Una strategia di sicurezza consente di definire e gestire lo stato di sicurezza dei tuoi asset cloud, inclusi la rete cloud e i servizi cloud. Puoi utilizzare una strategia di sicurezza per valutare la tua attuale sicurezza nel cloud rispetto a benchmark definiti e mantenere il livello di sicurezza richiesto dalla tua organizzazione. Una strategia di sicurezza aiuta a rilevare e mitigare eventuali deviazioni dal benchmark definito. Definindo e mantenendo un livello di sicurezza adeguato alle esigenze di sicurezza della tua azienda, puoi ridurre al minimo i rischi di cybersicurezza per l'organizzazione e prevenire gli attacchi.
In Google Cloud, puoi utilizzare il servizio della postura di sicurezza in Security Command Center per definire ed eseguire il deployment di una postura di sicurezza, monitorare lo stato di sicurezza delle risorse Google Cloud e risolvere eventuali deviazioni (o modifiche non autorizzate) dalla postura definita.
Panoramica del servizio Security Posture
Il servizio della postura di sicurezza è un servizio integrato per Security Command Center che consente di definire, valutare e monitorare lo stato generale della sicurezza in Google Cloud. Il servizio della postura di sicurezza è disponibile solo se acquisti un abbonamento al livello Premium o Enterprise di Security Command Center e attivi Security Command Center a livello di organizzazione.
Puoi utilizzare il servizio della postura di sicurezza per eseguire le seguenti operazioni:
- Assicurati che i carichi di lavoro siano conformi agli standard di sicurezza, alle normative di conformità e ai requisiti di sicurezza personalizzati della tua organizzazione.
- Applica i controlli di sicurezza a organizzazioni, cartelle e progetti Google Cloud prima di eseguire il deployment di qualsiasi carico di lavoro.
- Monitora e risolvi in modo continuativo qualsiasi deviazione dai controlli di sicurezza definiti.
Il servizio della postura di sicurezza viene abilitato automaticamente quando attivi Security Command Center a livello di organizzazione.
Componenti del servizio Security posture
Il servizio della postura di sicurezza include i seguenti componenti:
- Postura: uno o più set di criteri che applicano i controlli preventivi e di rilevamento necessari all'organizzazione per soddisfare gli standard di sicurezza. Puoi eseguire il deployment delle posizioni a livello di organizzazione, cartella o progetto. Per un elenco dei modelli di postura, consulta Modelli di postura predefiniti.
- Set di criteri: un insieme di requisiti di sicurezza e controlli associati in Google Cloud. In genere, un insieme di criteri è costituito da tutti i criteri che ti consentono di soddisfare i requisiti di un particolare standard di sicurezza o di un determinato regolamento di conformità.
Criterio: un vincolo o una limitazione particolare che controlla o monitora il comportamento delle risorse in Google Cloud. I criteri possono essere preventivi (ad esempio, vincoli dei criteri dell'organizzazione) o detective (ad esempio rilevatori di Security Health Analytics). I criteri supportati sono i seguenti:
Vincoli dei criteri dell'organizzazione, inclusi i vincoli personalizzati
Rilevatori di Security Health Analytics, inclusi i moduli personalizzati
Deployment della postura: dopo aver creato una postura, ne esegui il deployment in modo da applicarla all'organizzazione, alle cartelle o ai progetti da gestire utilizzando la postura.
Il seguente diagramma mostra i componenti di una strategia di sicurezza di esempio.
Modelli di postura predefiniti
Il servizio di postura di sicurezza include modelli di postura predefiniti che rispettano uno standard di conformità o uno standard consigliato da Google come i suggerimenti del progetto di base aziendale. Puoi usare questi modelli per creare posture di sicurezza da applicare alla tua attività. La seguente tabella descrive i modelli di postura.
