Gérer une stratégie de sécurité

Cette page explique comment configurer et utiliser le service de posture de sécurité après avoir activé Security Command Center. Pour commencer, vous devez créer une posture qui inclut vos règles, organisées en ensembles de règles, puis déployer la posture à l'aide d'un déploiement de posture. Une fois une posture déployée, vous pouvez surveiller la dérive et affiner davantage votre posture au fil du temps.

Avant de commencer

Effectuez ces tâches avant de passer aux autres tâches de cette page.

Activer le niveau Premium ou Enterprise de Security Command Center

Vérifiez que le niveau Premium ou Enterprise de Security Command Center est activé au niveau de l'organisation.

Si vous souhaitez utiliser les détecteurs Security Health Analytics comme règles, sélectionnez le service Security Health Analytics lors du processus d'activation.

Configurer les autorisations

Pour obtenir les autorisations nécessaires pour utiliser la posture, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de stratégie de sécurité (roles/securityposture.admin). Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Pour en savoir plus sur les rôles et les autorisations liés à la posture de sécurité, consultez IAM pour les activations au niveau de l'organisation.

Configurer Google Cloud CLI

Vous devez utiliser la version 461.0.0 ou ultérieure de Google Cloud CLI.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Pour configurer la gcloud CLI afin qu'elle utilise l'emprunt d'identité d'un compte de service pour s'authentifier auprès des Google APIs plutôt que d'utiliser vos identifiants utilisateur, exécutez la commande suivante : 

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Pour en savoir plus, consultez Emprunt d'identité d'un compte de service.

Activer les API

Activez les API du service de règles d'administration et du service de posture de sécurité :

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configurer la connexion à AWS

Pour utiliser les détecteurs Security Health Analytics intégrés spécifiques à AWS, vous devez activer Security Command Center Enterprise et vous connecter à AWS pour collecter les données de configuration et de ressources.

Créer et déployer une stratégie

Pour commencer à utiliser une posture de sécurité, vous devez effectuer les opérations suivantes :

  • Créez un fichier YAML de posture qui définit les règles applicables à votre posture de sécurité.
  • Créez une posture dans Google Cloud basée sur le fichier YAML de posture.
  • Déployez la stratégie.

Les sections suivantes fournissent des instructions détaillées.

Créer un fichier YAML de posture

Une posture se compose d'un ou plusieurs ensembles de règles que vous déployez ensemble. Ces ensembles de règles incluent toutes les règles de prévention et de détection que vous souhaitez inclure dans votre posture.

Pour créer votre posture, effectuez l'une des opérations suivantes :

Pour en savoir plus sur les champs que vous pouvez utiliser dans une posture, consultez la documentation de référence Posture et la documentation de référence PolicySet.

Créer un fichier de posture à partir d'un modèle de posture prédéfini

Vous pouvez utiliser un modèle de posture prédéfini pour créer un fichier de posture.

Console

  1. Dans la console Google Cloud , accédez à la page Gestion de la posture.

    Accéder à la gestion des stratégies

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Dans l'onglet Modèles, cliquez sur le modèle que vous souhaitez utiliser.

  4. Sur la page Détails du modèle, cliquez sur Créer une posture.

  5. Attribuez un nom unique à la posture, puis cliquez sur Créer. La page Détails de la posture s'ouvre.

  6. Effectuez l'une des actions suivantes :

gcloud

  1. Examinez les modèles de posture prédéfinis pour déterminer ceux qui s'appliquent à votre environnement. Vous pouvez en appliquer certaines sans apporter de modifications, mais d'autres nécessitent que vous personnalisiez les règles pour qu'elles correspondent à votre environnement.

  2. Utilisez l'une des méthodes suivantes pour copier les fichiers YAML dans votre propre éditeur de texte :

    • Copiez le fichier YAML à partir du contenu de référence dans Modèles de postures prédéfinis.
    • Exécutez la commande gcloud scc posture-templates describe pour copier le fichier YAML.
    gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/POSTURE_TEMPLATE \
    --revision-id=REVISION_ID

    Remplacez les valeurs suivantes :

    • ORGANIZATION_ID est l'organisation dans laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.
    • POSTURE_TEMPLATE est le nom du modèle de la posture prédéfinie, comme décrit dans Modèles de postures prédéfinies.
    • REVISION_ID correspond à la version de révision de la posture prédéfinie. Si vous n'incluez pas l'ID de révision, la dernière version de la posture prédéfinie s'affiche.

