Évaluer et signaler la conformité avec les normes de sécurité

Avec Security Command Center, vous pouvez évaluer, améliorer et créer des rapports la conformité de vos ressources sur Google Cloud avec des normes et des benchmarks de sécurité courants (collectivement, les normes de sécurité).

Évaluer la conformité

Vous pouvez voir d'un coup d'œil la conformité de votre environnement cloud avec un à la norme de sécurité indiquée sur la page Conformité. dans la console Google Cloud.

La page Conformité affiche toutes les normes de sécurité compatibles avec Security Command Center, ainsi que le niveau de conformité que vous utilisez pour chaque norme.

Votre niveau de conformité est mesuré par le nombre de recommandations ou de contrôles d'une norme donnée que vous respectez, affiché sous forme de pourcentage du nombre total de contrôles pour lesquels Security Command Center évalue la norme. Si Security Command Center ne détecte aucune faille (collectivement, les failles) pour un contrôle donné, la commande est passante.

Les services de détection des failles de Security Command Center, tels que Security Health Analytics et Web Security Scanner, surveillez les contrôles en établissant au mieux la correspondance entre les détecteurs des services les contrôles d'une norme.

Évaluer la conformité pour une norme spécifique

Pour chaque norme, vous pouvez ouvrir la page Informations sur la conformité pour consultez des informations supplémentaires sur les commandes de Security Command Center pour la norme, le nombre de cas de non-conformité détectés chaque contrôle, et la possibilité d'exporter un rapport de conformité pour la norme.

Vous pouvez trier la liste des règles en cliquant sur les en-têtes de colonne, y compris Controls (Commandes), qui trie la liste en fonction du numéro de commande. Si une règle correspond à plusieurs commandes, le tri par numéro de contrôle permet de trier la règle numéro de contrôle le plus bas.

Pour afficher les résultats Security Command Center actifs qui correspondent à un une règle ou une commande spécifique, dans la colonne Règles, cliquez sur le nom de la règle. La page Findings (Résultats) s'ouvre et affiche les résultats filtrés par la catégorie de résultats correspondant à la règle.

Pour découvrir comment Security Command Center gère la conformité de Google Cloud, consultez Gestion et surveillance de la conformité.

Examiner les résultats concernant des cas de non-conformité

Pour afficher les résultats individuels pour chaque groupe de contrôle, la page Détails sur la conformité, cliquez sur le nom de la règle. La La page Résultats s'ouvre et affiche les résultats pour le contrôle.

Pour afficher les détails d'un résultat particulier, y compris des recommandations sur la résolution du problème, sur la page Résultats ; Cliquez sur le nom affiché dans la colonne Catégorie.

Pour en savoir plus sur la résolution des problèmes, consultez Corriger les résultats de Security Health Analytics et Corriger les problèmes identifiés par Web Security Scanner

Créer des rapports sur la conformité

Sur la page Détails de la conformité d'une norme de conformité spécifique, vous pouvez exporter un rapport de conformité pour la norme au format CSV.

Les rapports incluent les informations affichées dans la section Détails de la conformité page, et indiquez un lien clair entre chaque commande standard et la règle et la catégorie de résultats Security Command Center correspondantes. La gravité de chaque catégorie de résultats est également incluse.

Le rapport est un instantané à un moment précis du degré de conformité de vos pour une norme particulière à la date spécifiée.

Les rapports de conformité de Security Command Center ne remplacent pas l'audit de conformité, mais peut vous aider à maintenir l'état de conformité et détecter les violations dès le début.

Définir le champ d'application d'un rapport de conformité

Security Command Center limite automatiquement les rapports de conformité au projet, au dossier ou à l'organisation que vous sélectionnez en haut de la page dans la console Google Cloud. Par exemple, si la vue de la console Google Cloud est définie sur un projet, le rapport de conformité n'inclut que les résultats associés à ce projet.

Si Security Command Center est actif au niveau de l'organisation votre vue est définie sur une organisation, le rapport de conformité inclut les résultats concernant l'ensemble de l'organisation, y compris tous les projets qu'il contient. Si Security Command Center est actif au niveau du projet et que vous sélectionnez une organisation ou un dossier, la page Conformité ne s'affiche pas.

Exporter un rapport de conformité

Pour exporter un rapport au format CSV qui compile les résultats des cas de non-respect des règles pour une de conformité spécifique, procédez comme suit:

1. Accédez à la page Conformité dans la console Google Cloud:

   Accéder

2. Utilisez le sélecteur de projet dans la console Google Cloud pour choisir le projet, le dossier ou l'organisation pour lequel vous souhaitez afficher un rapport de conformité :

   

3. Sur la page Conformité, recherchez la norme pour laquelle vous avez besoin un rapport.

4. À côté du nom standard, cliquez sur Afficher les détails. Informations sur la conformité s'ouvre.

