Mit einem Sicherheitsstatus können Sie den Sicherheitsstatus Ihrer Cloud-Assets, einschließlich Ihres Cloud-Netzwerks und Cloud-Dienste, definieren und verwalten. Mit einem Sicherheitsstatus können Sie Ihre aktuelle Cloud-Sicherheit anhand definierter Benchmarks bewerten und das Sicherheitsniveau halten, das Ihre Organisation erfordert. Mit einem Sicherheitsstatus können Sie Abweichungen von Ihrer definierten Benchmark erkennen und minimieren. Durch das Definieren und Aufrechterhalten eines Sicherheitsstatus, der den Sicherheitsanforderungen Ihres Unternehmens entspricht, können Sie die Cybersicherheitsrisiken für Ihr Unternehmen minimieren und dazu beitragen, das Auftreten von Angriffen zu verhindern.
In Google Cloud können Sie den Dienst für den Sicherheitsstatus im Security Command Center verwenden, um einen Sicherheitsstatus zu definieren und bereitzustellen, den Sicherheitsstatus Ihrer Google Cloud-Ressourcen zu überwachen und Abweichungen (oder nicht autorisierte Änderungen) von Ihrem festgelegten Sicherheitsstatus zu beheben.
Überblick über den Dienst zum Sicherheitsstatus
Der Dienst „Security Posture“ ist ein integrierter Dienst für das Security Command Center, mit dem Sie den Gesamtstatus Ihrer Sicherheit in Google Cloud definieren, bewerten und überwachen können. Der Dienst für den Sicherheitsstatus ist nur verfügbar, wenn Sie ein Abo der Premium- oder Enterprise-Stufe von Security Command Center erwerben und Security Command Center auf Organisationsebene aktivieren.
Mit dem Dienst für den Sicherheitsstatus können Sie Folgendes ausführen:
- Sorgen Sie dafür, dass Ihre Arbeitslasten Sicherheitsstandards, Compliance-Vorschriften und den individuellen Sicherheitsanforderungen Ihrer Organisation entsprechen.
- Wenden Sie Ihre Sicherheitskontrollen auf Google Cloud-Projekte, -Ordner oder -Organisationen an, bevor Sie Arbeitslasten bereitstellen.
- Prüfen Sie kontinuierlich, ob Abweichungen von Ihren definierten Sicherheitskontrollen auftreten und beheben Sie diese.
Der Dienst für den Sicherheitsstatus wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.
Dienstkomponenten für den Sicherheitsstatus
Der Dienst für den Sicherheitsstatus umfasst die folgenden Komponenten:
- Status:Mindestens ein Richtliniensatz, der die vorbeugenden und Erkennungskontrollen durchsetzt, die Ihre Organisation benötigt, um den Sicherheitsstandard zu erfüllen. Sie können Sicherheitsstatus auf Organisations-, Ordner- oder Projektebene bereitstellen. Eine Liste der Statusvorlagen finden Sie unter Vordefinierte Posture-Vorlagen.
- Richtliniensätze: Eine Reihe von Sicherheitsanforderungen und zugehörigen Kontrollen in Google Cloud. In der Regel umfasst ein Richtliniensatz alle Richtlinien, mit denen Sie die Anforderungen eines bestimmten Sicherheitsstandards oder einer Complianceregelung erfüllen können.
Richtlinie: Eine bestimmte Einschränkung oder Einschränkung, die das Verhalten von Ressourcen in Google Cloud steuert oder überwacht. Richtlinien können präventiv (z. B. durch Einschränkungen für Organisationsrichtlinien) oder detektiv (z. B. Security Health Analytics-Detektoren) sein. Folgende Richtlinien werden unterstützt:
Einschränkungen für Organisationsrichtlinien, einschließlich benutzerdefinierter Einschränkungen
Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Module
Statusbereitstellung:Nachdem Sie einen Status erstellt haben, stellen Sie ihn bereit, damit Sie den Status auf die Organisation, Ordner oder Projekte anwenden können, die Sie mithilfe des Sicherheitsstatus verwalten möchten.
Das folgende Diagramm zeigt die Komponenten eines Beispiels für einen Sicherheitsstatus.
Vordefinierte Statusvorlagen
Der Dienst für den Sicherheitsstatus umfasst vordefinierte Statusvorlagen, die einem Compliancestandard oder einem von Google empfohlenen Standard wie den Empfehlungen für den Blueprint für Unternehmensgrundlagen entsprechen. Sie können diese Vorlagen verwenden, um Sicherheitsmaßnahmen zu erstellen, die für Ihr Unternehmen gelten. In der folgenden Tabelle werden die Posture-Vorlagen beschrieben.
