Mit einem Sicherheitsstatus können Sie den Sicherheitsstatus Ihrer Cloud definieren und verwalten Assets, einschließlich Ihres Cloud-Netzwerks und Cloud-Dienste. Sie können ein Wertpapier Ihre aktuelle Cloud-Sicherheit anhand definierter Benchmarks, So können Sie das Sicherheitsniveau halten, das Ihr Unternehmen benötigt. Mit einem Sicherheitsstatus können Sie Abweichungen von den festgelegten Benchmark. Durch die Definition und Aufrechterhaltung eines Sicherheitsstatus, Unternehmensanforderungen erfüllen, können Sie die Cybersicherheitsrisiken für Ihre und helfen, Angriffe zu verhindern.
In Google Cloud können Sie den Security Posture-Dienst in Security Command Center, um einen Sicherheitsstatus zu definieren und bereitzustellen sowie die Sicherheit zu überwachen Status Ihrer Google Cloud-Ressourcen und beheben Sie Abweichungen (oder nicht autorisierte Änderung) aus dem von Ihnen definierten Sicherheitsstatus entfernen.
Überblick über den Dienst zum Sicherheitsstatus
Der Dienst „Security Posture“ ist ein integrierter Dienst für Security Command Center, mit dem Sie den Gesamtstatus von für Ihre Sicherheit in Google Cloud. Dienst für den Sicherheitsstatus steht Ihnen nur zur Verfügung, wenn Sie ein Abo des Security Command Center erwerben Premium- oder Enterprise-Stufe aktivieren und Security Command Center aktivieren Organisationsebene.
Mit dem Security Posture-Dienst können Sie Folgendes erreichen: Ziele:
Sicherstellen, dass Ihre Arbeitslasten Sicherheitsstandards und Compliance entsprechen und die individuellen Sicherheitsanforderungen Ihrer Organisation.
Sicherheitseinstellungen auf Google Cloud-Projekte, ‐Ordner oder ‐Organisationen anwenden bevor Sie Arbeitslasten bereitstellen.
Kontinuierliches Monitoring und Behebung von Abweichungen von Ihren definierten Sicherheitsvorkehrungen Steuerelementen.
Der Dienst für den Sicherheitsstatus wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.
Dienstkomponenten für den Sicherheitsstatus
Der Dienst für den Sicherheitsstatus umfasst die folgenden Komponenten:
Status: Ein oder mehrere Richtliniensätze, die die vorbeugenden und Erkennungskontrollen, die Ihre Organisation für die Sicherheit benötigt Standard. Sie können Sicherheitsstatus auf Organisationsebene, Ordnerebene oder auf Projektebene. Eine Liste der Posture-Vorlagen finden Sie unter Vordefinierte Posture-Vorlagen Vorlagen.
Richtliniensets:Eine Reihe von Sicherheitsanforderungen und zugehörigen Kontrollen in Google Cloud Normalerweise besteht ein Richtliniensatz aus allen Richtlinien, Anforderungen eines bestimmten Sicherheitsstandards oder zu finden.
Richtlinie:Eine bestimmte Einschränkung oder Einschränkung, die steuert oder überwacht. das Verhalten von Ressourcen in Google Cloud. Richtlinien können präventiv sein (z. B. Einschränkungen für Organisationsrichtlinien) oder Detektiv (z. B. Security Health Analytics-Detektoren). Unterstützte Richtlinien sind die Folgendes:
Einschränkungen für Organisationsrichtlinien, einschließlich benutzerdefinierter Einschränkungen
Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Module
Statusbereitstellung:Nachdem Sie einen Status erstellt haben, stellen Sie ihn bereit, damit Sie den Status auf die gewünschte Organisation, Ordner oder Projekte anwenden mit dem Posture umgehen können.
Das folgende Diagramm zeigt die Komponenten eines Beispiels für einen Sicherheitsstatus.
Vordefinierte Statusvorlagen
Der Dienst „Security Posture“ enthält einen vordefinierten Status Vorlagen, die einem Compliancestandard oder einem von Google empfohlenen Standard wie Enterprise Foundations Blueprint Empfehlungen. Sie können diese Vorlagen verwenden, um Sicherheitsstatus zu erstellen, auf Ihr Unternehmen anwenden können. In der folgenden Tabelle werden die Statusvorlagen beschrieben.
