Sicherheitsstatus verwalten

Auf dieser Seite wird beschrieben, wie Sie den Dienst für Sicherheitskonfigurationen konfigurieren und verwenden können, nachdem Sie Security Command Center aktiviert haben. Zuerst müssen Sie einen Status erstellen, der Ihre Richtlinien enthält, die in Richtliniensätzen organisiert sind. Anschließend stellen Sie den Status mit einer Statusbereitstellung bereit. Nachdem eine Haltung bereitgestellt wurde, können Sie sie auf Abweichungen überwachen und im Laufe der Zeit weiter optimieren.

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite erledigen.

Security Command Center Premium- oder Enterprise-Version aktivieren

Prüfen Sie, ob die Security Command Center Premium- oder Enterprise-Stufe auf Organisationsebene aktiviert ist.

Wenn Sie Security Health Analytics-Detektoren als Richtlinien verwenden möchten, wählen Sie bei der Aktivierung den Security Health Analytics-Dienst aus.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Security Posture Admin (roles/securityposture.admin) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des Sicherheitsstatus benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu Rollen und Berechtigungen für die Sicherheitskonfiguration finden Sie unter IAM für Aktivierungen auf Organisationsebene.

Google Cloud CLI einrichten

Sie müssen die Google Cloud CLI-Version 461.0.0 oder höher verwenden.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Führen Sie den folgenden Befehl aus, um die gcloud CLI so einzurichten, dass die Authentifizierung bei Google APIs anstelle Ihrer Nutzeranmeldedaten erfolgt:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Weitere Informationen finden Sie unter Identitätswechsel für Dienstkonten.

APIs aktivieren

Aktivieren Sie die APIs für den Organisationsrichtliniendienst und den Dienst für den Sicherheitsstatus:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Verbindung zu AWS konfigurieren

Wenn Sie integrierte Security Health Analytics-Detektoren verwenden möchten, die speziell für AWS entwickelt wurden, müssen Sie Security Command Center Enterprise aktivieren und eine Verbindung zu AWS herstellen, um Konfigurations- und Ressourcendaten zu erfassen.

Status erstellen und bereitstellen

Bevor Sie eine Sicherheitskonfiguration verwenden können, müssen Sie Folgendes tun:

• Erstellen Sie eine YAML-Datei für die Sicherheitskonfiguration, in der die Richtlinien definiert werden, die für Ihre Sicherheitskonfiguration gelten.
• Erstellen Sie eine Haltung in Google Cloud , die auf der YAML-Datei für die Haltung basiert.
• Stellen Sie den Sicherheitsstatus bereit.

In den folgenden Abschnitten finden Sie eine detaillierte Anleitung.

YAML-Datei für die Haltung erstellen

Ein Sicherheitsstatus besteht aus einem oder mehreren Richtliniensätzen, die Sie zusammen bereitstellen. Diese Richtliniengruppen enthalten alle Präventions- und Erkennungsrichtlinien, die Sie in Ihre Sicherheitslage aufnehmen möchten.

So erstellen Sie Ihre Haltung:

• Kopieren Sie eine vordefinierte Haltungsvorlage. Nehmen Sie bei Bedarf Änderungen an den Richtlinien vor, damit sie für Ihre Umgebung gelten und den behördlichen und Sicherheitsstandards Ihres Unternehmens entsprechen. Eine Anleitung finden Sie unter Haltungsdatei aus einer vordefinierten Haltungsvorlage erstellen.
• Vorhandene Richtlinien aus Ihrer Umgebung extrahieren. Nehmen Sie bei Bedarf Änderungen an den Richtlinien vor, damit sie den behördlichen und Sicherheitsstandards Ihres Unternehmens entsprechen. Eine Anleitung finden Sie unter Haltungsdatei erstellen, indem Richtlinien aus einer vorhandenen Umgebung extrahiert werden.
• Erstellen Sie eine Terraform-Ressource, die die Konfiguration definiert. Eine Anleitung finden Sie unter Terraform-Ressource mit Richtliniendefinitionen erstellen.

