Security Command Center überwacht Ihre Compliance mithilfe von Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards zugeordnet sind.
Für jeden unterstützten Sicherheitsstandard wird in Security Command Center eine Teilmenge der Steuerelemente geprüft. Für die aktivierten Steuerelemente sehen Sie im Security Command Center, wie viele davon bestanden haben. Für die Kontrollen, die nicht bestanden haben, wird in Security Command Center eine Liste mit Ergebnissen angezeigt, die die Kontrollfehler beschreiben.
Das CIS prüft und zertifiziert die Zuordnungen der Security Command Center-Detektoren zu den einzelnen unterstützten Versionen des CIS Google Cloud Foundations Benchmarks. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.
In Security Command Center werden regelmäßig neue Benchmarkversionen und -standards unterstützt. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, den neuesten unterstützten Benchmark oder Standard zu verwenden.
Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.
Unterstützte Sicherheitsstandards
Google Cloud
In Security Command Center werden Detektoren für Google Cloud einem oder mehreren der folgenden Compliance-Standards zugeordnet:
- CIS Controls 8.0 (Center for Information Security)
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix (CCM) 4
- US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- ISO 27001, 2022 und 2013 (International Organization for Standardization)
- National Institute of Standards and Technology (NIST) 800-53 R5 und R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 und 2017
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
In Security Command Center werden Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zugeordnet:
Zuordnung von Detektoren und Ergebnissen zu Compliance-Kontrollen
Security Command Center-Erkennungsdienste wie Security Health Analytics und Web Security Scanner verwenden Erkennungsmodule (Detektoren), um Ihre Cloud-Umgebung auf Sicherheitslücken und Fehlkonfigurationen zu prüfen.
Wenn eine Sicherheitslücke gefunden wird, generiert der Detektor ein Ergebnis. Ein Ergebnis ist ein Eintrag zu einer Sicherheitslücke oder einem anderen Sicherheitsproblem, der folgende Informationen enthält:
Eine Beschreibung der Sicherheitslücke
Eine Empfehlung zur Behebung der Sicherheitslücke, die die Einhaltung der Kontrollvorschrift ermöglicht
Die numerische ID der Einstellung, die dem Ergebnis entspricht
Empfohlene Schritte zur Behebung der Sicherheitslücke
Nicht alle Steuerelemente in einem Standard können den Ergebnissen von Security Command Center zugeordnet werden. In der Regel liegt das daran, dass bestimmte Steuerelemente nicht automatisiert werden können, aber möglicherweise auch aus anderen Gründen. Daher ist die Gesamtzahl der Kontrollen, die im Security Command Center geprüft werden, in der Regel geringer als die Gesamtzahl der Kontrollen, die in einem Standard definiert sind.
Das CIS prüft und zertifiziert die Zuordnungen der Security Command Center-Detektoren zu jeder unterstützten Version des CIS Google Cloud Foundations Benchmarks. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.
Weitere Informationen zu den Ergebnissen der Security Health Analytics und des Web Security Scanner sowie der Zuordnung zwischen unterstützten Detektoren und Compliance-Standards finden Sie unter Ergebnisse zu Sicherheitslücken.
Compliance prüfen
Auf der Seite Compliance in der Google Cloud Console sehen Sie auf einen Blick, inwiefern Ihre Cloud-Umgebung einem bestimmten Sicherheitsstandard entspricht. Für jeden Sicherheitsstandard wird ein Prozentsatz angezeigt, der angibt, wie viele der zugehörigen Steuerelemente im ausgewählten Umfang eine ausreichende Note erhalten haben, sei es auf Organisations-, Ordner- oder Projektebene.
Wo Security Command Center aktiviert wurde, wirkt sich auf die angezeigten Daten aus:
Auf Projektebene: Sie können nur die Compliance-Statistiken des aktivierten Projekts aufrufen. Wenn Sie in der Google Cloud Console zu einem Ordner oder einer Organisation wechseln, zu der das Projekt gehört, wird die Seite Compliance nicht angezeigt.
Auf Organisationsebene: Wenn Sie in der Google Cloud Console zur aktivierten Organisation wechseln, werden auf der Seite Compliance Compliance-Statistiken für die gesamte Organisation einschließlich ihrer Ordner und Projekte angezeigt.
Wenn Sie Compliance-Statistiken für einzelne Ordner und Projekte innerhalb dieser Organisation aufrufen möchten, wechseln Sie in der Google Cloud Console zu dieser Ressourcenebene.
Compliance-Berichte werden täglich erstellt. Berichte können bis zu 24 Stunden alt sein und fehlen möglicherweise, wenn sie nicht erstellt werden konnten.
Compliance anhand eines bestimmten Standards bewerten
Rufen Sie in der Google Cloud Console die Seite Compliance auf.
Wählen Sie das Projekt, den Ordner oder die Organisation aus, für die Sie die Compliance-Daten aufrufen möchten.
Klicken Sie auf einer der Standardskarten auf Details ansehen, um die Seite Compliance-Details zu öffnen.
Auf dieser Seite haben Sie folgende Möglichkeiten:
Sie können sich die Einhaltung des ausgewählten Standards für ein bestimmtes Datum ansehen.
Wechseln Sie den Compliance-Standard, für den Sie die Details aufrufen möchten.
Sie können einen Bericht mit den Compliance-Details in eine CSV-Datei exportieren.
Mit einem Trenddiagramm den Fortschritt bei der Einhaltung der Richtlinien im Zeitverlauf verfolgen
Maximieren Sie die Sicherheitsstandardsteuerungen, um die zugehörigen Regeln und die Regelschwere aufzurufen.
Klicken Sie auf Regeln, um Ergebnisse für nicht konforme Ressourcen aufzurufen und gegebenenfalls Probleme zu beheben. Informationen zur Behebung von Ergebnissen finden Sie unter Ergebnisse von Security Health Analytics beheben und Ergebnisse von Web Security Scanner beheben.