Security Command Center memantau kepatuhan Anda dengan detektor yang dipetakan ke kontrol berbagai standar keamanan.
Untuk setiap standar keamanan yang didukung, Security Command Center memeriksa subset kontrol. Untuk kontrol yang dicentang, Security Command Center akan menunjukkan jumlah kontrol yang lulus. Untuk kontrol yang tidak lulus, Security Command Center akan menampilkan daftar temuan yang menjelaskan kegagalan kontrol.
CIS meninjau dan mensertifikasi pemetaan detektor Security Command Center ke setiap versi Tolok Ukur Dasar-Dasar CIS yang didukung. Google Cloud Pemetaan kepatuhan tambahan disertakan hanya untuk tujuan referensi.
Security Command Center menambahkan dukungan untuk versi dan standar tolok ukur baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak akan digunakan lagi. Sebaiknya gunakan tolok ukur atau standar terbaru yang didukung.
Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Security Health Analytics ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau setiap perubahan pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.
Standar keamanan yang didukung
Google Cloud
Security Command Center memetakan detektor untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:
- CIS Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0, dan v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022 dan 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 dan R4
- National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 dan 2017
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0 dan 3.2.1
- System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
Security Command Center memetakan detektor untuk Amazon Web Services (AWS) ke satu atau beberapa standar kepatuhan berikut:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls Versi 8.0
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022
- National Institute of Standards and Technology (NIST) 800-53 R5
- National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0 dan 3.2.1
- System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)
Detektor dan temuan sebagai kontrol kepatuhan
Layanan deteksi Security Command Center, seperti Security Health Analytics dan Web Security Scanner, menggunakan modul deteksi (detektor) untuk memeriksa kerentanan dan kesalahan konfigurasi di lingkungan cloud Anda.
Jika kerentanan ditemukan, detektor akan menghasilkan temuan. Temuan adalah catatan kerentanan atau masalah keamanan lainnya yang mencakup informasi seperti berikut:
Deskripsi kerentanan
Rekomendasi untuk mengatasi kerentanan yang akan membuat kontrol mematuhi kebijakan
ID numerik kontrol yang sesuai dengan temuan
Langkah-langkah yang direkomendasikan untuk memperbaiki kerentanan
Tidak semua kontrol dalam standar dapat dipetakan ke temuan Security Command Center, biasanya karena kontrol tertentu tidak dapat diotomatiskan, tetapi mungkin karena alasan lain. Akibatnya, jumlah total kontrol yang diperiksa Security Command Center biasanya kurang dari jumlah total kontrol yang ditentukan oleh standar.
CIS meninjau dan mensertifikasi pemetaan detektor Security Command Center ke setiap versi Tolok Ukur Dasar-Dasar CIS yang didukung. Google Cloud Pemetaan kepatuhan tambahan disertakan hanya untuk tujuan referensi.
Untuk mempelajari lebih lanjut temuan Security Health Analytics dan Web Security Scanner serta pemetaan antara detektor yang didukung dan standar kepatuhan, lihat temuan kerentanan.
Mengevaluasi kepatuhan di seluruh lingkungan cloud Anda
Anda dapat melihat sekilas seberapa patuh lingkungan cloud Anda terhadap standar keamanan tertentu di tempat berikut:
- Halaman Kepatuhan di konsol Google Cloud .
- Halaman Risk > Overview di konsol Operasi Keamanan. Halaman ini menampilkan sekilas risiko teratas yang ditemukan di lingkungan cloud Anda, termasuk kepatuhan.
Setiap standar keamanan menunjukkan persentase jumlah kontrol penyusunnya yang lulus penilaian pada cakupan yang dipilih, baik di tingkat organisasi, folder, atau project.
Tempat Security Command Center diaktifkan akan memengaruhi apa yang ditampilkan:
Di tingkat project: Anda hanya dapat melihat statistik kepatuhan project yang diaktifkan. Jika Anda beralih ke folder atau organisasi tempat project berada di konsol Google Cloud , halaman Kepatuhan tidak akan ditampilkan.
Di tingkat organisasi: Jika Anda beralih ke organisasi yang diaktifkan di konsol Google Cloud , halaman Kepatuhan akan menampilkan statistik kepatuhan untuk seluruh organisasi, termasuk folder dan projectnya.
Untuk melihat statistik kepatuhan untuk masing-masing folder dan project dalam organisasi tersebut, beralihlah ke tingkat resource tersebut di konsol Google Cloud .
Laporan kepatuhan dibuat setiap hari. Laporan dapat menjadi tidak valid selama 24 jam, dan mungkin tidak ada jika gagal dibuat.
Menilai kepatuhan di konsol Google Cloud
Buka halaman Compliance di konsol Google Cloud .
Pilih project, folder, atau organisasi yang ingin Anda lihat kepatuhannya.
Klik Lihat detail di salah satu kartu standar untuk membuka halaman Detail kepatuhan.
Dari halaman ini, Anda dapat melakukan hal berikut:
Melihat kepatuhan terhadap standar yang dipilih pada tanggal tertentu.
Ganti standar kepatuhan yang detailnya sedang Anda lihat.
Mengekspor laporan detail kepatuhan ke file CSV.
Pantau progres kepatuhan dari waktu ke waktu dengan diagram tren.
Perluas kontrol standar keamanan untuk melihat aturan penyusun dan tingkat keparahan aturannya.
Klik aturan untuk melihat temuan terkait resource yang tidak mematuhi kebijakan dan memperbaiki masalah jika diperlukan. Untuk mengetahui informasi tentang cara memperbaiki temuan, lihat Memperbaiki temuan Security Health Analytics dan Memperbaiki temuan Web Security Scanner.