Weitere Informationen zu den Feldern, die Sie in einer Haltung verwenden können, finden Sie in der Posture-Referenz und der PolicySet-Referenz.

Sicherheitsstatusdatei aus einer vordefinierten Sicherheitsstatusvorlage erstellen

Sie können eine vordefinierte Posture-Vorlage verwenden, um eine Posture-Datei zu erstellen.

Statusdatei erstellen, indem Richtlinien aus einer vorhandenen Umgebung extrahiert werden

Sie können die Richtlinien (Organisationsrichtlinien, einschließlich benutzerdefinierter Richtlinien und aller Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Detektoren) extrahieren, die Sie in einem vorhandenen Projekt, Ordner oder einer vorhandenen Organisation konfiguriert haben, um eine Posture-Datei zu erstellen. Sie können keine Richtlinien aus einer Organisation, einem Ordner oder einem Projekt extrahieren, auf die bereits eine Konfiguration angewendet wurde.

Mit diesem Befehl werden nur die Richtlinien extrahiert, die Sie zuvor für die Organisation, den Ordner oder das Projekt konfiguriert haben. Richtlinien aus übergeordneten Ordnern oder Organisationen werden nicht extrahiert.

Wenn Sie Security Command Center Enterprise mit AWS verbunden haben, werden mit diesem Befehl auch die AWS-spezifischen Detektoren extrahiert (Vorschau).

1. Führen Sie den Befehl gcloud scc postures extract aus, um die vorhandenen Organisationsrichtlinien und Security Health Analytics-Detektoren in Ihrer Umgebung zu extrahieren.

   gcloud scc postures extract POSTURE_NAME \
       --workload=WORKLOAD
   

   Ersetzen Sie die folgenden Werte:

   • POSTURE_NAME ist der relative Ressourcenname der Haltung. Beispiel: organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

     • POSTURE_ID ist ein alphanumerischer Name für Ihre Haltung, der für Ihre Organisation eindeutig ist. POSTURE_ID ist auf 63 Zeichen begrenzt.

   • WORKLOAD ist das Projekt, der Ordner oder die Organisation, aus dem bzw. der Sie die Richtlinien extrahieren. Die Arbeitslast ist eine der folgenden:

   • projects/PROJECT_NUMBER

   • folder/FOLDER_ID

   • organizations/ORGANIZATION_ID

   Wenn Sie beispielsweise Richtlinien aus dem Ordner 3589215982 unter der Organisation 6589215984 extrahieren möchten, führen Sie Folgendes aus:

   gcloud scc postures extract \
     organizations/6589215984/locations/global/postures/myStagingPosture \
     workload=folder/3589215982 > posture.yaml
   

2. Öffnen Sie die resultierende Datei posture.yaml zur Bearbeitung.

3. Führen Sie einen der folgenden Schritte aus:

   • Wenn Sie die Haltung ohne Änderungen verwenden können (z. B. wenn Sie eine der _essentials-Vorlagen verwendet haben), können Sie die Haltung erstellen. Eine Anleitung finden Sie unter Haltung erstellen.
   • Wenn Sie Richtliniengruppen oder Richtlinien ändern müssen, führen Sie die Schritte unter YAML-Datei für die Konfiguration bearbeiten aus.

Terraform-Ressource mit Richtliniendefinitionen erstellen

Sie können eine Terraform-Konfiguration erstellen, um eine Postur-Ressource zu erstellen.

Sie können beispielsweise eine Konfigurationsressource erstellen, die integrierte und benutzerdefinierte Einschränkungen für Organisationsrichtlinien sowie integrierte und benutzerdefinierte Security Health Analytics-Detektoren enthält. Die Unterstützung der Konfigurationsverwaltung für integrierte Security Health Analytics-Detektoren, die speziell für AWS gelten, befindet sich in der Vorschauphase.

