Uma postura de segurança permite definir e gerenciar o status de segurança dos recursos de nuvem, incluindo rede e serviços de nuvem. É possível usar uma postura de segurança para avaliar a segurança atual na nuvem em relação a comparativos de mercado definidos e manter o nível de segurança que a organização exige. Uma postura de segurança ajuda a detectar e mitigar qualquer desvio do comparativo de mercado definido. Ao definir e manter uma postura de segurança que atenda às necessidades da sua empresa, é possível minimizar os riscos de segurança cibernética na organização e ajudar a evitar ataques.
No Google Cloud, é possível usar o serviço de postura de segurança no Security Command Center para definir e implantar uma postura de segurança, monitorar o status de segurança dos recursos do Google Cloud e resolver qualquer desvio (ou alteração não autorizada) da postura definida.
Visão geral do serviço de postura de segurança
O serviço de postura de segurança é um serviço integrado do Security Command Center que permite definir, avaliar e monitorar o status geral da segurança no Google Cloud. O serviço de postura de segurança só vai estar disponível se você comprar uma assinatura do nível Premium ou Enterprise do Security Command Center e ativar o Security Command Center no nível da organização.
É possível usar o serviço de postura de segurança para realizar o seguinte:
- Certifique-se de que as cargas de trabalho estejam em conformidade com os padrões de segurança, as regulamentações de conformidade e os requisitos de segurança personalizados da organização.
- Aplique os controles de segurança a projetos, pastas ou organizações do Google Cloud antes de implantar qualquer carga de trabalho.
- Monitore e resolva continuamente qualquer desvio dos controles de segurança definidos.
O serviço de postura de segurança é ativado automaticamente quando você ativa o Security Command Center no nível da organização.
Componentes do serviço de postura de segurança
O serviço de postura de segurança inclui os seguintes componentes:
- Postura: um ou mais conjuntos de políticas que aplicam os controles de detecção e prevenção que sua organização exige para atender ao padrão de segurança. É possível implantar posturas no nível da organização, da pasta ou do projeto. Para uma lista de modelos de postura, consulte Modelos de postura predefinidos.
- Conjuntos de políticas: um conjunto de requisitos de segurança e controles associados no Google Cloud. Normalmente, um conjunto de políticas consiste em todas as políticas que permitem atender aos requisitos de uma norma de segurança ou regulamentação de conformidade específica.
Política:uma restrição específica que controla ou monitora o comportamento dos recursos no Google Cloud. As políticas podem ser preventivas (por exemplo, restrições da política da organização) ou detetives (por exemplo, detectores da Análise de integridade da segurança). Estas são as políticas compatíveis:
Restrições das políticas da organização, incluindo restrições personalizadas
Detectores da Análise de integridade da segurança, incluindo módulos personalizados
Implantação de postura:depois de criar uma postura, é possível implantá-la para aplicá-la à organização, às pastas ou aos projetos que você quer gerenciar usando ela.
O diagrama a seguir mostra os componentes de um exemplo de postura de segurança.
Modelos de postura predefinidos
O serviço de postura de segurança inclui modelos de postura predefinidos que seguem um padrão de conformidade ou recomendado pelo Google, como as recomendações de plano de bases empresariais. Esses modelos podem ser usados para criar posturas de segurança que se aplicam aos seus negócios. A tabela a seguir descreve os modelos de postura.
