借助安全状况,您可以定义和管理云资产(包括云网络和云服务)的安全状态。您可以使用 根据定义的基准评估当前的云安全性, ,这有助于维持组织所需的安全级别。 安全状况有助于您检测和缓解与您定义的基准存在偏差的情况。通过定义和维护与贵商家的安全需求相符的安全状况,您可以降低组织的网络安全风险,并帮助防范攻击。
在 Google Cloud 中,您可以使用 Security Command Center 中的安全状况服务来定义和部署安全状况、监控 Google Cloud 资源的安全状态,以及解决与您定义的安全状况存在偏差(或未经授权的更改)的任何问题。
Security Posture 服务概览
安全状况服务是 Security Command Center 的一项内置服务,可让您定义、评估和监控 Google Cloud 中的整体安全状态。只有当您购买 Security Command Center 高级层级或企业层级的订阅,并在组织级层激活 Security Command Center 时,才能使用安全状况服务。
您可以使用安全状况服务实现以下目标:
确保您的工作负载符合安全标准、合规性法规以及贵组织的自定义安全要求。
在部署任何工作负载之前,请先将安全控制措施应用于 Google Cloud 项目、文件夹或组织。
持续监控并解决任何偏离您所定义安全性的问题 控件。
当您在组织级层激活 Security Command Center 时,系统会自动启用安全状况服务。
Security Posture 服务组件
Security Posture 服务包括以下组件:
安全状况:一个或多个政策集,用于强制执行预防性措施和 贵组织为满足安全性要求而需要的检测控制措施 标准。您可以在组织级别、文件夹级别或 项目级别。如需查看状况模板列表,请参阅预定义的状况 模板。
政策集:政策集内的一组安全要求和相关控制措施, Google Cloud通常,政策集包含 可让您满足特定安全标准或合规性的要求 法规。
政策:控制或监控的特定限制条件或限制 Google Cloud 中资源的行为。政策可起到预防作用 (例如组织政策限制条件) 检测工具(例如 Security Health Analytics 检测器)。支持的政策如下:
安全状况部署:创建安全状况后,您可以对其进行部署, 可以将安全状况应用于所需的组织、文件夹或项目 使用状况进行管理
下图展示了一个示例安全状况的组成部分。
预定义的安全状况模板
Security Posture 服务包含预定义的状况 符合合规性标准或 Google 建议的模板 企业基础蓝图等标准 建议。您可以使用这些模板创建适用于您业务的安全状态。下表介绍了状况模板。
| 状况模板 | 模板名称 | 说明 |
|---|---|---|
| 默认安全,必备功能 | secure_by_default_essential |
此模板实施了有助于防止常见 由默认设置引起的错误配置和常见安全问题。 您可以部署此模板,而无需对其进行任何更改。 |
| 默认安全,已扩展 | secure_by_default_extended |
此模板会实现一些政策,这些政策有助于防止由默认设置导致的常见错误配置和常见安全问题。在部署此模板之前,您必须对其进行自定义 与您的环境相符。 |
| 安全 AI 建议:必备知识 | secure_ai_essential |
此模板会实现有助于保护 Gemini 和 Vertex AI 工作负载的政策。你可以直接部署此模板,而无需 对该文件进行任何更改 |
| 安全可靠的 AI 建议,延伸内容 | secure_ai_extended |
此模板实施的政策有助于确保 Gemini 的安全 和 Vertex AI 工作负载。在部署此模板之前,您需要 您必须对其进行自定义,使其符合您的环境。 |
| BigQuery 建议 - 必备知识 | big_query_essential |
此模板会实现有助于保护 BigQuery 的政策。您无需对此模板进行任何更改即可部署它。 |
| Cloud Storage 建议、基础知识 | cloud_storage_essential |
此模板会实现有助于保护 Cloud Storage 的政策。 您无需对此模板进行任何更改即可部署它。 |
| Cloud Storage 建议,已扩展 | cloud_storage_extended |
此模板实施的政策可帮助您保护 Cloud Storage 安全。 在部署此模板之前,您必须对其进行自定义, 环境 |
