Évaluer et signaler la conformité aux normes de sécurité

Security Command Center surveille votre conformité à l'aide de détecteurs mappés aux contrôles d'une grande variété de normes de sécurité.

Pour chaque norme de sécurité compatible, Security Command Center vérifie un sous-ensemble de contrôles. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas conformes, Security Command Center affiche une liste de résultats décrivant les échecs de contrôle.

Le CIS examine et certifie les mises en correspondance des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mises en correspondance supplémentaires pour la conformité sont incluses à titre de référence uniquement.

Security Command Center ajoute régulièrement la compatibilité avec de nouvelles versions de benchmarks et de normes. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.

Le service de stratégie de sécurité vous permet de mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller les modifications apportées à l'environnement qui pourraient affecter la conformité de votre entreprise.

Normes de sécurité acceptées

Google Cloud

Security Command Center mappe les détecteurs pour Google Cloud avec une ou plusieurs des normes de conformité suivantes :

• CIS Controls 8.0 (Center for Information Security)
• Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
• Benchmark CIS de Kubernetes v1.5.1
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• Organisation internationale de normalisation (ISO) 27001, 2022 et 2013
• NIST (National Institute of Standards and Technology) 800-53 R5 et R4
• NIST (National Institute of Standards and Technology) Cybersecurity Framework (CSF) 1.0
• Top 10 de l'OWASP (Open Web Application Security Project), 2021 et 2017
• Normes PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
• Contrôles des systèmes et de l'organisation (SOC) 2 Critères des services de confiance (TSC) de 2017

AWS

Security Command Center mappe les détecteurs pour Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes :

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls version 8.0
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• Organisation internationale de normalisation (ISO) 27001, 2022
• National Institute of Standards and Technology (NIST) 800-53 R5
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Normes PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
• System and Organization Controls (SOC) 2 Critères de services fiables (TSC) 2017

Détecteurs et résultats en tant que contrôles de conformité

Les services de détection Security Command Center, tels que Security Health Analytics et Web Security Scanner, utilisent des modules de détection (détecteurs) pour rechercher les failles et les erreurs de configuration dans votre environnement cloud.

Lorsqu'une faille est détectée, le détecteur génère un résultat. Un résultat est un enregistrement d'une faille ou d'un autre problème de sécurité qui inclut des informations telles que les suivantes :

• Description de la faille

• Recommandation pour résoudre la vulnérabilité et rendre le contrôle conforme

• ID numérique du contrôle correspondant au résultat

• Procédure recommandée pour corriger la faille

Il n'est pas possible de mapper tous les contrôles d'une norme aux résultats Security Command Center, généralement parce que certains contrôles ne peuvent pas être automatisés, mais peut-être aussi pour d'autres raisons. Par conséquent, le nombre total de contrôles que Security Command Center vérifie est généralement inférieur au nombre total de contrôles qu'une norme définit.

Le CIS examine et certifie les mises en correspondance des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mises en correspondance supplémentaires pour la conformité sont incluses à titre de référence uniquement.

Pour en savoir plus sur les résultats de Security Health Analytics et de Web Security Scanner, ainsi que sur le mappage entre les détecteurs compatibles et les normes de conformité, consultez la page Résultats concernant les failles.

Évaluer la conformité dans votre environnement cloud

Vous pouvez voir en un coup d'œil la conformité de votre environnement cloud avec une norme de sécurité donnée aux emplacements suivants :

• La page Conformité de la console Google Cloud .
• Page Risque > Aperçu de la console Security Operations. Cette page offre une vue d'ensemble des principaux risques identifiés dans vos environnements cloud, y compris en termes de conformité.

Chaque norme de sécurité indique le pourcentage de contrôles qui la composent et qui ont réussi au niveau du champ d'application sélectionné (organisation, dossier ou projet).

L'emplacement où Security Command Center a été activé a une incidence sur ce qui est affiché :

• Au niveau du projet : vous ne pouvez afficher que les statistiques de conformité du projet activé. Si vous passez à un dossier ou à une organisation auxquels le projet appartient dans la console Google Cloud , la page Conformité ne s'affiche pas.

• Au niveau de l'organisation : si vous passez à l'organisation activée dans la console Google Cloud , la page Conformité affiche les statistiques de conformité pour l'ensemble de l'organisation, y compris ses dossiers et projets.

  Pour afficher les statistiques de conformité des dossiers et projets individuels au sein de cette organisation, passez à ce niveau de ressource dans la console Google Cloud .

Les rapports sur la conformité sont générés quotidiennement. Les rapports peuvent être obsolètes de 24 heures et peuvent être manquants s'ils n'ont pas pu être générés.

Évaluer la conformité dans la console Google Cloud

1. Accédez à la page Conformité de la console Google Cloud .

   Accéder

2. Sélectionnez le projet, le dossier ou l'organisation pour lesquels vous souhaitez afficher la conformité.

3. Cliquez sur Afficher les détails dans l'une des fiches de normes pour ouvrir la page Détails de conformité.

Sur cette page, vous pouvez effectuer les opérations suivantes :

• Affichez la conformité par rapport à la norme sélectionnée à une date précise.

• Changez de norme de conformité pour laquelle vous souhaitez afficher les détails.

• Exportez un rapport sur les détails de la conformité dans un fichier CSV.

• Suivez la progression de la conformité au fil du temps grâce à un graphique de tendance.

• Développez les contrôles des normes de sécurité pour afficher les règles qui les composent et leur niveau de gravité.

• Cliquez sur les règles pour afficher les résultats des ressources non conformes et résoudre les problèmes, le cas échéant. Pour savoir comment corriger les résultats, consultez Corriger les résultats de Security Health Analytics et Corriger les résultats de Web Security Scanner.