Ringkasan postur keamanan

Postur keamanan memungkinkan Anda menentukan dan mengelola status keamanan aset cloud, termasuk jaringan cloud dan layanan cloud Anda. Anda dapat menggunakan postur keamanan untuk mengevaluasi keamanan cloud saat ini terhadap tolok ukur yang ditentukan, yang membantu Anda mempertahankan tingkat keamanan yang diwajibkan oleh organisasi Anda. Postur keamanan membantu Anda mendeteksi dan memitigasi jika ada penyimpangan dari benchmark yang ditentukan. Dengan menentukan dan mempertahankan postur keamanan yang sesuai dengan kebutuhan keamanan bisnis, Anda dapat mengurangi risiko keamanan cyber terhadap organisasi dan membantu mencegah terjadinya serangan.

Di Google Cloud, Anda dapat menggunakan layanan postur keamanan di Security Command Center untuk menentukan dan men-deploy postur keamanan, memantau status keamanan resource Google Cloud, dan mengatasi penyimpangan (atau perubahan tidak sah) dari postur yang ditentukan.

Ringkasan layanan postur keamanan

Layanan postur keamanan adalah layanan bawaan untuk Security Command Center yang memungkinkan Anda menentukan, menilai, dan memantau status keamanan secara keseluruhan di Google Cloud. Layanan postur keamanan hanya tersedia untuk Anda jika Anda membeli langganan paket Premium Security Command Center atau paket Enterprise dan mengaktifkan Security Command Center di level organisasi.

Anda dapat menggunakan layanan postur keamanan untuk mencapai tujuan berikut:

  • Pastikan beban kerja Anda sesuai dengan standar keamanan, peraturan kepatuhan, dan persyaratan keamanan kustom organisasi Anda.

  • Terapkan kontrol keamanan Anda ke project, folder, atau organisasi Google Cloud sebelum Anda men-deploy workload apa pun.

  • Pantau dan selesaikan penyimpangan dari kontrol keamanan yang Anda tentukan secara berkelanjutan.

Layanan postur keamanan otomatis diaktifkan saat Anda mengaktifkan Security Command Center di tingkat organisasi.

Komponen layanan postur keamanan

Layanan postur keamanan mencakup komponen berikut:

  • Postur: Satu atau beberapa kumpulan kebijakan yang menerapkan kontrol preventif dan detektif yang diperlukan organisasi Anda untuk memenuhi standar keamanannya. Anda dapat men-deploy postur di tingkat organisasi, tingkat folder, atau level project. Untuk mengetahui daftar template postur, lihat Template postur standar.

  • Set kebijakan: Kumpulan persyaratan keamanan dan kontrol terkait di Google Cloud. Biasanya, kumpulan kebijakan terdiri dari semua kebijakan yang memungkinkan Anda memenuhi persyaratan standar keamanan atau peraturan kepatuhan tertentu.

  • Kebijakan: Batasan atau pembatasan tertentu yang mengontrol atau memantau perilaku resource di Google Cloud. Kebijakan dapat bersifat preventif (misalnya, batasan kebijakan organisasi) atau detektif (misalnya, detektor Security Health Analytics). Kebijakan yang didukung adalah berikut:

  • Deployment postur: Setelah membuat postur, Anda men-deploy-nya agar dapat menerapkan postur ke organisasi, folder, atau project yang ingin dikelola menggunakan postur.

Diagram berikut menunjukkan komponen contoh postur keamanan.

Komponen dalam layanan postur keamanan.

Template postur standar

Layanan postur keamanan mencakup template postur yang telah ditentukan sebelumnya dan mematuhi standar kepatuhan atau standar yang direkomendasikan Google seperti rekomendasi cetakan dasar perusahaan. Anda dapat menggunakan template ini untuk membuat postur keamanan yang berlaku untuk bisnis Anda. Tabel berikut menjelaskan template postur.

