Una postura de seguridad te permite definir y administrar el estado de seguridad de tu nube recursos, incluida la red y los servicios en la nube. Puedes usar una capa de seguridad para evaluar tu seguridad en la nube actual frente a comparativas y mantener el nivel de seguridad que requiere tu organización. Un valor te ayuda a detectar y mitigar cualquier desvío de tu comparativa definida. De definir y mantener una postura de seguridad que coincida con la seguridad de tu empresa de seguridad, puedes minimizar los riesgos de seguridad cibernética para tu organización y evitar que se produzcan ataques.
En Google Cloud, puedes usar el servicio de postura de seguridad en Security Command Center para definir e implementar una postura de seguridad, supervisar la postura estado de su recursos de Google Cloud y abordar cualquier desvío (o cambio no autorizado) de tu postura definida.
Descripción general del servicio de postura de seguridad
El servicio de postura de seguridad es un servicio integrado para el Security Command Center para definir, evaluar y supervisar estado de tu seguridad en Google Cloud. El servicio de postura de seguridad solo está disponible si comprar una suscripción al nivel Premium de Security Command Center o Enterprise y activar Security Command Center a nivel de la organización.
Puedes usar el de postura de seguridad para realizar las siguientes acciones:
- Garantiza que tus cargas de trabajo cumplan con los estándares de seguridad, cumplimiento reglamentaciones y requisitos de seguridad personalizados de tu organización.
- Aplica tus controles de seguridad a los proyectos, las carpetas o las organizaciones de Google Cloud antes de implementar cualquier carga de trabajo.
- Supervise y resuelva continuamente cualquier desvío de su seguridad definida controles de seguridad.
El servicio de postura de seguridad se habilita automáticamente cuando activar Security Command Center a nivel de la organización.
Componentes del servicio de postura de seguridad
El servicio de postura de seguridad incluye los siguientes componentes:
- Postura: Uno o más conjuntos de políticas que aplican las medidas preventivas y de detección que tu organización requiere para cumplir con sus estándar. Puedes implementar posturas a nivel de la organización, de la carpeta o a nivel de proyecto. Para obtener una lista de las plantillas de postura, consulta Postura predefinida plantillas.
- Conjuntos de políticas: Un conjunto de requisitos de seguridad y controles asociados en en Google Cloud. Por lo general, un conjunto de políticas consta de todas las políticas le permiten cumplir los requisitos de un estándar de seguridad o de cumplimiento específico reglamentación.
Política: una restricción o restricción particular que controla o supervisa el comportamiento de los recursos en Google Cloud. Las políticas pueden ser preventivas (por ejemplo, las políticas de la organización restricciones) o detectives (por ejemplo, detectores de Security Health Analytics). Las políticas admitidas son las lo siguiente:
Restricciones de las políticas de la organización, incluidas las restricciones personalizadas
Detectores de Security Health Analytics, incluidos los módulos personalizados
Implementación de la postura: después de crear una postura, la implementas para puedes aplicar la postura a la organización, las carpetas o los proyectos que desees administrar con la postura.
En el siguiente diagrama, se muestran los componentes de una postura de seguridad de ejemplo.
Plantillas de postura predefinidas
El servicio de postura de seguridad incluye plantillas de postura predefinidas que para cumplir con un estándar de cumplimiento o uno recomendado por Google, como el plano de bases empresariales recomendaciones. Puedes usar estas plantillas para crear de seguridad que se aplican a tu empresa. En la siguiente tabla, se describen las plantillas de postura de seguridad.
