借助安全状况,您可以定义和管理云资产(包括云端网络和云服务)的安全状态。您可以使用安全状况根据定义的基准评估当前的云安全性,并保持组织所需的安全级别。安全状况可帮助您检测和减少与定义的基准的偏差。通过定义和维护与您的业务安全需求相匹配的安全状况,您可以最大限度地降低组织的信息安全风险并防止攻击。
在 Google Cloud 中,您可以使用 Security Command Center 中的安全状况服务来定义和部署安全状况,监控 Google Cloud 资源的安全状态,并解决与所定义状况发生任何偏移(或未经授权的更改)的问题。
Security Posture 服务概览
Security Posture 服务是 Security Command Center 的内置服务,可让您定义、评估和监控 Google Cloud 中的安全性的整体状态。只有当您订阅 Security Command Center 高级层级或企业层级,并在组织层级激活 Security Command Center 后,才能使用 Security Posture 服务。
您可以使用安全状况服务执行以下操作:
- 确保您的工作负载符合安全标准、合规性法规和组织的自定义安全要求。
- 在部署任何工作负载之前,将安全控制措施应用于 Google Cloud 项目、文件夹或组织。
- 持续监控并解决定义的安全控件带来的任何偏移问题。
在组织级层激活 Security Command Center 时,系统会自动启用 Security Posture 服务。
Security Posture 服务组件
Security Posture 服务包含以下组件:
- 安全状况:一个或多个政策集,用于强制执行您的组织满足其安全标准所需的预防性和检测性控制措施。您可以在组织级、文件夹级或项目级部署折叠状态。如需查看安全状况模板列表,请参阅预定义的安全状况模板。
- 政策集:Google Cloud 中的一组安全要求和相关控制措施。通常,政策集包含可让您满足特定安全标准或合规性法规要求的所有政策。
政策:用于控制或监控 Google Cloud 中资源行为的特定限制条件或限制条件。政策可以是预防性政策(例如组织政策限制条件),也可以是检测性政策(例如 Security Health Analytics 检测器)。支持的政策如下:
安全状况部署:创建安全状况后,您可以进行部署,以便将安全状况应用到要使用该安全状况管理的组织、文件夹或项目。
下图显示了安全状况示例的组成部分。
预定义的安全状况模板
安全状况服务包含预定义的安全状况模板,这些模板符合合规性标准或 Google 推荐的标准(例如企业基础蓝图建议)。您可以使用这些模板创建适用于您企业的安全状况。下表介绍了各种安全状况模板。
| 安全状况模板 | 模板名称 | 说明 |
|---|---|---|
secure_by_default_essential |
此模板实现的政策有助于防止默认设置导致的常见错误配置和常见安全问题。您可以部署此模板,而无需对其进行任何更改。 |
|
secure_by_default_extended |
此模板实现的政策有助于防止默认设置导致的常见错误配置和常见安全问题。在部署此模板之前,您必须对其进行自定义,使其与您的环境匹配。 |
|
secure_ai_essential |
此模板可实现一些政策,帮助您保护 Gemini 和 Vertex AI 工作负载。您可以部署此模板,而无需对其进行任何更改。 |
|
secure_ai_extended |
此模板可实现一些政策,帮助您保护 Gemini 和 Vertex AI 工作负载。在部署此模板之前,您必须对其进行自定义,使其与您的环境匹配。 |
|
big_query_essential |
此模板可实现一些政策,帮助您保护 BigQuery 的安全。您可以部署此模板,而无需对其进行任何更改。 |
|
cloud_storage_essential |
此模板可实现一些政策来帮助您保护 Cloud Storage。您可以部署此模板,而无需对其进行任何更改。 |
|
cloud_storage_extended |
此模板可实现一些政策来帮助您保护 Cloud Storage。在部署此模板之前,您必须对其进行自定义,使其与您的环境匹配。 |
|
