Mit einem Sicherheitsstatus können Sie den Sicherheitsstatus Ihrer Cloud-Assets, einschließlich Ihres Cloud-Netzwerks und Ihrer Cloud-Dienste, definieren und verwalten. Mithilfe eines Sicherheitsstatus können Sie Ihre aktuelle Cloud-Sicherheit anhand definierter Benchmarks bewerten. So können Sie das für Ihre Organisation erforderliche Sicherheitsniveau aufrechterhalten. Mit einem Sicherheitsstatus können Sie Abweichungen von den festgelegten Benchmark. Durch die Definition und Aufrechterhaltung eines Sicherheitsstatus, Unternehmensanforderungen erfüllen, können Sie die Cybersicherheitsrisiken für Ihre und helfen, Angriffe zu verhindern.
In Google Cloud können Sie den Dienst zum Sicherheitsstatus im Security Command Center verwenden, um einen Sicherheitsstatus zu definieren und bereitzustellen, den Sicherheitsstatus Ihrer Google Cloud-Ressourcen zu überwachen und Abweichungen (oder nicht autorisierte Änderungen) von Ihrem definierten Status zu beheben.
Dienst zum Sicherheitsstatus – Übersicht
Der Dienst „Security Posture“ ist ein integrierter Dienst für Security Command Center, mit dem Sie den Gesamtstatus von für Ihre Sicherheit in Google Cloud. Der Dienst zur Bewertung der Sicherheitslage ist nur verfügbar, wenn Sie ein Abo für die Premium- oder Enterprise-Stufe von Security Command Center erwerben und Security Command Center auf Organisationsebene aktivieren.
Mit dem Dienst zur Sicherheitskonfiguration können Sie Folgendes erreichen:
Sorgen Sie dafür, dass Ihre Arbeitslasten den Sicherheitsstandards, Compliance-Verordnungen und den benutzerdefinierten Sicherheitsanforderungen Ihrer Organisation entsprechen.
Sicherheitseinstellungen auf Google Cloud-Projekte, ‐Ordner oder ‐Organisationen anwenden bevor Sie Arbeitslasten bereitstellen.
Kontinuierliches Monitoring und Behebung von Abweichungen von Ihren definierten Sicherheitsvorkehrungen Steuerelementen.
Der Dienst für den Sicherheitsstatus wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.
Dienstkomponenten für den Sicherheitsstatus
Der Dienst für den Sicherheitsstatus umfasst die folgenden Komponenten:
Sicherheitsstatus: Eine oder mehrere Richtliniensätze, die die präventiven und erkennungsbezogenen Kontrollen erzwingen, die Ihre Organisation benötigt, um ihren Sicherheitsstandard einzuhalten. Sie können Sicherheitsstatus auf Organisationsebene, Ordnerebene oder auf Projektebene. Eine Liste der Körperhaltungsvorlagen finden Sie unter Vordefinierte Körperhaltungsvorlagen.
Richtliniengruppen: Eine Reihe von Sicherheitsanforderungen und zugehörigen Steuerelementen in Google Cloud. In der Regel besteht ein Richtliniensatz aus allen Richtlinien, mit denen Sie die Anforderungen eines bestimmten Sicherheitsstandards oder einer bestimmten Compliance-Verordnung erfüllen können.
Richtlinie: Eine bestimmte Einschränkung, die das Verhalten von Ressourcen in Google Cloud steuert oder überwacht. Richtlinien können präventiv sein (z. B. Einschränkungen für Organisationsrichtlinien) oder Detektiv (z. B. Security Health Analytics-Detektoren). Unterstützte Richtlinien sind die Folgendes:
Einschränkungen für Organisationsrichtlinien, einschließlich benutzerdefinierter Einschränkungen
Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Module
Bereitstellung der Sicherheitskonfiguration: Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie sie auf die Organisation, die Ordner oder die Projekte anwenden, die Sie mithilfe der Sicherheitskonfiguration verwalten möchten.
Das folgende Diagramm zeigt die Komponenten einer Beispiel-Sicherheitsposition.
