Présentation de la stratégie de sécurité

Une stratégie de sécurité vous permet de définir et de gérer l'état de sécurité de votre cloud des ressources, y compris votre réseau et vos services cloud. Vous pouvez utiliser un pour évaluer votre sécurité cloud actuelle par rapport à des benchmarks définis, ce qui vous aide à maintenir le niveau de sécurité requis par votre organisation. Une stratégie de sécurité vous aide à détecter et à atténuer toute dérive par rapport à votre référence définie. En définissant et en maintenant une stratégie de sécurité qui correspond à vos les besoins de sécurité de votre entreprise, vous pouvez réduire les risques l'organisation et aident à prévenir les attaques.

Dans Google Cloud, vous pouvez utiliser le service de stratégie de sécurité Security Command Center pour définir et déployer une stratégie de sécurité, surveiller l'état de vos ressources Google Cloud et remédiez à toute dérive (ou modification non autorisée) par rapport à la stratégie que vous avez définie.

Présentation du service d'évaluation de la sécurité

Le service de stratégie de sécurité est un service intégré Security Command Center vous permet de définir, d'évaluer et de surveiller l'état général votre sécurité dans Google Cloud. Service de stratégie de sécurité n'est disponible que si vous souscrivez un abonnement à Security Command Center du niveau Premium ou Enterprise, et activez Security Command Center au niveau au niveau de l'organisation.

Vous pouvez utiliser le service d'état de sécurité pour atteindre les objectifs suivants :

  • Assurez-vous que vos charges de travail respectent les normes de sécurité, les réglementations de conformité et les exigences de sécurité personnalisées de votre organisation.

  • Appliquez vos contrôles de sécurité aux projets, dossiers ou organisations Google Cloud avant de déployer des charges de travail.

  • Surveillez et corrigez en permanence les dérives par rapport aux paramètres de sécurité que vous avez définis. .

Le service de stratégie de sécurité est automatiquement activé lorsque vous activer Security Command Center au niveau de l'organisation.

Composants du service de stratégie de sécurité

Le service de stratégie de sécurité comprend les composants suivants :

  • Stratégie:un ou plusieurs ensembles de règles qui appliquent les stratégies les contrôles de détection requis par votre organisation pour assurer sa sécurité standard. Vous pouvez déployer des postures au niveau de l'organisation, du dossier ou du projet. Pour obtenir la liste des modèles de posture, consultez la section Modèles de posture prédéfinis.

  • Ensembles de règles : ensemble d'exigences de sécurité et de commandes associées dans Google Cloud. Généralement, un ensemble de stratégies comprend toutes les stratégies qui permettent de répondre aux exigences d'une norme de sécurité ou d'une conformité particulière de sécurité.

  • Règle : contrainte ou restriction particulière qui contrôle ou surveille le comportement des ressources dans Google Cloud. Les règles peuvent être préventives (par exemple, les contraintes de règles d'organisation) ou détectives (par exemple, les détecteurs de Security Health Analytics). Les stratégies compatibles sont les suivantes:

  • Déploiement de la posture : après avoir créé une posture, vous la déployez pour pouvoir l'appliquer à l'organisation, aux dossiers ou aux projets que vous souhaitez gérer à l'aide de la posture.

Le schéma suivant montre les composants d'un exemple de posture de sécurité.

Composants du service de stratégie de sécurité

Modèles de stratégie prédéfinis

Le service d'évaluation de la sécurité inclut des modèles d'évaluation prédéfinis qui respectent une norme de conformité ou une norme recommandée par Google, comme les recommandations du plan de base d'entreprise. Vous pouvez utiliser ces modèles pour créer des stratégies de sécurité s'appliquent à votre entreprise. Le tableau suivant décrit les modèles de stratégie.

