Una Security posture ti consente di definire e gestire lo stato di sicurezza delle tue risorse cloud, inclusa la rete cloud e i servizi cloud. Puoi utilizzare una strategia di sicurezza per valutare la tua attuale sicurezza del cloud rispetto a benchmark definiti, il che ti aiuta a mantenere il livello di sicurezza richiesto dalla tua organizzazione. Una security posture ti aiuta a rilevare e mitigare eventuali deviazioni dal benchmark definito. Definire e mantenere una security posture in linea con le esigenze di sicurezza della tua attività ti consente di ridurre i rischi di cybersicurezza per la tua organizzazione e di contribuire a prevenire gli attacchi.
In Google Cloud, puoi utilizzare il servizio di sicurezza in Security Command Center per definire e implementare una strategia di sicurezza, monitorare lo stato di sicurezza delle tue risorse Google Cloud e risolvere eventuali deviazioni (o modifiche non autorizzate) rispetto alla strategia definita.
Panoramica del servizio Postura di sicurezza
Il servizio Security Posture è un servizio integrato di Security Command Center che ti consente di definire, valutare e monitorare lo stato complessivo della tua sicurezza in Google Cloud. Il servizio di analisi della postura di sicurezza è disponibile solo se acquisti un abbonamento al livello Premium o Enterprise di Security Command Center e attivi Security Command Center a livello di organizzazione.
Puoi utilizzare il servizio di analisi della sicurezza per raggiungere i seguenti scopi:
Assicurati che i tuoi carichi di lavoro siano conformi agli standard di sicurezza, alle normative di conformità e ai requisiti di sicurezza personalizzati della tua organizzazione.
Applica i controlli di sicurezza a progetti, cartelle o organizzazioni Google Cloud prima di eseguire il deployment di qualsiasi carico di lavoro.
Monitora continuamente e risolvi eventuali deviazioni dai controlli di sicurezza definiti.
Il servizio di analisi della posizione di sicurezza viene attivato automaticamente quando attivi Security Command Center a livello di organizzazione.
Componenti del servizio Security Posture
Il servizio di analisi della posizione di sicurezza include i seguenti componenti:
Postura:uno o più insiemi di criteri che applicano i controlli preventivi e di rilevamento necessari per la tua organizzazione per soddisfare il suo standard di sicurezza. Puoi implementare le posture a livello di organizzazione, di cartella o di progetto. Per un elenco dei modelli di postura, consulta Modelli di postura predefiniti.
Insiemi di criteri:un insieme di requisiti di sicurezza e controlli associati in Google Cloud. In genere, un insieme di criteri è costituito da tutti i criteri che consentono di soddisfare i requisiti di un determinato standard di sicurezza o di una determinata norma di conformità.
Criteri:un determinato vincolo o limitazione che controlla o monitora il comportamento delle risorse in Google Cloud. I criteri possono essere preventivi (ad esempio i limiti dei criteri dell'organizzazione) o di rilevamento (ad esempio i rilevatori di Security Health Analytics). I criteri supportati sono:
Vincoli dei criteri dell'organizzazione, inclusi i vincoli personalizzati
I rilevatori di Security Health Analytics, inclusi i moduli personalizzati
Deployment della postura: dopo aver creato una postura, esegui il deployment in modo da poterla applicare all'organizzazione, alle cartelle o ai progetti che vuoi gestire utilizzandola.
Il seguente diagramma mostra i componenti di un esempio di postura di sicurezza.
Modelli di postura predefiniti
Il servizio di configurazione di sicurezza include modelli di configurazione predefiniti che rispettano uno standard di conformità o uno standard consigliato da Google, come i consigli del blueprint Enterprise Foundations. Puoi utilizzare questi modelli per creare posture di sicurezza applicabili alla tua attività. La seguente tabella descrive i modelli di postura.