    Par exemple, pour afficher la posture prédéfinie "Secure AI, essentials" sous l'organisation 3589215982, exécutez la commande suivante :

    gcloud scc posture-templates describe \
    organizations/3589215982/locations/global/postureTemplates/secure_ai_essential \
    --revision-id=v.1.0

  3. Effectuez l'une des actions suivantes :

    • Si vous pouvez utiliser la posture sans apporter de modifications (par exemple, si vous avez utilisé l'un des modèles _essentials), vous pouvez la créer. Pour obtenir des instructions, consultez Créer une posture.
    • Si vous devez modifier l'un des ensembles ou l'une des règles, consultez Modifier un fichier YAML de posture.

Créer un fichier de stratégie en extrayant des règles d'un environnement existant

Vous pouvez extraire les règles (règles d'administration, y compris les règles personnalisées et tous les détecteurs Security Health Analytics, y compris les détecteurs personnalisés) que vous avez configurées dans un projet, un dossier ou une organisation existants pour créer un fichier de posture. Vous ne pouvez pas extraire de règles d'une organisation, d'un dossier ou d'un projet auxquels une posture est déjà appliquée.

Cette commande n'extrait que les règles que vous avez précédemment configurées pour l'organisation, le dossier ou le projet. Elle n'extrait pas les règles des dossiers ou de l'organisation parents.

Si vous avez connecté Security Command Center Enterprise à AWS, cette commande extrait également les détecteurs spécifiques à AWS (aperçu).

  1. Exécutez la commande gcloud scc postures extract pour extraire les règles d'administration et les détecteurs Security Health Analytics existants dans votre environnement.

    gcloud scc postures extract POSTURE_NAME \
    --workload=WORKLOAD

    Remplacez les valeurs suivantes :

    • POSTURE_NAME est le nom de ressource relatif de la posture. Exemple : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID est un nom alphanumérique unique à votre organisation pour votre posture. POSTURE_ID est limité à 63 caractères.

    • WORKLOAD correspond au projet, au dossier ou à l'organisation à partir desquels vous extrayez les règles. La charge de travail correspond à l'un des éléments suivants :

    • projects/PROJECT_NUMBER

    • folder/FOLDER_ID

    • organizations/ORGANIZATION_ID

    Par exemple, pour extraire les règles du dossier 3589215982 sous l'organisation 6589215984, exécutez la commande suivante :

    gcloud scc postures extract \
  organizations/6589215984/locations/global/postures/myStagingPosture \
  workload=folder/3589215982 > posture.yaml

  2. Ouvrez le fichier posture.yaml obtenu pour le modifier.

  3. Effectuez l'une des actions suivantes :

    • Si vous pouvez utiliser la posture sans apporter de modifications (par exemple, si vous avez utilisé l'un des modèles _essentials), vous pouvez la créer. Pour obtenir des instructions, consultez Créer une posture.
    • Si vous devez modifier l'un des ensembles ou l'une des règles, consultez Modifier un fichier YAML de posture.

Créer une ressource Terraform avec des définitions de règles

Vous pouvez créer une configuration Terraform pour créer une ressource de posture.

Par exemple, vous pouvez créer une ressource de posture qui inclut des contraintes de règles d'organisation intégrées et personnalisées, ainsi que des détecteurs Security Health Analytics intégrés et personnalisés. La gestion de la posture est disponible en preview pour les détecteurs Security Health Analytics intégrés spécifiques à AWS.

resource "google_securityposture_posture" "posture1"{
  posture_id  = "posture_example"
  parent      = "organizations/123456789"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression  = "resource.matchTag('org_id/tag_key_short_name,'tag_value_short_name')"
            	title       = "a CEL condition"
            }
          }
        }
      }
    }
    policies {
      policy_id = "custom_org_policy"
      constraint {
        org_policy_constraint_custom {
          custom_constraint {
            name           = "organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade"
            display_name   = "Disable GKE auto upgrade"
            description    = "Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced."
            action_type    = "ALLOW"
            condition      = "resource.management.autoUpgrade == false"
            method_types   = ["CREATE", "UPDATE"]
            resource_types = ["container.googleapis.com/NodePool"]
          }
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression = "resource.matchTagId('tagKeys/key_id','tagValues/value_id')"
            	title = "a CEL condition"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Pour en savoir plus, consultez google_securityposture_posture.

Modifier un fichier YAML de posture

Pour modifier un fichier YAML de posture, procédez comme suit :

  1. Ouvrez votre fichier YAML de posture dans un éditeur de texte.

  2. Vérifiez les valeurs name, description et state au début du fichier.

    name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
description: DESCRIPTION
state: STATE

    Pour en savoir plus sur ces champs, consultez la documentation de référence sur Posture.

    Exemple :

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
description: This posture applies to staging environments for Vertex AI.
state: ACTIVE

  3. Personnalisez les règles du fichier pour répondre à vos besoins.

    Pour en savoir plus sur les champs que vous pouvez utiliser, consultez la documentation de référence PolicySet.

