Una security posture consente di definire e gestire lo stato di sicurezza degli asset cloud, inclusi la rete cloud e i servizi cloud. Puoi utilizzare una postura di sicurezza per valutare l'attuale sicurezza del cloud rispetto a benchmark definiti e mantenere il livello di sicurezza richiesto dalla tua organizzazione. Una security posture aiuta a rilevare e mitigare qualsiasi deviazione rispetto al benchmark definito. Se definisci e mantieni una security posture adatta alle esigenze della tua azienda, puoi ridurre al minimo i rischi di cybersicurezza per la tua organizzazione e prevenire il verificarsi di attacchi.
In Google Cloud puoi utilizzare il servizio Security posture in Security Command Center per definire ed eseguire il deployment di una postura di sicurezza, monitorare lo stato della sicurezza delle risorse Google Cloud e gestire eventuali deviazioni (o modifiche non autorizzate) rispetto alla postura definita.
Panoramica del servizio Security posture
Il servizio Security posture è un servizio integrato per Security Command Center che consente di definire, valutare e monitorare lo stato complessivo della sicurezza in Google Cloud. Il servizio Security posture è disponibile solo se acquisti un abbonamento al livello Premium o Enterprise di Security Command Center e attivi Security Command Center a livello di organizzazione.
Puoi utilizzare il servizio Security posture per eseguire queste operazioni:
- Assicurati che i carichi di lavoro siano conformi agli standard di sicurezza, alle normative di conformità e ai requisiti di sicurezza personalizzati della tua organizzazione.
- Applica i controlli di sicurezza ai progetti, alle cartelle o alle organizzazioni Google Cloud prima di eseguire il deployment di qualsiasi carico di lavoro.
- Monitora costantemente e risolvi eventuali deviazioni rispetto ai controlli di sicurezza che hai definito.
Il servizio Security posture viene abilitato automaticamente quando si attiva Security Command Center a livello di organizzazione.
Componenti del servizio Security posture
Il servizio Security posture include i seguenti componenti:
- Postura: uno o più insiemi di criteri che applicano i controlli preventivi e di rilevamento richiesti dalla tua organizzazione per soddisfare gli standard di sicurezza. Puoi eseguire il deployment delle posture a livello di organizzazione, cartella o progetto. Per un elenco di modelli di postura, consulta Modelli di postura predefiniti.
- Set di criteri:un insieme di requisiti di sicurezza e controlli associati in Google Cloud. In genere, un insieme di criteri è costituito da tutti i criteri che consentono di soddisfare i requisiti di un determinato standard di sicurezza o di un regolamento di conformità.
Criterio: un particolare vincolo o restrizione che controlla o monitora il comportamento delle risorse in Google Cloud. I criteri possono essere preventivi (ad esempio, vincoli dei criteri dell'organizzazione) o detective (ad esempio, rilevatori di Security Health Analytics). I criteri supportati sono:
Vincoli dei criteri dell'organizzazione, inclusi i vincoli personalizzati
Rilevatori di Security Health Analytics, inclusi moduli personalizzati
Deployment della postura: dopo aver creato una postura, esegui il deployment in modo da poterla applicare all'organizzazione, alle cartelle o ai progetti che vuoi gestire utilizzando la postura.
Il seguente diagramma mostra i componenti di una security posture di esempio.
Modelli di postura predefiniti
Il servizio di security posture include modelli di postura predefiniti che rispettano uno standard di conformità o uno standard consigliato da Google, come i progetti dei progetti di base aziendali. Puoi usare questi modelli per creare posture di sicurezza applicabili alla tua attività. La tabella seguente descrive i modelli di postura.
