A Análise de integridade da segurança é um serviço gerenciado do Security Command Center que verifica seus ambientes de nuvem em busca de configurações incorretas, que podem expor para atacar.
A Análise de integridade da segurança é ativada automaticamente o Security Command Center.
Recursos da Análise de integridade da segurança por nível
Os recursos disponíveis variam de acordo com o Security Health Analytics no nível de serviço em que o Security Command Center está ativado.
Recursos do nível Standard
No nível Standard, a Análise de integridade da segurança pode detectar apenas um grupo básico de vulnerabilidades de média e alta gravidade. Para uma lista dos categorias que a Análise de integridade da segurança detecta com o nível Standard, consulte Nível de serviço Standard.
Recursos do nível Premium
Nível Premium inclui os seguintes recursos:
- Tudo detectores do Google Cloud, além de diversas outras vulnerabilidades recursos de detecção, como a capacidade de criar módulos de detecção.
- As descobertas são associadas aos controles de compliance para gerar relatórios de compliance. Para mais informações, consulte Detectores e compliance.
- As simulações de caminho de ataque do Security Command Center calculam as pontuações de exposição a ataques e possíveis caminhos de ataque para a maioria das descobertas da Análise de integridade da segurança. Para mais informações, consulte Visão geral das pontuações de exposição a ataques e caminhos de ataque.
Para uma lista de todos os recursos do nível Premium, consulte Nível Premium.
Recursos de nível empresarial
O Nível Enterprise inclui todos os recursos do nível Premium, bem como detectores de outros diferentes plataformas de provedores de serviços de nuvem.
Como alternar níveis
A maioria dos detectores da Análise de integridade da segurança está disponível apenas no Security Command Center nível Premium e Enterprise. Se você estiver usando o nível Premium ou Enterprise e planeja mudar para o nível Standard, recomendamos resolver todas as descobertas antes de mudar o nível.
Quando uma avaliação Premium ou Enterprise terminar ou você fizer downgrade para o Standard
do nível Premium ou Enterprise,
o estado das descobertas geradas no nível superior é
Defina como INACTIVE.
Suporte a várias nuvens
A Análise de integridade da segurança pode detectar configurações incorretas nas implantações em outras plataformas de nuvem.
A Análise de integridade da segurança oferece suporte aos seguintes provedores de serviços de nuvem:
- Amazon Web Services (AWS)
Para executar os detectores na AWS, primeiro você precisa conectar o Security Command Center para a AWS, conforme descrito nas Conecte-se à AWS para detecção de vulnerabilidades e avaliação de risco.
Serviços de nuvem compatíveis com o Google Cloud
Verificação gerenciada da avaliação de vulnerabilidades da Análise de integridade da segurança para o Google Cloud detecta automaticamente vulnerabilidades comuns e configurações incorretas nos seguintes serviços do Google Cloud:
- Cloud Monitoring e Cloud Logging
- Compute Engine
- Contêineres e redes do Google Kubernetes Engine
- Cloud Storage
- Cloud SQL
- Identity and Access Management (IAM)
- Cloud Key Management Service (Cloud KMS)
- Cloud DNS
Tipos de verificações da Análise de integridade da segurança
As verificações do Security Health Analytics são executadas em três modos:
Verificação em lote: todos os detectores estão programados para serem executados para todas as organizações ou projetos inscritos uma vez por dia.
Verificação em tempo real: somente para implantações do Google Cloud, os detectores compatíveis iniciam verificações sempre que uma mudança é detectada na configuração de um recurso. As descobertas são gravadas na Central de comando de segurança. Não há suporte para verificações em tempo real em implantações em outras plataformas de nuvem.
Modo misto: alguns detectores compatíveis com verificações em tempo real podem não detectar alterações em tempo real para todos os tipos de recursos compatíveis. Nesses casos, as alterações de configuração de alguns tipos de recursos são capturadas imediatamente e outras são capturadas em verificações em lote. As exceções são observadas no tabelas de descobertas da Análise de integridade da segurança.
Detectores do Security Health Analytics
A Análise de integridade da segurança usa detectores para identificar vulnerabilidades e configurações incorretas no ambiente de nuvem. Cada detector corresponde a uma categoria de descoberta.