Statusvorlage | Name der Vorlage | Beschreibung |
---|---|---|
<ph type="x-smartling-placeholder"></ph> Von Grund auf sicher – die wichtigsten Funktionen | secure_by_default_essential |
Diese Vorlage implementiert die Richtlinien, die dazu beitragen, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme, die durch Standardeinstellungen verursacht werden. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
<ph type="x-smartling-placeholder"></ph> Standardmäßig sicher, erweitert | secure_by_default_extended |
Diese Vorlage implementiert die Richtlinien, die dazu beitragen, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme, die standardmäßig Einstellungen. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie anpassen: an Ihre Umgebung anpassen. |
<ph type="x-smartling-placeholder"></ph> Sichere KI-Empfehlungen – Grundlagen | secure_ai_essential |
In dieser Vorlage sind Richtlinien implementiert, die dir dabei helfen, Gemini zu schützen und Vertex AI-Arbeitslasten. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vornehmen. |
<ph type="x-smartling-placeholder"></ph> Sichere KI-Empfehlungen, erweitert | secure_ai_extended |
In dieser Vorlage sind Richtlinien implementiert, die dir dabei helfen, Gemini zu schützen und Vertex AI-Arbeitslasten. Bevor Sie diese Vorlage bereitstellen, muss er an Ihre Umgebung angepasst werden. |
<ph type="x-smartling-placeholder"></ph> BigQuery-Empfehlungen – Grundlagen | big_query_essential |
Diese Vorlage implementiert Richtlinien, die Ihnen helfen, BigQuery Sie können diese Vorlage bereitstellen, Änderungen daran vorzunehmen. |
<ph type="x-smartling-placeholder"></ph> Cloud Storage – Empfehlungen und Grundlagen | cloud_storage_essential |
Mit dieser Vorlage werden Richtlinien implementiert, die Ihnen dabei helfen, Cloud Storage zu schützen. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
<ph type="x-smartling-placeholder"></ph> Cloud Storage-Empfehlungen, erweitert | cloud_storage_extended |
Mit dieser Vorlage werden Richtlinien implementiert, die Ihnen dabei helfen, Cloud Storage zu schützen. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre zu verbessern. |
<ph type="x-smartling-placeholder"></ph> VPC-Empfehlungen und Grundlagen | vpc_networking_essential |
Diese Vorlage implementiert Richtlinien, die Ihnen helfen, Virtual Private Cloud (VPC) Sie können diese Vorlage bereitstellen, Änderungen daran vornehmen. |
<ph type="x-smartling-placeholder"></ph> VPC-Empfehlungen erweitert | vpc_networking_extended |
Diese Vorlage implementiert Richtlinien, die Ihnen helfen, VPC Bevor Sie diese Vorlage bereitstellen, müssen Sie sie anpassen an Ihre Umgebung anpassen. |
<ph type="x-smartling-placeholder"></ph> Center for Internet Security (CIS) von Google Cloud Benchmark-Empfehlungen (v2.0.0) | cis_2_0 |
Diese Vorlage enthält Richtlinien, mit denen Sie erkennen können, Die Google Cloud-Umgebung stimmt nicht mit der CIS Google Cloud überein Computing Platform Benchmark Version 2.0.0. Sie können diese Vorlage bereitstellen ohne Änderungen vorzunehmen. |
<ph type="x-smartling-placeholder"></ph> Empfehlungen gemäß NIST SP 800-53-Standard | nist_800_53 |
Diese Vorlage enthält Richtlinien, mit denen Sie erkennen können, Die Google Cloud-Umgebung ist nicht mit dem National Institute of Standards und Technologie (NIST) SP 800-53. Sie können diese ohne Änderungen an der Vorlage vorzunehmen. |
<ph type="x-smartling-placeholder"></ph> Empfehlungen nach ISO 27001 | iso_27001 |
Diese Vorlage enthält Richtlinien, mit denen Sie erkennen können, Die Google Cloud-Umgebung ist nicht mit dem Internationalen ISO 27001: Organisation für Normen Sie können diese ohne Änderungen an der Vorlage vorzunehmen. |
<ph type="x-smartling-placeholder"></ph> Empfehlungen nach PCI-DSS-Standard | pci_dss_v_3_2_1 |
Diese Vorlage enthält Richtlinien, mit denen Sie erkennen können, Google Cloud-Umgebung ist nicht mit der Zahlungskartenbranche konform PCI-DSS (Data Security Standard) Version 3.2.1 und Version 1.0 Sie können diese Vorlage bereitzustellen, ohne Änderungen daran vorzunehmen. |
Sicherheitsstatus bereitstellen und Abweichung überwachen
Um einen Status mit allen zugehörigen Richtlinien für eine Google Cloud-Ressource zu erzwingen, stellen Sie den Sicherheitsstatus bereit. Sie können angeben, welche Ebene der Ressourcenhierarchie (Organisation, Ordner oder Projekt), für die der Sicherheitsstatus gilt. Sie können nur Stellen Sie für jede Organisation, jeden Ordner oder jedes Projekt einen Status bereit.