| Modello posture | Nome modello | Descrizione |
|---|---|---|
secure_by_default_essential |
Questo modello implementa i criteri che aiutano a prevenire gli errori di configurazione comuni e i problemi di sicurezza più comuni causati dalle impostazioni predefinite. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
secure_by_default_extended |
Questo modello implementa i criteri che aiutano a prevenire gli errori di configurazione comuni e i problemi di sicurezza più comuni causati dalle impostazioni predefinite. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
|
secure_ai_essential |
Questo modello implementa i criteri che consentono di proteggere i carichi di lavoro Gemini e Vertex AI. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
secure_ai_extended |
Questo modello implementa i criteri che consentono di proteggere i carichi di lavoro Gemini e Vertex AI. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
|
big_query_essential |
Questo modello implementa i criteri che ti aiutano a proteggere BigQuery. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
cloud_storage_essential |
Questo modello implementa i criteri che ti aiutano a proteggere Cloud Storage. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
cloud_storage_extended |
Questo modello implementa i criteri che ti aiutano a proteggere Cloud Storage. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
|
Suggerimenti, elementi essenziali dei Controlli di servizio VPC |
vpcsc_essential |
Questo modello implementa i criteri che consentono di proteggere i Controlli di servizio VPC. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
vpcsc_extended |
Questo modello implementa i criteri che consentono di proteggere i Controlli di servizio VPC. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
|
cis_2_0 |
Questo modello implementa i criteri che consentono di rilevare quando l'ambiente Google Cloud non è in linea con il benchmark CIS di Google Cloud Computing Platform v2.0.0. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
nist_800_53 |
Questo modello implementa criteri che consentono di rilevare quando l'ambiente Google Cloud non è in linea con lo standard del National Institute of Standards and Technology (NIST) SP 800-53. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
iso_27001 |
Questo modello implementa i criteri che ti consentono di rilevare quando il tuo ambiente Google Cloud non è in linea con lo standard ISO 27001. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
pci_dss_v_3_2_1 |
Questo modello implementa i criteri che ti aiutano a rilevare quando il tuo ambiente Google Cloud non è in linea con lo standard PCI DSS (Payment Card Industry Data Security Standard) versione 3.2.1 e versione 1.0. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
Implementare le posizioni e monitorare le deviazioni
Per applicare una postura con tutti i relativi criteri su una risorsa Google Cloud, esegui il deployment della postura. Puoi specificare a quale livello della gerarchia delle risorse (organizzazione, cartella o progetto) si applica la postura. Puoi eseguire il deployment di una sola postura per ogni organizzazione, cartella o progetto.
Le posture vengono ereditate dalle cartelle e dai progetti figlio. Di conseguenza, se esegui il deployment di posizioni a livello di organizzazione e di progetto, tutti i criteri di entrambe le posizioni si applicano alle risorse del progetto. In caso di differenze nelle definizioni dei criteri (ad esempio, se un criterio viene impostato su Consenti a livello di organizzazione e su Rifiuta a livello di progetto), le risorse di quel progetto utilizzano la postura di livello inferiore.
Come best practice, ti consigliamo di eseguire il deployment di una postura a livello di organizzazione che includa criteri applicabili all'intera azienda. Puoi quindi applicare criteri più rigorosi alle cartelle o ai progetti che li richiedono. Ad esempio, se utilizzi il progetto di base per la configurazione dell'infrastruttura, crei determinati progetti (ad esempio prj-c-kms) creati appositamente per contenere le chiavi di crittografia per tutti i progetti in una cartella. Puoi utilizzare una strategia di sicurezza per impostare il vincolo relativo ai criteri dell'organizzazione constraints/gcp.restrictCmekCryptoKeyProjects sulla cartella common e sulle cartelle di ambiente (development, nonproduction e production), in modo che tutti i progetti utilizzino solo le chiavi dei progetti chiave.
Dopo aver eseguito il deployment della postura, puoi monitorare l'ambiente per rilevare eventuali deviazioni dalla postura definita. Security Command Center segnala le istanze di deviazioni come risultati che puoi esaminare, filtrare e risolvere. Inoltre, puoi esportare questi risultati nello stesso modo in cui esporta gli altri risultati da Security Command Center. Per maggiori informazioni, vedi Opzioni di integrazione ed Esportazione dei dati di Security Command Center.
Utilizza le posizioni di sicurezza con Vertex AI e Gemini
Puoi utilizzare le posizioni di sicurezza per mantenere la sicurezza per i tuoi carichi di lavoro AI. Il servizio della postura di sicurezza include quanto segue:
Modelli di postura predefiniti specifici per i carichi di lavoro AI.
Un riquadro nella pagina Panoramica che consente di monitorare le vulnerabilità trovate dai moduli personalizzati di Security Health Analytics che si applicano all'IA e consente di visualizzare eventuali deviazioni dai criteri dell'organizzazione Vertex AI definiti in una postura.
Utilizza il servizio della postura di sicurezza con AWS
Se connetti Security Command Center Enterprise ad AWS per il rilevamento di vulnerabilità, il servizio Security Health Analytics include rilevatori integrati che possono monitorare il tuo ambiente AWS e creare risultati.
Quando crei o modifichi un file posture, puoi includere rilevatori di Security Health Analytics specifici di AWS. Devi eseguire il deployment di questo file di postura a livello di organizzazione.
Limiti di servizio della postura di sicurezza
Il servizio della postura di sicurezza include i seguenti limiti:
- Un massimo di 100 posizioni in un'organizzazione.
- Un massimo di 400 criteri in una postura.
- Un massimo di 1000 deployment di posture in un'organizzazione.