Una postura de seguridad te permite definir y administrar el estado de seguridad de tus recursos en la nube, incluida la red en la nube y los servicios en la nube. Puedes usar una postura de seguridad para evaluar tu seguridad en la nube actual con respecto a comparativas definidas y mantener el nivel de seguridad que requiere tu organización. Una postura de seguridad te ayuda a detectar y mitigar cualquier desvío de tus comparativas definidas. Cuando defines y mantienes una postura de seguridad que se ajusta a las necesidades de seguridad de tu empresa, puedes minimizar los riesgos de seguridad cibernética para tu organización y ayudar a evitar que ocurran ataques.
En Google Cloud, puedes usar el servicio de postura de seguridad en Security Command Center para definir e implementar una postura de seguridad, supervisar el estado de seguridad de los recursos de Google Cloud y abordar cualquier desvío (o cambio no autorizado) de la postura definida.
Descripción general del servicio de postura de seguridad
El servicio de postura de seguridad es un servicio integrado de Security Command Center que te permite definir, evaluar y supervisar el estado general de tu seguridad en Google Cloud. El servicio de postura de seguridad solo está disponible si compras una suscripción al nivel Premium o Enterprise de Security Command Center y activas Security Command Center a nivel de la organización.
Puedes usar el servicio de postura de seguridad para realizar las siguientes acciones:
- Asegúrate de que las cargas de trabajo se ajusten a los estándares de seguridad, las reglamentaciones de cumplimiento y los requisitos de seguridad personalizados de la organización.
- Aplica tus controles de seguridad a proyectos, carpetas o, también, organizaciones de Google Cloud antes de implementar cualquier carga de trabajo.
- Supervisa y resuelve de forma continua cualquier desvío de los controles de seguridad definidos.
El servicio de postura de seguridad se habilita de forma automática cuando activas Security Command Center a nivel de la organización.
Componentes del servicio de postura de seguridad
El servicio de postura de seguridad incluye los siguientes componentes:
- Postura: Uno o más conjuntos de políticas que aplican los controles preventivos y de detección que tu organización requiere para cumplir con su estándar de seguridad. Puedes implementar posturas a nivel de la organización, de la carpeta o del proyecto. Para obtener una lista de plantillas de postura, consulta Plantillas de postura predefinidas.
- Conjuntos de políticas: Un conjunto de requisitos de seguridad y controles asociados en Google Cloud. Por lo general, un conjunto de políticas consta de todas las políticas que te permiten cumplir con los requisitos de un estándar de seguridad o una reglamentación de cumplimiento en particular.
Política: Es una restricción particular que controla o supervisa el comportamiento de los recursos en Google Cloud. Las políticas pueden ser preventivas (por ejemplo, restricciones de políticas de la organización) o detectives (por ejemplo, detectores de Security Health Analytics). Las políticas admitidas son las siguientes:
Restricciones de las políticas de la organización, incluidas las restricciones personalizadas
Detectores de Security Health Analytics, incluidos los módulos personalizados
Implementación de la postura: después de crear una postura, impleméntala para que puedas aplicarla a la organización, las carpetas o los proyectos que deseas administrar con la postura.
En el siguiente diagrama, se muestran los componentes de una postura de seguridad de ejemplo.
Plantillas de postura predefinidas
El servicio de postura de seguridad incluye plantillas de postura predefinidas que cumplen con un estándar de cumplimiento o uno recomendado por Google, como las recomendaciones del plano de bases empresariales. Puedes usar estas plantillas para crear posturas de seguridad que se apliquen a tu negocio. En la siguiente tabla, se describen las plantillas de postura.