    1. Examinez les règles existantes et leurs valeurs. Pour les règles qui nécessitent des informations spécifiques à votre environnement, définissez les valeurs de manière appropriée. Par exemple, pour la règle ainotebooks.accessMode dans la stratégie prédéfinie "Secure AI, extended" (IA sécurisée, étendue), ajoutez les modes d'accès autorisés sous policyRules :

      - policyId: Define access mode for Vertex AI Workbench notebooks and instances
  complianceStandards:
  - standard: NIST SP 800-53
    control: AC-3(3)
  - standard: NIST SP 800-53
    control: AC-6(1)
  constraint:
    orgPolicyConstraint:
      cannedConstraintId: ainotebooks.accessMode
      policyRules:
      - values:
          allowedValues: service-account
  description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.

    2. Ajoutez des contraintes de règles d'administration supplémentaires, comme indiqué dans Contraintes liées aux règles d'administration. Si vous définissez une règle d'administration personnalisée, assurez-vous que le fichier YAML inclut la définition de la contrainte personnalisée. Vous ne pouvez pas utiliser de contrainte personnalisée que vous avez créée à l'aide d'autres méthodes (par exemple, à l'aide de la consoleGoogle Cloud ).

      Par exemple, vous pouvez définir la contrainte compute.trustedImageProjects pour définir les projets pouvant être utilisés pour le stockage d'images et l'instanciation de disques. Si vous copiez cet exemple, veillez à remplacer allowedValues par une liste de projets appropriée :

      - policyId: Define projects with trusted images.
  complianceStandards:
  - standard:
    control:
  constraint:
    orgPolicyConstraint:
      cannedConstraintId: compute.trustedImageProjects
      policyRules:
      - values:
          allowedValues:
          - project1
          - project2
          - projectN
  description: This is a complete list of projects from which images can be used.

    3. Ajoutez d'autres détecteurs Security Health Analytics, tels que ceux décrits dans Résultats de Security Health Analytics. Par exemple, ajoutez un détecteur Security Health Analytics pour créer un résultat si un projet n'utilise pas de clé API pour l'authentification :

      - policyId: API Key Exists
  constraint:
    securityHealthAnalyticsModule:
      moduleEnablementState: ENABLED
      moduleName: API_KEY_EXISTS

      Par exemple, ajoutez un module personnalisé Security Health Analytics pour détecter si les ensembles de données Vertex AI sont chiffrés :

      - policyId: CMEK key is use for Vertex AI DataSet
  complianceStandards:
  - standard: NIST SP 800-53
    control: SC-12
  - standard: NIST SP 800-53
    control: SC-13
  constraint:
    securityHealthAnalyticsCustomModule:
      displayName: "vertexAIDatasetCMEKDisabled"
      config:
        customOutput: {}
        predicate:
          expression: "!has(resource.encryptionSpec)"
        resourceSelector:
          resourceTypes:
          - aiplatform.googleapis.com/Dataset
        severity: CRITICAL
        description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
        recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
      moduleEnablementState: ENABLED

      Par exemple, pour Security Command Center Enterprise, ajoutez un détecteur Security Health Analytics spécifique à AWS (Preview) :

      - policySetId: AWS policy set
  description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
  policies:
  - policyId: S3 bucket replication enabled
    complianceStandards:
    - standard: NIST 800-53 R5
      control: SI-13(5)
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_REPLICATION_ENABLED
    description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.

  - policyId: S3 bucket logging enabled
    complianceStandards:
    - standard: NIST 800-53 R5
      control: SI-7(8)
    - standard: PCI DSS 3.2.1
      control: 10.3.1
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_LOGGING_ENABLED
    description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.

      Si vous ajoutez un détecteur spécifique à AWS, vous devez déployer la posture au niveau de l'organisation.

  4. Importez votre fichier de posture dans un dépôt source avec contrôle des versions afin de pouvoir suivre les modifications que vous y apportez au fil du temps.

Créer une stratégie

Effectuez cette tâche pour créer une ressource de posture dans Security Command Center que vous pouvez déployer. Si vous avez créé une posture à partir d'un modèle de posture prédéfini à l'aide de la console Google Cloud , la ressource de posture est créée automatiquement pour vous.

Console

  1. Dans la console Google Cloud , accédez à la page Gestion de la posture.

    Accéder à la gestion des stratégies

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Cliquez sur Créer une posture. Vous pouvez créer une posture en partant d'une posture ou d'un modèle existants, ou en utilisant les règles appliquées à une ressource.

