Security Command Center supervisa el cumplimiento con detectores que están asignados a los controles de una amplia variedad de estándares de seguridad.
Para cada estándar de seguridad admitido, Security Command Center verifica un subconjunto de los controles. En el caso de los controles que se marcaron, Security Command Center te muestra cuántos cumplen con los requisitos. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de hallazgos que describen las fallas de control.
CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la comparativa CIS Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo a modo de referencia.
Security Command Center agrega compatibilidad con nuevas versiones y estándares de comparativas de forma periódica. Las versiones anteriores siguen siendo compatibles, pero, con el tiempo, dejarán de serlo. Te recomendamos que uses la comparativa o el estándar compatibles más recientes disponibles.
Con el servicio de posición de seguridad, puedes asignar las políticas de la organización y los detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar si hay cambios en el entorno que podrían afectar el cumplimiento de tu empresa.
Estándares de seguridad admitidos
Google Cloud
Security Command Center asigna detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:
- Controles 8.0 del Center for Information Security (CIS)
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativas de CIS en Kubernetes 1.5.1
- Matriz de controles de la nube (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 y R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 y 2017
- Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Controles de sistemas y organizaciones (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
Security Command Center asigna detectores de Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:
Cómo se asignan los detectores y los resultados a los controles de cumplimiento
Los servicios de detección de Security Command Center, como Security Health Analytics y Web Security Scanner, usan módulos de detección (detectores) para verificar vulnerabilidades y parámetros de configuración incorrectos en tu entorno de nube.
Cuando se encuentra una vulnerabilidad, el detector genera un hallazgo. Un hallazgo es un registro de una vulnerabilidad o algún otro problema de seguridad que incluye información como la siguiente:
Una descripción de la vulnerabilidad
Una recomendación para abordar la vulnerabilidad que llevaría el control al cumplimiento
El ID numérico del control que corresponde al hallazgo
Pasos recomendados para corregir la vulnerabilidad
No todos los controles de un estándar se pueden asignar a los resultados de Security Command Center, por lo general, porque ciertos controles no se pueden automatizar, pero también por otros motivos. En consecuencia, la cantidad total de controles que verifica Security Command Center suele ser menor que la cantidad total de controles que define un estándar.
El CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la comparativa CIS Google Cloud Foundations. Las asignaciones de cumplimiento adicionales se incluyen solo a modo de referencia.
Para obtener más información sobre los resultados de las estadísticas del estado de seguridad y Web Security Scanner, y el mapeo entre los detectores compatibles y los estándares de cumplimiento, consulta Resultados de vulnerabilidades.
Evalúa el cumplimiento
Puedes ver de un vistazo el nivel de cumplimiento de tu entorno de nube con un estándar de seguridad determinado en la página Cumplimiento de la consola de Google Cloud. Cada estándar de seguridad muestra un porcentaje de cuántos de sus controles constituyentes reciben una calificación aprobatoria en el permiso seleccionado, ya sea a nivel de la organización, la carpeta o el proyecto.
El lugar donde se activó Security Command Center afecta lo que se muestra:
A nivel del proyecto: Solo puedes ver las estadísticas de cumplimiento del proyecto activado. Si cambias a una carpeta o organización a la que pertenece el proyecto en la consola de Google Cloud, no se mostrará la página Cumplimiento.
A nivel de la organización: Si cambias a la organización activada en la consola de Google Cloud, la página Cumplimiento muestra las estadísticas de cumplimiento de toda la organización, incluidas sus carpetas y proyectos.
Para ver las estadísticas de cumplimiento de carpetas y proyectos individuales dentro de esa organización, cambia a ese nivel de recursos en la consola de Google Cloud.
Los informes de cumplimiento se generan a diario. Los informes pueden estar inactivos durante 24 horas y es posible que falten si no se pudieron generar.
Evalúa el cumplimiento de un estándar específico
Ve a la página Cumplimiento en la consola de Google Cloud.
Selecciona el proyecto, la carpeta o la organización para la que deseas ver el cumplimiento.
Haz clic en Ver detalles en una de las tarjetas de estándares para abrir la página Detalles de cumplimiento.
En esta página, puedes hacer lo siguiente:
Consulta el cumplimiento del estándar seleccionado en una fecha determinada.
Cambia el estándar de cumplimiento de los detalles que quieres ver.
Exporta un informe de los detalles de cumplimiento a un archivo CSV.
Haz un seguimiento del progreso del cumplimiento a lo largo del tiempo con un gráfico de tendencias.
Expande los controles de seguridad estándar para ver sus reglas constituyentes y su gravedad.
Haz clic en las reglas para ver los resultados de los recursos que no cumplen con las normas y corregir los problemas cuando corresponda. Para obtener información sobre cómo solucionar los problemas, consulta Soluciona los problemas de las estadísticas del estado de seguridad y Soluciona los problemas de Web Security Scanner.