A Análise de integridade da segurança vem com muitos detectores integrados que verificam vulnerabilidades e configurações incorretas em um grande número de categorias e tipos de recursos.
Também é possível criar seus próprios detectores personalizados que podem verificar vulnerabilidades ou configurações incorretas que não são cobertas pelos detectores integrados ou que são específicas do seu ambiente.
Para mais informações sobre os detectores integrados da Análise de integridade da segurança, consulte Detectores integrados da Análise de integridade da segurança.
Para mais informações sobre como criar e usar módulos personalizados, consulte Módulos personalizados da Análise de integridade da segurança.
Ativação do detector
Nem todos os detectores integrados da Análise de integridade da segurança para o Google Cloud estão ativados por padrão.
Se você estiver usando o nível Enterprise com suporte a vários serviços de nuvem, todos os detectores da AWS serão ativados por padrão.
Para ativar os detectores integrados inativos, consulte Ativar e desativar detectores.
Para ativar ou desativar um módulo de detecção personalizado da Análise de integridade da segurança, atualize-o usando o console do Google Cloud, a CLI gcloud ou a API Security Command Center.
Para mais informações sobre como atualizar os módulos personalizados da Análise de integridade da segurança, consulte Atualizar um módulo personalizado.
Compatibilidade do detector com ativações no nível do projeto
Com os níveis Standard e Premium, você pode ative o Security Command Center para uma toda a organização ou para um ou mais projetos dentro de uma organização.
O nível Enterprise não oferece suporte a ativações no nível do projeto.
Detectores integrados e ativações no nível do projeto
Quando você ativa o Security Command Center apenas para um projeto, determinados detectores integrados da Análise de integridade da segurança não são compatíveis, porque exigem permissões no nível da organização.
Dos detectores integrados que exigem uma ativação no nível da organização, é possível ativar aqueles que estão disponíveis com o nível Standard do Security Command Center para ativações no nível do projeto, ativando o nível Standard para sua organização, o que é sem custo financeiro.
Os detectores integrados que exigem permissões no nível Premium e no nível da organização não são compatíveis com ativações no nível do projeto.
Para uma lista dos detectores de nível padrão integrados que exigem uma ativação do Security Command Center Standard em nível de organização pode ser usado com uma ativação para envolvidos no projeto, consulte Categorias de descoberta no nível da organização no nível Standard.
Para uma lista de detectores integrados de nível Premium que não são compatíveis com ativações no nível do projeto, consulte Descobertas da Análise de integridade da segurança sem suporte.
Detectores de módulos personalizados e ativações no nível do projeto
As verificações de detectores de módulos personalizados criados em um projeto são limitadas ao escopo do projeto, independentemente do nível de ativação do Security Command Center. Os detectores de módulos personalizados podem verificar apenas os recursos disponíveis para o projeto em que são criados.
Para mais informações sobre módulos personalizados, consulte Módulos personalizados da Análise de integridade da segurança.
Detectores integrados da Análise de integridade da segurança
Nesta seção, descrevemos as categorias gerais de detectores. listados por plataforma de nuvem e a categoria de descoberta gerada.
Detectores integrados do Google Cloud por categoria de alto nível
Os detectores do Security Health Analytics para o Google Cloud e as descobertas que eles geram são agrupados nas seguintes categorias de alto nível.
Os detectores da Análise de integridade da segurança monitoram um subconjunto do tipos de recursos compatíveis com o Inventário de recursos do Cloud.
Para conferir os detectores individuais incluídos em cada categoria, clique no nome da categoria.
- API principais descobertas de vulnerabilidade
- Computação descobertas de vulnerabilidade de imagem
- Computação descobertas de vulnerabilidade da instância
- Contêiner descobertas de vulnerabilidade
- Dataproc descobertas de vulnerabilidade
- Conjunto de dados descobertas de vulnerabilidade
- DNS descobertas de vulnerabilidade
- Firewall descobertas de vulnerabilidade
- IAM descobertas de vulnerabilidade
- KMS descobertas de vulnerabilidade
- Geração de registros descobertas de vulnerabilidade
- Monitoramento descobertas de vulnerabilidade
- Multifator de vulnerabilidades de autenticação
- Rede descobertas de vulnerabilidade
- Descobertas da vulnerabilidade da política da organização
- Pub/Sub descobertas de vulnerabilidade
- SQL descobertas de vulnerabilidade
- Armazenamento descobertas de vulnerabilidade
- Sub-rede descobertas de vulnerabilidade
Detectores integrados para AWS
Para uma lista de todos os detectores da Análise de integridade da segurança para a AWS, consulte Descobertas da AWS.