Template postur Nama template Deskripsi
Aman secara default, esensial secure_by_default_essential Template ini menerapkan kebijakan yang membantu mencegah kesalahan konfigurasi umum dan masalah keamanan umum yang disebabkan oleh setelan default. Anda dapat men-deploy template ini tanpa melakukan perubahan apa pun.
Aman secara default, diperluas secure_by_default_extended Template ini menerapkan kebijakan yang membantu mencegah kesalahan konfigurasi umum dan masalah keamanan umum yang disebabkan oleh setelan default. Sebelum men-deploy template ini, Anda harus menyesuaikannya agar cocok dengan lingkungan Anda.
Rekomendasi AI aman, dasar-dasar secure_ai_essential Template ini menerapkan kebijakan yang membantu Anda mengamankan workload Gemini dan Vertex AI. Anda dapat men-deploy template ini tanpa melakukan perubahan apa pun.
Rekomendasi AI aman, diperluas secure_ai_extended Template ini menerapkan kebijakan yang membantu Anda mengamankan workload Gemini dan Vertex AI. Sebelum men-deploy template ini, Anda harus menyesuaikannya agar cocok dengan lingkungan Anda.
Rekomendasi BigQuery, hal-hal penting big_query_essential Template ini menerapkan kebijakan yang membantu Anda mengamankan BigQuery. Anda dapat men-deploy template ini tanpa melakukan perubahan apa pun.
Rekomendasi dan dasar-dasar Cloud Storage cloud_storage_essential Template ini menerapkan kebijakan yang membantu Anda mengamankan Cloud Storage. Anda dapat men-deploy template ini tanpa melakukan perubahan apa pun.
Rekomendasi Cloud Storage, diperluas cloud_storage_extended Template ini menerapkan kebijakan yang membantu Anda mengamankan Cloud Storage. Sebelum men-deploy template ini, Anda harus menyesuaikannya agar cocok dengan lingkungan Anda.
Rekomendasi VPC, hal-hal penting vpc_networking_essential Template ini menerapkan kebijakan yang membantu Anda mengamankan Virtual Private Cloud (VPC). Anda dapat men-deploy template ini tanpa melakukan perubahan apa pun.
Rekomendasi VPC, diperluas vpc_networking_extended Template ini menerapkan kebijakan yang membantu Anda mengamankan VPC. Sebelum men-deploy template ini, Anda harus menyesuaikannya agar cocok dengan lingkungan Anda.
Rekomendasi Tolok Ukur Platform Google Cloud Computing Center for Internet Security (CIS) v2.0.0 cis_2_0 Template ini menerapkan kebijakan yang membantu Anda mendeteksi saat lingkungan Google Cloud tidak sesuai dengan CIS Google Cloud Computing Platform Benchmark v2.0.0. Anda dapat men-deploy template ini tanpa melakukan perubahan apa pun.
Rekomendasi standar NIST SP 800-53 nist_800_53 Template ini menerapkan kebijakan yang membantu Anda mendeteksi saat lingkungan Google Cloud tidak sesuai dengan standar SP 800-53 dari National Institute of Standards and Technology (NIST). Anda dapat men-deploy template ini tanpa melakukan perubahan apa pun.
Rekomendasi standar ISO 27001 iso_27001 Template ini menerapkan kebijakan yang membantu Anda mendeteksi saat lingkungan Google Cloud tidak sesuai dengan standar International Organization for Standards (ISO) 27001. Anda dapat men-deploy template ini tanpa melakukan perubahan apa pun.
Rekomendasi standar PCI DSS pci_dss_v_3_2_1 Template ini menerapkan kebijakan yang membantu Anda mendeteksi saat lingkungan Google Cloud tidak sesuai dengan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) versi 3.2.1 dan versi 1.0. Anda dapat men-deploy template ini tanpa melakukan perubahan apa pun.

Men-deploy postur dan memantau penyimpangan

Untuk menerapkan postur dengan semua kebijakannya di resource Google Cloud, Anda harus men-deploy postur. Anda dapat menentukan level hierarki resource mana (organisasi, folder, atau project) yang berlaku untuk postur. Anda hanya dapat men-deploy satu postur ke setiap organisasi, folder, atau project.

Postur diwarisi oleh folder dan project turunan. Oleh karena itu, jika Anda men-deploy postur di tingkat organisasi dan di tingkat project, semua kebijakan dalam kedua postur tersebut akan berlaku untuk resource dalam project. Jika ada perbedaan dalam definisi kebijakan (misalnya, kebijakan ditetapkan ke Izinkan di level organisasi dan Ditolak di level project), postur level yang lebih rendah akan digunakan oleh resource dalam project tersebut.

Sebagai praktik terbaik, sebaiknya Anda men-deploy postur di tingkat organisasi yang menyertakan kebijakan yang dapat diterapkan ke seluruh bisnis Anda. Selanjutnya, Anda dapat menerapkan kebijakan yang lebih ketat ke folder atau project yang memerlukannya. Misalnya, jika menggunakan blueprint fondasi perusahaan untuk menyiapkan infrastruktur, Anda akan membuat project tertentu (misalnya, prj-c-kms) yang dibuat secara khusus untuk berisi kunci enkripsi bagi semua project dalam folder. Anda dapat menggunakan postur keamanan untuk menetapkan batasan kebijakan organisasi constraints/gcp.restrictCmekCryptoKeyProjects di folder common dan folder lingkungan (development, nonproduction, dan production) sehingga semua project hanya menggunakan kunci dari project utama.

Setelah men-deploy postur, Anda dapat memantau lingkungan untuk mendeteksi penyimpangan dari postur yang ditentukan. Security Command Center melaporkan instance drift sebagai temuan yang dapat Anda tinjau, filter, dan selesaikan. Selain itu, Anda dapat mengekspor temuan ini dengan cara yang sama seperti mengekspor temuan lainnya dari Security Command Center. Untuk informasi selengkapnya, lihat Opsi integrasi dan Mengekspor data Security Command Center.

Menggunakan postur keamanan dengan Vertex AI dan Gemini

Anda dapat menggunakan postur keamanan untuk membantu Anda mempertahankan keamanan untuk workload AI. Layanan postur keamanan mencakup hal berikut:

  • Template postur standar yang khusus untuk workload AI.

  • Panel di halaman Ringkasan yang memungkinkan Anda memantau kerentanan yang ditemukan oleh modul kustom Security Health Analytics yang berlaku untuk AI, dan memungkinkan Anda melihat penyimpangan dari kebijakan organisasi Vertex AI yang ditentukan dalam postur.

Menggunakan layanan postur keamanan dengan AWS

Jika Anda menghubungkan Security Command Center Enterprise ke AWS untuk deteksi kerentanan, layanan Security Health Analytics menyertakan pendeteksi bawaan yang dapat memantau lingkungan AWS dan membuat temuan.

Saat membuat atau mengubah file postur, Anda dapat menyertakan detektor Security Health Analytics yang khusus untuk AWS. Anda harus men-deploy file postur ini di tingkat organisasi.

Batas layanan postur keamanan

Layanan postur keamanan mencakup batas berikut:

  • Maksimum 100 postur dalam organisasi.
  • Maksimum 400 kebijakan dalam postur.
  • Maksimal 1.000 deployment postur di organisasi.

Langkah selanjutnya