resource "google_securityposture_posture" "posture1"{
  posture_id  = "posture_example"
  parent      = "organizations/123456789"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression  = "resource.matchTag('org_id/tag_key_short_name,'tag_value_short_name')"
            	title       = "a CEL condition"
            }
          }
        }
      }
    }
    policies {
      policy_id = "custom_org_policy"
      constraint {
        org_policy_constraint_custom {
          custom_constraint {
            name           = "organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade"
            display_name   = "Disable GKE auto upgrade"
            description    = "Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced."
            action_type    = "ALLOW"
            condition      = "resource.management.autoUpgrade == false"
            method_types   = ["CREATE", "UPDATE"]
            resource_types = ["container.googleapis.com/NodePool"]
          }
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression = "resource.matchTagId('tagKeys/key_id','tagValues/value_id')"
            	title = "a CEL condition"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Weitere Informationen finden Sie unter google_securityposture_posture.

YAML-Datei für die Haltung ändern

So ändern Sie eine YAML-Datei für die Körperhaltung:

1. Öffnen Sie die YAML-Datei für die Haltung in einem Texteditor.

2. Prüfen Sie name, description und state am Anfang der Datei.

   name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
   description: DESCRIPTION
   state: STATE
   

   Weitere Informationen zu diesen Feldern finden Sie in der Posture-Referenz.

   Beispiel:

   name: organizations/3589215982/locations/global/posture/stagingAIPosture
   description: This posture applies to staging environments for Vertex AI.
   state: ACTIVE
   

3. Passen Sie die Richtlinien in der Datei an Ihre Anforderungen an.

   Weitere Informationen zu den Feldern, die Sie verwenden können, finden Sie in der Referenz zu PolicySet.

   1. Sehen Sie sich die vorhandenen Richtlinien und ihre Werte an. Legen Sie für Richtlinien, die Informationen erfordern, die für Ihre Umgebung spezifisch sind, die Werte entsprechend fest. Fügen Sie beispielsweise für die Richtlinie ainotebooks.accessMode im vordefinierten Status „Sichere KI, erweitert“ die zulässigen Zugriffsmodi unter policyRules hinzu:

      - policyId: Define access mode for Vertex AI Workbench notebooks and instances
        complianceStandards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          orgPolicyConstraint:
            cannedConstraintId: ainotebooks.accessMode
            policyRules:
            - values:
                allowedValues: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      

   2. Fügen Sie zusätzliche Einschränkungen für Organisationsrichtlinien hinzu, wie in Einschränkungen für Organisationsrichtlinien beschrieben. Wenn Sie eine benutzerdefinierte Organisationsrichtlinie definieren, muss die YAML-Datei die Definition der benutzerdefinierten Einschränkung enthalten. Sie können keine benutzerdefinierte Einschränkung verwenden, die Sie mit anderen Methoden erstellt haben, z. B. mit derGoogle Cloud -Konsole.

      Sie können beispielsweise die Einschränkung compute.trustedImageProjects festlegen, um Projekte zu definieren, die für die Image-Speicherung und Instanziierung von Datenträgern verwendet werden können. Wenn Sie dieses Beispiel kopieren, ersetzen Sie allowedValues durch eine geeignete Liste von Projekten:

      - policyId: Define projects with trusted images.
        complianceStandards:
        - standard:
          control:
        constraint:
          orgPolicyConstraint:
            cannedConstraintId: compute.trustedImageProjects
            policyRules:
            - values:
                allowedValues:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      

   3. Fügen Sie zusätzliche Security Health Analytics-Detektoren hinzu, z. B. die in Ergebnisse von Security Health Analytics dokumentierten. Fügen Sie beispielsweise einen Security Health Analytics-Detektor hinzu, um ein Ergebnis zu erstellen, wenn in einem Projekt kein API-Schlüssel für die Authentifizierung verwendet wird:

      - policyId: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      Ein weiteres Beispiel: Fügen Sie ein benutzerdefiniertes Security Health Analytics-Modul hinzu, um zu erkennen, ob Vertex AI-Datasets verschlüsselt sind:

      - policyId: CMEK key is use for Vertex AI DataSet
        complianceStandards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          securityHealthAnalyticsCustomModule:
            displayName: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resourceSelector:
                resourceTypes:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            moduleEnablementState: ENABLED
      

      Ein weiteres Beispiel: Fügen Sie für Security Command Center Enterprise einen Security Health Analytics-Detektor hinzu, der speziell für AWS gilt (Vorschau):

      - policySetId: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policyId: S3 bucket replication enabled
          complianceStandards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policyId: S3 bucket logging enabled
          complianceStandards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Wenn Sie einen AWS-spezifischen Detector hinzufügen, müssen Sie die Konfiguration auf Organisationsebene bereitstellen.

