Einhaltung von Sicherheitsstandards bewerten und melden

Security Command Center überwacht Ihre Compliance mit Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards zugeordnet sind.

Für jeden unterstützten Sicherheitsstandard prüft Security Command Center eine Teilmenge der Kontrollen. Für die geprüften Steuerelemente zeigt Security Command Center an, wie viele bestanden wurden. Für die Kontrollen, die nicht bestanden wurden, zeigt Security Command Center eine Liste von Ergebnissen an, in denen die Kontrollfehler beschrieben werden.

CIS prüft und zertifiziert die Zuordnungen von Security Command Center-Detektoren zu jeder unterstützten Version des CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.

Security Command Center unterstützt regelmäßig neue Benchmark-Versionen und ‑Standards. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten unterstützten Standard zu verwenden.

Mit dem Dienst für den Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie die Umgebung auf Änderungen überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Unterstützte Sicherheitsstandards

Google Cloud

Security Command Center ordnet Detektoren für Google Cloud einem oder mehreren der folgenden Compliancestandards zu:

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
• CIS Kubernetes Benchmark v1.5.1
• Cloud Controls Matrix (CCM) 4
• US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
• ISO 27001 (International Organization for Standardization), 2022 und 2013
• National Institute of Standards and Technology (NIST) 800-53 R5 und R4
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Open Web Application Security Project (OWASP) Top Ten, 2021 und 2017
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
• System and Organization Controls (SOC) 2 Trust Services Criteria (TSC) von 2017

AWS

Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zu:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls, Version 8.0
• Cloud Controls Matrix (CCM) 4
• US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
• ISO 27001, 2022
• National Institute of Standards and Technology (NIST) 800-53 R5
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
• System and Organization Controls (SOC) 2 Trusted Services Criteria (TSC) von 2017

Detektoren und Ergebnisse als Compliance-Kontrollen

Security Command Center-Erkennungsdienste wie Security Health Analytics und Web Security Scanner verwenden Erkennungsmodule (Detektoren), um Ihre Cloud-Umgebung auf Sicherheitslücken und Fehlkonfigurationen zu prüfen.

Wenn eine Sicherheitslücke gefunden wird, generiert der Detektor ein Ergebnis. Ein Ergebnis ist ein Datensatz einer Sicherheitslücke oder eines anderen Sicherheitsproblems, der Informationen wie die folgenden enthält:

• Eine Beschreibung der Sicherheitslücke

• Eine Empfehlung zur Behebung der Sicherheitslücke, die die Kontrolle in Einklang bringt

• Die numerische ID der Kontrollmaßnahme, die dem Ergebnis entspricht

• Empfohlene Schritte zur Behebung der Sicherheitslücke

Nicht alle Kontrollen in einem Standard können Security Command Center-Ergebnissen zugeordnet werden. Das liegt in der Regel daran, dass bestimmte Kontrollen nicht automatisiert werden können, aber möglicherweise auch an anderen Gründen. Daher ist die Gesamtzahl der Kontrollen, die von Security Command Center geprüft werden, in der Regel geringer als die Gesamtzahl der Kontrollen, die in einem Standard definiert sind.

CIS überprüft und zertifiziert die Zuordnungen von Security Command Center-Detektoren zu jeder unterstützten Version des CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.

Weitere Informationen zu den Ergebnissen der Security Health Analytics und des Web Security Scanner sowie der Zuordnung zwischen unterstützten Detektoren und Compliance-Standards finden Sie unter Ergebnisse zu Sicherheitslücken.

Compliance in Ihrer Cloud-Umgebung bewerten

Auf einen Blick sehen Sie, wie konform Ihre Cloud-Umgebung mit einem bestimmten Sicherheitsstandard ist:

• Die Seite Compliance in der Google Cloud Console.
• Die Seite Risiko > Übersicht in der Security Operations Console. Auf dieser Seite finden Sie eine Übersicht der wichtigsten Risiken, die in Ihren Cloud-Umgebungen gefunden wurden, einschließlich Compliance-Risiken.

Für jeden Sicherheitsstandard wird ein Prozentsatz angezeigt, der angibt, wie viele der zugehörigen Steuerelemente im ausgewählten Bereich (Organisation, Ordner oder Projekt) bestanden haben.

Wo Security Command Center aktiviert wurde, wirkt sich darauf aus, was angezeigt wird:

• Auf Projektebene: Sie können nur die Compliance-Statistiken des aktivierten Projekts aufrufen. Wenn Sie in der Google Cloud -Konsole zu einem Ordner oder einer Organisation wechseln, zu der das Projekt gehört, wird die Seite Compliance nicht angezeigt.

• Auf Organisationsebene: Wenn Sie in der Google Cloud Konsole zur aktivierten Organisation wechseln, werden auf der Seite Compliance Compliance-Statistiken für die gesamte Organisation angezeigt, einschließlich der zugehörigen Ordner und Projekte.

  Wenn Sie Compliance-Statistiken für einzelne Ordner und Projekte in dieser Organisation aufrufen möchten, wechseln Sie in der Google Cloud Console zu dieser Ressourcenebene.

Compliance-Berichte werden täglich erstellt. Berichte können bis zu 24 Stunden alt sein und fehlen möglicherweise, wenn sie nicht generiert werden konnten.

Compliance in der Google Cloud -Konsole prüfen

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie das Projekt, den Ordner oder die Organisation aus, für die Sie die Compliance-Informationen aufrufen möchten.

3. Klicken Sie auf einer der Standardkarten auf Details ansehen, um die Seite Compliance-Details zu öffnen.

Auf dieser Seite haben Sie folgende Möglichkeiten:

• Sehen Sie sich die Einhaltung des ausgewählten Standards an einem bestimmten Datum an.

• Sie können den Compliance-Standard wechseln, für den Sie die Details aufrufen.

• Exportieren Sie einen Bericht mit den Compliance-Details in eine CSV-Datei.

• Mit einem Trenddiagramm können Sie den Compliance-Fortschritt im Zeitverlauf verfolgen.

• Maximieren Sie die Steuerelemente für Sicherheitsstandards, um die zugehörigen Regeln und den Schweregrad der Regeln aufzurufen.

• Klicken Sie auf Regeln, um Ergebnisse für nicht konforme Ressourcen aufzurufen und Probleme gegebenenfalls zu beheben. Informationen zum Beheben von Ergebnissen finden Sie unter Ergebnisse von Security Health Analytics beheben und Ergebnisse von Web Security Scanner beheben.