    Créer une stratégie à l'aide d'une stratégie ou d'un modèle existants

    1. Sélectionnez Commencer avec une stratégie existante ou un modèle (parcourir les stratégies).
    2. Spécifiez les détails de la posture, comme son nom et sa description.
    3. Cliquez sur Sélectionner la posture. Vous pouvez créer une posture à partir d'une posture ou d'un modèle existants.
      • Sélectionnez Posture pour créer une posture à partir d'une posture existante. Sélectionnez une posture dans la liste affichée, puis une ou plusieurs révisions dans la liste des révisions disponibles pour la posture sélectionnée.
      • Sélectionnez Modèle pour créer une posture à l'aide d'un modèle, puis sélectionnez un ou plusieurs modèles dans la liste affichée.
    4. Cliquez sur Enregistrer. Dans la section Ensembles de règles, vous pouvez afficher la liste des ensembles de règles associés à la posture sélectionnée.
    5. Sélectionnez les règles dans la liste des ensembles de règles. Vous pouvez également modifier la règle et la déplacer vers un autre ensemble de règles sur cette page. Vous ne pouvez pas créer de posture avec deux règles portant le même nom dans le même ensemble de règles.
    6. Cliquez sur Créer.

    Créer une posture à l'aide des règles appliquées à une ressource

    1. Sélectionnez Commencer avec une stratégie appliquée à une ressource (parcourir les ressources).
    2. Spécifiez les détails de la posture, comme son nom et sa description.
    3. Cliquez sur Sélectionner des ressources.
    4. Sélectionnez une ressource dans la liste affichée, puis cliquez sur Créer.

    Vous êtes redirigé vers la page Détails de la stratégie, qui affiche des informations sur la stratégie que vous avez créée. Vous pouvez consulter les ensembles de règles associés à cette posture.

gcloud

  1. Exécutez la commande gcloud scc postures create pour créer une posture à l'aide du fichier posture.yaml.

    gcloud scc postures create POSTURE_NAME \
    --posture-from-file=POSTURE_FROM_FILE

    Remplacez les valeurs suivantes :

    • POSTURE_NAME est le nom de ressource relatif de la posture. Exemple : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID est un nom alphanumérique unique à votre organisation. POSTURE_ID est limité à 63 caractères.

    Par exemple, pour créer une posture avec l'ID posture-example-1 sous l'organisation organizations/3589215982, exécutez la commande suivante :

    gcloud scc postures create \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --posture-from-file=posture.yaml

    Si le processus de création de la stratégie échoue, supprimez la stratégie, corrigez l'erreur, puis réessayez.

  2. Pour vérifier que la posture a bien été créée, consultez Afficher une posture.

Pour appliquer cette posture à votre environnement, vous devez la déployer.

Terraform

Si vous avez créé une configuration Terraform pour la ressource de posture, vous devez la provisionner à l'aide de votre pipeline Infrastructure as Code.

Pour en savoir plus, consultez Terraform sur Google Cloud.

Déployer une stratégie

Une fois que vous avez créé une posture, vous la déployez dans un projet, un dossier ou une organisation afin de pouvoir appliquer les règles et leurs définitions à des ressources spécifiques de votre organisation et surveiller les dérives. Vous ne pouvez déployer qu'une seule posture dans un projet, un dossier ou une organisation.

Vérifiez que l'état de votre posture est ACTIVE.

Lorsque vous déployez la posture, les actions suivantes se produisent :

  • Les définitions des règles d'administration et des détecteurs Security Health Analytics sont appliquées.
  • Pour chaque règle d'administration personnalisée définie dans la posture, une contrainte personnalisée est créée. Cela est vrai même si vous avez créé la posture à partir d'un modèle ou de règles extraites, et que vous avez conservé ces règles telles quelles. L'ID de contrainte inclut l'ID de révision de la posture en tant que suffixe. Si tous les déploiements de la posture sont supprimés, le suffixe est remplacé par un UUID aléatoire.
  • Pour chaque détecteur Security Health Analytics personnalisé défini dans la posture, une contrainte personnalisée est créée. Cela est vrai même si vous avez créé la posture à partir d'un modèle ou de règles extraites, et que vous avez conservé ces règles telles quelles.

  • L'état par défaut des modules personnalisés est défini sur Activé.

Console

  1. Dans la console Google Cloud , accédez à la page Gestion de la posture.

    Accéder à la gestion des stratégies

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Dans l'onglet Postures, cliquez sur la posture que vous souhaitez déployer.

  4. Sur la page Détails de la posture, sélectionnez la révision de la posture. La révision de posture que vous sélectionnez doit être active.

  5. Cliquez sur Appliquer aux ressources.

  6. Cliquez sur Sélectionner pour sélectionner l'organisation, le dossier ou le projet dans lequel vous souhaitez déployer la posture.

