Sicherheitsstatus verwalten

Auf dieser Seite wird beschrieben, wie Sie den Dienst zur Bewertung der Sicherheitslage konfigurieren und verwenden können, nachdem Sie Security Command Center aktiviert haben. Zuerst müssen Sie einen Status erstellen, der Ihre Richtlinien enthält, die in Richtliniensätzen organisiert sind, und dann den Status mithilfe einer Bereitstellung des Status bereitstellen. Nachdem eine Haltung bereitgestellt wurde, können Sie Abweichungen beobachten und die Haltung im Laufe der Zeit weiter optimieren.

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie mit den verbleibenden Aufgaben auf dieser Seite fortfahren.

Security Command Center Premium- oder Enterprise-Stufe aktivieren

Prüfen Sie, ob die Security Command Center Premium- oder Enterprise-Stufe auf Organisationsebene aktiviert ist.

Wenn Sie Security Health Analytics-Detektoren als Richtlinien verwenden möchten, wählen Sie während der Aktivierung den Security Health Analytics-Dienst aus.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für den Sicherheitsstatus (roles/securityposture.admin) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des Sicherheitsstatus benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu Rollen und Berechtigungen für die Sicherheitskonfiguration finden Sie unter IAM für Aktivierungen auf Organisationsebene.

Google Cloud CLI einrichten

Sie müssen Google Cloud CLI-Version 461.0.0 oder höher verwenden.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Führen Sie den folgenden Befehl aus, um die gcloud CLI so einzurichten, dass die Authentifizierung bei Google APIs anstelle Ihrer Nutzeranmeldedaten erfolgt:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Weitere Informationen finden Sie unter Identitätswechsel für Dienstkonten.

APIs aktivieren

Aktivieren Sie die APIs für den Organisationsrichtliniendienst und den Dienst zum Sicherheitsstatus:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Verbindung zu AWS konfigurieren

Wenn Sie integrierte Security Health Analytics-Detektoren verwenden möchten, die speziell für AWS sind, müssen Sie Security Command Center Enterprise aktivieren und eine Verbindung zu AWS für die Erkennung von Sicherheitslücken herstellen.

Status erstellen und bereitstellen

Wenn Sie eine Sicherheitskonfiguration verwenden möchten, müssen Sie Folgendes tun:

  • Erstellen Sie eine YAML-Datei für die Sicherheitskonfiguration, in der die Richtlinien definiert sind, die für Ihre Sicherheitskonfiguration gelten.
  • Erstellen Sie in Google Cloud eine Posture, die auf der YAML-Datei für die Posture basiert.
  • Stellen Sie den Sicherheitsstatus bereit.

In den folgenden Abschnitten finden Sie eine detaillierte Anleitung.

YAML-Datei für die Gerätebereitschaft erstellen

Eine Posture besteht aus einer oder mehreren Richtliniengruppen, die Sie gemeinsam bereitstellen. Diese Richtliniensätze enthalten alle präventiven und erkennungsbezogenen Richtlinien, die Sie in Ihre Haltung einbeziehen möchten.

So erstellen Sie eine Haltung:

Weitere Informationen zu den Feldern, die Sie in einer Haltung verwenden können, finden Sie in der Referenz zu Posture und in der Referenz zu PolicySet.

Sicherheitsstatusdatei aus einer vordefinierten Sicherheitsstatusvorlage erstellen

Sie können eine vordefinierte Haltungsvorlage verwenden, um eine Haltungsdatei zu erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Posture Management auf.

    Zu „Posture Management“

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.

  3. Klicken Sie auf dem Tab Vorlagen auf die Vorlage, die Sie verwenden möchten.

  4. Klicken Sie auf der Seite Vorlagendetails auf Pose erstellen.

  5. Geben Sie einen eindeutigen Namen für die Körperhaltung ein und klicken Sie auf Erstellen. Die Seite Details zur Körperhaltung wird geöffnet.

  6. Führen Sie einen der folgenden Schritte aus:

gcloud

  1. Sehen Sie sich die vordefinierten Vorlagen für Körperhaltungen an, um zu ermitteln, welche für Ihre Umgebung geeignet sind. Einige können Sie ohne Änderungen anwenden, bei anderen müssen Sie die Richtlinien an Ihre Umgebung anpassen.
  2. Kopieren Sie die YAML-Dateien mit einer der folgenden Methoden in Ihren Texteditor:

    • Kopieren Sie die YAML-Datei aus den Referenzinhalten in vordefinierte Posture-Vorlagen.
    • Führen Sie den Befehl gcloud scc posture-templates describe aus, um die YAML-Datei zu kopieren.
    gcloud scc posture-templates describe \
        organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \
        --revision-id=REVISION_ID
    
    gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/POSTURE_TEMPLATE \
    --revision-id=REVISION_ID

    Ersetzen Sie die folgenden Werte:

    • ORGANIZATION_ID ist die Organisation, in der Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.
    • LOCATION ist der Speicherort, an dem Sie die Position bereitstellen und speichern möchten. Als Bucket-Standort wird nur global unterstützt.
    • POSTURE_TEMPLATE ist der Name der Vorlage der vordefinierten Haltung, wie in Vordefinierte Vorlagen für Körperhaltungen beschrieben.
    • REVISION_ID ist die Versionsnummer der vordefinierten Haltung. Wenn Sie die Revisions-ID nicht angeben, wird die neueste Version der vordefinierten Position angezeigt.