5. Sur la page Détails de la conformité, cliquez sur Exporter le rapport. La La page Exporter le rapport de conformité s'ouvre.

6. Sur la page Exporter le rapport de conformité, sélectionnez la date vous avez besoin du rapport. Le rapport est un instantané de la conformité à cette date.

7. Cliquez sur Exporter. Le rapport est téléchargé sur votre poste de travail au format CSV. .

Correspondance entre les détecteurs et les résultats et les contrôles de conformité

les services de détection Security Command Center, tels que Security Health Analytics et Web Security Scanner, utilisez des modules de détection (détecteurs) pour vérifier les failles et les erreurs de configuration dans votre environnement cloud.

Lorsqu'une faille est détectée, le détecteur génère une résultats. Un résultat est un enregistrement d’une vulnérabilité ou d’un autre problème de sécurité qui comprend les informations suivantes:

• Description de la faille
• Une recommandation pour remédier à la vulnérabilité qui amènerait le pour mettre en conformité
• ID numérique de la commande correspondant au résultat
• Étapes recommandées pour corriger la faille

Toutes les commandes d'une norme ne peuvent pas être mappées à Security Command Center car certains contrôles ne peuvent pas être automatisés, pour d'autres raisons. Par conséquent, le nombre total de contrôles Les vérifications effectuées par Security Command Center sont généralement inférieures au total le nombre de contrôles défini par une norme.

Le CIS examine et certifie les correspondances entre les détecteurs Security Command Center chaque version compatible du benchmark CIS Google Cloud Foundations. Des mappages de conformité supplémentaires sont inclus à titre de référence uniquement.

Pour en savoir plus sur Security Health Analytics et les résultats de Web Security Scanner et la correspondance entre les détecteurs compatibles et les normes de conformité, consultez les résultats de failles.

Normes et benchmarks compatibles

Security Command Center surveille votre conformité à l'aide de détecteurs associés aux dispositifs de contrôle à diverses normes de sécurité.

Pour chaque norme de sécurité acceptée, Security Command Center vérifie un sous-ensemble des contrôles. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour le des contrôles non réussis, Security Command Center affiche une liste des résultats les défaillances des contrôles.

Le CIS examine et certifie les mappages Security Command Center à chaque détecteur compatible du benchmark CIS Google Cloud Foundations Benchmark. Conformité supplémentaire les mappages sont fournis à titre de référence uniquement.

Security Command Center Prise en charge régulière de nouvelles versions et normes d'analyse comparative. Plus anciens versions restent compatibles, mais finissent par devenir obsolètes. Nous vous recommandons d'utiliser l'analyse comparative ou la norme compatible la plus récente.

Avec l'attribut service de stratégie de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et qui s'appliquent à votre entreprise. Après avoir créé une stratégie de sécurité, vous pouvez surveiller toute modification de l'environnement susceptible d'affecter la conformité de votre entreprise.

Pour en savoir plus sur la gestion de la conformité, consultez la page Évaluer et signaler la conformité avec les normes de sécurité

Normes de sécurité compatibles avec Google Cloud

Security Command Center mappe les détecteurs pour Google Cloud sur un ou plusieurs des standard:

• Contrôles CIS (Center for Information Security) 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
• Benchmark CIS de Kubernetes v1.5.1
• Cloud Controls Matrix (CCM) 4
• Loi HIPAA (Health Insurance Portability and Accountability Act)
• Organisation internationale de la sécurité Standardisation (ISO) 27001, 2022 et 2013
• National NIST 800-53, R5 et R4
• NIST CSF 1.0
• Ouvrir l'application Web Top Ten du projet de sécurité (OWASP), 2021 et 2017
• Paiement Normes PCI DSS 4.0 et 3.2.1 de l'industrie des données
• Contrôles du système et de l'organisation (SOC) 2 Critères de confiance pour les services de confiance (TSC) 2017

Normes de sécurité compatibles avec AWS

Security Command Center met en correspondance les détecteurs pour Amazon Web Services (AWS) avec un ou plusieurs des systèmes de conformité suivants standard:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Controls 8.0
• CCM 4
• HIPAA
• ISO 27001 2022
• NIST 800-53 R5
• NIST CSF 1.0
• PCI DSS 4.0 et 3.2.1
• SOC 2 2017 TSC