Mit einem Sicherheitsstatus können Sie den Sicherheitsstatus Ihrer Cloud definieren und verwalten Assets, einschließlich Ihres Cloud-Netzwerks und Cloud-Dienste. Sie können ein Wertpapier Ihre aktuelle Cloud-Sicherheit anhand definierter Benchmarks und So können Sie das Sicherheitsniveau halten, das Ihr Unternehmen benötigt. Wertpapier können Sie Abweichungen von der definierten Benchmark erkennen und mindern. Von Definition und Aufrechterhaltung eines Sicherheitsstatus, der der Sicherheit Ihres Unternehmens entspricht können Sie die Cybersicherheitsrisiken für Ihr Unternehmen minimieren verhindern können.
In Google Cloud können Sie den Security Posture-Dienst in Security Command Center, um einen Sicherheitsstatus zu definieren und bereitzustellen sowie die Sicherheit zu überwachen Status Ihres Google Cloud-Ressourcen und Behebung von Abweichungen (oder nicht autorisierten Änderungen) von Ihrer festgelegten Haltung entfernt.
Überblick über den Dienst zum Sicherheitsstatus
Der Dienst „Security Posture“ ist ein integrierter Dienst für Security Command Center, mit dem Sie die Gesamtheit Sicherheitsstatus in Google Cloud. Die Security Posture-Dienst steht Ihnen nur zur Verfügung, wenn Sie ein Abo der Premium- oder Enterprise-Stufe von Security Command Center erwerben und Security Command Center auf Organisationsebene aktivieren.
Sie können die Security Posture-Dienst, um Folgendes auszuführen:
- Sicherstellen, dass Ihre Arbeitslasten Sicherheitsstandards und Compliance entsprechen und die individuellen Sicherheitsanforderungen Ihrer Organisation.
- Sicherheitseinstellungen auf Google Cloud-Projekte, ‐Ordner oder ‐Organisationen anwenden bevor Sie Arbeitslasten bereitstellen.
- Kontinuierliches Monitoring und Behebung von Abweichungen von Ihren definierten Sicherheitsvorkehrungen Steuerelementen.
Der Dienst für den Sicherheitsstatus wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.
Dienstkomponenten für den Sicherheitsstatus
Der Dienst für den Sicherheitsstatus umfasst die folgenden Komponenten:
- Status: Ein oder mehrere Richtliniensätze, die die vorbeugenden und Erkennungskontrollen, die Ihre Organisation für die Sicherheit benötigt Standard. Sie können Sicherheitsstatus auf Organisationsebene, Ordnerebene oder auf Projektebene. Eine Liste der Posture-Vorlagen finden Sie unter Vordefinierte Posture-Vorlagen Vorlagen.
- Richtliniensets:Eine Reihe von Sicherheitsanforderungen und zugehörigen Kontrollen in Google Cloud Normalerweise besteht ein Richtliniensatz aus allen Richtlinien, Anforderungen eines bestimmten Sicherheitsstandards oder zu finden.
Richtlinie:Eine bestimmte Einschränkung oder Einschränkung, die steuert oder überwacht. das Verhalten von Ressourcen in Google Cloud. Richtlinien können präventiv sein (z. B. Organisationsrichtlinie Einschränkungen) oder Detektiv (z. B. Security Health Analytics-Detektoren). Unterstützte Richtlinien sind die Folgendes:
Einschränkungen für Organisationsrichtlinien, einschließlich benutzerdefinierter Einschränkungen
Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Module
Statusbereitstellung:Nachdem Sie einen Status erstellt haben, stellen Sie ihn bereit, damit Sie den Status auf die gewünschte Organisation, Ordner oder Projekte anwenden mit dem Posture umgehen können.
Das folgende Diagramm zeigt die Komponenten eines Beispiels für einen Sicherheitsstatus.
Vordefinierte Statusvorlagen
Der Dienst für den Sicherheitsstatus umfasst vordefinierte Posture-Vorlagen, Compliance-Standards oder von Google empfohlenen Standards wie der Unternehmensgrundlagen-Blueprint Empfehlungen. Mit diesen Vorlagen können Sie die für Ihr Unternehmen gelten. In der folgenden Tabelle werden die Statusvorlagen zu erstellen.