    Wenn Sie beispielsweise die vordefinierte Haltung für „Sichere KI“ für die Organisation 3589215982 aufrufen möchten, führen Sie Folgendes aus:

    gcloud scc posture-templates describe \
        organizations/3589215982/locations/global/postureTemplates/secure_ai_essential \
        --revision-id=v.1.0
    
  3. Führen Sie einen der folgenden Schritte aus:

    • Wenn Sie die Haltung ohne Änderungen verwenden können (z. B. wenn Sie eine der _essentials-Vorlagen verwendet haben), können Sie sie erstellen. Eine Anleitung finden Sie unter Haltung erstellen.
    • Wenn Sie eine der Richtliniengruppen oder Richtlinien ändern möchten, lesen Sie den Hilfeartikel YAML-Datei für den Sicherheitsstatus ändern.

Statusdatei erstellen, indem Richtlinien aus einer vorhandenen Umgebung extrahiert werden

Sie können die Richtlinien (Organisationsrichtlinien, einschließlich benutzerdefinierter Richtlinien, und alle Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Detektoren) extrahieren, die Sie in einem vorhandenen Projekt, Ordner oder einer vorhandenen Organisation konfiguriert haben, um eine Posture-Datei zu erstellen. Sie können keine Richtlinien aus einer Organisation, einem Ordner oder einem Projekt extrahieren, auf das bereits eine Haltung angewendet wurde.

Mit diesem Befehl werden nur die Richtlinien extrahiert, die Sie zuvor für die Organisation, den Ordner oder das Projekt konfiguriert haben. Richtlinien aus übergeordneten Ordnern oder Organisationen werden nicht extrahiert.

Wenn Sie Security Command Center Enterprise mit AWS verbunden haben, werden mit diesem Befehl auch die AWS-spezifischen Erkennungsmechanismen extrahiert (Vorabversion).

  1. Führen Sie den Befehl gcloud scc postures extract aus, um die vorhandenen Organisationsrichtlinien und Security Health Analytics-Detektoren in Ihrer Umgebung zu extrahieren.

    gcloud scc postures extract POSTURE_NAME \
      --workload=WORKLOAD
    

    Ersetzen Sie die folgenden Werte:

    • POSTURE_NAME ist der relative Ressourcenname der Haltung. Beispiel: organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

      • POSTURE_ID ist ein alphanumerischer Name für Ihre Posture, der für Ihre Organisation eindeutig ist. POSTURE_ID ist auf 63 Zeichen begrenzt.
    • WORKLOAD ist das Projekt, der Ordner oder die Organisation, aus dem bzw. der Sie die Richtlinien extrahieren. Die Arbeitslast ist eine der folgenden:

    • projects/PROJECT_NUMBER

    • folder/FOLDER_ID

    • organizations/ORGANIZATION_ID

    Wenn Sie beispielsweise Richtlinien aus dem Ordner 3589215982 der Organisation 6589215984 extrahieren möchten, führen Sie Folgendes aus:

    gcloud scc postures extract \
      organizations/6589215984/locations/global/postures/myStagingPosture \
      workload=folder/3589215982 > posture.yaml
    
  2. Öffnen Sie die resultierende posture.yaml-Datei zur Bearbeitung.

  3. Führen Sie einen der folgenden Schritte aus:

    • Wenn Sie die Haltung ohne Änderungen verwenden können (z. B. wenn Sie eine der _essentials-Vorlagen verwendet haben), können Sie sie erstellen. Eine Anleitung finden Sie unter Haltung erstellen.
    • Wenn Sie eine der Richtliniengruppen oder Richtlinien ändern möchten, lesen Sie den Hilfeartikel YAML-Datei für den Sicherheitsstatus ändern.

Terraform-Ressource mit Richtliniendefinitionen erstellen

Sie können eine Terraform-Konfiguration erstellen, um eine Ressourcen-Posture zu erstellen.

Sie können beispielsweise eine Ressourcenübersicht erstellen, die integrierte und benutzerdefinierte Einschränkungen von Richtlinien für Organisationen sowie integrierte und benutzerdefinierte Security Health Analytics-Detektoren enthält. Die Unterstützung für die Posture-Verwaltung für integrierte Security Health Analytics-Detektoren, die speziell für AWS gelten, befindet sich in der Vorabversion.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
    policies {
      policy_id = "canned_org_policy_for_service"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "run.allowedVPCEgress"
          policy_rules {
            allow_all: true
            condition {
              expression: "!(parameters.denyAll or resource.location in parameters.deniedLocations) && (parameters.allowAll or resource.location in parameters.allowedLocations)"
            }
            parameters {
              fields {
                key: "denyAll"
                value {
                  bool_value: false
                }
              }
              fields {
                key: "allowAll"
                value {
                  bool_value: false
                }
              }
              fields {
                key: "deniedLocations"
                value {
                  null_value: NULL_VALUE
                }
              }
              fields {
                key: "allowedLocations"
                value {
                  string_value: "allowedLocations.all(location, location in [\342\200\230US\342\200\231, \342\200\230EU\342\200\231])"
                }
              }
            }
            resource_types {
              included: "run.googleapis.com/Service"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Weitere Informationen finden Sie unter google_securityposture_posture.

YAML-Datei für die Haltung ändern

So ändern Sie eine YAML-Datei für die Gerätebereitschaft:

  1. Öffnen Sie die YAML-Datei für die Position in einem Texteditor.
  2. Prüfen Sie name, description und state am Anfang der Datei.

  3. Prüfen Sie die name, description und state am Anfang der Datei.

    name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
    description: DESCRIPTION
    state: STATE
    

    Weitere Informationen zu diesen Feldern finden Sie in der Referenz zu Posture.

