Mengelola postur keamanan

Halaman ini menjelaskan cara Anda dapat mengonfigurasi dan menggunakan layanan postur keamanan setelah Anda mengaktifkan Security Command Center. Untuk memulai, Anda harus membuat postur yang mencakup kebijakan Anda, yang disusun dalam set kebijakan, lalu men-deploy postur menggunakan deployment postur. Setelah postur di-deploy, Anda dapat memantau penyimpangan dan lebih menyempurnakan postur Anda seiring waktu.

Sebelum memulai

Selesaikan tugas ini sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Mengaktifkan paket Premium atau Enterprise Security Command Center

Pastikan paket Premium atau Enterprise Security Command Center diaktifkan di tingkat organisasi.

Jika Anda ingin menggunakan detektor Security Health Analytics sebagai kebijakan, pilih layanan Security Health Analytics selama proses aktivasi.

Siapkan izin

Untuk mendapatkan izin yang diperlukan untuk menggunakan postur, minta administrator untuk memberi Anda peran IAM Admin Postur Keamanan (roles/securityposture.admin). Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Untuk mengetahui informasi selengkapnya tentang peran postur keamanan dan izin postur keamanan, lihat IAM untuk aktivasi tingkat organisasi.

Menyiapkan Google Cloud CLI

Anda harus menggunakan Google Cloud CLI versi 461.0.0 atau yang lebih baru.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Untuk menyiapkan gcloud CLI agar menggunakan peniruan akun layanan untuk mengautentikasi ke Google API, alih-alih kredensial pengguna Anda, jalankan perintah berikut: 

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Untuk informasi selengkapnya, lihat Peniruan akun layanan.

Mengaktifkan API

Aktifkan Organization Policy Service dan API layanan postur keamanan:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Mengonfigurasi koneksi ke AWS

Untuk menggunakan detektor Analisis Kondisi Keamanan bawaan yang khusus untuk AWS, Anda harus mengaktifkan Security Command Center Enterprise dan terhubung ke AWS untuk pengumpulan data konfigurasi dan resource.

Membuat dan men-deploy postur

Untuk mulai menggunakan postur keamanan, Anda harus menyelesaikan langkah-langkah berikut:

  • Buat file YAML postur yang menentukan kebijakan yang berlaku untuk postur keamanan Anda.
  • Buat postur di Google Cloud yang didasarkan pada file YAML postur.
  • Deploy postur.

Bagian berikut memberikan petunjuk mendetail.

Membuat file YAML postur

Postur terdiri dari satu atau beberapa set kebijakan yang Anda deploy bersama. Kumpulan kebijakan ini mencakup semua kebijakan preventif dan detektif yang ingin Anda sertakan dalam postur Anda.

Untuk membuat postur Anda, lakukan salah satu hal berikut:

Untuk mengetahui detail tentang kolom yang dapat Anda gunakan dalam postur, lihat referensi Posture dan referensi PolicySet.

Membuat file postur dari template postur yang telah ditentukan sebelumnya

Anda dapat menggunakan template postur yang telah ditentukan sebelumnya untuk membuat file postur.

Konsol

  1. Di konsol Google Cloud , buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Templates, klik template yang ingin Anda gunakan.

  4. Di halaman Template details, klik Create Posture.

  5. Berikan nama unik untuk postur dan klik Buat. Halaman Detail postur akan terbuka.

  6. Selesaikan salah satu tindakan berikut:

    • Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda menggunakan salah satu template _essentials), Anda dapat men-deploy postur. Untuk mengetahui petunjuknya, lihat Men-deploy postur.
    • Jika Anda perlu mengubah set kebijakan atau kebijakan (misalnya, Anda menggunakan salah satu template _enhanced), selesaikan Mengubah file YAML postur dan tetapkan status postur ke ACTIVE.

gcloud

  1. Tinjau template postur yang telah ditentukan sebelumnya untuk menentukan mana yang berlaku untuk lingkungan Anda. Anda dapat menerapkan beberapa di antaranya tanpa melakukan perubahan apa pun, tetapi yang lain mengharuskan Anda menyesuaikan kebijakan agar sesuai dengan lingkungan Anda.

  2. Gunakan salah satu metode berikut untuk menyalin file YAML ke editor teks Anda sendiri:

    gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/POSTURE_TEMPLATE \
    --revision-id=REVISION_ID

    Ganti nilai berikut:

    • ORGANIZATION_ID adalah organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.
    • POSTURE_TEMPLATE adalah nama template postur yang telah ditentukan sebelumnya, seperti yang dijelaskan dalam Template postur yang telah ditentukan sebelumnya.
    • REVISION_ID adalah versi revisi untuk postur yang telah ditentukan sebelumnya. Jika Anda tidak menyertakan ID revisi, postur yang telah ditentukan sebelumnya akan ditampilkan dalam versi terbarunya.