| Plantilla de postura | Nombre de la plantilla | Descripción |
|---|---|---|
secure_by_default_essential |
Esta plantilla implementa las políticas que ayudan a prevenir configuraciones incorrectas y problemas de seguridad comunes causados por la configuración predeterminada. Puedes implementar esta plantilla sin hacerle cambios. |
|
secure_by_default_extended |
Esta plantilla implementa las políticas que ayudan a prevenir configuraciones incorrectas y problemas de seguridad comunes causados por la configuración predeterminada. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
|
secure_ai_essential |
Esta plantilla implementa políticas que ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Puedes implementar esta plantilla sin hacerle cambios. |
|
secure_ai_extended |
Esta plantilla implementa políticas que ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
|
big_query_essential |
Esta plantilla implementa políticas que ayudan a proteger BigQuery. Puedes implementar esta plantilla sin hacerle ningún cambio. |
|
cloud_storage_essential |
Esta plantilla implementa políticas que ayudan a proteger Cloud Storage. Puedes implementar esta plantilla sin hacerle ningún cambio. |
|
cloud_storage_extended |
Esta plantilla implementa políticas que ayudan a proteger Cloud Storage. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
|
Recomendaciones de los Controles del servicio de VPC, aspectos esenciales |
vpcsc_essential |
Esta plantilla implementa políticas que te ayudan a proteger los Controles del servicio de VPC. Puedes implementar esta plantilla sin hacerle ningún cambio. |
Recomendaciones de los Controles del servicio de VPC, extendidas |
vpcsc_extended |
Esta plantilla implementa políticas que te ayudan a proteger los Controles del servicio de VPC. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
cis_2_0 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no se alinea con la comparativa de CIS para Google Cloud Computing Platform v2.0.0. Puedes implementar esta plantilla sin hacerle ningún cambio. |
|
nist_800_53 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no se alinea con el estándar SP 800-53 del Instituto Nacional de Normas y Tecnología (NIST). Puedes implementar esta plantilla sin hacerle ningún cambio. |
|
iso_27001 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no se alinea con el estándar 27001 de la Organización Internacional de Estándares (ISO). Puedes implementar esta plantilla sin hacerle ningún cambio. |
|
pci_dss_v_3_2_1 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no se alinea con las versiones 3.2.1 y 1.0 de las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Puedes implementar esta plantilla sin hacerle ningún cambio. |
Implementa posturas y supervisa el desvío
Para aplicar una postura con todas sus políticas en un recurso de Google Cloud, debes implementarla. Puedes especificar a qué nivel de la jerarquía de recursos (organización, carpeta o proyecto) se aplica la postura. Solo puedes implementar una postura para cada organización, carpeta o proyecto.
Las carpetas y los proyectos secundarios heredan las posturas. Por lo tanto, si implementas posturas a nivel de organización y a nivel de proyecto, todas las políticas dentro de ambas posturas se aplican a los recursos del proyecto. Si hay diferencias en las definiciones de políticas (por ejemplo, si se configura una política como Permitir a nivel de la organización y como Rechazar a nivel de proyecto), los recursos de ese proyecto usan la posición de nivel inferior.
Como práctica recomendada, te sugerimos que implementes una postura a nivel de la organización que incluya políticas que se puedan aplicar a toda tu empresa. Luego, puedes aplicar políticas más estrictas a las carpetas o los proyectos que las requieran. Por ejemplo, si usas el plano de bases empresariales para configurar la infraestructura, debes crear ciertos proyectos (por ejemplo, prj-c-kms) que se crean de forma específica para contener las claves de encriptación de todos los proyectos de una carpeta. Puedes usar una postura de seguridad para establecer la restricción de la política de la organización constraints/gcp.restrictCmekCryptoKeyProjects en la carpeta common y las carpetas de entorno (development, nonproduction y production) para que todos los proyectos solo usen claves de los proyectos clave.
Después de implementar la postura, puedes supervisar el entorno para detectar cualquier desvío de la postura definida. Security Command Center informa instancias de desvío como resultados que puedes revisar, filtrar y resolver. Además, puedes exportar estos resultados de la misma manera en que exportas cualquier otro resultado desde Security Command Center. Para obtener más información, consulta Opciones de integración y Exporta datos de Security Command Center.
Usa posturas de seguridad con Vertex AI y Gemini
Puedes usar las posturas de seguridad para mantener la seguridad de tus cargas de trabajo de IA. El servicio de postura de seguridad incluye lo siguiente:
Plantillas de postura predefinidas específicas para cargas de trabajo de IA.
Un panel en la página Descripción general que te permite supervisar las vulnerabilidades que se encontraron en los módulos personalizados de Security Health Analytics que se aplican a la IA y te permite ver cualquier desvío de las políticas de la organización de Vertex AI que se definen en una postura.
Usa el servicio de postura de seguridad con AWS
Si conectas Security Command Center Enterprise a AWS para detectar vulnerabilidades, el servicio de Security Health Analytics incluye detectores integrados que pueden supervisar tu entorno de AWS y crear resultados.
Cuando creas o modificas un archivo de postura, puedes incluir detectores de Security Health Analytics que sean específicos de AWS. Debes implementar este archivo de postura a nivel de la organización.
Límites del servicio de postura de seguridad
El servicio de postura de seguridad incluye los siguientes límites:
- Un máximo de 100 posturas en una organización.
- Un máximo de 400 políticas en una postura
- Un máximo de 1,000 implementaciones de postura en una organización.