Módulos personalizados da Análise de integridade da segurança
Os módulos personalizados da Análise de integridade da segurança são detectores Google Cloud, que ampliam os recursos de detecção Análise de integridade da segurança além daquelas fornecidas pelos detectores integrados.
Módulos personalizados não têm suporte em outras plataformas de nuvem.
É possível criar módulos personalizados usando o fluxo de trabalho guiado no console do Google Cloud ou criar a definição do módulo personalizado em um arquivo YAML e fazer upload dele para o Security Command Center usando comandos da CLI Google Cloud ou a API Security Command Center.
Para mais informações, consulte Visão geral dos módulos personalizados para a Análise de integridade da segurança.
Detectores e compliance
A medição do Security Command Center de conformidade com comparativos de mercado de segurança baseia-se em grande parte nas descobertas produzidas pela Análise de integridade da segurança e detectar vulnerabilidades.
Análise de integridade da segurança monitora sua conformidade com detectores associados aos controles de uma ampla diversos padrões de segurança.
Para cada padrão de segurança compatível, Análise de integridade da segurança verifica um subconjunto dos controles. Para os controles marcados, o Security Command Center mostra quantos estão passando. Para o que não forem aprovados, o Security Command Center mostrará uma lista de descobertas que descrever as falhas de controle.
O CIS analisa e certifica os mapeamentos Análise de integridade da segurança os detectores a cada suporte do comparativo de mercado CIS do Google Cloud Foundations. Compliance adicional são incluídos apenas para fins de referência.
Análise de integridade da segurança adiciona suporte a novas versões de comparativo de mercado e padrões periodicamente. Antigos continuam compatíveis, mas acabarão sendo descontinuadas. Recomendamos que você use o comparativo de mercado ou padrão mais recente compatível disponível.
Com o serviço de postura de segurança, é possível mapear as políticas da organização e os detectores da Análise de integridade da segurança para os padrões e controles de acesso que se aplicam à sua empresa. Depois de criar uma postura de segurança, é possível monitorar quaisquer alterações no ambiente que possam afetar a conformidade da sua empresa.
Para mais informações sobre como gerenciar a conformidade, consulte Avaliar e informar a conformidade com os padrões de segurança.
Padrões de segurança com suporte no Google Cloud
Análise de integridade da segurança mapeia os detectores do Google Cloud para um ou mais dos requisitos de conformidade a seguir padrão:
- Controles 8.0 do Centro de Segurança da Informação (CIS, na sigla em inglês)
- CIS do Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- Comparativo de mercado do CIS para Kubernetes v1.5.1
- Matriz de controles de nuvem (CCM) 4
- Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
- Organização Internacional de Padronização (ISO) 27001, 2022 e 2013
- Nacional Institute of Standards and Technology (NIST) 800-53 R5 e R4
- NIST CSF 1.0 (link em inglês)
- Open Web Application Security Project (OWASP) Top Ten, 2021 e 2017
- Dados do setor de cartões de pagamento Padrão de segurança (PCI DSS) 4.0 e 3.2.1
- Controles de sistema e da organização (SOC) 2 2017 Critérios de Serviços de Confiança (TSC, na sigla em inglês)
Padrões de segurança com suporte na AWS
Análise de integridade da segurança mapeia os detectores da Amazon Web Services (AWS) em um ou mais dos itens de conformidade a seguir; padrão:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0 (link em inglês)
- CCM 4 (link em inglês)
- HIPAA
- ISO 27001 2022 (em inglês)
- NIST 800-53 R5
- NIST CSF 1.0 (link em inglês)
- PCI DSS 4.0 e 3.2.1
- SOC 2 2017 TSC
Para mais informações sobre conformidade, consulte Avaliar e relatar a conformidade de comparativos de mercado de segurança.