Vordefinierte Posture-Vorlagen
Der Dienst zur Sicherheitskonfiguration umfasst vordefinierte Statusvorlagen, die einem Compliancestandard oder einem von Google empfohlenen Standard wie den Empfehlungen des Blueprints für Google Cloud-Unternehmensgrundlagen entsprechen. Mit diesen Vorlagen können Sie Sicherheitspositionen erstellen, die für Ihr Unternehmen gelten. In der folgenden Tabelle werden die Statusvorlagen beschrieben.
| Statusvorlage | Name der Vorlage | Beschreibung |
|---|---|---|
| Integrierte Sicherheit, Grundlagen | secure_by_default_essential |
Diese Vorlage implementiert die Richtlinien, die dazu beitragen, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme, die durch Standardeinstellungen verursacht werden. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
| Standardmäßig sicher, erweitert | secure_by_default_extended |
Diese Vorlage implementiert die Richtlinien, die dazu beitragen, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme, die standardmäßig Einstellungen. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie anpassen: an Ihre Umgebung anpassen. |
| Empfehlungen für sichere KI | secure_ai_essential |
In dieser Vorlage werden Richtlinien implementiert, mit denen Sie Gemini- und Vertex AI-Arbeitslasten schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Empfehlungen für sichere KI, erweitert | secure_ai_extended |
In dieser Vorlage werden Richtlinien implementiert, mit denen Sie Gemini- und Vertex AI-Arbeitslasten schützen können. Bevor Sie diese Vorlage bereitstellen, muss er an Ihre Umgebung angepasst werden. |
| BigQuery-Empfehlungen – Grundlagen | big_query_essential |
In dieser Vorlage werden Richtlinien implementiert, mit denen Sie BigQuery schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Cloud Storage-Empfehlungen, Grundlagen | cloud_storage_essential |
In dieser Vorlage werden Richtlinien implementiert, mit denen Sie Cloud Storage schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Cloud Storage-Empfehlungen, erweitert | cloud_storage_extended |
Mit dieser Vorlage werden Richtlinien implementiert, die Ihnen dabei helfen, Cloud Storage zu schützen. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre zu verbessern. |
| VPC-Empfehlungen und Grundlagen | vpc_networking_essential |
Diese Vorlage implementiert Richtlinien, die Ihnen helfen, Virtual Private Cloud (VPC) Sie können diese Vorlage bereitstellen, Änderungen daran vornehmen. |
| VPC-Empfehlungen erweitert | vpc_networking_extended |
Diese Vorlage implementiert Richtlinien, die Ihnen helfen, VPC Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| Empfehlungen des Center for Internet Security (CIS) für den Google Cloud Computing Platform Benchmark v2.0.0 | cis_2_0 |
Diese Vorlage enthält Richtlinien, mit denen Sie erkennen können, Die Google Cloud-Umgebung stimmt nicht mit der CIS Google Cloud überein Computing Platform Benchmark Version 2.0.0. Sie können diese Vorlage bereitstellen ohne Änderungen vorzunehmen. |
| Empfehlungen gemäß NIST SP 800-53-Standard | nist_800_53 |
In dieser Vorlage sind Richtlinien implementiert, mit denen Sie erkennen können, ob Ihre Google Cloud-Umgebung nicht den Standards SP 800-53 des National Institute of Standards and Technology (NIST) entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Empfehlungen des ISO 27001-Standards | iso_27001 |
Diese Vorlage enthält Richtlinien, mit denen Sie erkennen können, Google Cloud-Umgebung ist nicht mit dem Internationalen ISO 27001: Organisation für Normen Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Empfehlungen zum PCI-DSS-Standard | pci_dss_v_3_2_1 |
Diese Vorlage enthält Richtlinien, mit denen Sie erkennen können, Google Cloud-Umgebung ist nicht mit der Zahlungskartenbranche konform PCI-DSS (Data Security Standard) Version 3.2.1 und Version 1.0 Sie können diese Vorlage bereitzustellen, ohne Änderungen daran vorzunehmen. |
Sicherheitsstatus bereitstellen und Abweichung überwachen
Wenn Sie eine Haltung mit allen zugehörigen Richtlinien für eine Google Cloud-Ressource erzwingen möchten, müssen Sie die Haltung bereitstellen. Sie können angeben, welche Ebene der Ressourcenhierarchie (Organisation, Ordner oder Projekt), für die der Sicherheitsstatus gilt. Sie können nur Stellen Sie für jede Organisation, jeden Ordner oder jedes Projekt einen Status bereit.
