno de Google Cloud no se alinea con las comparativas de la plataforma de procesamiento de Google Cloud de CIS v2.0.0. Puedes implementar esta plantilla sin hacer ningún cambio en ella. |
Recomendaciones estándar de la NIST SP 800-53 | nist_800_53 |
Esta plantilla implementa políticas que te ayudan a detectar cuando tu entorno de Google Cloud no se alinea con el estándar SP 800-53 del Instituto Nacional de Estándares y Tecnología (NIST). Puedes implementar esta plantilla sin hacer ningún cambio en ella. |
Recomendaciones de la norma ISO 27001 | iso_27001 |
Esta plantilla implementa políticas que te ayudan a detectar cuando tu entorno de Google Cloud no se alinea con el estándar de la Organización Internacional de Normalización (ISO) 27001. Puedes implementar esta plantilla sin hacer ningún cambio en ella. |
Recomendaciones estándar de las PCI DSS | pci_dss_v_3_2_1 |
Esta plantilla implementa políticas que te ayudan a detectar cuando tu entorno de Google Cloud no se alinea con las versiones 3.2.1 y 1.0 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Puedes implementar esta plantilla sin hacer ningún cambio en ella. |
Implementa posturas y supervisa la deriva
Para aplicar una postura con todas sus políticas en un recurso de Google Cloud, debes implementarla. Puedes especificar a qué nivel de la jerarquía de recursos (organización, carpeta o proyecto) se aplica la postura. Solo puedes implementar una postura en cada organización, carpeta o proyecto.
Las posturas se heredan en las carpetas y los proyectos secundarios. Por lo tanto, si implementas posturas a nivel de la organización y a nivel del proyecto, todas las políticas de ambas posturas se aplican a los recursos del proyecto. Si hay diferencias en las definiciones de políticas (por ejemplo, una política está configurada como Permitir a nivel de la organización y como Denegar a nivel del proyecto), los recursos de ese proyecto usan la postura de nivel inferior.
Como práctica recomendada, te sugerimos que implementes una postura a nivel de la organización
que incluya políticas que se puedan aplicar a toda tu empresa. Luego, puedes aplicar políticas más estrictas a las carpetas o los proyectos que las requieran. Por
ejemplo, si usas el modelo de bases empresariales para configurar tu
infraestructura, creas ciertos proyectos (por ejemplo, prj-c-kms
) que se
crean específicamente para contener las claves de encriptación de todos los proyectos en una
carpeta. Puedes usar una postura de seguridad para establecer la
condición de la política de organización constraints/gcp.restrictCmekCryptoKeyProjects
en la carpeta common
y las carpetas de entorno
(development
, nonproduction
y production
) para que todos los proyectos solo usen
claves de los proyectos clave.
Después de implementar tu postura, puedes supervisar tu entorno en busca de cualquier desviación de la postura definida. Security Command Center informa instancias de deriva como resultados que puedes revisar, filtrar y resolver. Además, puedes exportar estos resultados de la misma manera que exportas cualquier otro resultado de Security Command Center. Para obtener más información, consulta Opciones de integración y Exporta datos de Security Command Center.
Usa posturas de seguridad con Vertex AI y Gemini
Puedes usar posturas de seguridad para mantener la seguridad de tus cargas de trabajo de IA. El servicio de postura de seguridad incluye lo siguiente:
Plantillas de postura predefinidas que son específicas para las cargas de trabajo de IA.
Un panel en la página Resumen que te permite supervisar las vulnerabilidades que encontraron los módulos personalizados de las Estadísticas del estado de la seguridad que se aplican a la IA y te permite ver cualquier desviación de las políticas de la organización de Vertex AI que se definen en una postura.
Usa el servicio de postura de seguridad con AWS
Si conectas Security Command Center Enterprise a AWS para la detección de vulnerabilidades, el servicio de Security Health Analytics incluye detectores integrados que pueden supervisar tu entorno de AWS y crear resultados.
Cuando creas o modificas un archivo de postura, puedes incluir detectores de Security Health Analytics específicos para AWS. Debes implementar este archivo de postura a nivel de la organización.
Límites del servicio de postura de seguridad
El servicio de postura de seguridad incluye los siguientes límites:
- Un máximo de 100 posturas en una organización.
- Un máximo de 400 políticas en una postura
- Un máximo de 1,000 implementaciones de postura en una organización