| Modello di postura | Nome modello | Descrizione |
|---|---|---|
secure_by_default_essential |
Questo modello implementa i criteri che aiutano a prevenire gli errori di configurazione più comuni e i problemi di sicurezza comuni causati dalle impostazioni predefinite. Puoi eseguire il deployment di questo modello senza modificarlo. |
|
secure_by_default_extended |
Questo modello implementa i criteri che aiutano a prevenire gli errori di configurazione più comuni e i problemi di sicurezza comuni causati dalle impostazioni predefinite. Prima di eseguire il deployment di questo modello, devi personalizzarlo in modo che corrisponda al tuo ambiente. |
|
secure_ai_essential |
Questo modello implementa criteri che ti aiutano a proteggere i carichi di lavoro Gemini e Vertex AI. Puoi eseguire il deployment di questo modello senza modificarlo. |
|
secure_ai_extended |
Questo modello implementa criteri che ti aiutano a proteggere i carichi di lavoro Gemini e Vertex AI. Prima di eseguire il deployment di questo modello, devi personalizzarlo in modo che corrisponda al tuo ambiente. |
|
big_query_essential |
Questo modello implementa i criteri che ti consentono di proteggere BigQuery. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
cloud_storage_essential |
Questo modello implementa criteri che ti consentono di proteggere Cloud Storage. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
cloud_storage_extended |
Questo modello implementa criteri che ti consentono di proteggere Cloud Storage. Prima di eseguire il deployment di questo modello, devi personalizzarlo in modo che corrisponda al tuo ambiente. |
|
Suggerimenti relativi a Controlli di servizio VPC: elementi essenziali |
vpcsc_essential |
Questo modello implementa criteri che consentono di proteggere i Controlli di servizio VPC. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
vpcsc_extended |
Questo modello implementa criteri che consentono di proteggere i Controlli di servizio VPC. Prima di eseguire il deployment di questo modello, devi personalizzarlo in modo che corrisponda al tuo ambiente. |
|
cis_2_0 |
Questo modello implementa criteri che consentono di rilevare quando il tuo ambiente Google Cloud non è in linea con il benchmark CIS Google Cloud Computing Platform Benchmark v2.0.0. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
nist_800_53 |
Questo modello implementa criteri che consentono di rilevare quando il tuo ambiente Google Cloud non è in linea con lo standard del National Institute of Standards and Technology (NIST) SP 800-53. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
iso_27001 |
Questo modello implementa criteri che consentono di rilevare quando il tuo ambiente Google Cloud non è in linea con lo standard ISO 27001. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
|
pci_dss_v_3_2_1 |
Questo modello implementa criteri che consentono di rilevare quando il tuo ambiente Google Cloud non è in linea con lo standard Payment Card Industry Data Security Standard (PCI DSS) versione 3.2.1 e versione 1.0. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
Esegui il deployment delle posture e monitora la deviazione
Per applicare una postura con tutti i relativi criteri su una risorsa Google Cloud, esegui il deployment della postura. Puoi specificare a quale livello della gerarchia delle risorse (organizzazione, cartella o progetto) si applica la postura. Puoi eseguire il deployment di una sola postura in ogni organizzazione, cartella o progetto.
Le posture vengono ereditate dalle cartelle figlio e dai progetti. Pertanto, se esegui il deployment di posizioni a livello di organizzazione e di progetto, tutti i criteri in entrambe le posture si applicano alle risorse del progetto. In caso di differenze nelle definizioni dei criteri (ad esempio, se un criterio viene impostato su Consenti a livello di organizzazione e su Nega a livello di progetto), la postura di livello inferiore viene utilizzata dalle risorse nel progetto.
Come best practice, ti consigliamo di eseguire il deployment di una postura a livello di organizzazione che includa criteri applicabili all'intera azienda. Puoi quindi applicare criteri più rigorosi alle cartelle o ai progetti che ne richiedono. Ad esempio, se utilizzi il progetto base aziendale per configurare l'infrastruttura, crei determinati progetti (ad esempio prj-c-kms) creati appositamente per contenere le chiavi di crittografia per tutti i progetti in una cartella. Puoi utilizzare una postura di sicurezza per impostare il vincolo del criterio dell'organizzazione constraints/gcp.restrictCmekCryptoKeyProjects sulla cartella common e sulle cartelle di ambiente (development, nonproduction e production) in modo che tutti i progetti utilizzino solo le chiavi dei progetti chiave.
Dopo aver eseguito il deployment della postura, puoi monitorare l'ambiente per rilevare eventuali deviazioni dalla postura definita. Security Command Center segnala le istanze di deviazione come risultati che puoi esaminare, filtrare e risolvere. Inoltre, puoi esportare questi risultati come faresti con qualsiasi altro risultato da Security Command Center. Per ulteriori informazioni, vedi Opzioni di integrazione ed Esportazione dei dati di Security Command Center.
Utilizza le posture di sicurezza con Vertex AI e Gemini
Puoi utilizzare le posture di sicurezza per mantenere la sicurezza per i carichi di lavoro delAIA. Il servizio Security posture include quanto segue:
Modelli di postura predefinita specifici per i carichi di lavoro AI.
Un riquadro nella pagina Panoramica che consente di monitorare le vulnerabilità trovate dai moduli personalizzati di Security Health Analytics applicabili all'IA e di visualizzare eventuali deviazioni dai criteri dell'organizzazione di Vertex AI definiti in una postura.
Usa il servizio Security posture con AWS
Se colleghi Security Command Center Enterprise ad AWS per il rilevamento delle vulnerabilità, il servizio Security Health Analytics include rilevatori integrati che possono monitorare l'ambiente AWS e creare risultati.
Quando crei o modifichi un file di postura, puoi includere rilevatori di Security Health Analytics specifici per AWS. Devi eseguire il deployment di questo file della postura a livello di organizzazione.
Limiti di servizio per la security posture
Il servizio Security posture include i seguenti limiti:
- Un massimo di 100 posture in un'organizzazione.
- Un massimo di 400 criteri in una postura.
- Un massimo di 1000 deployment di postura in un'organizzazione.