  7. Cliquez sur Appliquer la posture.

gcloud

Exécutez la commande gcloud scc posture-deployments create pour déployer une posture dans un projet, un dossier ou une organisation.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

Remplacez les valeurs suivantes :

  • POSTURE_DEPLOYMENT_NAME est le nom de ressource relatif du déploiement de posture. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION est global.

  • POSTURE_ID est un nom alphanumérique unique pour votre posture au sein de votre organisation.

  • --posture-name=POSTURE_NAME correspond au nom de la posture que vous déployez. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

Si votre posture inclut un détecteur spécifique à AWS, vous devez la déployer au niveau de l'organisation (Aperçu).

Par exemple, pour déployer une posture, exécutez la commande suivante :

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

Vous pouvez afficher des informations sur l'état de la commande à mesure qu'elle s'exécute. Si le processus de création du déploiement de posture échoue, supprimez le déploiement, corrigez l'erreur et réessayez.

Terraform

Vous pouvez créer une ressource Terraform pour déployer une posture.

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Pour en savoir plus, consultez google_securityposture_posture_deployment.

Afficher des informations sur les postures et leur déploiement

Vous pouvez afficher des informations sur la posture et le déploiement de la posture, comme les suivantes :

  • Les postures déployées et leur emplacement dans la hiérarchie des ressources (organisations, projets et dossiers)
  • Révisions et état des postures
  • Détails opérationnels d'un déploiement de posture

Afficher une posture

Vous pouvez afficher des informations sur une posture (telles que son état et les définitions de ses règles).

Console

  1. Dans la console Google Cloud , accédez à la page Gestion de la posture.

    Accéder à la gestion des stratégies

  2. Sélectionnez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Dans l'onglet Postures, cliquez sur la posture que vous souhaitez afficher. Les détails de la posture s'affichent.

gcloud

Exécutez la commande gcloud scc postures describe pour afficher une posture que vous avez créée.

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

Remplacez les valeurs suivantes :

  • POSTURE_NAME est le nom de ressource relatif de la posture. Exemple : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

  • POSTURE_ID est un nom alphanumérique unique pour votre posture au sein de votre organisation.

  • revision-id=REVISION_ID est un indicateur facultatif qui spécifie la version de la posture à afficher. Si vous n'incluez pas l'indicateur, la dernière version est renvoyée.

Par exemple, pour afficher une posture portant le nom organizations/3589215982/locations/global/postures/posture-example-1 et l'ID de révision abcdefgh, exécutez la commande suivante :

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Afficher des informations sur une opération de déploiement de posture

Exécutez la commande gcloud scc posture-operations describe pour afficher les détails d'une opération de déploiement de posture.

gcloud scc posture-operations describe OPERATION_NAME

OPERATION_NAME est le nom de ressource relatif de l'opération. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Vous pouvez obtenir le OPERATION_ID en utilisant l'argument --async lorsque vous exécutez la commande de posture.

Par exemple, pour afficher une opération d'analyse nommée organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, exécutez la commande suivante :

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Afficher des informations sur un déploiement de posture

Vous pouvez voir où une posture est déployée, ainsi que l'état du déploiement.

Console

  1. Dans la console Google Cloud , accédez à la page Gestion de la posture.

    Accéder à la gestion des stratégies

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Dans l'onglet Postures, cliquez sur la posture que vous avez déployée.

  4. Accédez à l'onglet Ressources pour afficher les projets, les dossiers et l'organisation dans lesquels la posture est déployée, ainsi que l'état du déploiement.

gcloud

Exécutez la commande gcloud scc posture-deployments describe pour afficher des informations sur une posture déployée.

gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME est le nom de ressource relatif pour le déploiement de posture. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION est global.
  • POSTURE_DEPLOYMENT_ID est un nom unique pour le déploiement de posture.

Par exemple, pour afficher les détails d'un déploiement de posture nommé organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, exécutez la commande suivante :

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Mettre à jour une posture et un déploiement de posture

Vous pouvez modifier les éléments suivants :

  • État de la posture.
  • Définitions de règles dans une posture.
  • Organisation, dossiers ou projets dans lesquels une posture est déployée.

Mettre à jour les définitions de règles dans une posture

Vous devrez peut-être mettre à jour une posture lorsque vous activez d'autres services Google Cloud , déployez des ressources supplémentaires ou avez besoin de règles supplémentaires pour répondre à des exigences de conformité nouvelles ou modifiées. Si vous mettez à jour une révision de stratégie déployée, cette tâche crée une révision de stratégie. Sinon, la révision de posture que vous spécifiez lorsque vous exécutez la commande de mise à jour est mise à jour.

