Una postura de seguridad te permite definir y administrar el estado de seguridad de tus recursos de la nube, incluidos la red y los servicios en la nube. Puedes usar una postura de seguridad para evaluar la seguridad actual de la nube en comparación con comparativas definidas y mantener el nivel de seguridad que requiere la organización. Una postura de seguridad te ayuda a detectar y mitigar cualquier desvío de las comparativas definidas. Si defines y mantienes una postura de seguridad que coincida con las necesidades de seguridad de tu empresa, puedes minimizar los riesgos de seguridad cibernética para tu organización y ayudar a evitar que ocurran ataques.
En Google Cloud, puedes usar el servicio de postura de seguridad en Security Command Center para definir e implementar una postura de seguridad, supervisar el estado de seguridad de tus recursos de Google Cloud y abordar cualquier desvío (o cambio no autorizado) de tu posición definida.
Descripción general del servicio de postura de seguridad
El servicio de postura de seguridad es un servicio integrado en Security Command Center que te permite definir, evaluar y supervisar el estado general de tu seguridad en Google Cloud. El servicio de postura de seguridad solo está disponible si compras una suscripción al nivel Premium de Security Command Center o al nivel Enterprise y activas Security Command Center a nivel de la organización.
Puedes usar este servicio para realizar las siguientes acciones:
- Asegúrate de que las cargas de trabajo cumplan con los estándares de seguridad, las reglamentaciones de cumplimiento y los requisitos de seguridad personalizados de tu organización.
- Aplica tus controles de seguridad a proyectos, organizaciones o carpetas de Google Cloud antes de implementar cualquier carga de trabajo.
- Supervisa y resuelve continuamente cualquier desvío de los controles de seguridad definidos.
El servicio de postura de seguridad se habilita de forma automática cuando activas Security Command Center a nivel de la organización.
Componentes del servicio de postura de seguridad
El servicio de postura de seguridad incluye los siguientes componentes:
- Postura: uno o más conjuntos de políticas que aplican los controles preventivos y de detección que tu organización requiere para cumplir con su estándar de seguridad. Puedes implementar posiciones a nivel de la organización, de la carpeta o del proyecto. Para obtener una lista de plantillas de postura, consulta Plantillas de postura predefinidas.
- Conjuntos de políticas: Es un conjunto de requisitos de seguridad y controles asociados en Google Cloud. Por lo general, un conjunto de políticas consta de todas las políticas que te permiten cumplir con los requisitos de un estándar de seguridad o una reglamentación de cumplimiento en particular.
Política: Es una restricción o restricción particular que controla o supervisa el comportamiento de los recursos en Google Cloud. Las políticas pueden ser preventivas (por ejemplo, restricciones de políticas de la organización) o detectives (por ejemplo, detectores de estadísticas del estado de la seguridad). Las políticas admitidas son las siguientes:
Restricciones de las políticas de la organización, incluidas las restricciones personalizadas
Detectores de Security Health Analytics, incluidos los módulos personalizados
Implementación de la postura: Después de crear una postura, la implementas para que puedas aplicarla a la organización, las carpetas o los proyectos que desees administrar con ella.
En el siguiente diagrama, se muestran los componentes de un ejemplo de postura de seguridad.
Plantillas de postura predefinidas
El servicio de postura de seguridad incluye plantillas de postura predefinidas que cumplen con un estándar de cumplimiento o uno recomendado por Google, como las recomendaciones del plano de bases empresariales. Puedes usar estas plantillas para crear posturas de seguridad que se apliquen a tu negocio. En la siguiente tabla, se describen las plantillas de postura.