    Beispiel:

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
    description: This posture applies to staging environments for Vertex AI.
    state: ACTIVE
    
  4. Passen Sie die Richtlinien in der Datei an Ihre Anforderungen an.

    Weitere Informationen zu den verfügbaren Feldern finden Sie in der Referenz zu PolicySet.

    1. Prüfen Sie die vorhandenen Richtlinien und ihre Werte. Legen Sie für Richtlinien, für die spezifische Informationen zu Ihrer Umgebung erforderlich sind, die Werte entsprechend fest. Fügen Sie beispielsweise für die Richtlinie ainotebooks.accessMode im vordefinierten Status für sichere KI, erweitert, die zulässigen Zugriffsmodi unter policy_rules hinzu:

      - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
        compliance_standards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          org_policy_constraint:
            canned_constraint_id: ainotebooks.accessMode
            policy_rules:
            - values:
                allowed_values: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      
    2. Fügen Sie zusätzliche Einschränkungen für Organisationsrichtlinien hinzu, wie unter Einschränkungen für Organisationsrichtlinien beschrieben. Wenn Sie eine benutzerdefinierte Organisationsrichtlinie definieren, muss die YAML-Datei die Definition der benutzerdefinierten Einschränkung enthalten. Sie können keine benutzerdefinierte Einschränkung verwenden, die Sie mit anderen Methoden erstellt haben, z. B. mit der Google Cloud Console.

      Sie können beispielsweise die Einschränkung compute.trustedImageProjects festlegen, um zu definieren, welche Projekte für die Image-Speicherung und die Datenträgerinstanziierung verwendet werden können. Wenn Sie dieses Beispiel kopieren, ersetzen Sie allowed_values durch eine geeignete Liste von Projekten:

      - policy_id: Define projects with trusted images.
        compliance_standards:
        - standard:
          control:
        constraint:
          org_policy_constraint:
            canned_constraint_id: compute.trustedImageProjects
            policy_rules:
            - values:
                allowed_values:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      
    3. Fügen Sie zusätzliche Security Health Analytics-Detektoren hinzu, z. B. die in den Ergebnissen von Security Health Analytics dokumentierten. Sie können beispielsweise einen Security Health Analytics-Detektor hinzufügen, um eine Warnung zu erstellen, wenn in einem Projekt kein API-Schlüssel für die Authentifizierung verwendet wird:

      - policy_id: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      Als weiteres Beispiel können Sie ein benutzerdefiniertes Security Health Analytics-Modul hinzufügen, um zu erkennen, ob Vertex AI-Datasets verschlüsselt sind:

      - policy_id: CMEK key is use for Vertex AI DataSet
        compliance_standards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          security_health_analytics_custom_module:
            display_name: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resource_selector:
                resource_types:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            module_enablement_state: ENABLED
      

      Als weiteres Beispiel fügen Sie Security Command Center Enterprise einen Security Health Analytics-Detektor hinzu, der speziell für AWS ist (Vorabversion):

      - policy_set_id: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policy_id: S3 bucket replication enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policy_id: S3 bucket logging enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Wenn Sie einen Detektor hinzufügen, der speziell für AWS gilt, müssen Sie die Bedrohungslage auf Organisationsebene bereitstellen.

  5. Laden Sie die Datei mit dem Sicherheitsstatus in ein versioniertes Quell-Repository hoch, damit Sie die Änderungen, die Sie daran vornehmen, im Zeitverlauf verfolgen können.

Status erstellen

Führen Sie diese Aufgabe aus, um eine Ressourcenübersicht in Security Command Center zu erstellen, die Sie bereitstellen können. Wenn Sie eine Posture aus einer vordefinierten Posture-Vorlage mit der Google Cloud Console erstellt haben, wird die Posture-Ressource automatisch für Sie erstellt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Posture Management auf.

    Zu „Posture Management“

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.

  3. Klicken Sie auf Körperhaltung erstellen. Sie können einen Status erstellen, indem Sie mit einem vorhandenen Status oder einer Vorlage beginnen oder die auf eine Ressource angewendeten Richtlinien verwenden.

    Sicherheitsstatus mithilfe einer vorhandenen Sicherheitseinstellung oder Vorlage erstellen

    1. Wählen Sie Mit vorhandenem Status oder vorhandener Vorlage beginnen (Status durchsuchen) aus.
    2. Geben Sie Details zur Haltung an, z. B. Name und Beschreibung.
    3. Klicken Sie auf Haltung auswählen. Sie können eine Haltung auf Grundlage einer vorhandenen Haltung oder einer Vorlage erstellen.
      • Wählen Sie Haltung aus, um eine Haltung anhand einer vorhandenen Haltung zu erstellen. Wählen Sie eine Haltung aus der Liste der angezeigten Haltungen und dann eine oder mehrere Versionen aus der Liste der verfügbaren Versionen für die ausgewählte Haltung aus.
      • Wählen Sie Vorlage aus, um eine Haltung mithilfe einer Vorlage zu erstellen, und wählen Sie dann eine oder mehrere Vorlagen aus der angezeigten Liste aus.
    4. Klicken Sie auf Speichern. Im Abschnitt Richtliniengruppen sehen Sie eine Liste der Richtliniengruppen, die mit der ausgewählten Haltung verknüpft sind.
    5. Wählen Sie die Richtlinien aus der Liste der Richtliniengruppen aus. Sie können die Richtlinie auch auf dieser Seite bearbeiten und in eine andere Richtlinie verschieben. Sie können keine Posture mit zwei Richtlinien mit demselben Namen innerhalb desselben Richtliniensatzes erstellen.
    6. Klicken Sie auf Erstellen.