4. Laden Sie die Datei mit der Haltung in ein versionsverwaltetes Quell-Repository hoch, damit Sie die Änderungen, die Sie im Laufe der Zeit daran vornehmen, nachverfolgen können.

Status erstellen

Führen Sie diese Aufgabe aus, um eine Konfigurationsressource in Security Command Center zu erstellen, die Sie bereitstellen können. Wenn Sie eine Konfiguration aus einer vordefinierten Konfigurationsvorlage über die Google Cloud Console erstellt haben, wird die Konfigurationsressource automatisch für Sie erstellt.

Status bereitstellen

Nachdem Sie eine Konfiguration erstellt haben, stellen Sie sie in einem Projekt, Ordner oder einer Organisation bereit, damit Sie die Richtlinien und ihre Definitionen auf bestimmte Ressourcen in Ihrer Organisation anwenden und auf Abweichungen achten können. Sie können nur eine Haltung für ein Projekt, einen Ordner oder eine Organisation bereitstellen.

Prüfe, ob dein Haltungsstatus ACTIVE lautet.

Wenn Sie die Konfiguration bereitstellen, geschieht Folgendes:

• Die Definitionen für Organisationsrichtlinien und Security Health Analytics-Detektoren werden angewendet.
• Für jede benutzerdefinierte Organisationsrichtlinie, die in der Konfiguration definiert ist, wird eine neue benutzerdefinierte Einschränkung erstellt. Das gilt auch dann, wenn Sie die Haltung aus einer Vorlage oder aus extrahierten Richtlinien erstellt und diese Richtlinien unverändert gelassen haben. Die Constraint-ID enthält die ID der Posture-Revision als Suffix. Wenn alle Bereitstellungen der Haltung gelöscht werden, wird das Suffix durch eine zufällige UUID ersetzt.
• Für jeden benutzerdefinierten Security Health Analytics-Detektor, der in der Konfiguration definiert ist, wird eine neue benutzerdefinierte Einschränkung erstellt. Das gilt auch dann, wenn Sie die Haltung aus einer Vorlage oder aus extrahierten Richtlinien erstellt und diese Richtlinien unverändert gelassen haben.

• Der Standardstatus für die benutzerdefinierten Module ist Aktiviert.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Informationen zum Sicherheitsstatus und zur Bereitstellung des Sicherheitsstatus ansehen

Sie können Informationen zum Status und zur Bereitstellung des Status aufrufen, z. B.:

• Welche Einstellungen werden bereitgestellt und wo in der Ressourcenhierarchie (Organisationen, Projekte und Ordner) werden sie angewendet?
• Überarbeitungen und Status von Haltungen
• Betriebliche Details einer Bereitstellung von Sicherheitsstatus

Status ansehen

Sie können Informationen zu einer Konfiguration ansehen, z. B. den Status und die Richtliniendefinitionen.

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Informationen zu einem Vorgang zur Bereitstellung des Sicherheitsstatus ansehen

Führen Sie den Befehl gcloud scc posture-operations describe aus, um die Vorgangsdetails für einen Vorgang zur Bereitstellung von Haltungen aufzurufen.

gcloud scc posture-operations describe OPERATION_NAME

Dabei ist OPERATION_NAME der relative Ressourcenname für den Vorgang. Das Format dafür ist organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Sie können die OPERATION_ID mit dem Argument --async abrufen, wenn Sie den Befehl für die Körperhaltung ausführen.