vpcsc_essential |
此模板可实现一些政策,帮助您保护 VPC Service Controls。您可以部署此模板,而无需对其进行任何更改。 |
|
vpcsc_extended |
此模板可实现一些政策,帮助您保护 VPC Service Controls。在部署此模板之前,您必须对其进行自定义,使其与您的环境匹配。 |
|
cis_2_0 |
此模板可实现一些政策,帮助您检测 Google Cloud 环境何时与 CIS Google Cloud Computing Platform Benchmark v2.0.0 不一致。您可以部署此模板,而无需对其进行任何更改。 |
|
nist_800_53 |
此模板可实现一些政策,帮助您检测 Google Cloud 环境何时不符合美国国家标准与技术研究院 (NIST) SP 800-53 标准。您可以部署此模板,而无需对其进行任何更改。 |
|
iso_27001 |
此模板实施的政策可帮助您检测 Google Cloud 环境何时不符合国际标准组织 (ISO) 27001 标准。您可以部署此模板,而无需对其进行任何更改。 |
|
pci_dss_v_3_2_1 |
此模板可实现一些政策,帮助您检测 Google Cloud 环境何时不符合支付卡行业数据安全标准 (PCI DSS) 3.2.1 和 1.0 版。您可以部署此模板,而无需对其进行任何更改。 |
部署折叠状态并监控偏移
如需在 Google Cloud 资源上强制执行某种安全状况及其所有政策,请部署该安全状况。您可以指定状态将应用于资源层次结构的哪个级别(组织、文件夹或项目)。您只能为每个组织、文件夹或项目部署一种安全状况。
子文件夹和项目会沿用安全状况。因此,如果您在组织级层和项目级层部署状态,则两种状态对应的所有政策都将应用于项目中的资源。如果政策定义存在差异(例如,政策在组织级别设置为“允许”,在项目级别设置为拒绝),则该项目中的资源将使用较低级别的状态。
我们建议的最佳实践是在组织级层部署状况,包含适用于您的整个业务的政策。然后,您可以对需要这些政策的文件夹或项目应用更严格的政策。例如,如果使用企业基础蓝图来设置基础架构,则可以创建特定项目(例如 prj-c-kms),这些项目是专为包含文件夹中所有项目的加密密钥而创建的。您可以使用安全状况为 common 文件夹和环境文件夹(development、nonproduction 和 production)设置 constraints/gcp.restrictCmekCryptoKeyProjects 组织政策限制条件,以便所有项目仅使用关键项目中的密钥。
部署折叠状态后,您可以监控您的环境,看看是否有任何与所定义的折叠状态的偏差。Security Command Center 会将偏移实例报告为发现结果,您可以查看、过滤和解决。此外,您还可以按照从 Security Command Center 导出任何其他发现结果的方式导出这些发现结果。如需了解详情,请参阅集成选项和导出 Security Command Center 数据。
通过 Vertex AI 和 Gemini 使用安全状况
您可以使用安全状况来帮助维护 AI 工作负载的安全性。Security Posture 服务包含以下内容:
特定于 AI 工作负载的预定义安全状况模板。
概览页面上的一个窗格,用于监控适用于 AI 的 Security Health Analytics 自定义模块发现的漏洞,并查看在状态中定义的 Vertex AI 组织政策的任何偏差。
将 Security Posture 服务与 AWS 搭配使用
如果您将 Security Command Center Enterprise 连接到 AWS 以进行漏洞检测,则 Security Health Analytics 服务会包含内置检测器,可监控您的 AWS 环境并创建发现结果。
创建或修改状态文件时,您可以添加特定于 AWS 的 Security Health Analytics 检测器。您必须在组织级别部署此安全状况文件。
Security Posture 服务限制
Security Posture 服务具有以下限制:
- 一个组织中最多 100 个折叠状态。
- 一个折叠状态下最多 400 项政策。
- 一个组织中最多 1,000 个安全状况部署。