  1. Ouvrez un fichier YAML dans un éditeur de texte. Ajoutez les champs que vous souhaitez mettre à jour, ainsi que leurs valeurs. Si vous mettez à jour des ensembles de règles, assurez-vous que votre fichier inclut tous les ensembles de règles que vous souhaitez inclure dans la posture, y compris ceux qui existent déjà. Pour obtenir des instructions, consultez Modifier un fichier YAML de posture.

  2. Exécutez la commande gcloud scc postures update pour mettre à jour la posture.

    gcloud scc postures update POSTURE_NAME \
    --posture-from-file=POSTURE_FROM_FILE \
    --revision-id=POSTURE_REVISION_ID \
    --update-mask=UPDATE_MASK

    Remplacez les valeurs suivantes :

    • POSTURE_NAME est le nom de ressource relatif de la posture. Exemple : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID est un nom alphanumérique unique pour votre posture au sein de votre organisation.

    • POSTURE_FROM_FILE est le chemin d'accès relatif ou absolu au fichier posture.yaml qui inclut vos modifications.

      • POSTURE_ID est un nom alphanumérique unique à votre organisation.

    • POSTURE_FROM_FILE est le chemin d'accès relatif ou absolu au fichier posture.yaml qui inclut vos modifications.

    • --revision-id=REVISION_ID est la révision de posture que vous souhaitez déployer. Si la posture est déjà déployée, le service de posture de sécurité crée automatiquement une nouvelle version de la posture avec un ID de révision différent et inclut l'ID de révision dans le résultat.

    • --update-mask=UPDATE_MASK est la liste des champs que vous souhaitez mettre à jour, séparés par une virgule. Cet argument est facultatif. Vous pouvez définir UPDATE_MASK sur l'une des valeurs suivantes :

      • * ou "non spécifié" : appliquez les modifications que vous avez apportées aux ensembles de règles et à la description de la posture.
      • policy_sets : appliquez uniquement les modifications que vous avez apportées aux ensembles de règles.
      • description : appliquez les modifications que vous avez apportées à la description de la posture uniquement.
      • policy_sets, description : appliquez les modifications que vous avez apportées aux ensembles de règles et à la description de la posture.
      • state : appliquez uniquement le changement d'état.

    Par exemple, pour mettre à jour une posture nommée posture-example-1 dans l'organisation organizations/3589215982/locations/global et avec l'ID de révision défini sur abcd1234, exécutez la commande suivante :

    gcloud scc postures update \
    organizations/3589215982/locations/global/posture-example-1 \
    --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets

    Si le processus de mise à jour de la posture échoue, corrigez l'erreur et réessayez.

  3. Pour vérifier que la stratégie a bien été mise à jour, consultez Afficher une stratégie.

Modifier l'état d'une stratégie

L'état d'une posture détermine si elle peut être déployée dans un projet, un dossier ou une organisation.

Un état peut avoir les états suivants :

  • DRAFT : La révision de la stratégie n'est pas prête pour le déploiement. Vous ne pouvez pas déployer une révision de posture à l'état DRAFT.
  • ACTIVE : la révision de posture est disponible pour le déploiement. Vous pouvez modifier l'état de ACTIVE en DRAFT ou DEPRECATED..

  • DEPRECATED : une révision de stratégie DEPRECATED ne peut pas être déployée sur une ressource. Vous devez supprimer tous les déploiements de posture existants de la posture avant de pouvoir abandonner une révision de posture. Si vous souhaitez redéployer une révision de posture que vous avez abandonnée, vous devez définir son état sur ACTIVE.

Console

  1. Dans la console Google Cloud , accédez à la page Gestion de la posture.

    Accéder à la gestion des stratégies

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Dans l'onglet Postures, cliquez sur la posture que vous souhaitez modifier.

  4. Sur la page Détails de la posture, cliquez sur Modifier.

  5. Sélectionnez l'état de posture, puis cliquez sur Enregistrer.

gcloud

Pour modifier l'état d'une posture, exécutez la commande gcloud scc postures update. Vous ne pouvez pas mettre à jour l'état de la posture en même temps que d'autres champs. Pour savoir comment exécuter la commande gcloud scc postures update, consultez Modifier un fichier YAML de posture.

Mettre à jour un déploiement de posture

Mettez à jour un déploiement de posture sur un projet, un dossier ou une organisation pour déployer une nouvelle posture ou une nouvelle révision d'une posture.

Si la révision de posture que vous mettez à jour inclut une contrainte d'organisation personnalisée qui a été supprimée à l'aide de la console Google Cloud , vous ne pouvez pas mettre à jour le déploiement de posture à l'aide du même ID de posture. Le service de règles d'administration empêche la création de contraintes d'organisation personnalisées portant le même nom. À la place, vous devez créer une version de la posture ou utiliser un autre ID de posture.