    Status mit den auf eine Ressource angewendeten Richtlinien erstellen

    1. Wählen Sie Mit Status beginnen, der auf eine Ressource angewendet wurde (Ressourcen durchsuchen) aus.
    2. Geben Sie Details zur Haltung an, z. B. Name und Beschreibung.
    3. Klicken Sie auf Ressourcen auswählen.
    4. Wählen Sie eine Ressource aus der Liste der angezeigten Ressourcen aus und klicken Sie auf Erstellen.

    Sie werden auf die Seite Details zum Status weitergeleitet, auf der Informationen zum von Ihnen erstellten Status angezeigt werden. Sie sehen die zugehörigen Richtliniensätze.

gcloud

  1. Führen Sie den Befehl gcloud scc postures create aus, um eine Haltung mithilfe der Datei posture.yaml zu erstellen.

    gcloud scc postures create POSTURE_NAME \
        --posture-from-file=POSTURE_FROM_FILE
    

    Ersetzen Sie die folgenden Werte:

    • POSTURE_NAME ist der relative Ressourcenname der Haltung. Beispiel: organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

      • POSTURE_ID ist ein alphanumerischer Name für Ihre Posture, der für Ihre Organisation eindeutig ist. POSTURE_ID ist auf 63 Zeichen begrenzt.

    Führen Sie beispielsweise den folgenden Befehl aus, um eine Posture mit der ID posture-example-1 unter der Organisation organizations/3589215982 zu erstellen:

    gcloud scc postures create \
        organizations/3589215982/locations/global/postures/posture-example-1 \
        --posture-from-file=posture.yaml
    

    Wenn der Vorgang zum Erstellen der Haltung fehlschlägt, löschen Sie die Haltung, beheben Sie den Fehler und versuchen Sie es noch einmal.

  2. Informationen dazu, wie Sie prüfen, ob die Körperhaltung erfolgreich erstellt wurde, finden Sie unter Körperhaltung ansehen.

Wenn Sie diese Haltung auf Ihre Umgebung anwenden möchten, müssen Sie sie implementieren.

Terraform

Wenn Sie für die Ressourcenerfassung eine Terraform-Konfiguration erstellt haben, müssen Sie sie mit Ihrer Pipeline für die Infrastruktur als Code bereitstellen.

Weitere Informationen finden Sie unter Terraform in Google Cloud.

Status bereitstellen

Nachdem Sie eine Posture erstellt haben, können Sie sie in einem Projekt, Ordner oder einer Organisation bereitstellen, um die Richtlinien und ihre Definitionen auf bestimmte Ressourcen in Ihrer Organisation anzuwenden und Abweichungen zu überwachen. Sie können nur eine Posture für ein Projekt, einen Ordner oder eine Organisation bereitstellen.

Prüfen Sie, ob der Körperhaltungsstatus ACTIVE lautet.

Wenn Sie die Positionierung bereitstellen, geschieht Folgendes:

  • Die Definitionen für Organisationsrichtlinien und Security Health Analytics-Detektoren werden angewendet.
  • Die benutzerdefinierte Einschränkung für benutzerdefinierte Organisationsrichtlinien wird mit der Einschränkungs-ID erstellt, um die ID der Posture-Revision als Suffix an die in der Posture definierte Einschränkungs-ID anzuhängen.
  • Der Standardstatus für die benutzerdefinierten Module ist Aktiviert.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Posture Management auf.

    Zu „Posture Management“

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.

  3. Klicken Sie auf dem Tab Postures (Posen) auf die Haltung, die Sie bereitstellen möchten.

  4. Wählen Sie auf der Seite Details zur Haltung die Version der Haltung aus. Die ausgewählte Körperhaltungsversion muss den Status „Aktiv“ haben.

  5. Klicken Sie auf Auf Ressourcen anwenden.

  6. Klicken Sie auf Auswählen, um die Organisation, den Ordner oder das Projekt auszuwählen, in dem Sie die Positionierung bereitstellen möchten.

  7. Klicken Sie auf Haltung anwenden.

gcloud

Führen Sie den Befehl gcloud scc posture-deployments create aus, um eine Posture für ein Projekt, einen Ordner oder eine Organisation bereitzustellen.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

Ersetzen Sie die folgenden Werte:

  • POSTURE_DEPLOYMENT_NAME ist der relative Ressourcenname für die Bereitstellung der Gerätebereitschaft. Das Format ist organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION ist global.

  • POSTURE_ID ist ein alphanumerischer Name für Ihre Haltung, der für Ihre Organisation eindeutig ist.

  • --posture-name=POSTURE_NAME ist der Name der Bereitstellungsposition. Das Format ist organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

Wenn Ihre Risikobewertung einen Detektor enthält, der speziell für AWS gilt, müssen Sie die Risikobewertung auf Organisationsebene bereitstellen (Vorabversion).

Führen Sie beispielsweise den folgenden Befehl aus, um eine Posture bereitzustellen:

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

Sie können sich Statusinformationen ansehen, während der Befehl ausgeführt wird. Wenn der Prozess zum Erstellen der Bereitstellung fehlschlägt, löschen Sie die Bereitstellung, beheben Sie den Fehler und versuchen Sie es noch einmal.

Terraform

Sie können eine Terraform-Ressource erstellen, um eine Posture bereitzustellen.