| Modello di postura | Nome modello | Descrizione |
|---|---|---|
| La sicurezza per impostazione predefinita, gli elementi essenziali | secure_by_default_essential |
Questo modello implementa i criteri che aiutano a prevenire gli errori di configurazione e i problemi di sicurezza più comuni causati dalle impostazioni predefinite. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Sicuro per impostazione predefinita, esteso | secure_by_default_extended |
Questo modello implementa i criteri che aiutano a prevenire gli errori di configurazione e i problemi di sicurezza più comuni causati dalle impostazioni predefinite. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Consigli per l'IA sicura, elementi essenziali | secure_ai_essential |
Questo modello implementa criteri che ti aiutano a proteggere i carichi di lavoro Gemini e Vertex AI. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli di IA sicura, estesi | secure_ai_extended |
Questo modello implementa criteri che ti aiutano a proteggere i carichi di lavoro Gemini e Vertex AI. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Suggerimenti BigQuery, elementi essenziali | big_query_essential |
Questo modello implementa criteri che ti aiutano a proteggere BigQuery. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli e informazioni essenziali su Cloud Storage | cloud_storage_essential |
Questo modello implementa criteri che ti aiutano a proteggere Cloud Storage. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli estesi per Cloud Storage | cloud_storage_extended |
Questo modello implementa criteri che ti aiutano a proteggere Cloud Storage. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Consigli e informazioni essenziali su VPC | vpc_networking_essential |
Questo modello implementa criteri che ti aiutano a proteggere Virtual Private Cloud (VPC). Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli VPC estesi | vpc_networking_extended |
Questo modello implementa criteri che ti aiutano a proteggere la VPC. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Consigli per il benchmark v2.0.0 della piattaforma di cloud computing Google Cloud del Center for Internet Security (CIS) | cis_2_0 |
Questo modello implementa criteri che ti aiutano a rilevare quando il tuo ambiente Google Cloud non è in linea con il benchmark della piattaforma di calcolo Google Cloud CIS v2.0.0. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli standard NIST SP 800-53 | nist_800_53 |
Questo modello implementa criteri che ti aiutano a rilevare quando il tuo ambiente Google Cloud non è in linea con lo standard SP 800-53 del National Institute of Standards and Technology (NIST). Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli sullo standard ISO 27001 | iso_27001 |
Questo modello implementa criteri che ti aiutano a rilevare quando il tuo ambiente Google Cloud non è in linea con lo standard International Organization for Standards (ISO) 27001. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli relativi allo standard PCI DSS | pci_dss_v_3_2_1 |
Questo modello implementa criteri che ti aiutano a rilevare quando il tuo ambiente Google Cloud non è in linea con la versione 3.2.1 e 1.0 del Payment Card Industry Data Security Standard (PCI DSS). Puoi eseguire il deployment di questo modello senza apportare modifiche. |
Esegui il deployment delle posture e monitora la deriva
Per applicare una postura con tutti i relativi criteri a una risorsa Google Cloud, devi eseguire il deployment della postura. Puoi specificare a quale livello della gerarchia delle risorse (organizzazione, cartella o progetto) si applica la postura. Puoi eseguire il deployment di una sola postura per ogni organizzazione, cartella o progetto.
Le posture vengono ereditate dalle cartelle e dai progetti secondari. Pertanto, se esegui il deployment delle postazioni a livello di organizzazione e di progetto, tutti i criteri all'interno di entrambe le postazioni si applicano alle risorse del progetto. Se esistono differenze nelle definizioni dei criteri (ad esempio, un criterio è impostato su Consenti a livello di organizzazione e su Nega a livello di progetto), la posizione di livello inferiore viene utilizzata dalle risorse del progetto.
Come best practice, ti consigliamo di implementare una strategia a livello di organizzazione che includa criteri che possono essere applicati all'intera attività. Puoi poi applicare criteri più stringenti alle cartelle o ai progetti che li richiedono. Ad esempio, se utilizzi il blueprint Enterprise Foundations per configurare l'infrastruttura, crei determinati progetti (ad esempio prj-c-kms) appositamente per contenere le chiavi di crittografia per tutti i progetti in una cartella. Puoi utilizzare una posizione di sicurezza per impostare il vincolo delle norme dell'organizzazione
constraints/gcp.restrictCmekCryptoKeyProjects
sulle cartelle common e sulle cartelle dell'ambiente
(development, nonproduction e production) in modo che tutti i progetti utilizzino solo
le chiavi dei progetti principali.
Dopo aver implementato la postura, puoi monitorare l'ambiente per rilevare eventuali deviazioni dalla postura definita. Security Command Center registra le istanze di deriva come risultati che puoi esaminare, filtrare e risolvere. Inoltre, puoi esportare questi risultati nello stesso modo in cui esporti qualsiasi altro risultato da Security Command Center. Per ulteriori informazioni, vedi Opzioni di integrazione e Esportazione dei dati di Security Command Center.
Utilizzare le posture di sicurezza con Vertex AI e Gemini
Puoi utilizzare le security posture per mantenere la sicurezza dei tuoi carichi di lavoro di AI. Il servizio di analisi della posizione di sicurezza include quanto segue:
Modelli di posture predefinite specifici per i carichi di lavoro di AI.
Un riquadro nella pagina Panoramica che consente di monitorare le vulnerabilità rilevate dai moduli personalizzati di Security Health Analytics che si applicano all'IA e di visualizzare eventuali deviazioni dai criteri dell'organizzazione Vertex AI definiti in una posizione.
Utilizzare il servizio di security posture con AWS
Se colleghi Security Command Center Enterprise ad AWS per il rilevamento delle vulnerabilità, il servizio Security Health Analytics include rilevatori integrati che possono monitorare il tuo ambiente AWS e creare risultati.
Quando crei o modifichi un file di analisi della posizione, puoi includere i rilevatori di Security Health Analytics specifici per AWS. Devi eseguire il deployment di questo file di analisi a livello di organizzazione.
Limiti del servizio di security posture
Il servizio di analisi della posizione di sicurezza include i seguenti limiti:
- Un massimo di 100 posture in un'organizzazione.
- Un massimo di 400 criteri in una postura.
- Un massimo di 1000 implementazioni di posture in un'organizzazione.