De plus, les résultats des déploiements de règles supprimés lors du processus de mise à jour seront désactivés.

Console

  1. Dans la console Google Cloud , accédez à la page Gestion de la posture.

    Accéder à la gestion des stratégies

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Security Command Center Premium ou Enterprise.

  3. Dans l'onglet Postures, cliquez sur la posture que vous souhaitez modifier.

  4. Sur la page Détails de la posture, sélectionnez la révision de la posture.

  5. Cliquez sur Appliquer aux ressources.

  6. Cliquez sur Sélectionner pour sélectionner l'organisation, le dossier ou le projet dans lequel vous souhaitez déployer la posture. Si un message indique que le déploiement existe déjà, supprimez-le avant de réessayer.

gcloud

Exécutez la commande gcloud scc posture-deployments update pour déployer une posture.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

Remplacez les valeurs suivantes :

  • POSTURE_DEPLOYMENT_NAME est le nom de ressource relatif du déploiement de posture. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • POSTURE_DEPLOYMENT_ID est un nom unique pour le déploiement de posture.

  • --description=DESCRIPTION est la description facultative de la posture déployée.

  • --posture-id=POSTURE_ID est le nom de votre posture, qui est unique à votre organisation. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_NAME.

  • --posture-revision-id=POSTURE_REVISION_ID est la révision de posture que vous souhaitez déployer. Vous pouvez l'obtenir à partir de la réponse que vous recevez lorsque vous créez la posture ou affichez la posture.

  • --update-mask=UPDATE_MASK est la liste des champs que vous souhaitez mettre à jour, séparés par une virgule. Cet argument est facultatif.

Par exemple, pour mettre à jour un déploiement de posture avec les critères suivants :

  • Organisation : organizations/3589215982/locations/global
  • ID du déploiement de la stratégie : postureDeploymentexample
  • ID de la stratégie : StagingAIPosture
  • Révision : version2

Exécutez la commande suivante :

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Vous pouvez afficher des informations sur l'état de la commande à mesure qu'elle s'exécute. Si le processus de mise à jour du déploiement de posture échoue, supprimez le déploiement, corrigez l'erreur et réessayez.

Surveiller la dérive de posture

Vous pouvez surveiller une posture déployée pour détecter les écarts par rapport aux règles que vous avez définies dans la posture de sécurité. Une dérive est une modification d'une règle qui se produit en dehors d'une posture. Par exemple, une dérive se produit lorsqu'un administrateur modifie une définition de règle dans la console au lieu de mettre à jour le déploiement de posture.

Le service de posture de sécurité crée des résultats que vous pouvez consulter dans la console Google Cloud ou dans gcloud CLI chaque fois qu'une dérive se produit.

Console

Pour toutes les postures, vous pouvez surveiller la dérive à l'aide de la page Résultats.

Si vous avez créé une posture qui s'applique aux charges de travail Vertex AI et que vous utilisez Security Command Center Premium, vous pouvez également surveiller la dérive à l'aide de la page Présentation.

Pour surveiller la dérive à partir de la page Résultats :

  1. Dans la console Google Cloud , accédez à la page Résultats.

    Accéder

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Dans le volet Filtres rapides, sélectionnez le résultat Non-respect de la configuration. Vous pouvez également saisir le filtre suivant dans Aperçu de la requête :

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"

  4. Pour afficher les détails d'un résultat, cliquez dessus.

Pour surveiller la dérive depuis la page Vue d'ensemble (charges de travail Vertex AI uniquement) :

  1. Dans la console Google Cloud , accédez à la page Présentation.

    Accéder à la page "Présentation"

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Premium ou Enterprise de Security Command Center.

  3. Examinez le volet Résultats concernant la charge de travail d'IA.

    • L'onglet Failles affiche toutes les failles liées aux modules personnalisés Security Health Analytics qui s'appliquent spécifiquement aux charges de travail Vertex AI.
    • L'onglet Dérive des règles affiche toute dérive liée aux règles d'organisation Vertex AI que vous avez appliquées dans une posture.

  4. Pour afficher les détails d'un résultat, cliquez dessus.

gcloud

Dans gcloud CLI, pour afficher les résultats de dérive, exécutez la commande suivante :

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

ORGANIZATION_ID est l'ID de l'organisation.

Pour savoir comment résoudre ces problèmes, consultez Résultats du service de stratégie de sécurité. Vous pouvez exporter ces résultats de la même manière que les autres résultats de Security Command Center. Pour en savoir plus, consultez Exporter des données de Security Command Center.

Pour désactiver un résultat de dérive, vous pouvez mettre à jour le déploiement de posture avec le même ID et la même révision de posture.

