Una security posture consente di definire e gestire lo stato di sicurezza del cloud asset, tra cui la rete e i servizi cloud. Puoi utilizzare una strategia di sicurezza per valutare la tua attuale sicurezza del cloud rispetto a benchmark definiti, il che ti aiuta a mantenere il livello di sicurezza richiesto dalla tua organizzazione. Una security posture ti aiuta a rilevare e mitigare qualsiasi deviazione rispetto alla benchmark. Definiendo e mantenendo un livello di sicurezza in linea con le esigenze della tua attività, puoi ridurre i rischi di cybersicurezza per la tua organizzazione e contribuire a prevenire gli attacchi.
In Google Cloud, puoi utilizzare il servizio Security posture Security Command Center per la definizione e il deployment di una postura di sicurezza, per monitorare la lo stato delle tue risorse Google Cloud e risolvere eventuali deviazioni (o modifiche non autorizzate) dalla postura definita.
Panoramica del servizio Security posture
Il servizio Security posture è un servizio integrato Security Command Center che consente di definire, valutare e monitorare lo stato per la tua sicurezza in Google Cloud. Il servizio Security posture è disponibile solo per te se acquisti un abbonamento a Security Command Center il livello Premium o Enterprise e attiva Security Command Center nel a livello di organizzazione.
Puoi utilizzare il servizio Security posture per eseguire le operazioni seguenti obiettivi:
Assicurati che i carichi di lavoro siano conformi agli standard di sicurezza, normative e i requisiti di sicurezza personalizzati della tua organizzazione.
Applica i controlli di sicurezza a progetti, cartelle o organizzazioni Google Cloud prima di eseguire il deployment di qualsiasi carico di lavoro.
Monitora continuamente e risolvi eventuali deviazioni dai controlli di sicurezza definiti.
Il servizio Security posture viene abilitato automaticamente quando attivare Security Command Center a livello di organizzazione.
Componenti del servizio Security Posture
Il servizio di analisi della postura di sicurezza include i seguenti componenti:
Postura: uno o più insiemi di criteri che applicano i controlli preventivi e di rilevamento necessari per la tua organizzazione per soddisfare il suo standard di sicurezza. Puoi implementare le posture a livello di organizzazione, di cartella o di progetto. Per un elenco dei modelli di postura, consulta Postura predefinita modelli.
Insiemi di criteri: un insieme di requisiti di sicurezza e controlli associati in Google Cloud. In genere, un insieme di criteri è composto da tutti i criteri consentono di soddisfare i requisiti di un determinato standard di sicurezza o conformità regolamento.
Criteri: un determinato vincolo o limitazione che controlla o monitora il comportamento delle risorse in Google Cloud. I criteri possono essere preventivi (ad esempio, vincoli dei criteri dell'organizzazione) o un detective (ad esempio, i rilevatori di Security Health Analytics). I criteri supportati sono seguenti:
Vincoli dei criteri dell'organizzazione, inclusi i vincoli personalizzati
Rilevatori di Security Health Analytics, inclusi moduli personalizzati
Deployment della postura: dopo aver creato una postura, esegui il deployment in modo da poterla applicare all'organizzazione, alle cartelle o ai progetti che vuoi gestire utilizzandola.
Il seguente diagramma mostra i componenti di un esempio di postura di sicurezza.
Modelli di postura predefiniti
Il servizio Security posture include la postura predefinita che aderiscono a uno standard di conformità o a uno dei consigli consigliati da Google standard come il progetto delle basi aziendali personalizzati. Puoi utilizzare questi modelli per creare security posture che applicabili alla tua attività. La seguente tabella descrive i modelli di postura.
