Una postura de seguridad te permite definir y gestionar el estado de seguridad de tus recursos en la nube, incluidas tu red y tus servicios en la nube. Puedes usar una postura de seguridad para evaluar tu seguridad en la nube actual en comparación con los estándares definidos, lo que te ayuda a mantener el nivel de seguridad que requiere tu organización. Una postura de seguridad te ayuda a detectar y mitigar cualquier desviación de tu referencia definida. Si defines y mantienes una estrategia de seguridad que se adapte a las necesidades de tu empresa, puedes reducir los riesgos de ciberseguridad de tu organización y evitar que se produzcan ataques.
En Google Cloud, puedes usar el servicio de postura de seguridad de Security Command Center para definir e implementar una postura de seguridad, monitorizar el estado de seguridad de tus recursos de Google Cloud y abordar cualquier desviación (o cambio no autorizado) de la postura definida.
Ventajas y aplicaciones
El servicio de postura de seguridad es un servicio integrado de Security Command Center que te permite definir, evaluar y monitorizar el estado general de tu seguridad en Google Cloud. El servicio de postura de seguridad solo está disponible si compras una suscripción al nivel Premium o Enterprise de Security Command Center y activas Security Command Center a nivel de organización.
Puedes usar el servicio de postura de seguridad para conseguir los siguientes objetivos:
Asegúrate de que tus cargas de trabajo cumplan los estándares de seguridad, las normativas de cumplimiento y los requisitos de seguridad personalizados de tu organización.
Aplica tus controles de seguridad a Google Cloud proyectos, carpetas u organizaciones Google Cloud antes de implementar cualquier carga de trabajo.
Monitoriza continuamente las desviaciones de los controles de seguridad definidos y resuélvelas.
El servicio de postura de seguridad se habilita automáticamente cuando activas Security Command Center a nivel de organización.
Componentes de servicio
El servicio de postura de seguridad incluye los siguientes componentes:
Posición
Uno o varios conjuntos de políticas que apliquen los controles preventivos y de detección que tu organización necesite para cumplir su estándar de seguridad. Puedes implementar posturas a nivel de organización, carpeta o proyecto. Para ver una lista de plantillas de postura, consulta Plantillas de postura predefinidas.
Conjuntos de políticas
Un conjunto de requisitos de seguridad y controles asociados en Google Cloud. Por lo general, un conjunto de políticas está formado por todas las políticas que te permiten cumplir los requisitos de un estándar de seguridad o una normativa de cumplimiento concretos.
Política
Una restricción o limitación concreta que controla o monitoriza el comportamiento de los recursos en Google Cloud. Las políticas pueden ser preventivas (por ejemplo, restricciones de políticas de la organización) o de detección (por ejemplo, detectores de Security Health Analytics). Las políticas admitidas son las siguientes:
Restricciones de las políticas de organización, incluidas las restricciones personalizadas
Detectores de Security Health Analytics, incluidos los módulos personalizados
Despliegue de posición
Una vez que hayas creado una postura, debes implementarla para poder aplicarla a la organización, las carpetas o los proyectos que quieras gestionar con ella.
En el siguiente diagrama se muestran los componentes de un ejemplo de postura de seguridad.
Plantillas de posturas predefinidas
El servicio de postura de seguridad incluye plantillas de postura predefinidas que cumplen un estándar de cumplimiento o un estándar recomendado por Google, como las recomendaciones del plan de bases de la empresa. Puedes usar estas plantillas para crear posturas de seguridad que se apliquen a tu empresa. En la siguiente tabla se describen las plantillas de postura.