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Weitere Informationen finden Sie unter google_securityposture_posture_deployment.

Nachdem Sie die Terraform-Ressource erstellt haben, stellen Sie sie mit Ihrer Pipeline für „Infrastruktur als Code“ bereit.

Informationen zum Sicherheitsstatus und zur Bereitstellung des Sicherheitsstatus aufrufen

Sie können Informationen zur Gerätesicherheit und zur Bereitstellung der Gerätesicherheit aufrufen, um z. B. folgende Informationen zu sehen:

  • Welche Sicherheitsstufen bereitgestellt werden und wo in der Ressourcenhierarchie (Organisationen, Projekte und Ordner) sie angewendet werden
  • Die Überarbeitungen und den Status der Körperhaltungen
  • Die operativen Details einer Bereitstellung der Gerätestatusprüfung

Haltung ansehen

Sie können sich Informationen zu einer Posture ansehen, z. B. ihren Status und ihre Richtliniendefinitionen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Posture Management auf.

    Zu „Posture Management“

  2. Wählen Sie die Organisation aus, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.

  3. Klicken Sie auf dem Tab Haltungen auf die Haltung, die Sie sich ansehen möchten. Die Details zur Haltung werden angezeigt.

gcloud

Führen Sie den Befehl gcloud scc postures describe aus, um eine von Ihnen erstellte Haltung aufzurufen.

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

Ersetzen Sie die folgenden Werte:

  • POSTURE_NAME ist der relative Ressourcenname der Haltung. Beispiel: organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

  • LOCATION ist global.

  • POSTURE_ID ist ein alphanumerischer Name für Ihre Haltung, der für Ihre Organisation eindeutig ist.

  • revision-id=REVISION_ID ist ein optionales Flag, das angibt, welche Version der Gefährdungslage angezeigt werden soll. Wenn Sie das Flag nicht angeben, wird die neueste Version zurückgegeben.

Wenn Sie beispielsweise eine Haltung mit dem Namen organizations/3589215982/locations/global/postures/posture-example-1 und der Versions-ID abcdefgh aufrufen möchten, führen Sie Folgendes aus:

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Informationen zu einem Vorgang zur Bereitstellung des Sicherheitsstatus aufrufen

Führen Sie den Befehl gcloud scc posture-operations describe aus, um die Vorgangsdetails für einen Vorgang zur Bereitstellung der Gerätesicherheit aufzurufen.

gcloud scc posture-operations describe OPERATION_NAME

Dabei ist OPERATION_NAME der relative Ressourcenname für den Vorgang. Das Format ist organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Sie können OPERATION_ID mit dem Argument --async abrufen, wenn Sie den Befehl „posture“ ausführen.

Wenn Sie beispielsweise einen Scanvorgang mit dem Namen organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae aufrufen möchten, führen Sie Folgendes aus:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Informationen zu einer Bereitstellung des Sicherheitsstatus aufrufen

Sie können sehen, wo eine Posture bereitgestellt wird, und den Bereitstellungsstatus.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Posture Management auf.

    Zu „Posture Management“

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.

  3. Klicken Sie auf dem Tab Postures (Stellungen) auf die von Ihnen bereitgestellte Bereitstellung.

  4. Rufen Sie den Tab Ressourcen auf, um die Projekte, Ordner und die Organisation aufzurufen, in denen die Bewertung bereitgestellt wird, sowie den Bereitstellungsstatus.

gcloud

Führen Sie den Befehl gcloud scc posture-deployments describe aus, um Informationen zu einer bereitgestellten Posture aufzurufen.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

Dabei ist POSTURE_DEPLOYMENT_NAME der relative Ressourcenname für die Bereitstellung der Haltung. Das Format ist organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION ist global.
  • POSTURE_DEPLOYMENT_ID ist ein eindeutiger Name für die Bereitstellung der Gerätesicherheit.

Wenn Sie beispielsweise die Details für eine Bereitstellung der Gerätesicherheit mit dem Namen organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1 aufrufen möchten, führen Sie Folgendes aus:

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Status und Statusbereitstellung aktualisieren

Sie können Folgendes aktualisieren:

  • Der Status der Körperhaltung.
  • Die Richtliniendefinitionen in einer Posture.
  • Die Organisation, die Ordner oder die Projekte, in denen eine Posture bereitgestellt wird.

Richtliniendefinitionen in einer Haltung aktualisieren

Möglicherweise müssen Sie eine Haltung aktualisieren, wenn Sie weitere Google Cloud-Dienste aktivieren, zusätzliche Ressourcen bereitstellen oder zusätzliche Richtlinien benötigen, um neue oder sich ändernde Compliance-Anforderungen zu erfüllen. Wenn Sie eine bereitgestellte Statusversion aktualisieren, wird mit dieser Aufgabe eine neue Statusversion erstellt. Andernfalls wird die Version des Sicherheitsstatus aktualisiert, die Sie beim Ausführen des Befehls „update“ angeben.