Sicherheitsstatus werden von untergeordneten Ordnern und Projekten übernommen. Wenn Sie also auf Organisations- und Projektebene haben, in beiden Positionen für die Ressourcen im Projekt gelten. Wenn es Unterschiede bei den Richtliniendefinitionen gibt (z. B. ist eine Richtlinie auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt), wird die Position auf der niedrigeren Ebene von den Ressourcen in diesem Projekt verwendet.
Wir empfehlen, eine Haltung auf Organisationsebene zu implementieren, die Richtlinien enthält, die für Ihr gesamtes Unternehmen gelten können. Sie können
Dann können strengere Richtlinien auf Ordner oder Projekte angewendet werden, für die diese erforderlich sind. Für
Wenn Sie z. B. den Blueprint für Unternehmensgrundlagen verwenden,
Infrastruktur erstellen, erstellen Sie bestimmte Projekte (z. B. prj-c-kms), die
die speziell dafür erstellt wurden, die Verschlüsselungsschlüssel für alle Projekte in einem
Ordner. Mit einem Sicherheitsstatus können Sie
constraints/gcp.restrictCmekCryptoKeyProjects
Einschränkung der Organisationsrichtlinie für den Ordner „common“ und die Umgebungsordner
(development, nonproduction und production), damit in allen Projekten nur
Schlüssel aus den Schlüsselprojekten.
Nachdem Sie den Sicherheitsstatus bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen überwachen von Ihrer festgelegten Haltung entfernt. Security Command Center meldet Driftinstanzen als Ergebnisse die Sie überprüfen, filtern und lösen können. Außerdem können Sie diese Ergebnisse genauso exportieren wie andere Ergebnisse aus dem Security Command Center. Weitere Informationen finden Sie unter Integrationsoptionen und Security Command Center-Daten exportieren.
Sicherheitspositionen mit Vertex AI und Gemini verwenden
Mit Sicherheitspositionen können Sie die Sicherheit Ihrer KI-Arbeitslasten aufrechterhalten. Der Dienst für den Sicherheitsstatus umfasst Folgendes:
Vordefinierte für KI spezifische Vorlagen für Sicherheitsstatus Arbeitsbelastungen.
Ein Bereich auf der Seite Übersicht, in dem Sie nach Sicherheitslücken suchen können, die von den benutzerdefinierten Security Health Analytics-Modulen für KI gefunden wurden, und in dem Sie Abweichungen von den Vertex AI-Organisationsrichtlinien sehen können, die in einer Posture definiert sind.
Dienst zum Sicherheitsstatus mit AWS verwenden
Wenn Sie Security Command Center Enterprise mit AWS zur Erkennung von Sicherheitslücken verbinden, Der Security Health Analytics-Dienst umfasst integrierte Detektoren, die Ihre AWS und Ergebnisse zu erstellen.
Wenn Sie eine Posture-Datei erstellen oder ändern, können Sie Security Health Analytics-Detektoren einschließen, die speziell für AWS gelten. Sie müssen diese Statusdatei in der Organisation bereitstellen
Limits für den Dienst zum Bestimmen des Sicherheitsstatus
Für den Dienst zum Bestimmen des Sicherheitsstatus gelten die folgenden Einschränkungen:
- Maximal 100 Posen in einer Organisation.
- Maximal 400 Richtlinien in einer Posture.
- Maximal 1.000 Bereitstellungen für die Gerätesicherheit in einer Organisation.