Sicherheitsstatus werden von untergeordneten Ordnern und Projekten übernommen. Wenn Sie also auf Organisations- und Projektebene haben, in beiden Positionen für die Ressourcen im Projekt gelten. Falls es welche gibt, Unterschiede in den Richtliniendefinitionen (z. B. wenn eine Richtlinie auf der Seite Organisationsebene und zum Ablehnen auf Projektebene) die von den Ressourcen in diesem Projekt verwendet werden.
Als Best Practice empfehlen wir, einen Sicherheitsstatus in der Organisation bereitzustellen
mit Richtlinien, die für Ihr gesamtes Unternehmen gelten können. Sie können
Dann können strengere Richtlinien auf Ordner oder Projekte angewendet werden, für die diese erforderlich sind. Für
Wenn Sie z. B. den Blueprint für Unternehmensgrundlagen verwenden,
Infrastruktur erstellen, erstellen Sie bestimmte Projekte (z. B. prj-c-kms
), die
die speziell dafür erstellt wurden, die Verschlüsselungsschlüssel für alle Projekte in einem
Ordner. Mit einem Sicherheitsstatus können Sie
constraints/gcp.restrictCmekCryptoKeyProjects
Einschränkung der Organisationsrichtlinie für den Ordner „common
“ und die Umgebungsordner
(development
, nonproduction
und production
), damit in allen Projekten nur
Schlüssel aus den Schlüsselprojekten.
Nachdem Sie den Sicherheitsstatus bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen überwachen von Ihrer festgelegten Haltung entfernt. Security Command Center meldet Driftinstanzen als Ergebnisse die Sie überprüfen, filtern und lösen können. Außerdem können Sie diese Ergebnisse auf die gleiche Weise, wie Sie andere Ergebnisse aus Security Command Center exportieren. Weitere Informationen finden Sie unter Integrationsoptionen. und Security Command Center-Daten exportieren.
Sicherheitsstatus mit Vertex AI und Gemini verwenden
Mithilfe von Sicherheitsstatus können Sie die Sicherheit Ihrer KI aufrechterhalten. Arbeitsbelastungen. Der Dienst für den Sicherheitsstatus umfasst Folgendes:
Vordefinierte für KI spezifische Vorlagen für Sicherheitsstatus Arbeitsbelastungen.
Ein Bereich auf der Seite Übersicht zum Überwachen von Sicherheitslücken, die von Security Health Analytics benutzerdefinierte Module, die für KI gelten, und ermöglichen es Ihnen, Abweichungen Vertex AI-Organisationsrichtlinien, die in einem Sicherheitsstatus definiert sind.
Security Posture-Dienst mit AWS verwenden
Wenn Sie Security Command Center Enterprise mit AWS zur Erkennung von Sicherheitslücken verbinden, Der Security Health Analytics-Dienst umfasst integrierte Detektoren, die Ihre AWS und Ergebnisse zu erstellen.
Wenn Sie eine Statusdatei erstellen oder ändern, können Sie Security Health Analytics-Detektoren einbinden die für AWS spezifisch sind. Sie müssen diese Statusdatei in der Organisation bereitstellen
Dienstlimits für den Sicherheitsstatus
Der Dienst für den Sicherheitsstatus umfasst die folgenden Limits:
- Maximal 100 Sicherheitsstatus in einer Organisation.
- Maximal 400 Richtlinien in einem Status.
- Maximal 1.000 Statusbereitstellungen in einer Organisation.