  1. Öffnen Sie eine YAML-Datei in einem Texteditor. Fügen Sie die Felder, die Sie aktualisieren möchten, zusammen mit ihren Werten hinzu. Wenn Sie Richtliniengruppen aktualisieren, muss Ihre Datei alle Richtliniengruppen enthalten, die in die Bewertung aufgenommen werden sollen, einschließlich der bereits vorhandenen Richtliniengruppen. Eine Anleitung finden Sie unter YAML-Datei für die Haltung ändern.
  2. Führen Sie den Befehl gcloud scc postures update aus, um die Position zu aktualisieren.

    gcloud scc postures update POSTURE_NAME \
        --posture-from-file=POSTURE_FROM_FILE \
        --revision-id=POSTURE_REVISION_ID \
        --update-mask=UPDATE_MASK
    

    Ersetzen Sie die folgenden Werte:

    • POSTURE_NAME ist der relative Ressourcenname der Haltung. Beispiel: organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

      • POSTURE_ID ist ein alphanumerischer Name für Ihre Haltung, der für Ihre Organisation eindeutig ist.
    • POSTURE_FROM_FILE ist der relative oder absolute Pfad zur posture.yaml-Datei mit Ihren Änderungen.

      • LOCATION ist global.
      • POSTURE_ID ist ein alphanumerischer Name für Ihre Posture, der für Ihre Organisation eindeutig ist.
    • POSTURE_FROM_FILE ist der relative oder absolute Pfad zur posture.yaml-Datei mit Ihren Änderungen.

    • --revision-id=REVISION_ID ist die Überarbeitung der Sicherheitskonfiguration, die Sie bereitstellen möchten. Wenn die Sicherheitskonfiguration bereits bereitgestellt wurde, erstellt der Dienst für die Sicherheitskonfiguration automatisch eine neue Version der Sicherheitskonfiguration mit einer anderen Versions-ID und fügt die Versions-ID in die Ausgabe ein.

    • --update-mask=UPDATE_MASK ist eine durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Dieses Argument ist optional. Sie können UPDATE_MASK auf einen der folgenden Werte festlegen:

      • * oder „nicht angegeben“: Wenden Sie die Änderungen an den Richtliniensätzen und an der Beschreibung der Risikobereitschaft an.
      • policy_sets: Nur die Änderungen an den Richtliniensätzen anwenden.
      • description: Wenden Sie nur die Änderungen an der Beschreibung der Körperhaltung an.
      • policy_sets, description: Wenden Sie die Änderungen an den Richtliniensätzen und an der Beschreibung der Sicherheitsposition an.
      • state: Nur den Status ändern.

    Wenn Sie beispielsweise eine Posture mit dem Namen posture-example-1 für die Organisation organizations/3589215982/locations/global aktualisieren möchten und die Revision-ID auf abcd1234 festgelegt ist, führen Sie Folgendes aus:

    gcloud scc postures update \
        organizations/3589215982/locations/global/posture-example-1 \
        --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
    

    Wenn der Vorgang zum Aktualisieren der Haltung fehlschlägt, beheben Sie den Fehler und versuchen Sie es noch einmal.

  3. Wie Sie prüfen, ob die Ausrichtung erfolgreich aktualisiert wurde, erfahren Sie unter Sich eine Ausrichtung ansehen.

Status einer Haltung ändern

Der Status einer Posture bestimmt, ob sie für die Bereitstellung in einem Projekt, Ordner oder einer Organisation verfügbar ist.

Eine Körperhaltung kann folgende Status haben:

  • DRAFT: Die Überarbeitung des Status ist nicht bereit für die Bereitstellung. Sie können keine Postur-Überarbeitung bereitstellen, die sich im Status DRAFT befindet.
  • ACTIVE: Die Überarbeitung der Haltung ist für die Bereitstellung verfügbar. Sie können den Status von ACTIVE in DRAFT oder DEPRECATED. ändern.
  • DEPRECATED: Eine DEPRECATED-Sicherheitsüberprüfung kann nicht auf einer Ressource bereitgestellt werden. Sie müssen alle vorhandenen Bereitstellungen der Posture löschen, bevor Sie eine Posture-Version verwerfen können. Wenn Sie eine Sicherheitskonfiguration, die Sie eingestellt haben, neu bereitstellen möchten, müssen Sie ihren Status in ACTIVE ändern.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Posture Management auf.

    Zu „Posture Management“

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.

  3. Klicken Sie auf dem Tab Haltungen auf die Haltung, die Sie aktualisieren möchten.

  4. Klicken Sie auf der Seite Details zur Haltung auf Bearbeiten.

  5. Wählen Sie den gewünschten Haltungsstatus aus und klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud scc postures update aus, um den Status einer Posture zu ändern. Sie können den Status nicht gleichzeitig mit anderen Feldern aktualisieren. Eine Anleitung zum Ausführen des Befehls gcloud scc postures update finden Sie unter YAML-Datei für die Haltung ändern.

Bereitstellung der Gerätestatusprüfung aktualisieren

Aktualisieren Sie eine Bereitstellung der Sicherheitskonfiguration für ein Projekt, einen Ordner oder eine Organisation, um eine neue Sicherheitskonfiguration oder eine neue Version einer Sicherheitskonfiguration bereitzustellen.

Wenn die zu aktualisierende Risikobewertung eine benutzerdefinierte Organisationsbeschränkung enthält, die über die Google Cloud Console gelöscht wurde, können Sie die Risikobewertung nicht mit derselben Risikobewertungs-ID aktualisieren. Der Organisationsrichtliniendienst verhindert das Erstellen benutzerdefinierter Organisationseinschränkungen mit demselben Namen. Stattdessen müssen Sie eine neue Version der Haltung erstellen oder eine andere Haltungs-ID verwenden.

Außerdem werden Ergebnisse für die Richtlinienimplementierungen deaktiviert, die im Rahmen des Aktualisierungsprozesses gelöscht wurden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Posture Management auf.

    Zu „Posture Management“

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.

