安全狀態分析總覽

安全性狀態分析是 Security Command Center 的代管服務,可掃描雲端環境中常見的錯誤設定,避免您暴露於攻擊風險。

啟用 Security Command Center 時,系統會自動啟用安全狀態分析。

各層級適用的安全狀態分析功能

您可使用的安全狀態分析功能,取決於啟用 Security Command Center 的服務層級。如要查看各層級可用的發現項目,請參閱「安全性狀態分析發現項目」。

Standard 級功能

在 Standard 級別中,安全性狀態分析只能偵測到一組基本的中等和高嚴重性安全漏洞。

Premium 級功能

Premium 級提供下列功能:

  • Google Cloud的所有偵測工具,以及多項其他弱點偵測功能,例如建立自訂偵測模組。
  • 發現項目會對應至法規遵循控制項,以用於法規遵循報告。 詳情請參閱「偵測工具和法規遵循」。
  • Security Command Center 攻擊路徑模擬功能會針對大多數安全性狀態分析發現項目,計算遭受攻擊的風險分數和潛在攻擊路徑。詳情請參閱受攻擊風險分數和攻擊路徑總覽

Enterprise 級別功能

Enterprise 級別包含 Premium 級別的所有功能,以及其他雲端服務供應商平台的偵測器。

切換等級

大多數安全性狀態分析偵測工具僅適用於 Security Command Center Premium 方案和 Enterprise 方案。如果您使用 Premium 或 Enterprise 方案,並打算改用 Standard 方案,建議您先解決所有發現的問題,再變更方案。

如果 Premium 或 Enterprise 試用期結束,或是您從 Premium 或 Enterprise 方案降級至 Standard 方案,系統會將較高方案產生的發現項目狀態設為 INACTIVE

支援多雲端

安全性狀態分析可以偵測其他雲端平台部署作業中的錯誤設定。

Security Health Analytics 支援下列其他雲端服務供應商:

支援的 Google Cloud 雲端服務

安全狀態分析管理的安全漏洞評估掃描功能可自動偵測下列服務中常見的安全漏洞和錯誤設定: Google CloudGoogle Cloud

  • Cloud Monitoring 和 Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine 容器和網路
  • Cloud Storage
  • Cloud SQL
  • 身分與存取權管理 (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

安全性狀態分析掃描類型

安全狀態分析掃描作業有三種模式:

  • 批次掃描:系統會排定所有偵測器,每天為所有已註冊的機構或專案執行一次掃描。

  • 即時掃描:僅適用於部署作業,只要偵測到資源設定有變更,支援的偵測器就會開始掃描。 Google Cloud 發現項目會寫入 Security Command Center。在其他雲端平台部署時,系統不支援即時掃描。

  • 混合模式:部分支援即時掃描的偵測器可能無法即時偵測所有支援資源類型的變更。在這些情況下,系統會立即擷取部分資源類型的設定變更,並在批次掃描中擷取其他變更。例外狀況會記錄在安全性狀態分析發現項目表格中。

安全狀態分析偵測工具

安全狀態分析會使用偵測器,找出雲端環境中的安全漏洞和設定錯誤。每個偵測器都對應一個發現項目類別。

安全狀態分析內建許多偵測工具,可檢查大量類別和資源類型中的安全漏洞和錯誤設定。

您也可以建立自己的自訂偵測器,檢查內建偵測器未涵蓋的安全性漏洞或設定錯誤,或是檢查特定環境的安全性漏洞或設定錯誤。

如要進一步瞭解內建的 Security Health Analytics 偵測器,請參閱「Security Health Analytics 內建偵測器」。

如要進一步瞭解如何建立及使用自訂模組,請參閱「Security Health Analytics 自訂模組」。

啟用偵測器

系統預設不會啟用所有安全狀態分析內建偵測工具。 Google Cloud

如果您使用支援多雲端的 Enterprise 方案,系統預設會啟用所有 AWS 偵測器。

如要啟用閒置的內建偵測器,請參閱啟用及停用偵測器

如要啟用或停用 Security Health Analytics 自訂偵測模組,可以使用 Google Cloud 控制台、gcloud CLI 或 Security Command Center API 更新自訂模組。