| Statusvorlage | Name der Vorlage | Beschreibung |
|---|---|---|
secure_by_default_essential |
Diese Vorlage implementiert die Richtlinien, häufige Fehlkonfigurationen und häufig auftretende Sicherheitsprobleme zu verhindern, Einstellungen. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vornehmen. |
|
secure_by_default_extended |
Diese Vorlage implementiert die Richtlinien, häufige Fehlkonfigurationen und häufig auftretende Sicherheitsprobleme zu verhindern, Einstellungen. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
|
secure_ai_essential |
Diese Vorlage enthält Richtlinien, die Ihnen helfen, Gemini und Vertex AI-Arbeitslasten. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vornehmen. |
|
secure_ai_extended |
Diese Vorlage enthält Richtlinien, die Ihnen helfen, Gemini und Vertex AI-Arbeitslasten. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
|
big_query_essential |
Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie BigQuery schützen können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
cloud_storage_essential |
Mit dieser Vorlage werden Richtlinien implementiert, die Ihnen dabei helfen, Cloud Storage zu schützen. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
cloud_storage_extended |
Mit dieser Vorlage werden Richtlinien implementiert, die Ihnen dabei helfen, Cloud Storage zu schützen. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
|
vpcsc_essential |
Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie VPC Service Controls schützen können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
vpcsc_extended |
Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie VPC Service Controls schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
|
cis_2_0 |
Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie erkennen können, wann Ihre Google Cloud-Umgebung entspricht nicht der CIS Google Cloud Computing Platform Benchmark Version 2.0.0. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
nist_800_53 |
Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie erkennen können, wann Ihre Google Cloud-Umgebung nicht mit dem SP-800-53-Standard des National Institute of Standards and Technology (NIST) übereinstimmt. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
iso_27001 |
Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie erkennen können, wann Ihre Google Cloud-Umgebung nicht mit der Norm ISO 27001 der Internationalen Organisation für Normen übereinstimmt. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
|
pci_dss_v_3_2_1 |
Mit dieser Vorlage werden Richtlinien implementiert, mit denen Sie erkennen können, wann Ihre Google Cloud-Umgebung nicht mit den Versionen 3.2.1 und 1.0 des Payment Card Industry Data Security Standard (PCI-DSS) übereinstimmt. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
Sicherheitsstatus bereitstellen und Abweichung überwachen
Um einen Status mit allen zugehörigen Richtlinien für eine Google Cloud-Ressource zu erzwingen, stellen Sie den Sicherheitsstatus bereit. Ich können Sie festlegen, welche Ebene der Ressourcenhierarchie (Organisation, Ordner oder Projekt), für das die Sicherheitsposition gilt. Sie können pro Status jeweils nur einen Sicherheitsstatus bereitstellen Organisation, Ordner oder Projekt.
Sicherheitsstatus werden von untergeordneten Ordnern und Projekten übernommen. Wenn Sie also auf Organisations- und Projektebene haben, in beiden Positionen für die Ressourcen im Projekt gelten. Falls es welche gibt, Unterschiede in den Richtliniendefinitionen (z. B. wenn eine Richtlinie auf der Seite Organisationsebene und zum Ablehnen auf Projektebene) die von den Ressourcen in diesem Projekt verwendet werden.
Als Best Practice empfehlen wir, dass Sie einen Sicherheitsstatus im
Organisationsebene mit Richtlinien einschließt, die für Ihr gesamtes
für Ihr Unternehmen. Sie können dann strengere Richtlinien auf Ordner oder Projekte anwenden,
obligatorisch sind. Wenn Sie z. B. den Blueprint für Unternehmensgrundlagen verwenden,
erstellen Sie bestimmte Projekte (z. B. prj-c-kms), die
die speziell dafür erstellt wurden, die Verschlüsselungsschlüssel für alle Projekte in einem
Ordner. Mit einem Sicherheitsstatus können Sie
constraints/gcp.restrictCmekCryptoKeyProjects
Einschränkung der Organisationsrichtlinie für den Ordner „common“ und die Umgebungsordner
(development, nonproduction und production), sodass in allen Projekten nur
Schlüssel aus den Schlüsselprojekten.
Nachdem Sie den Sicherheitsstatus bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen überwachen von Ihrer festgelegten Haltung entfernt. Security Command Center meldet Driftinstanzen als Ergebnisse die Sie überprüfen, filtern und lösen können. Außerdem können Sie diese Ergebnisse auf dieselbe Weise, wie Sie andere Security Command Center. Weitere Informationen finden Sie unter Integrationsoptionen. und Security Command Center exportieren Daten.
Sicherheitsstatus mit Vertex AI und Gemini verwenden
Mithilfe von Sicherheitsstatus können Sie die Sicherheit Ihrer KI aufrechterhalten. Arbeitsbelastungen. Der Dienst für den Sicherheitsstatus umfasst Folgendes:
Vordefinierte Statusvorlagen die für KI-Arbeitslasten spezifisch sind.
Ein Bereich der Übersicht Seite zum Überwachen von Sicherheitslücken, die von Security Health Analytics benutzerdefinierte Module, die für KI gelten. Außerdem können Sie Abweichungen vom Vertex AI-Organisationsrichtlinien, die in einem Sicherheitsstatus definiert sind.
Security Posture-Dienst mit AWS verwenden
Wenn Sie Security Command Center Enterprise aufgrund von Sicherheitslücken mit AWS verbinden die Security Health Analytics, umfasst integrierte Detektoren, die Ihre AWS-Umgebung überwachen und erstellen Ergebnissen.
Wenn Sie eine Statusdatei erstellen oder ändern, können Sie Security Health Analytics-Detektoren einbinden die für AWS spezifisch sind. Sie müssen diese Statusdatei in der Organisation bereitstellen
Dienstlimits für den Sicherheitsstatus
Der Dienst für den Sicherheitsstatus umfasst die folgenden Limits:
- Maximal 100 Sicherheitsstatus in einer Organisation.
- Maximal 400 Richtlinien in einem Status.
- Maximal 1.000 Statusbereitstellungen in einer Organisation.