借助安全状况,您可以定义和管理云的安全状态 包括您的云网络和云服务。您可以使用 根据定义的基准评估当前的云安全性, 以维持您组织所需的安全级别。证券 安全状况可帮助您检测并减轻与所定义的基准之间的任何偏差。修改者 定义和维护与企业安全相符合的安全状况 从而最大限度地降低贵组织的信息安全风险,并帮助 以防止攻击的发生
在 Google Cloud 中,您可以使用安全状况服务 使用 Security Command Center 定义和部署安全状况,监控 您的 Google Cloud 资源,并解决任何偏移(或未经授权的更改)问题 。
Security Posture 服务概览
Security Posture 服务是 Security Command Center 可让您定义、评估和监控 您在 Google Cloud 中的安全状态。通过 只有在满足以下条件时,才能使用 Security Posture 服务 购买 Security Command Center 高级层级或企业层级订阅,并且 在组织级别启用 Security Command Center。
您可以使用 该 Security Posture 服务执行以下操作:
- 确保您的工作负载符合安全标准和合规性 法规以及贵组织的自定义安全要求。
- 将安全控制措施应用于 Google Cloud 项目、文件夹或组织 然后再部署任何工作负载
- 持续监控并解决任何偏离您定义的安全性问题 控件。
安全状况服务会自动启用 在组织级别启用 Security Command Center。
Security Posture 服务组件
Security Posture 服务包括以下组件:
- 安全状况:一个或多个政策集,用于强制执行预防性措施和 贵组织为满足安全性要求而需要的检测控制措施 标准。您可以在组织级别、文件夹级别或 项目级别。如需查看状况模板列表,请参阅预定义的状况 模板。
- 政策集:政策集内的一组安全要求和相关控制措施, Google Cloud通常,政策集包含 可让您满足特定安全标准或合规性的要求 法规。
政策:控制或监控的特定限制条件或限制 Google Cloud 中资源的行为。政策可起到预防作用 (例如,组织政策 约束条件) 检测工具(例如 Security Health Analytics 检测器)。支持的政策包括 以下:
安全状况部署:创建安全状况后,您可以对其进行部署, 可以将安全状况应用于所需的组织、文件夹或项目 使用状况进行管理
下图显示了示例安全状况的组成部分。
预定义的状况模板
Security Posture 服务包含预定义的安全状况模板, 符合合规性标准或 Google 推荐的标准,例如 企业基础蓝图 建议。您可以使用这些模板 适合您企业的安全状况下表介绍了 安全状况模板。
| 状况模板 | 模板名称 | 说明 |
|---|---|---|
secure_by_default_essential |
此模板实施的政策有助于 防止默认造成的常见错误配置和常见安全问题 设置。你可以直接部署此模板,而无需 对该文件进行任何更改 |
|
secure_by_default_extended |
此模板实施的政策有助于 防止默认造成的常见错误配置和常见安全问题 设置。在部署此模板之前,您必须对其进行自定义以匹配您的环境。 |
|
secure_ai_essential |
此模板实施的政策有助于确保 Gemini 和 Vertex AI 工作负载。你可以直接部署此模板,而无需 对该文件进行任何更改 |
|
secure_ai_extended |
此模板实施的政策有助于确保 Gemini 和 Vertex AI 工作负载。在部署此模板之前,您必须对其进行自定义以匹配您的环境。 |
|
big_query_essential |
此模板实施的政策可帮助您保护 BigQuery。您可以部署此模板,而无需对其进行任何更改。 |
|
cloud_storage_essential |
此模板实施的政策可帮助您保护 Cloud Storage 安全。您可以部署此模板,而无需对其进行任何更改。 |
|
cloud_storage_extended |
此模板实施的政策可帮助您保护 Cloud Storage 安全。在部署此模板之前,您必须对其进行自定义以匹配您的环境。 |
|
vpcsc_essential |
此模板实施的政策可帮助您保护 VPC Service Controls。您可以部署此模板,而无需对其进行任何更改。 |
|
vpcsc_extended |
此模板实施的政策可帮助您保护 VPC Service Controls。在部署此模板之前,您必须对其进行自定义以匹配您的环境。 |
|
cis_2_0 |
此模板实施的政策可帮助您检测 Google Cloud 环境 与 CIS Google Cloud Computing Platform Benchmark 不符 v2.0.0。您可以部署此模板,而无需对其进行任何更改。 |
|
nist_800_53 |
此模板实施的政策可帮助您检测 Google Cloud 环境 不符合美国国家标准与技术研究院 (NIST) SP 800-53 标准。您可以部署此模板,而无需对其进行任何更改。 |
|
iso_27001 |
此模板实施的政策可帮助您检测 Google Cloud 环境 与国际标准组织 (ISO) 27001 标准不符。您可以部署此模板,而无需对其进行任何更改。 |
|
pci_dss_v_3_2_1 |
此模板实施的政策可帮助您检测 Google Cloud 环境 与支付卡行业数据安全标准 (PCI DSS) 3.2.1 版和 1.0 版不符。您可以部署此模板,而无需对其进行任何更改。 |
部署状况并监控偏移
要在 Google Cloud 资源上实施安全状况及其所有政策, 部署安全状况。您 可以指定资源层次结构的哪个层级(组织、文件夹或 项目)。您只能为每个安全状况部署一个安全状况 组织、文件夹或项目。
子文件夹和项目会继承安全状况。因此,如果您部署 组织级别和项目级别的所有政策 这两种状况中的一种都会应用于项目中的资源。如果存在 政策定义之间的差异(例如,政策在 组织级别,而在项目级别拒绝),则较低级别的安全状况 该项目中的资源所用的资源。
我们建议的最佳做法是,在
组织级别,其中包含可应用于整个组织
业务。然后,您可以对符合以下条件的文件夹或项目应用更严格的政策:
需要它们。例如,如果您使用企业基础蓝图
您需要创建特定项目(例如 prj-c-kms),
专门用于包含存储分区中所有项目的加密密钥
文件夹中。您可以使用安全状况设置
constraints/gcp.restrictCmekCryptoKeyProjects
针对 common 文件夹和环境文件夹的组织政策限制条件
(development、nonproduction 和 production),以便所有项目仅使用
密钥项目中的密钥。
部署安全状况后,您可以监控环境是否存在任何偏移 。Security Command Center 将偏移实例报告为发现结果 您可以查看、过滤和解决此外,您还可以将这些 与从 Cloud Monitoring 中导出任何其他发现结果 Security Command Center。如需了解详情,请参阅集成方式 和导出 Security Command Center 数据。
将安全状况与 Vertex AI 和 Gemini 搭配使用
您可以利用安全状况来帮助维护 AI 的安全 工作负载Security Posture 服务包括以下内容:
预定义的状况模板 AI 工作负载特有的功能。
概览窗格 页面 让您可以监控 Security Health Analytics 发现的漏洞 自定义模块,让您可以查看与 AI 相关的任何偏差, 安全状况中定义的 Vertex AI 组织政策。
将 Security Posture 服务与 AWS 搭配使用
如果您将 Security Command Center Enterprise 连接到AWS 以修复漏洞 检测,Security Health Analytics 服务包括内置检测器,可以监控 AWS 环境并 制作 发现结果。
创建或修改状况文件时,您可以添加 Security Health Analytics 检测器 AWS 特有的功能您必须在组织中部署此安全状况文件 。
安全状况服务限制
Security Posture 服务具有以下限制:
- 一个组织中最多 100 种折叠状态。
- 一个安全状况最多包含 400 项政策。
- 一个组织中最多 1,000 个安全状况部署。