| Plantilla de postura | Nombre de la plantilla | Descripción |
|---|---|---|
| Seguridad integrada, funciones esenciales | secure_by_default_essential |
Esta plantilla implementa las políticas que ayudan a evitar errores de configuración y problemas de seguridad habituales causados por los ajustes predeterminados. Puedes implementar esta plantilla sin hacerle ningún cambio. |
| Seguridad integrada, ampliada | secure_by_default_extended |
Esta plantilla implementa las políticas que ayudan a evitar errores de configuración y problemas de seguridad habituales causados por los ajustes predeterminados. Antes de implementar esta plantilla, debes personalizarla para que se adapte a tu entorno. |
| Pasos esenciales para usar las recomendaciones de IA de forma segura | secure_ai_essential |
Esta plantilla implementa políticas que te ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Puedes implementar esta plantilla sin hacerle ningún cambio. |
| Recomendaciones de IA seguras (versión ampliada) | secure_ai_extended |
Esta plantilla implementa políticas que te ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Antes de implementar esta plantilla, debes personalizarla para que se adapte a tu entorno. |
| Recomendaciones de BigQuery: aspectos básicos | big_query_essential |
Esta plantilla implementa políticas que te ayudan a proteger BigQuery. Puedes implementar esta plantilla sin hacer ningún cambio. |
| Recomendaciones y aspectos básicos de Cloud Storage | cloud_storage_essential |
Esta plantilla implementa políticas que te ayudan a proteger Cloud Storage. Puedes implementar esta plantilla sin hacerle ningún cambio. |
| Recomendaciones de Cloud Storage (versión ampliada) | cloud_storage_extended |
Esta plantilla implementa políticas que te ayudan a proteger Cloud Storage. Antes de implementar esta plantilla, debes personalizarla para que se adapte a tu entorno. |
| Recomendaciones de VPC, aspectos básicos | vpc_networking_essential |
Esta plantilla implementa políticas que te ayudan a proteger la nube privada virtual (VPC). Puedes implementar esta plantilla sin hacerle ningún cambio. |
| Recomendaciones de VPC ampliadas | vpc_networking_extended |
Esta plantilla implementa políticas que te ayudan a proteger la VPC. Antes de implementar esta plantilla, debes personalizarla para que se adapte a tu entorno. |
| Recomendaciones de la versión 2.0.0 de la guía de referencia de Google Cloud Computing Platform del Center for Internet Security (CIS) | cis_2_0 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu Google Cloud entorno no se ajusta a la versión 2.0.0 de la referencia de CIS Google Cloud Computing Platform. Puedes implementar esta plantilla sin hacerle ningún cambio. |
| Recomendaciones estándar de NIST SP 800-53 | nist_800_53 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu Google Cloud entorno no se ajusta al estándar SP 800-53 del Instituto Nacional de Estándares y Tecnología (NIST). Puedes implementar esta plantilla sin hacerle ningún cambio. |
| Recomendaciones de la norma ISO 27001 | iso_27001 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu Google Cloud entorno no se ajusta al estándar 27001 de la Organización Internacional de Normalización (ISO). Puedes implementar esta plantilla sin hacerle ningún cambio. |
| Recomendaciones de estándares PCI DSS | pci_dss_v_3_2_1 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu Google Cloud entorno no se ajusta a las versiones 3.2.1 y 1.0 del estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS). Puedes desplegar esta plantilla sin hacerle ningún cambio. |
Despliegue de posturas y monitorización de la deriva
Para aplicar una postura con todas sus políticas a un recurso, debes desplegar la postura. Google Cloud Puede especificar a qué nivel de la jerarquía de recursos (organización, carpeta o proyecto) se aplica la postura. Solo puedes implementar una postura en cada organización, carpeta o proyecto.
Las posturas se heredan en las carpetas y los proyectos secundarios. Por lo tanto, si implementas posturas a nivel de organización y de proyecto, todas las políticas de ambas posturas se aplicarán a los recursos del proyecto. Si hay diferencias en las definiciones de las políticas (por ejemplo, si una política se define como "Permitir" a nivel de organización y como "Denegar" a nivel de proyecto), los recursos de ese proyecto usarán la postura de nivel inferior.
Te recomendamos que, como práctica recomendada, implementes una postura a nivel de organización que incluya políticas que se puedan aplicar a toda tu empresa. Después, puede aplicar políticas más estrictas a las carpetas o los proyectos que lo requieran. Por ejemplo, si usas el plano técnico de las bases de la empresa para configurar tu infraestructura, crearás determinados proyectos (por ejemplo, prj-c-kms) que se crearán específicamente para contener las claves de cifrado de todos los proyectos de una carpeta. Puedes usar una postura de seguridad para definir la restricción de la política de organización constraints/gcp.restrictCmekCryptoKeyProjects en la carpeta common y en las carpetas de entorno (development, nonproduction y production) de forma que todos los proyectos solo usen claves de los proyectos de claves.
Una vez que hayas implementado tu postura, podrás monitorizar tu entorno para detectar cualquier desviación de la postura definida. Security Command Center informa de las instancias de desviación como resultados que puedes revisar, filtrar y resolver. Además, puede exportar estos resultados de la misma forma que exporta cualquier otro resultado de Security Command Center. Para obtener más información, consulta el artículo Exportar datos de Security Command Center.
Integración con Vertex AI y Gemini
Puedes usar las posturas de seguridad para mantener la seguridad de tus cargas de trabajo de IA. El servicio de postura de seguridad incluye lo siguiente:
Plantillas de postura predefinidas específicas para cargas de trabajo de IA.
Un panel de la página Resumen que te permite monitorizar las vulnerabilidades encontradas por los módulos personalizados de Security Health Analytics que se aplican a la IA, así como ver cualquier desviación de las políticas de la organización de Vertex AI definidas en una postura.
Integración con AWS
Si conectas Security Command Center Enterprise a AWS para configurar y recoger datos de recursos, el servicio Security Health Analytics incluye detectores integrados que pueden monitorizar tu entorno de AWS y crear resultados.
Cuando creas o modificas un archivo de postura, puedes incluir detectores de Security Health Analytics específicos de AWS. Debes implementar este archivo de postura a nivel de organización.
Límites de servicio
El servicio de postura de seguridad incluye los siguientes límites:
- Un máximo de 100 posturas en una organización.
- Un máximo de 400 políticas por postura.
- Un máximo de 1000 implementaciones de posturas en una organización.