如要進一步瞭解如何更新安全狀態分析自訂模組,請參閱「更新自訂模組」。

透過專案層級啟用偵測器

透過「標準」和「進階」級別,您可以為整個機構或機構內的一或多個專案啟用 Security Command Center

企業級方案不支援專案層級啟用。

內建偵測工具和專案層級啟用

如果只為專案啟用 Security Command Center,系統就不會支援某些內建的 Security Health Analytics 偵測器,因為這些偵測器需要機構層級的權限。

如要啟用需要機構層級啟用的內建偵測器,請為機構啟用免費的 Security Command Center Standard 方案,即可在專案層級啟用 Standard 方案提供的偵測器。

如果內建偵測工具需要進階級別和機構層級權限,則不支援專案層級啟用。

如要查看內建的 Standard 方案偵測器清單,瞭解哪些偵測器必須先在機構層級啟用 Security Command Center Standard,才能在專案層級啟用,請參閱「機構層級的 Standard 方案發現項目類別」。

如需專案層級啟用作業不支援的內建 Premium 級偵測器清單,請參閱「不支援的 Security Health Analytics 發現項目」。

自訂模組偵測器和專案層級啟用

無論 Security Command Center 的啟用層級為何,在專案中建立的自訂模組偵測器掃描作業,都僅限於專案範圍。自訂模組偵測工具只能掃描建立所在專案可用的資源。

如要進一步瞭解自訂模組,請參閱「安全狀態分析自訂模組」。

安全狀態分析內建偵測工具

本節說明偵測器的高階類別,並依雲端平台和產生的發現項目類別列出。

內建偵測工具,可依高階類別 Google Cloud

安全性狀態分析的偵測工具和發現項目會歸入下列高階類別。 Google Cloud

安全狀態分析偵測工具會監控 Google CloudCloud Asset Inventory 支援的部分資源類型。

如要查看每個類別中包含的個別偵測器,請按一下類別名稱。

AWS 內建偵測工具

如需 AWS 適用的所有安全狀態分析偵測工具清單,請參閱 AWS 發現項目

Security Health Analytics 自訂模組

Security Health Analytics 自訂模組是Google Cloud 的自訂偵測工具,可擴充 Security Health Analytics 的偵測功能,超出內建偵測工具提供的範圍。

其他雲端平台不支援自訂模組。

您可以使用Google Cloud 控制台中的導覽式工作流程建立自訂模組,也可以在 YAML 檔案中自行建立自訂模組定義,然後使用 Google Cloud CLI 指令或 Security Command Center API 上傳至 Security Command Center。

詳情請參閱「安全性狀態分析自訂模組總覽」。

偵測工具和法規遵循

Security Command Center 對安全基準法規遵循情形的評估,主要是根據 Security Health Analytics 弱點偵測工具產生的發現項目。

安全性狀態分析會監控您是否符合各種安全標準的控制項,並透過對應的偵測工具進行檢查。

針對每個支援的安全標準,Security Health Analytics 會檢查部分控制項。Security Command Center 會顯示通過檢查的控制項數量。對於未通過的控制項,Security Command Center 會顯示說明控制項失敗的發現項目清單。

CIS 會審查並認證安全狀態分析偵測器與各個支援的 CIS 基礎基準版本之間的對應關係。 Google Cloud 僅供參考的其他法規遵循對應。

Security Health Analytics 會定期新增支援的基準版本和標準。舊版仍會受到支援,但最終會遭到淘汰。建議您使用支援的最新基準或標準。

透過安全性狀態服務,您可以將機構政策和安全性狀態分析偵測器,對應至適用於貴商家的標準和控制項。建立安全狀態後,您可以監控環境中的任何變更,以免影響貴商家的法規遵循狀態。

如要進一步瞭解如何管理法規遵循情形,請參閱「評估及回報安全性標準的法規遵循情形」。

支援的安全標準

Google Cloud

安全狀態分析會將 Google Cloud 的偵測工具對應至下列一或多項法規遵循標準:

AWS

安全性健康狀態分析會將 Amazon Web Services (AWS) 的偵測器對應至下列一或多項法規遵循標準:

如要進一步瞭解法規遵循,請參閱「評估及回報安全性基準法規遵循情形」。