Security Command Center surveille votre conformité à l'aide de détecteurs mappés sur les commandes de nombreuses normes de sécurité.
Pour chaque norme de sécurité compatible, Security Command Center vérifie un sous-ensemble des commandes. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas acceptés, Security Command Center affiche une liste de résultats qui décrivent les échecs de contrôle.
Le CIS examine et certifie les mises en correspondance des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mises en correspondance de conformité supplémentaires sont incluses à titre de référence uniquement.
Security Command Center ajoute régulièrement de nouvelles versions et normes de benchmark. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.
Avec le service d'évaluation de l'état de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller toute modification de l'environnement pouvant affecter la conformité de votre entreprise.
Normes de sécurité acceptées
Google Cloud
Security Command Center fait correspondre les détecteurs de Google Cloud à une ou plusieurs des normes de conformité suivantes:
- CIS Controls 8.0 (Centre for Information Security)
- Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
- Benchmark CIS de Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Loi HIPAA (Health Insurance Portability and Accountability Act)
- International Organization for Standardization (ISO) 27001, 2022 et 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 et R4
- NIST CSF 1.0
- Top 10 de l'OWASP (Open Web Application Security Project) pour 2021 et 2017
- Normes PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
- SOC 2 TSC 2017
AWS
Security Command Center fait correspondre les détecteurs d'Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes:
Comment les détecteurs et les résultats correspondent-ils aux contrôles de conformité ?
Les services de détection de Security Command Center, tels que Security Health Analytics et Web Security Scanner, utilisent des modules de détection (détecteurs) pour rechercher des failles et des erreurs de configuration dans votre environnement cloud.
Lorsqu'une faille est détectée, le détecteur génère un résultat. Une découverte est un enregistrement d'une faille ou d'un autre problème de sécurité qui inclut des informations telles que les suivantes:
Description de la faille
Une recommandation pour corriger la faille qui met le contrôle en conformité
ID numérique de la commande correspondant au résultat
Étapes recommandées pour corriger la faille
Toutes les commandes d'une norme ne peuvent pas être mappées aux résultats de Security Command Center, généralement parce que certaines commandes ne peuvent pas être automatisées, mais aussi pour d'autres raisons. Par conséquent, le nombre total de contrôles que Security Command Center vérifie est généralement inférieur au nombre total de contrôles définis par une norme.
Le CIS examine et certifie les mises en correspondance des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mises en correspondance de conformité supplémentaires sont incluses à titre de référence uniquement.
Pour en savoir plus sur les résultats de Security Health Analytics et de Web Security Scanner, ainsi que sur le mappage entre les détecteurs compatibles et les normes de conformité, consultez la page Résultats concernant les failles.
Évaluer la conformité
Vous pouvez voir d'un coup d'œil dans la console Google Cloud la conformité de votre environnement cloud avec une norme de sécurité donnée sur la page Compliance (Conformité). Chaque norme de sécurité indique le pourcentage de contrôles qui ont reçu une note de passage au niveau de la portée sélectionnée, que ce soit au niveau de l'organisation, du dossier ou du projet.
L'emplacement où Security Command Center a été activé affecte ce qui s'affiche:
Au niveau du projet: vous ne pouvez afficher que les statistiques de conformité du projet activé. Si vous passez à un dossier ou à une organisation auxquels le projet appartient dans la console Google Cloud, la page Conformité ne s'affiche pas.
Au niveau de l'organisation: si vous passez à l'organisation activée dans la console Google Cloud, la page Conformité affiche les statistiques de conformité pour l'ensemble de l'organisation, y compris ses dossiers et ses projets.
Pour afficher les statistiques de conformité pour des dossiers et des projets individuels au sein de cette organisation, passez à ce niveau de ressource dans la console Google Cloud.
Les rapports de conformité sont générés quotidiennement. Les rapports peuvent être obsolètes de 24 heures et peuvent être manquants s'ils n'ont pas pu être générés.
Évaluer la conformité à une norme spécifique
Accédez à la page Conformité dans la console Google Cloud.
Sélectionnez le projet, le dossier ou l'organisation pour lesquels vous souhaitez afficher la conformité.
Cliquez sur Afficher les détails dans l'une des fiches de normes pour ouvrir la page Détails de la conformité.
Sur cette page, vous pouvez effectuer les opérations suivantes:
Afficher la conformité à la norme sélectionnée à une date donnée
Modifiez la norme de conformité pour laquelle vous consultez les détails.
Exportez un rapport sur les informations de conformité dans un fichier CSV.
Suivez l'évolution de la conformité au fil du temps à l'aide d'un graphique des tendances.
Développez les contrôles standards de sécurité pour afficher les règles qui les constituent et leur sévérité.
Cliquez sur les règles pour afficher les résultats des ressources non conformes et corriger les problèmes, le cas échéant. Pour savoir comment corriger les résultats, consultez les pages Corriger les résultats de Security Health Analytics et Corriger les résultats de Web Security Scanner.