Générer un résultat de dérive à des fins de test

Une fois que vous avez déployé une posture, vous pouvez surveiller les écarts par rapport à vos règles. Pour voir les résultats de la dérive en action dans un environnement de test, procédez comme suit :

  1. Dans la console, accédez à la page Règles d'administration.

    Accéder à la règle d'administration

  2. Modifiez l'une des règles que vous avez définies dans la posture déployée. Par exemple, si vous utilisez une posture de sécurité de l'IA prédéfinie, vous pouvez modifier la règle Limiter l'accès des adresses IP publiques sur les nouveaux notebooks et instances Vertex AI Workbench.

  3. Après avoir modifié la règle, cliquez sur Définir la règle.

  4. Accéder à la page Résultats

    Accéder

  5. Dans le volet Filtres rapides, dans la section Nom à afficher pour la source, sélectionnez Posture de sécurité. Un résultat lié à votre modification devrait s'afficher d'ici cinq minutes.

  6. Pour afficher les détails d'un résultat, cliquez dessus.

Supprimer un déploiement de stratégie

Vous pouvez supprimer un déploiement de posture s'il ne s'est pas déployé correctement, si vous n'avez plus besoin d'une posture particulière ou si vous ne souhaitez plus qu'une posture particulière soit attribuée à un projet, un dossier ou une organisation. Pour supprimer un déploiement de posture, il doit se trouver dans l'un des états suivants :

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Pour vérifier l'état d'un déploiement de posture, consultez Afficher des informations sur un déploiement de posture.

Lorsque vous supprimez un déploiement de posture, vous supprimez la posture de la ressource (votre organisation, votre dossier ou votre projet) à laquelle vous l'avez attribuée. Il désactive également les résultats associés.

Voici les résultats pour différents types de règles :

  • Lorsque vous supprimez un déploiement de posture qui inclut des règles d'administration personnalisées, ces règles sont supprimées. Toutefois, la contrainte personnalisée continue d'exister.

  • Lorsque vous supprimez un déploiement de posture qui inclut des détecteurs Security Health Analytics intégrés, l'état final des modules Security Health Analytics dépend de l'organisation, du dossier ou du projet sur lequel le déploiement existait.

    • Si vous avez déployé une posture sur un dossier ou un projet, les détecteurs Security Health Analytics intégrés héritent de leur état de l'organisation ou du dossier parent.
    • Si vous avez déployé une posture au niveau de l'organisation, les détecteurs Security Health Analytics intégrés reviennent à l'état par défaut. Pour obtenir une description des états par défaut, consultez Activer et désactiver des détecteurs.

Console

  1. Dans la console Google Cloud , accédez à la page Gestion de la posture.

    Accéder à la gestion des stratégies

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Security Command Center Premium ou Enterprise.

  3. Dans l'onglet Postures, cliquez sur la posture que vous souhaitez supprimer de la ressource à laquelle elle est attribuée.

  4. Sur la page Détails de la posture, sélectionnez la révision de la posture, puis accédez à Ressources.

  5. Dans la liste des ressources où la révision de posture active actuelle est déployée, cliquez sur Supprimer.

gcloud

Exécutez la commande gcloud scc posture-deployments delete pour supprimer un déploiement de posture.

gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME est le nom de ressource relatif du déploiement de posture. Il a le format suivant : organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • POSTURE_DEPLOYMENT_ID est le nom unique du déploiement de posture.

Par exemple, pour supprimer un déploiement de posture nommé organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, exécutez la commande suivante :

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Supprimer une stratégie

Lorsque vous supprimez une posture, vous supprimez également toutes les révisions. Vous ne pouvez pas supprimer une posture si l'une de ses révisions est déployée. Vous devez supprimer tous les déploiements de posture avant de pouvoir effectuer cette tâche.

Console

  1. Dans la console Google Cloud , accédez à la page Gestion de la posture.

    Accéder à la gestion des stratégies

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé le niveau Security Command Center Premium ou Enterprise.

  3. Dans l'onglet Postures, cliquez sur la posture que vous souhaitez supprimer.

  4. Sur la page Détails de la posture, cliquez sur Supprimer.

gcloud

Exécutez la commande gcloud scc postures delete pour supprimer une posture.

 gcloud scc postures delete POSTURE_NAME

POSTURE_NAME est le nom de ressource relatif de la posture.

Par exemple, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID. L'ID de posture est un nom alphanumérique unique à votre organisation.

Par exemple, pour supprimer une posture nommée organizations/3589215982/locations/global/postures/posture-example-1, exécutez la commande suivante :

 gcloud scc postures delete \
     organizations/3589215982/locations/global/postures/posture-example-1

Étapes suivantes