Wenn Sie beispielsweise einen Scanvorgang mit dem Namen organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae aufrufen möchten, führen Sie Folgendes aus:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Informationen zu einer Sicherheitsstatusbereitstellung ansehen

Sie können sehen, wo eine Haltung bereitgestellt wird, sowie den Bereitstellungsstatus.

gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Sicherheitsstatus und Sicherheitsstatus-Deployment aktualisieren

Sie können Folgendes aktualisieren:

• Der Status der Haltung.
• Die Richtliniendefinitionen in einer Konfiguration.
• Die Organisation, die Ordner oder die Projekte, in denen eine Konfiguration bereitgestellt wird.

Richtliniendefinitionen in einer Konfiguration aktualisieren

Möglicherweise müssen Sie eine Konfiguration aktualisieren, wenn Sie weitere Google Cloud Dienste aktivieren, zusätzliche Ressourcen bereitstellen oder zusätzliche Richtlinien benötigen, um neue oder sich ändernde Compliance-Anforderungen zu erfüllen. Wenn Sie eine bereitgestellte Statusrevision aktualisieren, wird mit dieser Aufgabe eine neue Statusrevision erstellt. Andernfalls wird die von Ihnen angegebene Überarbeitungsnummer aktualisiert.

1. Öffnen Sie eine YAML-Datei in einem Texteditor. Fügen Sie die Felder, die Sie aktualisieren möchten, zusammen mit ihren Werten hinzu. Wenn Sie Richtliniengruppen aktualisieren, muss Ihre Datei alle Richtliniengruppen enthalten, die Sie in die Konfiguration aufnehmen möchten, einschließlich der bereits vorhandenen Richtliniengruppen. Eine Anleitung finden Sie unter YAML-Datei für die Haltung bearbeiten.

2. Führen Sie den Befehl gcloud scc postures update aus, um die Haltung zu aktualisieren.

   gcloud scc postures update POSTURE_NAME \
       --posture-from-file=POSTURE_FROM_FILE \
       --revision-id=POSTURE_REVISION_ID \
       --update-mask=UPDATE_MASK
   

   Ersetzen Sie die folgenden Werte:

   • POSTURE_NAME ist der relative Ressourcenname der Haltung. Beispiel: organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID

     • POSTURE_ID ist ein alphanumerischer Name für Ihre Haltung, der für Ihre Organisation eindeutig ist.

   • POSTURE_FROM_FILE ist der relative oder absolute Pfad zur Datei posture.yaml, die Ihre Änderungen enthält.

     • POSTURE_ID ist ein alphanumerischer Name für Ihre Haltung, der für Ihre Organisation eindeutig ist.

   • POSTURE_FROM_FILE ist der relative oder absolute Pfad zur Datei posture.yaml, die Ihre Änderungen enthält.

   • --revision-id=REVISION_ID ist die Version der Gerätekonfiguration, die Sie bereitstellen möchten. Wenn die Sicherheitskonfiguration bereits bereitgestellt ist, erstellt der Dienst für Sicherheitskonfigurationen automatisch eine neue Version der Konfiguration mit einer anderen Revisions-ID und gibt die Revisions-ID in der Ausgabe an.

   • --update-mask=UPDATE_MASK ist die Liste der Felder, die Sie aktualisieren möchten, in durch Kommas getrenntem Format. Dieses Argument ist optional. Sie können UPDATE_MASK auf einen der folgenden Werte festlegen:

     • * oder nicht angegeben: Wenden Sie die Änderungen an, die Sie an den Richtliniengruppen und der Beschreibung der Sicherheitslage vorgenommen haben.
     • policy_sets: Nur die Änderungen an den Richtliniengruppen anwenden.
     • description: Nur die Änderungen an der Beschreibung der Körperhaltung anwenden.
     • policy_sets, description: Übernehmen Sie die Änderungen, die Sie an den Richtliniensätzen und der Beschreibung der Sicherheitskonfiguration vorgenommen haben.
     • state: Nur die Statusänderung anwenden.

