Con Security Command Center, puedes evaluar, mejorar y generar informes sobre el cumplimiento de tus recursos en Google Cloud con estándares comunes de seguridad y comparativas (en conjunto, estándares de seguridad).
Evalúa el cumplimiento
Puedes ver a simple vista qué tan conforme está tu entorno de nube con una determinada estándar de seguridad en la página Cumplimiento en la Consola de Google Cloud
La página Cumplimiento muestra todos los estándares de seguridad que Security Command Center admite, así como el nivel de cumplimiento que cumples con cada estándar.
El grado de cumplimiento se mide por la cantidad de recomendaciones o controles. de un estándar determinado con el que se cumple, que se muestra como un porcentaje de la cantidad total de controles que Security Command Center evalúa para el estándar. Si Security Command Center no encuentra vulnerabilidades ni parámetros de configuración incorrectos (en conjunto, vulnerabilidades) para un control en particular, el control es pasar.
Servicios de detección de vulnerabilidades de Security Command Center, como Security Health Analytics y Web Security Scanner, supervisan los controles en función de una asignación de mejor esfuerzo entre los detectores de los servicios y los controles de un estándar.
Evaluar el cumplimiento de un estándar específico
Para cada estándar, puedes abrir la página Detalles de cumplimiento para consultar detalles adicionales sobre los controles que Security Command Center verifica para el estándar, la cantidad de infracciones que se detectaron para cada control y la opción de exportarás un informe de cumplimiento para el estándar.
Para ordenar la lista de reglas, haga clic en los encabezados de las columnas, incluidas Controles, que ordena la lista según el número del control Si una regla corresponde a varios controles; el orden por número de control ordena la regla el número de control más bajo.
Para ver los hallazgos activos de Security Command Center que corresponden a un regla o control, en la columna Reglas, haz clic en el nombre de la regla. Los resultados página abierta y muestra los hallazgos filtrados por la categoría que se corresponde con la regla.
Para obtener una descripción general de cómo Security Command Center admite la administración del cumplimiento, consulta Administra y supervisa el cumplimiento.
Revisa los hallazgos en busca de incumplimientos de cumplimiento
Para ver los resultados individuales de cada control, en Detalle de cumplimiento haz clic en el nombre de la regla. Se abre la página Hallazgos y se muestran los hallazgos para el control.
Para ver detalles sobre un hallazgo en particular, incluidas recomendaciones sobre cómo para solucionar el problema, en la página Hallazgos, haz clic en el nombre de la Category.
Para obtener más información sobre cómo solucionar los resultados, consulta Cómo solucionar los resultados de las estadísticas del estado de la seguridad y Cómo solucionar los resultados de Web Security Scanner.
Genera informes sobre el cumplimiento
En la página Detalles de cumplimiento de un estándar de cumplimiento en particular, puedes hacer lo siguiente: exportarás un informe de cumplimiento del estándar como un archivo CSV.
Los informes incluyen la información que se muestra en la página Detalles de cumplimiento y proporcionan un vínculo claro entre cada control estándar y su regla y categoría de resultados correspondientes de Security Command Center. La gravedad de cada hallazgo categoría.
El informe es un resumen de un momento determinado del grado de cumplimiento de tu entorno de nube. corresponde a un estándar en particular en la fecha que especifiques.
Los informes de cumplimiento de Security Command Center no reemplazan auditorías, pero puede ayudarte a mantener tu estado de cumplimiento y detectar incumplimientos desde el principio.
Establece el alcance de un informe de cumplimiento
Security Command Center determina automáticamente el alcance de los informes de cumplimiento al proyecto organización o carpeta que selecciones en la parte superior de la página en el Consola de Google Cloud Por ejemplo, si tu vista de la consola de Google Cloud está configurada para un proyecto, el informe de cumplimiento solo incluirá los resultados de ese proyecto.
Si Security Command Center está activo a nivel de la organización y la vista está configurada a una organización, el informe de cumplimiento incluye los hallazgos de todo de tu organización, incluidos todos los proyectos que contiene. Si Security Command Center está activo a nivel de proyecto y seleccionas una organización o carpeta, el No se muestra la página Cumplimiento.
Exporta un informe de cumplimiento
Para exportar un informe de cumplimiento desde la consola de Google Cloud, necesitas
Rol de visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer).