  3. Klicken Sie auf dem Tab Haltungen auf die Haltung, die Sie aktualisieren möchten.

  4. Wählen Sie auf der Seite Details zur Haltung die Version der Haltung aus.

  5. Klicken Sie auf Auf Ressourcen anwenden.

  6. Klicken Sie auf Auswählen, um die Organisation, den Ordner oder das Projekt auszuwählen, in dem Sie die Positionierung bereitstellen möchten. Wenn Sie die Meldung erhalten, dass die Bereitstellung bereits vorhanden ist, löschen Sie die Bereitstellung, bevor Sie es noch einmal versuchen.

gcloud

Führen Sie den Befehl gcloud scc posture-deployments update aus, um eine Posture bereitzustellen.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

Ersetzen Sie die folgenden Werte:

  • POSTURE_DEPLOYMENT_NAME ist der relative Ressourcenname für die Bereitstellung der Gerätebereitschaft. Das Format ist organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • POSTURE_DEPLOYMENT_ID ist ein eindeutiger Name für die Bereitstellung der Gerätesicherheit.
  • --description=DESCRIPTION ist eine optionale Beschreibung für die bereitgestellte Position.

  • --posture-id=POSTURE_ID ist der eindeutige Name Ihrer Haltung für Ihre Organisation. Das Format dafür lautet organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_NAME.

  • --posture-revision-id=POSTURE_REVISION_ID ist die Bereitstellungsversion der Haltung. Sie finden sie in der Antwort, die Sie erhalten, wenn Sie die Haltung erstellen oder sich die Haltung ansehen.

  • --update-mask=UPDATE_MASK ist eine durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Dieses Argument ist optional.

So aktualisieren Sie beispielsweise eine Bereitstellung der Gerätestatusprüfung mit den folgenden Kriterien:

  • Organisation: organizations/3589215982/locations/global
  • Bereitstellungs-ID des Sicherheitsstatus: postureDeploymentexample
  • Posture-ID: StagingAIPosture
  • Revision: version2

Führen Sie dazu diesen Befehl aus:

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Sie können sich Statusinformationen ansehen, während der Befehl ausgeführt wird. Wenn der Aktualisierungsprozess der Bereitstellung fehlschlägt, löschen Sie die Bereitstellung, beheben Sie den Fehler und versuchen Sie es noch einmal.

Abweichungen des Sicherheitsstatus im Blick behalten

Sie können eine bereitgestellte Sicherheitskonfiguration im Hinblick auf Abweichungen von Ihren definierten Richtlinien im Rahmen des Sicherheitsstatus überwachen. Eine Abweichung ist eine Änderung an einer Richtlinie, die außerhalb einer Haltung auftritt. Abweichungen treten beispielsweise auf, wenn ein Administrator eine Richtliniendefinition in der Konsole ändert, anstatt die Bereitstellung der Gerätestatus zu aktualisieren.

Der Dienst zur Bewertung der Sicherheitslage erstellt Ergebnisse, die Sie in der Google Cloud Console oder der gcloud CLI aufrufen können, wenn Abweichungen auftreten.

Console

Wenn Sie eine Haltung erstellt haben, die auf Vertex AI-Arbeitslasten angewendet wird, können Sie Abweichungen auf zwei Arten überwachen: auf der Seite Ergebnisse und auf der Seite Übersicht. Bei allen anderen Haltungen können Sie auf der Seite Ergebnisse nach Abweichungen suchen.

So überwachen Sie Abweichungen auf der Seite Ergebnisse:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf.

    Zu Ergebnissen

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.

  3. Wählen Sie im Bereich Schnellfilter die Abweichung Verletzung der Körperhaltung aus. Sie können auch den folgenden Filter in die Abfragevorschau eingeben:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
    
  4. Klicken Sie auf ein Ergebnis, um die Details aufzurufen.

So überwachen Sie auf der Seite Übersicht Abweichungen (nur Vertex AI-Arbeitslasten): 1. Rufen Sie in der Google Cloud Console die Seite Übersicht auf.

Zur Übersicht

1. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben. 1. Sehen Sie sich den Bereich KI-Arbeitslastergebnisse an.

  • Auf dem Tab Sicherheitslücken werden alle Sicherheitslücken angezeigt, die sich auf benutzerdefinierte Security Health Analytics-Module beziehen, die speziell für Vertex AI-Arbeitslasten gelten.
  • Auf dem Tab Richtlinienabweichung werden alle Abweichungen im Zusammenhang mit den Vertex AI-Organisationsrichtlinien angezeigt, die Sie in einer Haltung angewendet haben.
  • Klicken Sie auf ein Ergebnis, um die Details aufzurufen.

gcloud

Führen Sie in der gcloud CLI den folgenden Befehl aus, um die Abweichungsergebnisse aufzurufen:

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

Dabei ist ORGANIZATION_ID die ID der Organisation.

Weitere Informationen zur Behebung dieser Probleme finden Sie unter Ergebnisse des Dienstes zum Sicherheitsstatus. Sie können diese Ergebnisse genauso exportieren wie andere Ergebnisse aus dem Security Command Center. Weitere Informationen finden Sie unter Integrationsoptionen und Security Command Center-Daten exportieren.

Wenn Sie ein Drift-Ergebnis deaktivieren möchten, können Sie die Bereitstellung der Sicherheitskonfiguration mit derselben Sicherheitskonfigurations-ID und ‑Version aktualisieren.