| Modelo de postura | Nome do modelo | Descrição |
|---|---|---|
secure_by_default_essential |
Esse modelo implementa políticas que ajudam a evitar configurações incorretas comuns e problemas de segurança comuns causados pelas configurações padrão. É possível implantar esse modelo sem fazer alterações nele. |
|
secure_by_default_extended |
Esse modelo implementa políticas que ajudam a evitar configurações incorretas comuns e problemas de segurança comuns causados pelas configurações padrão. Antes de implantar esse modelo, personalize-o para corresponder ao seu ambiente. |
|
secure_ai_essential |
Este modelo implementa políticas que ajudam a proteger as cargas de trabalho do Gemini e da Vertex AI. É possível implantar esse modelo sem fazer alterações nele. |
|
secure_ai_extended |
Este modelo implementa políticas que ajudam a proteger as cargas de trabalho do Gemini e da Vertex AI. Antes de implantar esse modelo, personalize-o para corresponder ao seu ambiente. |
|
big_query_essential |
Este modelo implementa políticas que ajudam a proteger o BigQuery. É possível implantar esse modelo sem fazer alterações nele. |
|
cloud_storage_essential |
Este modelo implementa políticas que ajudam a proteger o Cloud Storage. É possível implantar esse modelo sem fazer alterações nele. |
|
cloud_storage_extended |
Este modelo implementa políticas que ajudam a proteger o Cloud Storage. Antes de implantar esse modelo, personalize-o para corresponder ao seu ambiente. |
|
vpcsc_essential |
Este modelo implementa políticas que ajudam a proteger o VPC Service Controls. É possível implantar esse modelo sem fazer alterações nele. |
|
vpcsc_extended |
Este modelo implementa políticas que ajudam a proteger o VPC Service Controls. Antes de implantar esse modelo, personalize-o para corresponder ao seu ambiente. |
|
cis_2_0 |
Este modelo implementa políticas que ajudam a detectar quando seu ambiente do Google Cloud não está alinhado ao comparativo de mercado CIS do Google Cloud Computing Platform v2.0.0. É possível implantar esse modelo sem fazer alterações nele. |
|
nist_800_53 |
Este modelo implementa políticas que ajudam a detectar quando seu ambiente do Google Cloud não está alinhado ao padrão do Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) SP 800-53. É possível implantar esse modelo sem fazer alterações nele. |
|
iso_27001 |
Este modelo implementa políticas que ajudam a detectar quando seu ambiente do Google Cloud não está de acordo com o padrão ISO 27001 da Organização Internacional de Padrões. É possível implantar esse modelo sem fazer alterações nele. |
|
pci_dss_v_3_2_1 |
Este modelo implementa políticas que ajudam a detectar quando seu ambiente do Google Cloud não está alinhado ao Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) versão 3.2.1 e 1.0. É possível implantar esse modelo sem fazer alterações nele. |
Implantar posturas e monitorar desvios
Para impor uma postura com todas as políticas dela em um recurso do Google Cloud, implante a postura. É possível especificar a qual nível da hierarquia de recursos (organização, pasta ou projeto) a postura se aplica. Só é possível implantar uma postura em cada organização, pasta ou projeto.
As posturas são herdadas pelas pastas e projetos filhos. Portanto, se você implantar posturas no nível da organização e do projeto, todas as políticas em ambas se aplicarão aos recursos do projeto. Se houver diferenças nas definições de política (por exemplo, se uma política for definida como Permitir no nível da organização e como Negar no nível do projeto), a postura de nível mais baixo será usada pelos recursos nesse projeto.
Como prática recomendada, sugerimos que você implante uma postura no
nível da organização que inclua políticas que possam ser aplicadas a toda
a empresa. É possível aplicar políticas mais rigorosas a pastas ou projetos que as exijam. Por exemplo, se você usar o blueprint de bases empresariais para configurar
a infraestrutura, criará determinados projetos (por exemplo, prj-c-kms) que
são especificamente criados para conter as chaves de criptografia de todos os projetos em uma
pasta. É possível usar uma postura de segurança para definir a restrição de política da organização
constraints/gcp.restrictCmekCryptoKeyProjects
na pasta common e nas pastas de ambiente
(development, nonproduction e production) para que todos os projetos usem apenas
chaves dos projetos principais.
Depois de implantar a postura, é possível monitorar o ambiente em busca de desvios da postura definida. O Security Command Center relata instâncias de deslocamento como descobertas que podem ser analisadas, Além disso, é possível exportar essas descobertas da mesma maneira que você exporta qualquer outra descoberta do Security Command Center. Para mais informações, consulte Opções de integração e Como exportar dados do Security Command Center.
Use posturas de segurança com a Vertex AI e o Gemini
É possível usar posturas de segurança para manter a segurança das cargas de trabalho de IA. O serviço de postura de segurança inclui o seguinte:
Modelos de postura predefinidos específicos para cargas de trabalho de IA.
Um painel na página Visão geral que permite monitorar vulnerabilidades encontradas pelos módulos personalizados da Análise de integridade da segurança que se aplicam à IA e permite conferir qualquer desvio das políticas da organização da Vertex AI definidas em uma postura.
Usar o serviço de postura de segurança com a AWS
Se você conectar o Security Command Center Enterprise à AWS para detecção de vulnerabilidades, o serviço Security Health Analytics vai incluir detectores integrados que podem monitorar seu ambiente da AWS e criar descobertas.
Ao criar ou modificar um arquivo de postura, é possível incluir detectores da Análise de integridade da segurança específicos da AWS. É necessário implantar esse arquivo de postura no nível da organização.
Limites de serviço de postura de segurança
O serviço de postura de segurança inclui os seguintes limites:
- No máximo 100 posturas em uma organização.
- No máximo 400 políticas em uma postura.
- No máximo 1.000 implantações de postura em uma organização.