Una postura de seguridad te permite definir y administrar el estado de seguridad de tu nube recursos, incluida la red y los servicios en la nube. Puedes usar un sistema de seguridad de seguridad para evaluar tu seguridad en la nube actual frente a comparativas definidas, lo que ayuda a mantener el nivel de seguridad que requiere su organización. Una postura de seguridad ayuda a detectar y mitigar cualquier desvío una comparativa. Definiendo y manteniendo una postura de seguridad que coincida con tus las necesidades de seguridad de tu empresa, puedes reducir los riesgos de seguridad cibernética de tu organización y ayudar a evitar que sucedan ataques.
En Google Cloud, puedes usar el servicio de postura de seguridad en Security Command Center para definir e implementar una postura de seguridad, supervisar el estado de seguridad de tus recursos de Google Cloud y abordar cualquier desviación (o cambio no autorizado) de la postura definida.
Descripción general del servicio de postura de seguridad
El servicio de postura de seguridad es un servicio integrado para el Security Command Center que permite definir, evaluar y supervisar el estado general de tu seguridad en Google Cloud. El servicio de postura de seguridad solo está disponible para ti si compras una suscripción a Security Command Center nivel Premium o Enterprise y activa Security Command Center en a nivel de la organización.
Puedes usar el servicio de estado de seguridad para lograr los siguientes objetivos:
Asegúrate de que tus cargas de trabajo cumplan con los estándares de seguridad, las reglamentaciones de cumplimiento y los requisitos de seguridad personalizados de tu organización.
Aplica tus controles de seguridad a los proyectos, las carpetas o las organizaciones de Google Cloud antes de implementar cargas de trabajo.
Supervise y resuelva continuamente cualquier desvío de su seguridad definida controles de seguridad.
El servicio de postura de seguridad se habilita automáticamente cuando activar Security Command Center a nivel de la organización.
Componentes del servicio de postura de seguridad
El servicio de postura de seguridad incluye los siguientes componentes:
Postura: uno o más conjuntos de políticas que aplican las medidas preventivas y de detección que tu organización requiere para cumplir con sus estándar. Puedes implementar posturas a nivel de la organización, de la carpeta o a nivel de proyecto. Para obtener una lista de las plantillas de postura, consulta Postura predefinida plantillas.
Conjuntos de políticas: Un conjunto de requisitos de seguridad y controles asociados en en Google Cloud. Por lo general, un conjunto de políticas consta de todas las políticas que te permiten cumplir con los requisitos de un estándar de seguridad o una regulación de cumplimiento en particular.
Política: una restricción o restricción particular que controla o supervisa el comportamiento de los recursos en Google Cloud. Las políticas pueden ser preventivas (por ejemplo, restricciones de políticas de la organización) o de detección (por ejemplo, detectores de Security Health Analytics). Las políticas admitidas son las lo siguiente:
Restricciones de las políticas de la organización, incluidas las restricciones personalizadas
Detectores de Security Health Analytics, incluidos los módulos personalizados
Implementación de la postura: después de crear una postura, la implementas para puedes aplicar la postura a la organización, las carpetas o los proyectos que desees administrar con la postura.
En el siguiente diagrama, se muestran los componentes de una postura de seguridad de ejemplo.
Plantillas de postura predefinidas
El servicio de postura de seguridad incluye posturas que cumplen con un estándar de cumplimiento o con una recomendación estándar, como el plano de bases empresariales recomendaciones. Puedes usar estas plantillas para crear posturas de seguridad que se apliquen a tu empresa. En la siguiente tabla, se describen las plantillas de postura.
| Plantilla de postura | Nombre de la plantilla | Descripción |
|---|---|---|
| Seguridad predeterminada y elementos esenciales | secure_by_default_essential |
Esta plantilla implementa las políticas que ayudan a evitar configuraciones incorrectas y problemas de seguridad comunes causados por la configuración predeterminada. Puedes implementar esta plantilla sin hacer ningún cambio en ella. |
| Seguridad predeterminada extendida | secure_by_default_extended |
Esta plantilla implementa las políticas que ayudan a evitar configuraciones incorrectas y problemas de seguridad comunes causados por la configuración predeterminada. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
| Recomendaciones de IA segura, aspectos básicos | secure_ai_essential |
Esta plantilla implementa políticas que te ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Puedes implementar esta plantilla sin realizar cambios en él. |
| Recomendaciones de IA seguras, extendidas | secure_ai_extended |
Esta plantilla implementa políticas que te ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Antes de implementar esta plantilla, debes personalizarlo para que coincida con tu entorno. |
| Recomendaciones de BigQuery y aspectos esenciales | big_query_essential |
Esta plantilla implementa políticas que ayudan a proteger en BigQuery. Puedes implementar esta plantilla sin hacer cambios en él. |
| Recomendaciones de Cloud Storage y aspectos esenciales | cloud_storage_essential |
Esta plantilla implementa políticas que te ayudan a proteger Cloud Storage. Puedes implementar esta plantilla sin hacer ningún cambio en ella. |
