Avaliar e informar a conformidade com os padrões de segurança

O Security Command Center monitora sua conformidade com detectores mapeados para os controles de uma ampla variedade de padrões de segurança.

Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Para os controles verificados, o Security Command Center mostra quantos estão sendo aprovados. Para os controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.

A CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do comparativo de mercado do CIS Google Cloud Foundations. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.

O Security Command Center adiciona suporte a novos padrões e versões de comparativo de mercado periodicamente. As versões anteriores ainda são compatíveis, mas estão obsoletas. Recomendamos que você use o comparativo de mercado ou padrão compatível mais recente disponível.

Com o serviço de postura de segurança, é possível mapear políticas da organização e detectores do Security Health Analytics para os padrões e controles aplicáveis à sua empresa. Depois de criar uma postura de segurança, é possível monitorar mudanças no ambiente que possam afetar a conformidade da sua empresa.

Padrões de segurança compatíveis

Google Cloud

O Security Command Center mapeia detectores para Google Cloud em um ou mais dos seguintes padrões de compliance:

• Controles 8.0 do Center for Information Security (CIS)
• Comparativo de mercado de fundamentos de computação do Google Cloud CIS v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
• Comparativo de mercado CIS do Kubernetes v1.5.1
• Matriz de controles de nuvem (CCM) 4
• Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
• Organização Internacional de Normalização (ISO) 27001, 2022 e 2013
• Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5 e R4
• Framework de segurança cibernética (CSF, na sigla em inglês) 1.0 do Instituto Nacional de Padrões e Tecnologia (NIST)
• Top 10 do Open Web Application Security Project (OWASP), 2021 e 2017
• Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
• Controles de sistema e organização (SOC) 2 Critérios de serviços de confiança (TSC) de 2017

AWS

O Security Command Center mapeia detectores para Amazon Web Services (AWS) em um ou mais dos seguintes padrões de compliance:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls: versão 8.0
• Cloud Controls Matrix (CCM) 4 (em inglês)
• Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
• Organização Internacional de Normalização (ISO) 27001, 2022
• Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5
• Instituto Nacional de Padrões e Tecnologia (NIST) Framework de segurança cibernética (CSF) 1.0
• Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
• Controles de sistema e organização (SOC) 2 Critérios de serviços confiáveis (TSC) de 2017

Detectores e descobertas como controles de compliance

Os serviços de detecção do Security Command Center, como o Security Health Analytics e o Web Security Scanner, usam módulos de detecção (detectores) para verificar vulnerabilidades e configurações incorretas no ambiente de nuvem.

Quando uma vulnerabilidade é encontrada, o detector gera uma descoberta. Uma descoberta é um registro de uma vulnerabilidade ou outro problema de segurança que inclui informações como:

• Uma descrição da vulnerabilidade

• Uma recomendação para resolver a vulnerabilidade que deixaria o controle em conformidade

• O ID numérico do controle que corresponde à descoberta.

• Etapas recomendadas para corrigir a vulnerabilidade

Nem todos os controles em um padrão podem ser mapeados para descobertas do Security Command Center, geralmente porque determinados controles não podem ser automatizados, mas possivelmente por outros motivos. Consequentemente, o número total de controles que o Security Command Center verifica geralmente é menor do que o número total de controles definidos por um padrão.

A CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do comparativo de mercado CIS Google Cloud Foundations. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.

Para saber mais sobre as descobertas do Security Health Analytics e do Web Security Scanner e o mapeamento entre detectores compatíveis e padrões de conformidade, consulte descobertas de vulnerabilidades.

Avaliar a conformidade no ambiente de nuvem

Você pode conferir rapidamente o nível de conformidade do seu ambiente de nuvem com um determinado padrão de segurança nos seguintes locais:

• A página Compliance no console do Google Cloud .
• A página Visão geral de > riscos no console do Security Operations. Esta página mostra uma visão geral dos principais riscos encontrados nos seus ambientes de nuvem, incluindo a conformidade.

Cada padrão de segurança mostra uma porcentagem de quantos dos controles constituintes recebem uma nota de aprovação no escopo selecionado, seja no nível da organização, da pasta ou do projeto.

O local em que o Security Command Center foi ativado afeta o que é mostrado:

• No nível do projeto: só é possível ver as estatísticas de conformidade do projeto ativado. Se você mudar para uma pasta ou organização a que o projeto pertence no console Google Cloud , a página Conformidade não será exibida.

• No nível da organização: se você mudar para a organização ativada no console Google Cloud , a página Conformidade vai mostrar estatísticas de conformidade para toda a organização, incluindo pastas e projetos.

  Para conferir as estatísticas de compliance de pastas e projetos individuais dentro dessa organização, mude para o nível de recurso no console Google Cloud .

Os relatórios de compliance são gerados diariamente. Os relatórios podem ficar desatualizados por 24 horas e podem não aparecer se não forem gerados.

Avaliar a conformidade no console do Google Cloud

1. Acesse a página Compliance no console do Google Cloud .

   Acesse Conformidade

2. Selecione o projeto, a pasta ou a organização para que você quer ver a conformidade.

3. Clique em Ver detalhes em um dos cards de padrões para abrir a página Detalhes da conformidade.

Nessa página, você pode fazer o seguinte:

• Confira a conformidade com o padrão selecionado em uma data específica.

• Mude o padrão de compliance dos detalhes que você está visualizando.

• Exporte um relatório dos detalhes de compliance para um arquivo CSV.

• Acompanhe o progresso da conformidade ao longo do tempo com um gráfico de tendência.

• Expanda os controles padrão de segurança para conferir as regras constituintes e a gravidade delas.

• Clique em regras para ver descobertas de recursos não compatíveis e corrigir problemas quando necessário. Para informações sobre como corrigir descobertas, consulte Como corrigir descobertas do Security Health Analytics e Como corrigir descobertas do Web Security Scanner.