| Plantilla de postura | Nombre de la plantilla | Descripción |
|---|---|---|
secure_by_default_essential |
Esta plantilla implementa las políticas que ayudan a evitar parámetros de configuración incorrectos comunes y problemas de seguridad comunes causados de forma predeterminada configuración. Puedes implementar esta plantilla sin realizar cambios en él. |
|
secure_by_default_extended |
Esta plantilla implementa las políticas que ayudan a evitar parámetros de configuración incorrectos comunes y problemas de seguridad comunes causados de forma predeterminada configuración. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
|
secure_ai_essential |
Esta plantilla implementa políticas que ayudan a proteger Gemini y cargas de trabajo de Vertex AI. Puedes implementar esta plantilla sin realizar cambios en él. |
|
secure_ai_extended |
Esta plantilla implementa políticas que ayudan a proteger Gemini y cargas de trabajo de Vertex AI. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
|
big_query_essential |
Esta plantilla implementa políticas que ayudan a proteger BigQuery. Puedes implementar esta plantilla sin hacerle ningún cambio. |
|
cloud_storage_essential |
Esta plantilla implementa políticas que ayudan a proteger Cloud Storage. Puedes implementar esta plantilla sin hacerle ningún cambio. |
|
cloud_storage_extended |
Esta plantilla implementa políticas que ayudan a proteger Cloud Storage. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
|
Recomendaciones de los Controles del servicio de VPC, aspectos esenciales |
vpcsc_essential |
Esta plantilla implementa políticas que te ayudan a proteger los Controles del servicio de VPC. Puedes implementar esta plantilla sin hacerle ningún cambio. |
Recomendaciones de los Controles del servicio de VPC, extendidas |
vpcsc_extended |
Esta plantilla implementa políticas que te ayudan a proteger los Controles del servicio de VPC. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
cis_2_0 |
Esta plantilla implementa políticas que ayudan a detectar cuándo tu entorno de Google Cloud no se alinea con la comparativa de CIS para Google Cloud Computing Platform Versión 2.0.0. Puedes implementar esta plantilla sin hacerle ningún cambio. |
|
nist_800_53 |
Esta plantilla implementa políticas que ayudan a detectar cuándo tu entorno de Google Cloud no cumple con el estándar SP 800-53 del Instituto Nacional de Estándares y Tecnología (NIST). Puedes implementar esta plantilla sin hacerle ningún cambio. |
|
iso_27001 |
Esta plantilla implementa políticas que ayudan a detectar cuándo tu entorno de Google Cloud no cumple con el estándar 27001 de la Organización Internacional de Normas (ISO). Puedes implementar esta plantilla sin hacerle ningún cambio. |
|
pci_dss_v_3_2_1 |
Esta plantilla implementa políticas que ayudan a detectar cuándo tu entorno de Google Cloud no cumple con las versiones 3.2.1 y 1.0 de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Puedes implementar esta plantilla sin hacerle ningún cambio. |
Implementa posturas y supervisa el desvío
Para aplicar una postura con todas sus políticas en un recurso de Google Cloud, puedes implementar la postura. Tú puede especificar qué nivel de la jerarquía de recursos (organización, carpeta o proyecto) al que se aplica la postura. Solo puedes implementar una postura para cada organización, carpeta o proyecto.
Las carpetas y los proyectos secundarios heredan las posturas. Por lo tanto, si implementas a nivel de organización y a nivel de proyecto, todas las políticas de ambas posturas se aplican a los recursos del proyecto. Si hay alguna diferencias en las definiciones de políticas (por ejemplo, si se establece una política como Permitir al a nivel de la organización y a Denegar a nivel del proyecto), la postura de nivel inferior es que usan los recursos en ese proyecto.
Como práctica recomendada, sugerimos que implementes una postura en el
a nivel de organización que incluye políticas que pueden aplicarse a todo tu
empresa. Luego, puedes aplicar políticas más estrictas a las carpetas o proyectos que
los necesitan. Por ejemplo, si usas el plano de fundamentos empresariales para configurar
tu infraestructura, debes crear ciertos proyectos (por ejemplo, prj-c-kms) que
se crean específicamente para contener las claves de encriptación de todos los proyectos
carpeta. Puedes usar una postura de seguridad para establecer la
constraints/gcp.restrictCmekCryptoKeyProjects
restricción de la política de la organización en la carpeta common y las carpetas de entorno
(development, nonproduction y production) para que todos los proyectos solo usen
claves de los proyectos clave.
Luego de implementar tu postura, puedes supervisar tu entorno para detectar cualquier desvío de tu postura definida. Security Command Center informa las instancias de desviación como hallazgos que puedes revisar, filtrar y resolver. Además, puedes exportar estos resultados de la misma manera que exportas cualquier otro resultado de Security Command Center. Para obtener más información, consulta Opciones de integración. y Exporta Security Command Center de Google Cloud.
Usa posturas de seguridad con Vertex AI y Gemini
Puedes usar posturas de seguridad para mantener la seguridad de tu IA de las cargas de trabajo. El servicio de postura de seguridad incluye lo siguiente:
Plantillas de postura predefinidas que son específicas de las cargas de trabajo de IA.
Un panel en la sección Overview página que permite supervisar las vulnerabilidades encontradas en Security Health Analytics módulos personalizados que se aplican a la IA, y te permite ver cualquier desviación del Políticas de la organización de Vertex AI que se definen en una postura.
Usa el servicio de postura de seguridad con AWS
Si conectas Security Command Center Enterprise a AWS para detectar vulnerabilidades detección, Security Health Analytics incluye detectores integrados que pueden supervisar tu entorno de AWS y crear resultados.
Cuando creas o modificas un archivo de postura, puedes incluir detectores de Security Health Analytics que son específicas de AWS. Debes implementar este archivo de postura en la organización a nivel de organización.
Límites del servicio de postura de seguridad
El servicio de postura de seguridad incluye los siguientes límites:
- Un máximo de 100 posturas en una organización.
- Un máximo de 400 políticas en una postura
- Un máximo de 1,000 implementaciones de postura en una organización.