   Führen Sie beispielsweise den folgenden Befehl aus, um eine Haltung mit dem Namen posture-example-1 in der Organisation organizations/3589215982/locations/global zu aktualisieren, wobei die Revisions-ID auf abcd1234 festgelegt ist:

   gcloud scc postures update \
       organizations/3589215982/locations/global/posture-example-1 \
       --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
   

   Wenn die Aktualisierung der Haltung fehlschlägt, behebe den Fehler und versuche es noch einmal.

3. Informationen dazu, wie Sie prüfen, ob der Sicherheitsstatus erfolgreich aktualisiert wurde, finden Sie unter Sicherheitsstatus ansehen.

Status eines Status ändern

Der Status einer Konfiguration bestimmt, ob sie für die Bereitstellung in einem Projekt, Ordner oder einer Organisation verfügbar ist.

Eine Haltung kann die folgenden Status haben:

• DRAFT: Die Überarbeitung des Status ist nicht bereit für die Bereitstellung. Sie können keine Überarbeitung der Haltung bereitstellen, die sich im Status DRAFT befindet.
• ACTIVE: Die Überarbeitung der Sicherheitsrichtlinie ist für die Bereitstellung verfügbar. Sie können den Status von ACTIVE in DRAFT oder DEPRECATED. ändern.

• DEPRECATED: Eine DEPRECATED-Statusüberarbeitung kann nicht für eine Ressource bereitgestellt werden. Sie müssen alle vorhandenen Bereitstellungen der Haltung löschen, bevor Sie eine Haltungsrevision einstellen können. Wenn Sie eine eingestellte Haltungsrevision neu bereitstellen möchten, müssen Sie ihren Status in ACTIVE ändern.

Posture-Deployment aktualisieren

Aktualisieren Sie eine Bereitstellung von Sicherheitskonfigurationen für ein Projekt, einen Ordner oder eine Organisation, um eine neue Sicherheitskonfiguration oder eine neue Revision einer Sicherheitskonfiguration bereitzustellen.

Wenn die zu aktualisierende Überarbeitung der Sicherheitsrichtlinie eine benutzerdefinierte Organisationsbeschränkung enthält, die über die Google Cloud -Konsole gelöscht wurde, können Sie die Bereitstellung der Sicherheitsrichtlinie nicht mit derselben Sicherheitsrichtlinien-ID aktualisieren. Der Organisationsrichtliniendienst verhindert das Erstellen benutzerdefinierter Organisationseinschränkungen mit demselben Namen. Stattdessen müssen Sie eine neue Version der Haltung erstellen oder eine andere Haltungs-ID verwenden.

Außerdem werden die Ergebnisse für die Richtlinienbereitstellungen deaktiviert, die im Rahmen des Aktualisierungsprozesses gelöscht wurden.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Statusdrift beobachten

Sie können einen bereitgestellten Sicherheitsstatus auf Abweichungen von Ihren definierten Richtlinien überwachen. Drift ist eine Änderung an einer Richtlinie, die außerhalb einer Konfiguration erfolgt. Drift tritt beispielsweise auf, wenn ein Administrator eine Richtliniendefinition in der Konsole ändert, anstatt die Bereitstellung der Konfiguration zu aktualisieren.

Der Dienst für die Sicherheitslage erstellt Ergebnisse, die Sie in der Google Cloud Console oder der gcloud CLI ansehen können, wenn Abweichungen auftreten.

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

Weitere Informationen zum Beheben dieser Ergebnisse finden Sie unter Ergebnisse des Dienstes für den Sicherheitsstatus. Sie können diese Ergebnisse genauso exportieren wie alle anderen Ergebnisse aus Security Command Center. Weitere Informationen finden Sie unter Security Command Center-Daten exportieren.

Wenn Sie ein Ergebnis für die Abweichung inaktivieren möchten, können Sie die Bereitstellung der Konfiguration aktualisieren. Verwenden Sie dazu dieselbe Konfigurations-ID und ‑Revision.