Modèle de stratégie Nom du modèle Description
Sécurité par défaut, éléments essentiels secure_by_default_essential Ce modèle implémente les règles qui permettent d'éviter les erreurs de configuration et les problèmes de sécurité courants causés par les paramètres par défaut. Vous pouvez déployer ce modèle sans y apporter de modifications.
Sécurité par défaut étendue secure_by_default_extended Ce modèle implémente les règles qui aident à éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut. Avant de déployer ce modèle, vous devez le personnaliser pour qu'il corresponde à votre environnement.
Recommandations d'IA sécurisées, principes essentiels secure_ai_essential Ce modèle implémente des règles qui vous aident à sécuriser Gemini et les charges de travail Vertex AI. Vous pouvez déployer ce modèle sans n'y apporter aucune modification.
Recommandations IA sécurisées étendues secure_ai_extended Ce modèle implémente des règles qui vous aident à sécuriser Gemini et les charges de travail Vertex AI. Avant de déployer ce modèle, vous devez le personnaliser pour qu'il corresponde à votre environnement.
Recommandations BigQuery, éléments essentiels big_query_essential Ce modèle implémente des règles qui vous aident à sécuriser BigQuery. Vous pouvez déployer ce modèle des modifications.
Recommandations Cloud Storage, principes de base cloud_storage_essential Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Vous pouvez déployer ce modèle sans le modifier.
Recommandations Cloud Storage étendues cloud_storage_extended Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Avant de déployer ce modèle, vous devez le personnaliser en fonction de vos environnement.
Recommandations de VPC, principes de base vpc_networking_essential Ce modèle implémente des règles qui vous aident à sécuriser le cloud privé virtuel (VPC). Vous pouvez déployer ce modèle toute modification.
Recommandations concernant les VPC (étendue) vpc_networking_extended Ce modèle implémente des règles qui vous aident à sécuriser votre VPC. Avant de déployer ce modèle, vous devez le personnaliser pour qu'il corresponde à votre environnement.
Recommandations du Center for Internet Security (CIS) concernant le benchmark v2.0.0 de Google Cloud Computing Platform cis_2_0 Ce modèle implémente des règles qui vous aident à détecter L'environnement Google Cloud ne correspond pas à la solution CIS Google Cloud Calcul Platform Benchmark v2.0.0. Vous pouvez déployer ce modèle sans le modifier.
Recommandations de la norme NIST SP 800-53 nist_800_53 Ce modèle implémente des règles qui vous aident à détecter quand votre environnement Google Cloud ne respecte pas la norme SP 800-53 de l'Institut national des normes et de la technologie (NIST). Vous pouvez déployer sans y apporter de modifications.
Recommandations de la norme ISO 27001 iso_27001 Ce modèle implémente des règles qui vous aident à détecter quand votre environnement Google Cloud ne respecte pas la norme ISO 27001. Vous pouvez déployer sans y apporter de modifications.
Recommandations concernant la norme PCI DSS pci_dss_v_3_2_1 Ce modèle implémente des règles qui vous aident à détecter L'environnement Google Cloud ne correspond pas au secteur des cartes de paiement Norme de sécurité des données (PCI DSS) version 3.2.1 et version 1.0. Vous pouvez déployer ce modèle sans le modifier.

Déployer des stratégies et surveiller la dérive

Pour appliquer une posture avec toutes ses règles à une ressource Google Cloud, vous devez la déployer. Vous pouvez spécifier le niveau de la hiérarchie des ressources (organisation, dossier ou projet) auquel la posture s'applique. Vous pouvez uniquement déployer une stratégie pour chaque organisation, dossier ou projet.

Les stratégies sont héritées par les dossiers et projets enfants. Par conséquent, si vous déployez des postures au niveau de l'organisation et au niveau du projet, toutes les stratégies des deux postures s'appliquent aux ressources du projet. Le cas échéant, différences entre les définitions des règles (par exemple, une règle est définie sur Autoriser au niveau au niveau de l'organisation et sur "Refuser" au niveau du projet), la stratégie de niveau inférieur est utilisées par les ressources de ce projet.

Nous vous recommandons de déployer une stratégie au niveau de l'organisation qui inclut des règles applicables à l'ensemble de votre entreprise. Vous pouvez puis appliquer des stratégies plus strictes aux dossiers ou projets qui les nécessitent. Pour Par exemple, si vous utilisez le plan de base d'entreprise pour configurer votre vous créez certains projets (par exemple, prj-c-kms) qui sont spécialement créé pour contenir les clés de chiffrement de tous les projets d'une . Vous pouvez utiliser une posture de sécurité pour définir la contrainte de stratégie de l'organisation constraints/gcp.restrictCmekCryptoKeyProjects sur le dossier common et les dossiers d'environnement (development, nonproduction et production) afin que tous les projets n'utilisent que les clés des projets clés.

Après avoir déployé votre stratégie, vous pouvez surveiller votre environnement afin de détecter toute dérive de la stratégie définie. Security Command Center signale les cas de dérive sous forme de résultats que vous pouvez consulter, filtrer et résoudre. De plus, vous pouvez exporter ces de la même manière que vous exportez tout autre résultat depuis Security Command Center. Pour en savoir plus, consultez les pages Options d'intégration et Exporter des données de Security Command Center.

Utiliser des postures de sécurité avec Vertex AI et Gemini

Vous pouvez utiliser des postures de sécurité pour vous aider à assurer la sécurité de vos charges de travail d'IA. Le service d'évaluation de la sécurité comprend les éléments suivants :

  • Modèles de posture prédéfinis spécifiques aux charges de travail d'IA.

  • Volet de la page Vue d'ensemble qui vous permet de surveiller les failles détectées par les modules personnalisés Security Health Analytics qui s'appliquent à l'IA, et de consulter toute dérive par rapport aux règles d'organisation Vertex AI définies dans une posture.

Utiliser le service de stratégie de sécurité avec AWS

Si vous connectez Security Command Center Enterprise à AWS pour la détection des failles, le service Security Health Analytics inclut des détecteurs intégrés qui peuvent surveiller votre environnement AWS et créer des résultats.

Lorsque vous créez ou modifiez un fichier d'état, vous pouvez inclure des détecteurs Security Health Analytics spécifiques à AWS. Vous devez déployer ce fichier de stratégie au niveau de l'organisation à l'échelle du projet.

Limites du service d'évaluation de la sécurité

Le service de stratégie de sécurité inclut les limites suivantes:

  • Un maximum de 100 stratégies par organisation.
  • Une stratégie peut comporter jusqu'à 400 règles.
  • 1 000 déploiements de posture maximum dans une organisation

Étape suivante