本頁說明如何為 Google Cloud 專案啟用 Security Command Center 標準或進階方案。
如要為整個機構啟用 Security Command Center,請參閱下列其中一篇文章:
必要條件
如要在專案中啟用 Security Command Center,您需要下列先決條件,詳情請參閱下列小節:
- 請先閱讀必要條件資訊,瞭解在專案層級啟用 Security Command Center 與在機構層級啟用有何不同。
- 您必須擁有與機構建立關聯的 Google Cloud 專案。
- 您的使用者帳戶必須獲得包含必要權限的身分與存取權管理 (IAM) 角色。
- 如果專案繼承的組織政策設為依網域限制身分,使用者和服務帳戶必須位於允許的網域中。
- 如要使用 Container Threat Detection,Google Kubernetes Engine 叢集必須支援這項功能。
必要資訊
如要瞭解在專案層級啟用 Security Command Center 與在機構層級啟用有何不同,請參閱在專案層級啟用 Security Command Center 的總覽。
如要瞭解專案層級啟用作業不支援的服務和 Security Command Center 發現項目,請參閱「專案層級啟用作業的服務限制」。
專案需求
如要為專案啟用 Security Command Center,專案必須與機構建立關聯。如需建立專案,請參閱「建立與管理專案」。
執行這項工作所需的 IAM 角色
如要設定 Security Command Center,您需要在啟用 Security Command Center 的專案中,將下列 IAM 角色授予使用者帳戶:
- 安全中心管理員
roles/securitycenter.admin - 安全管理員
roles/iam.securityAdmin - 除非機構層級啟用時已建立必要的 Security Command Center 服務帳戶,否則請建立服務帳戶
roles/iam.serviceAccountCreator
進一步瞭解 Security Command Center 角色。
驗證機構政策
如果專案沿用設為「依照網域設定身分限制」的機構政策,您必須符合下列規定:
- 您必須登入允許網域中的帳戶,才能使用 Google Cloud 控制台。
- 服務帳戶必須位於允許的網域中,或是您網域中群組的成員。啟用網域限制共用功能後,您必須符合這項規定,才能允許
@*.gserviceaccount.com服務存取資源。
確認 Container Threat Detection 的軟體版本
如果您打算搭配 Google Kubernetes Engine (GKE) 使用容器威脅偵測功能,請確保叢集使用受支援的 GKE 版本,並正確設定叢集。詳情請參閱「使用 Container Threat Detection」。
專案的啟用情境
本頁面涵蓋下列啟用情境:
- 如果機構從未啟用 Security Command Center,請為專案啟用 Security Command Center Premium 或 Standard 方案。
- 在採用 Standard 方案的機構中,為專案啟用 Security Command Center Premium 方案。
- 在採用即將到期 Premium 級方案訂閱的機構中,為專案啟用 Security Command Center 的 Premium 級方案。
視貴機構是否使用 Security Command Center 而定,您可以使用不同方法為專案啟用 Security Command Center。
如果貴機構未使用 Security Command Center, Google Cloud 控制台會引導您完成一系列設定頁面。
如果貴機構使用 Security Command Center,請前往「設定」頁面的「方案詳細資料」分頁,為專案啟用 Security Command Center Premium。
判斷 Security Command Center 是否已在貴機構中啟用
為專案啟用 Security Command Center 的方式,取決於貴機構是否已啟用 Security Command Center。
如要檢查 Security Command Center 是否已在貴機構中啟用,請完成下列步驟:
在 Google Cloud 控制台中,前往 Security Command Center 的「Overview」(總覽) 頁面。
選取要啟用 Security Command Center 的專案名稱。
選取專案後,系統會開啟下列其中一個頁面:
- 如果貴機構已啟用 Security Command Center,系統會開啟「風險總覽」頁面。
- 如果尚未在機構中啟用 Security Command Center,系統會開啟「取得 Security Command Center」頁面,您可以在該頁面啟動專案的啟用程序。
如果貴機構已啟用 Security Command Center,請檢查目前啟用的服務層級。
開啟 Security Command Center 的「設定」頁面:
在「設定」頁面中,按一下「層級詳細資料」。「層級」頁面隨即開啟。
「層級」列會列出專案繼承的服務層級。
如要為專案啟用 Security Command Center,請按照父項機構中 Security Command Center 的啟用狀態,執行下列程序:
在組織中啟用 Security Command Center 時,為專案啟用
如果機構已啟用 Security Command Center,您只需要在專案層級啟用 Premium 服務方案,因為專案至少會沿用 Standard 方案。
如要查看各層級提供的功能,請參閱「服務層級」。
在機構中啟用 Security Command Center 後,請在Google Cloud 控制台中選取專案,然後在 Security Command Center 的「設定」頁面選取「進階」方案,即可開始專案層級的啟用程序。
在「設定」頁面開啟「層級詳細資料」分頁:
系統會先開啟專案選取頁面,再將您帶往「層級詳細資料」頁面。
選取專案。「層級詳細資料」頁面隨即開啟。
在層級詳細資料頁面中,按一下下列任一選項:
- 管理專案級別
- 訂閱 Premium
「管理級別」頁面隨即開啟。
在「管理方案」頁面中,選取「Premium」。
點選「下一步」。「服務」頁面隨即開啟。