Abweichungsbefund zu Testzwecken generieren

Nachdem Sie eine Haltung bereitgestellt haben, können Sie Abweichungen von Ihren Richtlinien überwachen. So sehen Sie die Abweichungsergebnisse in einer Testumgebung in Aktion:

  1. Wechseln Sie in der Console zur Seite Organisationsrichtlinie.

    Zu den Organisationsrichtlinien

  2. Bearbeiten Sie eine der Richtlinien, die Sie im bereitgestellten Sicherheitsstatus definiert haben. Wenn Sie beispielsweise eine vordefinierte Einstellung für sichere KI verwenden, können Sie die Richtlinie Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einschränken bearbeiten.

  3. Klicken Sie nach dem Ändern der Richtlinie auf Richtlinie festlegen.

  4. Rufen Sie die Seite Ergebnisse auf.

    Zu Ergebnissen

  5. Wählen Sie im Bereich Schnellfilter im Abschnitt Anzeigename der Quelle die Option Sicherheitsstatus aus. Innerhalb von fünf Minuten sollte ein Ergebnis zu Ihrer Änderung angezeigt werden.

  6. Klicken Sie auf das Ergebnis, um die Details aufzurufen.

Bereitstellung für den Gerätestatus löschen

Sie können eine Bereitstellung der Gerätestatusprüfung löschen, wenn sie nicht richtig bereitgestellt wurde, Sie eine bestimmte Gerätestatusprüfung nicht mehr benötigen oder einer bestimmten Bereitstellung keine Projekte, Ordner oder Organisationen mehr zugewiesen werden sollen. Damit eine Bereitstellung der Gerätestatuserfassung gelöscht werden kann, muss sie sich in einem der folgenden Status befinden:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Informationen zum Prüfen des Status einer Bereitstellung der Gerätesicherheit finden Sie unter Informationen zu einer Bereitstellung der Gerätesicherheit aufrufen.

Wenn Sie eine Bereitstellung des Sicherheitsstatus löschen, entfernen Sie den Sicherheitsstatus aus der Ressource (Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt), der Sie zugewiesen haben. Außerdem werden die zugehörigen Ergebnisse deaktiviert.

Die Ausgabe für verschiedene Richtlinientypen ist:

  • Wenn Sie eine Bereitstellung des Sicherheitsstatus löschen, die benutzerdefinierte Organisationsrichtlinien enthält, werden auch diese gelöscht. Die benutzerdefinierte Einschränkung bleibt jedoch bestehen.
  • Wenn Sie eine Bereitstellung der Gerätestatusprüfung löschen, die integrierte Security Health Analytics-Detektoren enthält, hängt der endgültige Status der Security Health Analytics-Module von der Organisation, dem Ordner oder dem Projekt ab, in dem die Bereitstellung vorhanden war.

    • Wenn Sie eine Posture für einen Ordner oder ein Projekt bereitgestellt haben, übernehmen integrierte Security Health Analytics-Detektoren ihren Status von der übergeordneten Organisation oder dem übergeordneten Ordner.
    • Wenn Sie einen Sicherheitsstatus auf Organisationsebene bereitgestellt haben, kehren die integrierten Security Health Analytics-Detektoren zum Standardstatus zurück. Eine Beschreibung der Standardstatus finden Sie unter Detektoren aktivieren und deaktivieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Posture Management auf.

    Zu „Posture Management“

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.

  3. Klicken Sie auf dem Tab Haltungen auf die Haltung, die Sie aus der Ressource entfernen möchten, der sie zugewiesen ist.

  4. Wählen Sie auf der Seite Posture-Details die Überarbeitung der Posture aus und gehen Sie zu Ressourcen.

  5. Klicken Sie in der Liste der Ressourcen, auf denen die aktuelle aktive Richtlinienversion bereitgestellt ist, auf Entfernen.

gcloud

Führen Sie den Befehl gcloud scc posture-deployments delete aus, um eine Bereitstellung für die Gerätesicherheit zu löschen.

gcloud scc posture-deployments deletePOSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME ist der relative Ressourcenname für die Bereitstellung der Gerätebereitschaft. Das Format ist organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • POSTURE_DEPLOYMENT_ID ist der eindeutige Name für die Bereitstellung der Gerätesicherheit.

Wenn Sie beispielsweise ein Deployment für die Gerätesicherheit mit dem Namen organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1 löschen möchten, führen Sie Folgendes aus:

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Status löschen

Wenn Sie einen Status löschen, werden auch alle Versionen gelöscht. Sie können eine Haltung nicht löschen, wenn eine ihrer Überarbeitungen bereitgestellt wurde. Sie müssen alle Bereitstellungen für die Gerätesicherheit löschen, bevor Sie diese Aufgabe ausführen können.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Posture Management auf.

    Zu „Posture Management“

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie die Security Command Center Premium- oder Enterprise-Stufe aktiviert haben.

  3. Klicken Sie auf dem Tab Körperhaltungen auf die Körperhaltung, die Sie löschen möchten.

  4. Klicken Sie auf der Seite Details zur Körperhaltung auf Löschen.

gcloud

Führen Sie den Befehl gcloud scc postures delete aus, um eine Haltung zu löschen.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME ist der relative Ressourcenname der Haltung. Beispiel: organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID Die Posture-ID ist ein alphanumerischer Name für Ihre Posture, der für Ihre Organisation eindeutig ist.

Wenn Sie beispielsweise eine Haltung mit dem Namen organizations/3589215982/locations/global/postures/posture-example-1 löschen möchten, führen Sie Folgendes aus:

gcloud scc postures delete \
    organizations/3589215982/locations/global/postures/posture-example-1

Nächste Schritte