| Modello di postura | Nome modello | Descrizione |
|---|---|---|
| La sicurezza prima di tutto, l'essenziale | secure_by_default_essential |
Questo modello implementa i criteri che aiutano a prevenire configurazioni errate e problemi di sicurezza comuni causati dalle impostazioni predefinite. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Sicurezza per impostazione predefinita, estesa | secure_by_default_extended |
Questo modello implementa i criteri che aiutano a prevenire configurazioni errate e problemi di sicurezza comuni causati per impostazione predefinita impostazioni. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Consigli di IA sicuri, elementi essenziali | secure_ai_essential |
Questo modello implementa criteri che ti aiutano a proteggere i carichi di lavoro Gemini e Vertex AI. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Suggerimenti IA sicuri, estesi | secure_ai_extended |
Questo modello implementa criteri che ti aiutano a proteggere i carichi di lavoro Gemini e Vertex AI. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Suggerimenti su BigQuery ed elementi essenziali | big_query_essential |
Questo modello implementa criteri che ti aiutano a proteggere BigQuery. Puoi eseguire il deployment di questo modello senza effettuare modifiche. |
| Consigli e informazioni essenziali su Cloud Storage | cloud_storage_essential |
Questo modello implementa criteri che ti aiutano a proteggere Cloud Storage. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli di Cloud Storage, versione estesa | cloud_storage_extended |
Questo modello implementa criteri che ti aiutano a proteggere Cloud Storage. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Consigli e informazioni essenziali su VPC | vpc_networking_essential |
Questo modello implementa criteri che ti consentono di proteggere Virtual Private Cloud (VPC). Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Suggerimenti VPC, estesi | vpc_networking_extended |
Questo modello implementa criteri che ti consentono di proteggere in un VPC. Prima di eseguire il deployment di questo modello, devi personalizzare perché corrisponda al tuo ambiente. |
| Consigli per il benchmark v2.0.0 della piattaforma di cloud computing Google Cloud del Center for Internet Security (CIS) | cis_2_0 |
Questo modello implementa criteri che ti aiutano a rilevare quando il tuo ambiente Google Cloud non è in linea con il benchmark della piattaforma di calcolo Google Cloud CIS v2.0.0. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Suggerimenti sullo standard NIST SP 800-53 | nist_800_53 |
Questo modello implementa criteri che ti consentono di rilevare quando le tue L'ambiente Google Cloud non è in linea con il National Institute of Standard e tecnologia (NIST) SP 800-53. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli per lo standard ISO 27001 | iso_27001 |
Questo modello implementa criteri che ti consentono di rilevare quando le tue L'ambiente Google Cloud non è in linea con le Standard Organizzazione per gli standard (ISO) 27001. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli sullo standard PCI DSS | pci_dss_v_3_2_1 |
Questo modello implementa criteri che ti aiutano a rilevare quando il tuo ambiente Google Cloud non è conforme alle versioni 3.2.1 e 1.0 dello standard Payment Card Industry Data Security Standard (PCI DSS). Puoi eseguire il deployment di questo modello senza apportare modifiche. |
Esegui il deployment delle posture e monitora la deriva
Per applicare una postura con tutti i relativi criteri a una risorsa Google Cloud, devi eseguire il deployment della postura. Puoi specificare a quale livello della gerarchia delle risorse (organizzazione, cartella o progetto) si applica la postura. Puoi eseguire il deployment di una sola postura per ogni organizzazione, cartella o progetto.
Le posture vengono ereditate dalle cartelle figlio e dai progetti. Pertanto, se esegui il deployment delle postazioni a livello di organizzazione e di progetto, tutti i criteri all'interno di entrambe le postazioni si applicano alle risorse del progetto. Se esistono le differenze nelle definizioni dei criteri (ad esempio, un criterio viene impostato su Consenti organizzazione e su Nega a livello di progetto), la postura di livello inferiore è usato dalle risorse in quel progetto.
Come best practice, ti consigliamo di eseguire il deployment di una postura a livello di organizzazione
che includa norme applicabili all'intera attività. Puoi
e applicare criteri più severi alle cartelle o ai progetti che ne richiedono. Per
Ad esempio, se utilizzi il progetto base aziendale per configurare
infrastruttura, crei determinati progetti (ad esempio, prj-c-kms) che sono
creati appositamente per contenere le chiavi di crittografia per tutti i progetti
. Puoi utilizzare una security posture per impostare
constraints/gcp.restrictCmekCryptoKeyProjects
vincolo dei criteri dell'organizzazione sulla cartella common e sulle cartelle di ambiente
(development, nonproduction e production) in modo che tutti i progetti utilizzino solo
e chiavi dei progetti chiave.
Dopo aver eseguito il deployment della postura, puoi monitorare l'ambiente per rilevare eventuali deviazioni rispetto alla postura definita. Security Command Center segnala le istanze di deviazione come risultati che puoi esaminare, filtrare e risolvere. Inoltre, puoi esportare questi risultati nello stesso modo in cui esporti qualsiasi altro risultato da Security Command Center. Per ulteriori informazioni, vedi Opzioni di integrazione ed Esportazione dei dati di Security Command Center.
Utilizza le posture di sicurezza con Vertex AI e Gemini
Puoi utilizzare le posture di sicurezza per mantenere la sicurezza della tua AI carichi di lavoro con scale out impegnativi. Il servizio Security posture include quanto segue:
Modelli di postura predefinita specifici per AI carichi di lavoro con scale out impegnativi.
Un riquadro nella pagina Panoramica che consente di monitorare le vulnerabilità trovate da Security Health Analytics moduli personalizzati applicabili all'IA e consente di visualizzare eventuali deviazioni Criteri dell'organizzazione di Vertex AI definiti in una postura.
Usa il servizio Security posture con AWS
Se colleghi Security Command Center Enterprise ad AWS per il rilevamento delle vulnerabilità, il servizio Security Health Analytics include rilevatori integrati che possono monitorare il tuo ambiente AWS e creare risultati.
Quando crei o modifichi un file della postura, puoi includere i rilevatori di Security Health Analytics specifiche di AWS. Devi eseguire il deployment di questo file della postura nell'organizzazione livello.
Limiti di servizio per la security posture
Il servizio di analisi della posizione di sicurezza include i seguenti limiti:
- Un massimo di 100 posture in un'organizzazione.
- Un massimo di 400 criteri in una postura.
- Un massimo di 1000 implementazioni di posture in un'organizzazione.