在「服務」頁面中,視需要啟用或停用各項內建服務,方法是在列出的服務左側選單中選取下列任一值:
- 沿用 (預設項目)
- 啟用
- 停用
您已完成 Security Command Center 的啟用程序。接著,請等待初始掃描完成。
在機構中未啟用 Security Command Center 時,為專案啟用
如果貴機構未使用 Security Command Center,當您為專案啟用 Security Command Center 時,控制台會引導您完成一系列設定頁面。 Google Cloud
步驟 1:選取級別
如果 Security Command Center 未在貴機構中啟用,當您在 Google Cloud 控制台中開啟 Security Command Center 時,系統會顯示「取得 Security Command Center」頁面。選取方案即可開始啟用程序。
Security Command Center 分為 Standard、Premium 和 Enterprise 三個級別。您選取的級別會決定可使用的功能,以及使用 Security Command Center 的費用。您只能在機構層級啟用 Enterprise 級別。詳情請參閱「啟用 Security Command Center Enterprise 方案」。
如要查看各層級提供的功能,請參閱「服務層級」。
如要選取層級並啟動 Security Command Center,請完成下列步驟:
前往 Google Cloud 控制台中的 Security Command Center 總覽頁面。
選取要啟用 Security Command Center 的專案名稱。
選取專案後,Security Command Center 會開啟「取得 Security Command Center」頁面,您可以在該頁面選取級別,開始啟用程序。如果開啟 Security Command Center 控制台,表示 Security Command Center 已在您的機構或專案中啟用。
視所需服務而定,選取「進階」或「標準」級。
點選「下一步」。「選取服務」頁面隨即開啟。
在下一個部分中,選取要為專案啟用的內建服務。
步驟 2:選取服務
「選取服務」頁面會顯示 Security Command Center 的所有內建服務。
在「服務」頁面中,視需要啟用或停用各項內建服務,方法是在列出的服務左側選單中選取下列任一值:
- 繼承
- 啟用
- 停用
完成啟用程序後,請針對啟用的每項服務,查看該服務的說明文件,瞭解是否需要執行其他步驟。
點選「下一步」。「授予角色」頁面隨即開啟。
步驟 3:設定服務代理程式
首次啟用 Security Command Center 時, Google Cloud會自動為 Security Command Center 及其偵測服務建立 IAM 服務代理程式。
如以下程序所述,您會將 IAM 角色授予這些服務代理程式,提供 Security Command Center 及其偵測服務執行功能所需的權限。
在專案層級啟用 Security Command Center 時,如果機構尚未啟用 Security Command Center,系統會建立下列專案層級的服務代理程式:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com。 將securitycenter.serviceAgentIAM 角色授予這個服務帳戶。service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com。 將roles/containerthreatdetection.serviceAgentIAM 角色授予這個服務帳戶。
服務帳戶會包含專案編號,而非 PROJECT_NUMBER。
如要將 IAM 角色授予服務代理,請按照下列步驟操作:
(選用) 在「授予角色」頁面上,按一下「檢閱權限」,即可查看即將授予的角色和權限。
按一下「授予角色」,自動授予必要角色。
或者,您也可以手動授予角色,只要完成下列步驟即可:
- 按一下「替代方式:手動授予角色 (gcloud)」。
- 複製 gcloud CLI 指令。
- 在 Google Cloud 控制台工具列中,點選「啟用 Cloud Shell」。
- 在顯示的終端機視窗中,貼上您複製的 gcloud CLI 指令,然後按下 Enter 鍵。
點選「下一步」。「完成設定」頁面隨即開啟。
步驟 4:確認啟用
按照下列步驟啟用 Security Command Center:
- 在「完成設定」頁面,按一下「完成」。
設定完成後,Security Command Center 會開始進行初始資產掃描,之後您就可以使用控制台,查看及修正專案中的安全性和資料風險 Google Cloud。
部分服務可能需要稍候一段時間才會開始掃描。 如您所料,個別專案的服務延遲或掃描延遲通常比機構短,但大多數造成延遲的原因仍然適用。如要進一步瞭解延遲對機構的影響,請參閱「Security Command Center 延遲總覽」,進一步瞭解啟用程序。
在所有啟用情境中,最佳化及測試內建服務
啟用 Security Command Center 後,請參閱各項服務的說明文件,瞭解是否可以進一步測試或最佳化服務。
舉例來說,Event Threat Detection 依據的是Google Cloud產生的記錄。部分記錄檔一律會啟用,因此啟用 Event Threat Detection 後,系統就會立即開始掃描這些記錄檔。其他記錄 (例如大多數的資料存取稽核記錄) 必須先啟用,事件威脅偵測才能掃描。詳情請參閱「記錄類型和啟用規定」。
如要進一步瞭解如何測試及使用各項內建服務,請參閱下列頁面:
- 使用 Container Threat Detection
- 使用 Event Threat Detection
- 使用 Security Health Analytics
- 使用 Virtual Machine Threat Detection
- 使用 Web Security Scanner
後續步驟
進一步瞭解 Security Command Center 及其內建服務。
- 瞭解如何使用 Security Command Center 檢查資產、發現項目和安全漏洞。
- 瞭解Google Cloud 安全性來源。
- 瞭解如何將安全來源新增至 Security Command Center。