Drift-Ergebnis zu Testzwecken generieren

Nachdem Sie eine Konfiguration bereitgestellt haben, können Sie Abweichungen von Ihren Richtlinien beobachten. So sehen Sie die Ergebnisse von Konzeptabweichungen in einer Testumgebung:

1. Wechseln Sie in der Konsole zur Seite Organisationsrichtlinie.

   Zur Organisationsrichtlinie

2. Bearbeiten Sie eine der Richtlinien, die Sie im bereitgestellten Sicherheitsstatus definiert haben. Wenn Sie beispielsweise eine vordefinierte sichere KI-Konfiguration verwenden, können Sie die Richtlinie Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einschränken bearbeiten.

3. Klicken Sie nach dem Ändern der Richtlinie auf Richtlinie festlegen.

4. Rufen Sie die Seite Ergebnisse auf.

   Zu Ergebnissen

5. Wählen Sie im Bereich Schnellfilter im Abschnitt Anzeigename der Quelle die Option Security Posture aus. Innerhalb von fünf Minuten sollte ein Ergebnis zu Ihrer Änderung angezeigt werden.

6. Klicken Sie auf das Ergebnis, um die Details dazu aufzurufen.

Status-Deployment löschen

Sie können eine Bereitstellung löschen, wenn sie nicht richtig bereitgestellt wurde, Sie eine bestimmte Konfiguration nicht mehr benötigen oder Sie nicht mehr möchten, dass eine bestimmte Konfiguration einem Projekt, Ordner oder einer Organisation zugewiesen ist. Damit Sie ein Posture-Deployment löschen können, muss es einen der folgenden Status haben:

• ACTIVE
• CREATE_FAILED
• UPDATE_FAILED
• DELETE_FAILED

Informationen zum Prüfen des Status einer Bereitstellung von Sicherheitsrichtlinien finden Sie unter Informationen zu einer Bereitstellung von Sicherheitsrichtlinien ansehen.

Wenn Sie eine Statusbereitstellung löschen, entfernen Sie den Status von der Ressource (Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt), der Sie ihn zugewiesen haben. Außerdem werden die zugehörigen Ergebnisse deaktiviert.

Die Ausgabe für verschiedene Arten von Richtlinien ist:

• Wenn Sie eine Sicherheitsstatusbereitstellung löschen, die benutzerdefinierte Organisationsrichtlinien enthält, werden die benutzerdefinierten Organisationsrichtlinien gelöscht. Die benutzerdefinierte Einschränkung bleibt jedoch bestehen.

• Wenn Sie eine Bereitstellung löschen, die integrierte Security Health Analytics-Detektoren enthält, hängt der endgültige Status der Security Health Analytics-Module von der Organisation, dem Ordner oder dem Projekt ab, in dem die Bereitstellung vorhanden war.

  • Wenn Sie eine Konfiguration für einen Ordner oder ein Projekt bereitgestellt haben, übernehmen die integrierten Security Health Analytics-Detektoren ihren Status von der übergeordneten Organisation oder dem übergeordneten Ordner.
  • Wenn Sie einen Status auf Organisationsebene bereitgestellt haben, werden die integrierten Security Health Analytics-Detektoren auf den Standardstatus zurückgesetzt. Eine Beschreibung der Standardstatus finden Sie unter Detektoren aktivieren und deaktivieren.

gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Status löschen

Wenn Sie einen Status löschen, werden auch alle Versionen gelöscht. Sie können eine Haltung nicht löschen, wenn eine ihrer Überarbeitungen bereitgestellt wird. Sie müssen alle Einstellungen für die Gerätehaltung löschen, bevor Sie diese Aufgabe ausführen können.

 gcloud scc postures delete POSTURE_NAME

 gcloud scc postures delete \
     organizations/3589215982/locations/global/postures/posture-example-1

Nächste Schritte

• Übersicht über Sicherheitsstatus
• Weitere Informationen zu benutzerdefinierten Modulen für Security Health Analytics
• Weitere Informationen zu benutzerdefinierten Einschränkungen für Organisationsrichtlinien
• Audit-Logs für Haltungsbezogene Vorgänge prüfen
• Daten des Dienstes „Sicherheitsstatus“ exportieren: