Une stratégie de sécurité vous permet de définir et de gérer l'état de sécurité de votre cloud des ressources, y compris votre réseau et vos services cloud. Vous pouvez utiliser un pour évaluer votre sécurité cloud actuelle par rapport à des benchmarks maintenir le niveau de sécurité requis par votre organisation. Un titre vous aide à détecter et à atténuer toute dérive par rapport au benchmark que vous avez défini. Par définir et maintenir une stratégie de sécurité qui correspond à celle de votre entreprise vous pouvez réduire les risques de cybersécurité pour votre organisation pour empêcher les attaques.
Dans Google Cloud, vous pouvez utiliser le service de stratégie de sécurité Security Command Center pour définir et déployer une stratégie de sécurité, surveiller l'état de votre les ressources Google Cloud, et corriger toute dérive (ou toute modification non autorisée) ; de la stratégie définie.
Présentation du service de stratégie de sécurité
Le service de stratégie de sécurité est un service intégré Security Command Center qui vous permet de définir, d'évaluer et de surveiller l'état de la sécurité dans Google Cloud. La le service de stratégie de sécurité n'est disponible souscrivez un abonnement au niveau Premium ou Enterprise de Security Command Center, et activer Security Command Center au niveau de l'organisation.
Vous pouvez utiliser la de stratégie de sécurité pour effectuer les opérations suivantes:
- Assurez-vous que vos charges de travail sont conformes aux normes de sécurité, et les exigences de sécurité personnalisées de votre entreprise.
- Appliquez vos contrôles de sécurité à des projets, dossiers ou organisations Google Cloud avant de déployer des charges de travail.
- Surveillez et corrigez en permanence les dérives par rapport aux paramètres de sécurité que vous avez définis. .
Le service de stratégie de sécurité est automatiquement activé lorsque vous activer Security Command Center au niveau de l'organisation.
Composants du service de stratégie de sécurité
Le service de stratégie de sécurité comprend les composants suivants:
- Stratégie:un ou plusieurs ensembles de règles qui appliquent les stratégies les contrôles de détection requis par votre organisation pour assurer sa sécurité standard. Vous pouvez déployer des stratégies au niveau de l'organisation, d'un dossier au niveau du projet. Pour obtenir la liste des modèles de stratégie, consultez Stratégie prédéfinie. modèles de ML.
- Ensembles de règles:ensemble d'exigences de sécurité et de contrôles associés dans Google Cloud. Généralement, un ensemble de stratégies comprend toutes les stratégies qui permettent de répondre aux exigences d'une norme de sécurité ou d'une conformité particulière de sécurité.
Règle:contrainte ou restriction particulière qui contrôle ou surveille le comportement des ressources dans Google Cloud. Les règles peuvent être préventives (par exemple, les règles d'administration contraintes) ou détective (par exemple, les détecteurs Security Health Analytics). Les stratégies compatibles sont les suivantes:
Contraintes liées aux règles d'administration, y compris les contraintes personnalisées
les détecteurs Security Health Analytics, y compris les modules personnalisés ;
Déploiement de la stratégie:après avoir créé une stratégie, vous la déployez pour vous pouvez appliquer la stratégie à l'organisation, aux dossiers ou aux projets à gérer à l'aide de la stratégie.
Le schéma suivant présente les composants d'un exemple de stratégie de sécurité.
Modèles de stratégie prédéfinis
Le service de stratégie de sécurité inclut des modèles de stratégie prédéfinis respecter une norme de conformité ou une norme recommandée par Google, comme le plan de fondation pour les entreprises recommandations. Vous pouvez utiliser ces modèles pour créer les stratégies de sécurité qui s'appliquent à votre entreprise. Le tableau suivant décrit les modèles de stratégie.