| Plantilla de postura | Nombre de la plantilla | Descripción |
|---|---|---|
secure_by_default_essential |
Esta plantilla implementa las políticas que ayudan a prevenir configuraciones incorrectas comunes y problemas de seguridad comunes causados por la configuración predeterminada. Puedes implementar esta plantilla sin modificarla. |
|
secure_by_default_extended |
Esta plantilla implementa las políticas que ayudan a prevenir configuraciones incorrectas comunes y problemas de seguridad comunes causados por la configuración predeterminada. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
|
Conceptos básicos sobre las recomendaciones seguras de la IA |
secure_ai_essential |
Esta plantilla implementa políticas para proteger las cargas de trabajo de Gemini y Vertex AI. Puedes implementar esta plantilla sin modificarla. |
secure_ai_extended |
Esta plantilla implementa políticas para proteger las cargas de trabajo de Gemini y Vertex AI. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
|
big_query_essential |
Esta plantilla implementa políticas que te ayudan a proteger BigQuery. Puedes implementar esta plantilla sin modificarla. |
|
cloud_storage_essential |
En esta plantilla, se implementan políticas que te ayudan a proteger Cloud Storage. Puedes implementar esta plantilla sin modificarla. |
|
cloud_storage_extended |
En esta plantilla, se implementan políticas que te ayudan a proteger Cloud Storage. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
|
Recomendaciones de los Controles del servicio de VPC, aspectos esenciales |
vpcsc_essential |
En esta plantilla, se implementan políticas que ayudan a proteger los Controles del servicio de VPC. Puedes implementar esta plantilla sin modificarla. |
Recomendaciones de los Controles del servicio de VPC extendidas |
vpcsc_extended |
En esta plantilla, se implementan políticas que ayudan a proteger los Controles del servicio de VPC. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
cis_2_0 |
En esta plantilla, se implementan políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no se alinea con la comparativa de CIS para Google Cloud Computing Platform v2.0.0. Puedes implementar esta plantilla sin modificarla. |
|
nist_800_53 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no se alinea con el estándar SP 800-53 del Instituto Nacional de Normas y Tecnología (NIST). Puedes implementar esta plantilla sin modificarla. |
|
iso_27001 |
En esta plantilla, se implementan políticas que te ayudan a detectar los casos en que tu entorno de Google Cloud no se alinea con el estándar 27001 de la Organización Internacional de Estándares (ISO). Puedes implementar esta plantilla sin modificarla. |
|
pci_dss_v_3_2_1 |
En esta plantilla, se implementan políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no se alinea con las versiones 3.2.1 y 1.0 de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Puedes implementar esta plantilla sin modificarla. |
Implementa posturas y supervisa el desvío
Para aplicar una posición con todas sus políticas en un recurso de Google Cloud, debes implementarla. Puedes especificar a qué nivel de la jerarquía de recursos (organización, carpeta o proyecto) se aplica la posición. Solo puedes implementar una postura en cada organización, carpeta o proyecto.
Las carpetas y los proyectos secundarios heredan las posturas. Por lo tanto, si implementas posturas a nivel de organización y a nivel de proyecto, todas las políticas dentro de ambas posturas se aplican a los recursos en el proyecto. Si hay diferencias en las definiciones de políticas (por ejemplo, si estableces una política como Permitir a nivel de la organización y Denegar a nivel del proyecto), los recursos de ese proyecto usarán la postura de nivel inferior.
Recomendamos que implementes una postura a nivel de la organización que incluya políticas que puedan aplicarse a toda tu empresa. Luego, puedes aplicar políticas más estrictas a las carpetas o los proyectos que las necesiten. Por ejemplo, si usas el plano de bases empresariales para configurar la infraestructura, debes crear ciertos proyectos (por ejemplo, prj-c-kms) que se crean de forma específica para contener las claves de encriptación de todos los proyectos en una carpeta. Puedes usar una postura de seguridad para establecer la restricción de la política de la organización constraints/gcp.restrictCmekCryptoKeyProjects en la carpeta common y las carpetas del entorno (development, nonproduction y production) de modo que todos los proyectos solo usen claves de los proyectos clave.
Después de implementar tu postura, puedes supervisar tu entorno para detectar cualquier desvío de tu posición definida. Security Command Center informa las instancias de desvío como hallazgos que puedes revisar, filtrar y resolver. Además, puedes exportar estos resultados de la misma manera en que exportas cualquier otro resultado de Security Command Center. Para obtener más información, consulta Opciones de integración y Exporta datos de Security Command Center.
Usa posturas de seguridad con Vertex AI y Gemini
Puedes usar posturas de seguridad para mantener la seguridad de tus cargas de trabajo de IA. El servicio de postura de seguridad incluye lo siguiente:
Plantillas de posición predefinidas específicas para las cargas de trabajo de IA
Un panel en la página Descripción general que te permite supervisar las vulnerabilidades que se encontraron en los módulos personalizados de Security Health Analytics que se aplican a la IA y te permite ver cualquier desvío de las políticas de la organización de Vertex AI que se definen en una postura.
Usa el servicio de postura de seguridad con AWS
Si conectas Security Command Center Enterprise a AWS para la detección de vulnerabilidades, el servicio de Security Health Analytics incluye detectores integrados que pueden supervisar tu entorno de AWS y crear resultados.
Cuando creas o modificas un archivo de posición, puedes incluir detectores de Security Health Analytics que son específicos de AWS. Debes implementar este archivo de postura a nivel de la organización.
Límites del servicio de postura de seguridad
El servicio de postura de seguridad incluye los siguientes límites:
- Un máximo de 100 puestos en una organización.
- Un máximo de 400 políticas en una posición
- Un máximo de 1,000 implementaciones de postura en una organización.