| VPC 建议,基础知识 | vpc_networking_essential |
此模板会实现有助于您保护 Virtual Private Cloud (VPC) 的政策。您无需对此模板进行任何更改即可部署它。 |
| VPC 建议,扩展 | vpc_networking_extended |
此模板实施的政策可帮助您 VPC。在部署此模板之前,您必须对其进行自定义,使其与您的环境相匹配。 |
| 互联网安全中心 (CIS) Google Cloud 计算平台 基准 v2.0.0 建议 | cis_2_0 |
此模板会实现一些政策,可帮助您检测 Google Cloud 环境是否符合 CIS Google Cloud Computing Platform Benchmark v2.0.0 的要求。你可以部署此模板 而无需对其进行任何更改 |
| NIST SP 800-53 标准建议 | nist_800_53 |
此模板实施的政策可帮助您检测 Google Cloud 环境与美国国家 标准与技术 (NIST) SP 800-53 标准。您无需对此模板进行任何更改即可部署它。 |
| ISO 27001 标准建议 | iso_27001 |
此模板会实现一些政策,可帮助您检测 Google Cloud 环境是否符合国际标准化组织 (ISO) 27001 标准。您无需对此模板进行任何更改即可部署它。 |
| PCI DSS 标准建议 | pci_dss_v_3_2_1 |
此模板会实现一些政策,可帮助您检测 Google Cloud 环境是否符合支付卡行业数据安全标准 (PCI DSS) 版本 3.2.1 和版本 1.0。您可以 在不进行任何更改的情况下部署此模板。 |
部署状况并监控偏移
要在 Google Cloud 资源上实施安全状况及其所有政策, 部署安全状况。您可以指定该状态信号适用于资源层次结构的哪个级别(组织、文件夹或项目)。您只能向每个组织、文件夹或项目部署一个状态。
子文件夹和项目会继承安全状况。因此,如果您部署 组织级别和项目级别的所有政策 这两种状况中的一种都会应用于项目中的资源。如果政策定义存在任何差异(例如,在组织级将政策设置为“允许”,而在项目级将其设置为“拒绝”),则该项目中的资源将使用较低级别的状态。
最佳实践是,在组织一级部署状态,其中包含可应用于整个企业的政策。您可以
然后对需要这些政策的文件夹或项目应用更严格的政策。对于
假设您使用企业基础蓝图
您需要创建特定项目(例如 prj-c-kms),
专门用于包含存储分区中所有项目的加密密钥
文件夹中。您可以使用安全状况在 common 文件夹和环境文件夹 (development、nonproduction 和 production) 上设置 constraints/gcp.restrictCmekCryptoKeyProjects 组织政策约束条件,以便所有项目仅使用关键项目中的密钥。
部署态势后,您可以监控环境,确保其不会偏离您定义的态势。Security Command Center 将偏移实例报告为发现结果 您可以查看、过滤和解决此外,您可以按照从 Security Command Center 导出任何其他发现结果的方式导出这些发现结果。如需了解详情,请参阅集成选项和导出 Security Command Center 数据。
将安全状况与 Vertex AI 和 Gemini 搭配使用
您可以使用安全状态来帮助维护 AI 工作负载的安全性。Security Posture 服务包括以下内容:
AI 专用的预定义状况模板 工作负载
“概览”页面上的窗格,可让您监控 Security Health Analytics 自定义模块(适用于 AI)发现的漏洞,并查看与状态中定义的 Vertex AI 组织政策存在偏差的情况。
将安全状况服务与 AWS 搭配使用
如果您将 Security Command Center Enterprise 连接到 AWS 以进行漏洞检测, Security Health Analytics 服务包含内置检测器,这些检测器可以监控您的 AWS 并创建发现结果。
创建或修改态势文件时,您可以添加特定于 AWS 的 Security Health Analytics 检测器。您必须在组织级部署此状态文件。
安全状况服务限制
Security Posture 服务具有以下限制:
- 一个组织中最多可以有 100 种姿势。
- 一个状态最多包含 400 项政策。
- 一个组织中最多 1,000 个安全状况部署。