Uma postura de segurança permite definir e gerenciar o status de segurança da nuvem da sua organização, incluindo sua rede e serviços de nuvem. É possível usar um modelo de segurança para avaliar sua segurança na nuvem atual em relação a comparativos de mercado definidos, o que ajuda a manter o nível de segurança que sua organização exige. Uma postura de segurança ajuda a detectar e mitigar qualquer desvio da comparativo de mercado. Ao definir e manter uma postura de segurança que corresponda às as necessidades de segurança da empresa, é possível reduzir os riscos de segurança cibernética organização e ajudam a prevenir ataques.
No Google Cloud, é possível usar o serviço de postura de segurança em o Security Command Center para definir e implantar uma postura de segurança, monitorar a do seu os recursos do Google Cloud e resolver qualquer desvio (ou alteração não autorizada) da sua postura definida.
Visão geral do serviço de postura de segurança
O serviço de postura de segurança é um serviço integrado para o Security Command Center que permite definir, avaliar e monitorar status da sua segurança no Google Cloud. O o Security Postion Service está disponível apenas para você comprar uma assinatura dos níveis Premium ou Enterprise do Security Command Center e ativar o Security Command Center no nível da organização.
Você pode usar as de postura de segurança para executar o seguinte:
- Garanta que suas cargas de trabalho estejam em conformidade com os padrões de segurança, e os requisitos de segurança personalizados da organização.
- Aplique seus controles de segurança a projetos, pastas ou organizações do Google Cloud antes de implantar as cargas de trabalho.
- Monitore e resolva continuamente qualquer desvio da segurança definida controles de segurança.
O serviço de postura de segurança é ativado automaticamente quando você ativar o Security Command Center no nível da organização.
Componentes do serviço de postura de segurança
O serviço de postura de segurança inclui os seguintes componentes:
- Postura:um ou mais conjuntos de políticas que aplicam as medidas de detecção de ameaças que sua organização exige para atender a padrão. É possível implantar posturas no nível da organização, da pasta ou para envolvidos no projeto. Para conferir uma lista de modelos de postura, consulte Postura predefinida de modelos.
- Conjuntos de políticas:é um conjunto de requisitos de segurança e controles associados em Google Cloud. Normalmente, um conjunto de políticas consiste em todas as políticas permitem atender aos requisitos de um determinado padrão de segurança ou conformidade regulamentação.
Política:uma restrição específica que controla ou monitora. o comportamento dos recursos no Google Cloud. As políticas podem ser preventivas Por exemplo, as políticas da organização restrições) ou detetives (por exemplo, detectores da Análise de integridade da segurança). As políticas com suporte são as seguinte:
Restrições das políticas da organização, incluindo restrições personalizadas
Detectores da Análise de integridade da segurança, incluindo módulos personalizados
Implantação de postura: depois de criar uma postura, implante-a para que pode aplicar a postura à organização, às pastas ou aos projetos que você quer gerenciar usando a postura.
O diagrama a seguir mostra os componentes de um exemplo de postura de segurança.
Modelos de postura predefinidos
O serviço de postura de segurança inclui modelos de postura predefinidos que aderir a um padrão de conformidade ou a um padrão recomendado pelo Google, como o blueprint de bases empresariais recomendações. Você pode usar esses modelos para criar de segurança que se aplicam aos seus negócios. A tabela a seguir descreve de postura de segurança na nuvem.