| Modèle de stratégie | Nom du modèle | Description |
|---|---|---|
secure_by_default_essential |
Ce modèle implémente les règles qui permettent pour éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par défaut paramètres. Vous pouvez déployer ce modèle sans n'y apporter aucune modification. |
|
secure_by_default_extended |
Ce modèle implémente les règles qui permettent pour éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par défaut paramètres. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
|
secure_ai_essential |
Ce modèle implémente des règles qui vous aident à sécuriser Gemini et charges de travail Vertex AI. Vous pouvez déployer ce modèle sans n'y apporter aucune modification. |
|
secure_ai_extended |
Ce modèle implémente des règles qui vous aident à sécuriser Gemini et charges de travail Vertex AI. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
|
big_query_essential |
Ce modèle implémente des règles qui vous aident à sécuriser BigQuery. Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
cloud_storage_essential |
Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
cloud_storage_extended |
Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
|
vpcsc_essential |
Ce modèle implémente des règles qui vous aident à sécuriser VPC Service Controls. Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
vpcsc_extended |
Ce modèle implémente des règles qui vous aident à sécuriser VPC Service Controls. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
|
cis_2_0 |
Ce modèle implémente des stratégies qui vous aident à détecter quand votre environnement Google Cloud ne correspond pas au benchmark Google Cloud Computing Platform de la CIS version 2.0.0. Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
nist_800_53 |
Ce modèle implémente des stratégies qui vous aident à détecter quand votre environnement Google Cloud n'est pas conforme à la norme SP 800-53 du NIST (National Institute of Standards and Technology). Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
iso_27001 |
Ce modèle implémente des stratégies qui vous aident à détecter quand votre environnement Google Cloud n'est pas conforme à la norme ISO 27001 de l'Organisation internationale des normes. Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
pci_dss_v_3_2_1 |
Ce modèle implémente des stratégies qui vous aident à détecter quand votre environnement Google Cloud n'est pas conforme à la norme PCI DSS (Payment Card Industry Data Security Standard) 3.2.1 et 1.0. Vous pouvez déployer ce modèle sans y apporter de modifications. |
Déployer des stratégies et surveiller la dérive
Pour appliquer une stratégie avec toutes ses règles sur une ressource Google Cloud, pour déployer la stratégie. Toi peuvent spécifier le niveau de la hiérarchie des ressources (organisation, dossier ou projet) auquel la stratégie s'applique. Vous ne pouvez déployer qu'une seule stratégie par stratégie organisation, dossier ou projet.
Les stratégies sont héritées par les dossiers et projets enfants. Par conséquent, si vous déployez au niveau de l'organisation et du projet, toutes les règles dans les deux stratégies s'appliquent aux ressources du projet. Le cas échéant, différences entre les définitions des règles (par exemple, une règle est définie sur Autoriser au niveau au niveau de l'organisation et sur "Refuser" au niveau du projet), la stratégie de niveau inférieur est utilisées par les ressources de ce projet.
Nous vous recommandons de déployer une stratégie au niveau
des règles applicables à l'ensemble de votre
entreprise. Vous pouvez ensuite appliquer des stratégies plus strictes
qui en ont besoin. Par exemple, si vous utilisez le plan de base d'entreprise pour configurer
votre infrastructure, vous créez certains projets (par exemple, prj-c-kms) qui
sont spécialement créés pour contenir les clés de chiffrement de tous les projets d'une
. Vous pouvez utiliser une stratégie de sécurité
constraints/gcp.restrictCmekCryptoKeyProjects
contrainte de règle d'administration sur le dossier common et les dossiers d'environnement
(development, nonproduction et production), de sorte que tous les projets n'utilisent que
les clés des projets clés.
Après avoir déployé votre stratégie, vous pouvez surveiller votre environnement afin de détecter toute dérive de la stratégie définie. Security Command Center signale les instances de dérive comme résultats que vous pouvez examiner, filtrer et résoudre. De plus, vous pouvez exporter ces des résultats de la même manière que vous exportez tout autre résultat Security Command Center. Pour en savoir plus, consultez la page Options d'intégration. et Exporter Security Command Center données.
Utiliser des stratégies de sécurité avec Vertex AI et Gemini
Vous pouvez utiliser des stratégies de sécurité pour préserver la sécurité de votre IA charges de travail. Le service de stratégie de sécurité comprend les éléments suivants:
Modèles de stratégie prédéfinis propres aux charges de travail d'IA.
Un volet de la page Aperçu qui vous permet de surveiller les failles détectées par le service modules personnalisés qui s'appliquent à l'IA et vous permet de voir toute dérive Règles d'administration de Vertex AI définies dans une stratégie.
Utiliser le service de stratégie de sécurité avec AWS
Si vous connectez Security Command Center Enterprise à AWS pour identifier la faille , le module Security Health Analytics comprend des détecteurs intégrés permettant de surveiller votre environnement AWS créer les conclusions.
Lorsque vous créez ou modifiez un fichier de stratégie, vous pouvez inclure des détecteurs Security Health Analytics propres à AWS. Vous devez déployer ce fichier de stratégie au niveau de l'organisation d'application.
Limites du service de stratégie de sécurité
Le service de stratégie de sécurité inclut les limites suivantes:
- Un maximum de 100 stratégies par organisation.
- Une stratégie peut comporter jusqu'à 400 règles.
- Un maximum de 1 000 déploiements de stratégies par organisation.