Para exportar un informe en formato CSV que reúna los resultados de los incumplimientos de una política estándar de cumplimiento, sigue estos pasos:
Ve a la página Cumplimiento en la consola de Google Cloud:
Usa el selector de proyectos de la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización de la que deseas ver un informe de cumplimiento.
En la página Cumplimiento, busca el estándar del que necesitas un informe.
Junto al nombre del estándar, haz clic en Ver detalles. El Detalles de cumplimiento se abre esta página.
En la página Detalle de cumplimiento, haz clic en Exportar informe. El Se abrirá la página Exportar informe de cumplimiento.
En la página Exportar informe de cumplimiento, selecciona la fecha para la que necesitas el informe. El informe es un resumen del cumplimiento de esa fecha.
Haz clic en Exportar. El informe se descargará en tu estación de trabajo como un archivo CSV.
Cómo se asignan los detectores y los resultados a los controles de cumplimiento
Los servicios de detección de Security Command Center, como Security Health Analytics y Web Security Scanner, usan módulos de detección (detectores) para verificar vulnerabilidades y parámetros de configuración incorrectos en tu entorno de nube.
Cuando se encuentra una vulnerabilidad, el detector genera un hallazgo. Un hallazgo es un registro de una vulnerabilidad o cualquier otro problema de seguridad que incluya información como los siguientes:
Una descripción de la vulnerabilidad
Una recomendación para abordar la vulnerabilidad que llevaría el control al cumplimiento
El ID numérico del control que corresponde al resultado
Pasos recomendados para solucionar la vulnerabilidad
No todos los controles de un estándar se pueden asignar a los hallazgos de Security Command Center, generalmente porque algunos controles no se pueden automatizar, pero tal vez para otros y otras razones. En consecuencia, la cantidad total de controles que Security Command Center que comprueba suele ser menor que la cantidad total de controles que define.
CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la CIS para Google Cloud Foundations Benchmark. Las asignaciones de cumplimiento adicionales se incluyen solo como referencia.
Para obtener más información sobre los resultados de Security Health Analytics y Web Security Scanner, y la asignación entre detectores admitidos y estándares de cumplimiento, consulta hallazgos de vulnerabilidades.
Estándares y comparativas admitidos
Security Command Center el cumplimiento con detectores asignados a los controles de una amplia varios estándares de seguridad.
Para cada estándar de seguridad admitido, Security Command Center verifica un subconjunto de los controles. En el caso de los controles marcados, Security Command Center te muestra cuántos están aprobados. Para el que no se aprueban, Security Command Center te muestra una lista de los hallazgos y describir las fallas de control.
CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la comparativa CIS Google Cloud Foundations. Cumplimiento adicional las asignaciones se incluyen solo como referencia.
Security Command Center agrega compatibilidad periódicamente con nuevos estándares y versiones de comparativas. Más antigua siguen siendo compatibles, pero con el tiempo quedan obsoletos. Te recomendamos que uses las comparativas o los estándares más recientes disponibles.
Con el servicio de posición de seguridad, puedes asignar las políticas de la organización y los detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Luego de crear una postura de seguridad, puedes supervisar sobre cualquier cambio en el entorno que pueda afectar el cumplimiento de la empresa.
Para obtener más información sobre la administración del cumplimiento, consulta Evalúa y informa el cumplimiento de los estándares de seguridad.
Estándares de seguridad compatibles con Google Cloud
Security Command Center asigna detectores de Google Cloud a uno o más de los siguientes tipos de cumplimiento estándares:
- Centro para la Seguridad de la Información (CIS) Controles 8.0
- CIS para Google Cloud Comparativa de las bases de computación v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativa de CIS para Kubernetes v1.5.1
- Controles de Cloud Matriz (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- Instituto Nacional de Normas y Tecnología (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Proyecto abierto de seguridad para aplicaciones web (OWASP) Top 10, 2021 y 2017
- Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Controles de sistemas y de la organización (SOC) 2 Criterios de servicios de confianza (TSC) de 2017
Estándares de seguridad compatibles con AWS
Security Command Center asigna detectores de Amazon Web Services (AWS) a una o más de las siguientes instancias de cumplimiento estándares:
- CIS para Amazon Web Services Foundations 2.0.0
- Controles de CIS 8.0
- CCM 4
- HIPAA
- ISO 27001‐2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 y 3.2.1
- SOC 2 2017 TSC