Modelo de postura | Nome do modelo | Descrição |
---|---|---|
secure_by_default_essential |
Este modelo implementa as políticas que ajudam evitar configurações incorretas e problemas de segurança comuns causados por padrão configurações. É possível implantar esse modelo sem fazer alterações nele. |
|
secure_by_default_extended |
Este modelo implementa as políticas que ajudam evitar configurações incorretas e problemas de segurança comuns causados por padrão configurações. Antes de implantar esse modelo, personalize-o para corresponder ao seu ambiente. |
|
secure_ai_essential |
Este modelo implementa políticas que ajudam a proteger o Gemini e para cargas de trabalho da Vertex AI. É possível implantar esse modelo sem fazer alterações nele. |
|
secure_ai_extended |
Este modelo implementa políticas que ajudam a proteger o Gemini e para cargas de trabalho da Vertex AI. Antes de implantar esse modelo, personalize-o para corresponder ao seu ambiente. |
|
big_query_essential |
Este modelo implementa políticas que ajudam a proteger o BigQuery. É possível implantar esse modelo sem fazer alterações nele. |
|
cloud_storage_essential |
Este modelo implementa políticas que ajudam a proteger o Cloud Storage. É possível implantar esse modelo sem fazer alterações nele. |
|
cloud_storage_extended |
Este modelo implementa políticas que ajudam a proteger o Cloud Storage. Antes de implantar esse modelo, personalize-o para corresponder ao seu ambiente. |
|
vpcsc_essential |
Este modelo implementa políticas que ajudam a proteger o VPC Service Controls. É possível implantar esse modelo sem fazer alterações nele. |
|
vpcsc_extended |
Este modelo implementa políticas que ajudam a proteger o VPC Service Controls. Antes de implantar esse modelo, personalize-o para corresponder ao seu ambiente. |
|
cis_2_0 |
Este modelo implementa políticas que ajudam a detectar quando seu ambiente do Google Cloud não está alinhado ao comparativo de mercado CIS da plataforma de computação do Google Cloud v2.0.0 É possível implantar esse modelo sem fazer alterações nele. |
|
nist_800_53 |
Este modelo implementa políticas que ajudam a detectar quando seu ambiente do Google Cloud não está alinhada ao padrão do Instituto Nacional de Padrões e Tecnologia (NIST) SP 800-53. É possível implantar esse modelo sem fazer alterações nele. |
|
iso_27001 |
Este modelo implementa políticas que ajudam a detectar quando seu ambiente do Google Cloud não está de acordo com o padrão ISO 27001 da Organização Internacional de Padrões (ISO). É possível implantar esse modelo sem fazer alterações nele. |
|
pci_dss_v_3_2_1 |
Este modelo implementa políticas que ajudam a detectar quando seu ambiente do Google Cloud não esteja alinhada ao Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) versões 3.2.1 e 1.0. É possível implantar esse modelo sem fazer alterações nele. |
Implantar posturas e monitorar desvios
Para aplicar uma postura com todas as políticas dela em um recurso do Google Cloud, implantar a postura. Você especificar qual nível da hierarquia de recursos (organização, pasta ou a que a postura se aplica. Só é possível implantar uma postura em cada organização, pasta ou projeto.
As posturas são herdadas pelas pastas e projetos filhos. Portanto, se você implantar de segurança no nível da organização e do projeto, todas as políticas em ambas as posturas se aplicam aos recursos do projeto. Se houver diferenças nas definições de políticas (por exemplo, uma política é definida como Permitir no no nível da organização e Negar no nível do projeto), a postura de nível mais baixo é usados pelos recursos desse projeto.
Como prática recomendada, sugerimos que você implante uma postura no
no nível da organização, incluindo políticas que podem ser aplicadas a toda
os negócios. É possível aplicar políticas mais rigorosas a pastas ou projetos que
precisam deles. Por exemplo, se você usar o blueprint de bases empresariais para configurar
na infraestrutura, você cria determinados projetos (por exemplo, prj-c-kms
) que
criadas especificamente para conter as chaves de criptografia de todos os projetos de uma
do Compute Engine. É possível usar uma postura de segurança para definir
constraints/gcp.restrictCmekCryptoKeyProjects
Restrição de política da organização na pasta common
e nas pastas do ambiente
(development
, nonproduction
e production
) para que todos os projetos usem apenas
as chaves dos projetos-chave.
Depois de implantar sua postura, é possível monitorar o ambiente em busca de desvios da sua postura definida. O Security Command Center relata instâncias de deslocamento à medida que descobertas que você pode analisar, filtrar e resolver. Além disso, você pode exportar essas descobertas da mesma forma que você exporta qualquer outra descoberta o Security Command Center. Para mais informações, consulte Opções de integração. e Exportar o Security Command Center dados.
Use posturas de segurança com a Vertex AI e o Gemini
É possível usar posturas de segurança para manter a segurança da sua IA do Google Cloud. O serviço de postura de segurança inclui o seguinte:
Modelos de postura predefinidos específicas para cargas de trabalho de IA.
Um painel na Visão geral página que permite monitorar vulnerabilidades encontradas pela Análise de integridade da segurança módulos personalizados que se aplicam à IA e permite que você observe qualquer desvio da Políticas da organização Vertex AI definidas em uma postura.
Usar o serviço de postura de segurança com a AWS
Se você conectar o Security Command Center Enterprise à AWS para vulnerabilidade detecção, a Análise de integridade da segurança inclui detectores integrados que podem monitorar seu ambiente AWS e criar descobertas.
Ao criar ou modificar um arquivo de postura, é possível incluir detectores da Análise de integridade da segurança específicos da AWS. É necessário implantar esse arquivo de postura na organização nível
Limites de serviço de postura de segurança
O serviço de postura de segurança inclui os seguintes limites:
- No máximo 100 posturas em uma organização.
- No máximo 400 políticas em uma postura.
- No máximo 1.000 implantações de postura em uma organização.