| Statusvorlage | Name der Vorlage | Beschreibung |
|---|---|---|
secure_by_default_essential |
Diese Vorlage implementiert die Richtlinien, die häufige Fehlkonfigurationen und häufige Sicherheitsprobleme verhindern, die durch Standardeinstellungen verursacht werden. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
secure_by_default_extended |
Diese Vorlage implementiert die Richtlinien, die häufige Fehlkonfigurationen und häufige Sicherheitsprobleme verhindern, die durch Standardeinstellungen verursacht werden. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
|
secure_ai_essential |
Diese Vorlage implementiert Richtlinien, die Ihnen helfen, Gemini- und Vertex AI-Arbeitslasten zu schützen. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
secure_ai_extended |
Diese Vorlage implementiert Richtlinien, die Ihnen helfen, Gemini- und Vertex AI-Arbeitslasten zu schützen. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
|
big_query_essential |
Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie BigQuery schützen können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
cloud_storage_essential |
Mit dieser Vorlage werden Richtlinien implementiert, die Ihnen dabei helfen, Cloud Storage zu schützen. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
cloud_storage_extended |
Mit dieser Vorlage werden Richtlinien implementiert, die Ihnen dabei helfen, Cloud Storage zu schützen. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
|
vpcsc_essential |
Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie VPC Service Controls schützen können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
vpcsc_extended |
Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie VPC Service Controls schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
|
cis_2_0 |
Diese Vorlage enthält Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud-Umgebung nicht mit der CIS Google Cloud Computing Platform Benchmark Version 2.0.0 übereinstimmt. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
nist_800_53 |
Diese Vorlage enthält Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud-Umgebung nicht mit dem SP 800-53-Standard des National Institute of Standards and Technology (NIST) übereinstimmt. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
iso_27001 |
Diese Vorlage enthält Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud-Umgebung nicht mit der Norm ISO 27001 der Internationalen Organisation für Standards (International Organization for Standards) übereinstimmt. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
pci_dss_v_3_2_1 |
In dieser Vorlage werden Richtlinien implementiert, mit denen Sie erkennen können, wenn Ihre Google Cloud-Umgebung nicht mit den PCI-DSS-Standards (Payment Card Industry Data Security Standard) Version 3.2.1 und 1.0 übereinstimmt. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
Sicherheitsstatus bereitstellen und Abweichung überwachen
Um einen Status mit allen zugehörigen Richtlinien für eine Google Cloud-Ressource zu erzwingen, stellen Sie den Status bereit. Sie können angeben, für welche Ebene der Ressourcenhierarchie (Organisation, Ordner oder Projekt) der Sicherheitsstatus gilt. Sie können pro Organisation, Ordner oder Projekt nur einen Sicherheitsstatus bereitstellen.
Sicherheitsstatus werden von untergeordneten Ordnern und Projekten übernommen. Wenn Sie also Status auf Organisationsebene und auf Projektebene bereitstellen, gelten alle Richtlinien in beiden Sicherheitsstatus für die Ressourcen im Projekt. Wenn es Unterschiede in den Richtliniendefinitionen gibt (z. B. wenn eine Richtlinie auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt ist), wird der Status der untergeordneten Ebene von den Ressourcen in diesem Projekt verwendet.
Als Best Practice empfehlen wir, einen Sicherheitsstatus auf Organisationsebene bereitzustellen, der Richtlinien enthält, die für Ihr gesamtes Unternehmen gelten. Anschließend können Sie strengere Richtlinien auf Ordner oder Projekte anwenden, für die sie erforderlich sind. Wenn Sie beispielsweise den Blueprint für Unternehmensgrundlagen zum Einrichten Ihrer Infrastruktur verwenden, erstellen Sie bestimmte Projekte (z. B. prj-c-kms), die speziell für die Verschlüsselungsschlüssel für alle Projekte in einem Ordner erstellt werden. Sie können einen Sicherheitsstatus verwenden, um die Einschränkung der Organisationsrichtlinie constraints/gcp.restrictCmekCryptoKeyProjects für den Ordner common und die Umgebungsordner (development, nonproduction und production) so festzulegen, dass alle Projekte nur Schlüssel aus den Schlüsselprojekten verwenden.
Nachdem Sie den Sicherheitsstatus bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von Ihrem definierten Sicherheitsstatus überwachen. Security Command Center meldet Driftinstanzen als Ergebnisse, die Sie überprüfen, filtern und beheben können. Darüber hinaus können Sie diese Ergebnisse auf dieselbe Weise exportieren, wie Sie andere Ergebnisse aus Security Command Center exportieren. Weitere Informationen finden Sie unter Integrationsoptionen und Security Command Center-Daten exportieren.
Sicherheitsstatus mit Vertex AI und Gemini verwenden
Sie können Sicherheitsstatus verwenden, um die Sicherheit für Ihre KI-Arbeitslasten aufrechtzuerhalten. Der Dienst für den Sicherheitsstatus umfasst Folgendes:
Vordefinierte Statusvorlagen für KI-Arbeitslasten.
Ein Bereich auf der Seite Übersicht, in dem Sie Sicherheitslücken beobachten können, die von den benutzerdefinierten Security Health Analytics-Modulen für KI gefunden wurden. Hier können Sie alle Abweichungen von den Vertex AI-Organisationsrichtlinien ansehen, die in einem Sicherheitsstatus definiert wurden.
Security Posture-Dienst mit AWS verwenden
Wenn Sie Security Command Center Enterprise mit AWS zur Erkennung von Sicherheitslücken verbinden, enthält der Dienst von Security Health Analytics integrierte Detektoren, die Ihre AWS-Umgebung überwachen und Ergebnisse erstellen können.
Wenn Sie eine Statusdatei erstellen oder ändern, können Sie für AWS spezifische Detektoren von Security Health Analytics einschließen. Sie müssen diese Statusdatei auf Organisationsebene bereitstellen.
Dienstlimits für den Sicherheitsstatus
Der Dienst für den Sicherheitsstatus umfasst die folgenden Limits:
- Maximal 100 Sicherheitsstatus in einer Organisation.
- Maximal 400 Richtlinien in einem Status.
- Maximal 1.000 Statusbereitstellungen in einer Organisation.