| Se extendieron las recomendaciones de Cloud Storage | cloud_storage_extended |
Esta plantilla implementa políticas que ayudan a proteger Cloud Storage. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu en un entorno de nube. |
| Recomendaciones y aspectos básicos de las VPC | vpc_networking_essential |
Esta plantilla implementa políticas que ayudan a proteger Nube privada virtual (VPC). Puedes implementar esta plantilla sin hacerle ningún cambio. |
| Recomendaciones de VPC, extendidas | vpc_networking_extended |
Esta plantilla implementa políticas que ayudan a proteger VPC. Antes de implementar esta plantilla, debes personalizar para que coincida con tu entorno. |
| Recomendaciones de la versión 2.0.0 de las comparativas de Google Cloud Computing Platform del Centro para la Seguridad de Internet (CIS) | cis_2_0 |
Esta plantilla implementa políticas que te ayudan a detectar cuando tu entorno de Google Cloud no se alinea con las comparativas de la plataforma de procesamiento de Google Cloud de CIS v2.0.0. Puedes implementar esta plantilla sin hacer ningún cambio en ella. |
| Recomendaciones estándar de la NIST SP 800-53 | nist_800_53 |
Esta plantilla implementa políticas que te ayudan a detectar cuando tu entorno de Google Cloud no se alinea con el estándar SP 800-53 del Instituto Nacional de Estándares y Tecnología (NIST). Puedes implementar esto plantilla sin hacerle cambios. |
| Recomendaciones de la norma ISO 27001 | iso_27001 |
Esta plantilla implementa políticas que ayudan a detectar cuándo tus El entorno de Google Cloud no se alinea con el Organización para la Normas (ISO) 27001. Puedes implementar esta plantilla sin hacer ningún cambio en ella. |
| Recomendaciones del estándar PCI DSS | pci_dss_v_3_2_1 |
Esta plantilla implementa políticas que te ayudan a detectar cuando tu entorno de Google Cloud no se alinea con las versiones 3.2.1 y 1.0 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Puedes implementar esta plantilla sin hacer ningún cambio en ella. |
Implementa posturas y supervisa el desvío
Para aplicar una postura con todas sus políticas en un recurso de Google Cloud, debes implementarla. Puedes especificar qué nivel de la jerarquía de recursos (organización, carpeta o proyecto) al que se aplica la postura. Solo puedes implementar una postura en cada organización, carpeta o proyecto.
Las posturas se heredan en las carpetas y los proyectos secundarios. Por lo tanto, si implementas posturas a nivel de la organización y a nivel del proyecto, todas las políticas de ambas posturas se aplican a los recursos del proyecto. Si hay alguna diferencias en las definiciones de políticas (por ejemplo, si se establece una política como Permitir al a nivel de la organización y a Rechazar a nivel del proyecto), la postura de nivel inferior es que usan los recursos en ese proyecto.
Como práctica recomendada, te sugerimos que implementes una postura a nivel de la organización
que incluya políticas que se puedan aplicar a toda tu empresa. Luego, puedes aplicar políticas más estrictas a las carpetas o los proyectos que las requieran. Por
ejemplo, si usas el modelo de bases empresariales para configurar tu
infraestructura, creas ciertos proyectos (por ejemplo, prj-c-kms) que se
crean específicamente para contener las claves de encriptación de todos los proyectos en una
carpeta. Puedes usar una postura de seguridad para establecer la
constraints/gcp.restrictCmekCryptoKeyProjects
restricción de la política de la organización en la carpeta common y las carpetas de entorno
(development, nonproduction y production) para que todos los proyectos solo usen
claves de los proyectos clave.
Después de implementar tu postura, puedes supervisar tu entorno en busca de cualquier desviación de la postura definida. Security Command Center informa instancias de deriva como resultados que puedes revisar, filtrar y resolver. Además, puedes exportar estos de la misma manera en que exportas cualquier otro resultado desde Security Command Center. Para obtener más información, consulta Opciones de integración. y Exporta datos de Security Command Center.
Usa posturas de seguridad con Vertex AI y Gemini
Puedes usar posturas de seguridad para mantener la seguridad de tu IA de las cargas de trabajo. El servicio de postura de seguridad incluye lo siguiente:
Plantillas de postura predefinidas que son específicas para las cargas de trabajo de IA.
Un panel en la página Resumen que te permite supervisar las vulnerabilidades que encontraron los módulos personalizados de las Estadísticas del estado de la seguridad que se aplican a la IA y te permite ver cualquier desviación de las políticas de la organización de Vertex AI que se definen en una postura.
Usa el servicio de postura de seguridad con AWS
Si conectas Security Command Center Enterprise a AWS para la detección de vulnerabilidades, el servicio de Security Health Analytics incluye detectores integrados que pueden supervisar tu entorno de AWS y crear resultados.
Cuando creas o modificas un archivo de postura, puedes incluir detectores de Security Health Analytics que son específicas de AWS. Debes implementar este archivo de postura en la organización a nivel de organización.
Límites del servicio de postura de seguridad
El servicio de postura de seguridad incluye los siguientes límites:
- Un máximo de 100 posturas en una organización.
- Un máximo de 400 políticas en una postura
- Un máximo de 1,000 implementaciones de postura en una organización