評估並報告安全標準的遵循情形

Security Command Center 會監控您是否符合各種安全標準的控制項，並將偵測工具對應至這些控制項。

針對每個支援的安全性標準，Security Command Center 會檢查部分控制項。Security Command Center 會顯示通過檢查的控制項數量。對於未通過的控制項，Security Command Center 會顯示說明控制項失敗的發現項目清單。

CIS 會審查並認證 Security Command Center 偵測工具與各個支援版本的 CIS Google Cloud 基礎基準的對應關係。僅供參考的其他法規遵循對應。

Security Command Center 會定期新增對新基準版本和標準的支援。舊版仍會受到支援，但最終會遭到淘汰。建議您使用支援的最新基準或標準。

透過安全性狀態服務，您可以將機構政策和安全性狀態分析偵測器，對應至適用於貴商家的標準和控制項。建立安全狀態後，您可以監控環境中的任何變更，以免影響貴商家的法規遵循狀態。

支援的安全標準

Google Cloud

Security Command Center 會將偵測工具對應至下列一或多項法規遵循標準： Google Cloud

• 資訊安全中心 (CIS) Controls 8.0
• CIS Google Cloud 運算基礎基準 2.0.0 版、1.3.0 版、1.2.0 版、1.1.0 版和 1.0.0 版
• CIS Kubernetes 基準政策 v1.5.1
• Cloud Controls Matrix (CCM) 4
• 健康保險流通與責任法案 (HIPAA)
• 國際標準化組織 (ISO) 27001 (2022 年和 2013 年版)
• 國家標準暨技術研究院 (NIST) 800-53 R5 和 R4
• 美國國家標準暨技術研究院 (NIST) 網路安全架構 (CSF) 1.0 版
• 開放式網頁應用程式安全計畫 (OWASP) 前十大漏洞，2021 年和 2017 年
• 支付卡產業資料安全標準 (PCI DSS) 4.0 和 3.2.1
• 系統與機構控管 (SOC) 2 2017 年信任服務標準 (TSC)

AWS

Security Command Center 會將 Amazon Web Services (AWS) 的偵測工具對應至下列一或多項法規遵循標準：

• CIS Amazon Web Services Foundations 2.0.0
• CIS 重要安全控制措施 8.0 版
• Cloud Controls Matrix (CCM) 4
• 健康保險流通與責任法案 (HIPAA)
• 國際標準化組織 (ISO) 27001，2022 年
• 美國國家標準暨技術研究院 (NIST) 800-53 R5
• 美國國家標準暨技術研究院 (NIST) 網路安全架構 (CSF) 1.0
• 支付卡產業資料安全標準 (PCI DSS) 4.0 和 3.2.1
• 系統與機構控管 (SOC) 2 2017 年信任服務標準 (TSC)

偵測工具和發現項目做為法規遵循控制項

Security Health Analytics 和 Web Security Scanner 等 Security Command Center 偵測服務會使用偵測模組 (偵測器)，檢查雲端環境中的安全漏洞和設定錯誤。

偵測工具發現安全漏洞時，會產生發現項目。發現結果是安全漏洞或其他安全性問題的記錄，包含下列資訊：

• 安全漏洞說明

• 解決安全漏洞的建議，可讓控制項符合規範

• 與調查結果相符的控制項數值 ID

• 修復安全漏洞的建議步驟

標準中的並非所有控制項都能對應至 Security Command Center 發現項目，通常是因為某些控制項無法自動化，但也可能是其他原因。因此，Security Command Center 檢查的控制項總數，通常會少於標準定義的控制項總數。

CIS 會審查並認證 Security Command Center 偵測工具與各個支援版本的 CIS Google Cloud 基礎基準的對應關係。額外的法規遵循對應僅供參考。

如要進一步瞭解安全狀態分析和 Web Security Scanner 發現項目，以及支援的偵測器與法規遵循標準之間的對應關係，請參閱「安全漏洞發現項目」。

評估雲端環境的法規遵循情況

您可以在下列位置一目瞭然地查看雲端環境是否符合特定安全標準：

• Google Cloud 控制台的「法規遵循」頁面。
• Security Operations 控制台的「風險」>「總覽」頁面。這個頁面會顯示雲端環境中發現的主要風險，包括法規遵循情況。

每個安全標準都會顯示百分比，指出所選範圍 (組織、資料夾或專案層級) 內有多少個構成控制項獲得及格分數。

Security Command Center 的啟用位置會影響顯示內容：

• 專案層級：您只能查看已啟用專案的法規遵循統計資料。如果您在 Google Cloud 控制台中切換至專案所屬的資料夾或機構，系統就不會顯示「法規遵循」頁面。

• 機構層級：如果您在 Google Cloud 控制台中切換至已啟用的機構，則「法規遵循」頁面會顯示整個機構 (包括資料夾和專案) 的法規遵循統計資料。

  如要查看該機構內個別資料夾和專案的法規遵循統計資料，請在 Google Cloud 控制台中切換至該資源層級。

系統每天都會產生法規遵循報表。報表最多可能會有 24 小時的延遲，如果無法產生，報表可能會遺失。

在 Google Cloud 控制台中評估合規情形

1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

   前往「法規遵循」資訊主頁

2. 選取要查看合規狀態的專案、資料夾或機構。

3. 按一下其中一個標準資訊卡中的「查看詳細資料」，開啟「法規遵循詳細資料」頁面。

您可以在這個頁面執行下列操作：

• 查看特定日期的所選標準遵循情形。

• 切換要查看詳細資料的法規遵循標準。

• 將法規遵循詳細資料報表匯出為 CSV 檔案。

• 使用趨勢圖追蹤一段時間內的法規遵循進度。

• 展開安全標準控制項，即可查看其組成規則和規則嚴重程度。

• 按一下規則，即可查看不符規定的資源，並視需要修正問題。如要瞭解如何修正發現項目，請參閱「修正安全性狀態分析發現項目」和「修正 Web Security Scanner 發現項目」。