    Misalnya, untuk melihat postur yang telah ditentukan sebelumnya untuk AI yang aman, esensial di organisasi 3589215982, jalankan perintah berikut:

    gcloud scc posture-templates describe \
    organizations/3589215982/locations/global/postureTemplates/secure_ai_essential \
    --revision-id=v.1.0

  3. Selesaikan salah satu tindakan berikut:

    • Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda menggunakan salah satu template _essentials), Anda dapat membuat postur. Untuk mengetahui petunjuknya, lihat Membuat postur.
    • Jika Anda perlu mengubah set kebijakan atau kebijakan, selesaikan Mengubah file YAML postur.

Membuat file postur dengan mengekstrak kebijakan dari lingkungan yang ada

Anda dapat mengekstrak kebijakan (kebijakan organisasi, termasuk kebijakan kustom dan semua detektor Security Health Analytics, termasuk detektor kustom) yang Anda konfigurasi di project, folder, atau organisasi yang ada untuk membuat file postur. Anda tidak dapat mengekstrak kebijakan dari organisasi, folder, atau project yang sudah menerapkan postur.

Perintah ini hanya mengekstrak kebijakan yang sebelumnya Anda konfigurasi untuk organisasi, folder, atau project dan tidak mengekstrak kebijakan dari folder atau organisasi induk.

Jika Anda menghubungkan Security Command Center Enterprise ke AWS, perintah ini juga akan mengekstrak detektor yang khusus untuk AWS (Pratinjau).

  1. Jalankan perintah gcloud scc postures extract untuk mengekstrak kebijakan organisasi dan detektor Security Health Analytics yang ada di lingkungan Anda.

    gcloud scc postures extract POSTURE_NAME \
    --workload=WORKLOAD

    Ganti nilai berikut:

    • POSTURE_NAME adalah nama resource relatif dari postur. Contoh, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi Anda. POSTURE_ID dibatasi hingga 63 karakter.

    • WORKLOAD adalah project, folder, atau organisasi yang kebijakannya Anda ekstrak. Beban kerja adalah salah satu dari berikut ini:

    • projects/PROJECT_NUMBER

    • folder/FOLDER_ID

    • organizations/ORGANIZATION_ID

    Misalnya, untuk mengekstrak kebijakan dari folder 3589215982 di organisasi 6589215984, jalankan perintah berikut:

    gcloud scc postures extract \
  organizations/6589215984/locations/global/postures/myStagingPosture \
  workload=folder/3589215982 > posture.yaml

  2. Buka file posture.yaml yang dihasilkan untuk diedit.

  3. Selesaikan salah satu tindakan berikut:

    • Jika Anda dapat menggunakan postur tanpa melakukan perubahan apa pun (misalnya, Anda menggunakan salah satu template _essentials), Anda dapat membuat postur. Untuk mengetahui petunjuknya, lihat Membuat postur.
    • Jika Anda perlu mengubah set kebijakan atau kebijakan, selesaikan Mengubah file YAML postur.

Membuat resource Terraform dengan definisi kebijakan

Anda dapat membuat konfigurasi Terraform untuk membuat resource postur.

Misalnya, Anda dapat membuat resource postur yang mencakup batasan kebijakan organisasi bawaan dan kustom serta detektor Security Health Analytics bawaan dan kustom. Dukungan pengelolaan postur untuk detektor Security Health Analytics bawaan yang khusus untuk AWS tersedia dalam Pratinjau.

resource "google_securityposture_posture" "posture1"{
  posture_id  = "posture_example"
  parent      = "organizations/123456789"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression  = "resource.matchTag('org_id/tag_key_short_name,'tag_value_short_name')"
            	title       = "a CEL condition"
            }
          }
        }
      }
    }
    policies {
      policy_id = "custom_org_policy"
      constraint {
        org_policy_constraint_custom {
          custom_constraint {
            name           = "organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade"
            display_name   = "Disable GKE auto upgrade"
            description    = "Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced."
            action_type    = "ALLOW"
            condition      = "resource.management.autoUpgrade == false"
            method_types   = ["CREATE", "UPDATE"]
            resource_types = ["container.googleapis.com/NodePool"]
          }
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression = "resource.matchTagId('tagKeys/key_id','tagValues/value_id')"
            	title = "a CEL condition"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Untuk mengetahui informasi selengkapnya, lihat google_securityposture_posture.

Mengubah file YAML postur

Selesaikan langkah-langkah berikut untuk mengubah file YAML postur:

  1. Buka file YAML postur Anda di editor teks.

  2. Verifikasi name, description, dan state di awal file.

    name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
description: DESCRIPTION
state: STATE

    Untuk mengetahui detail tentang kolom ini, lihat referensi Posture.

    Contoh:

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
description: This posture applies to staging environments for Vertex AI.
state: ACTIVE

  3. Sesuaikan kebijakan dalam file agar sesuai dengan persyaratan Anda.

    Untuk mengetahui detail tentang kolom yang dapat Anda gunakan, lihat referensi PolicySet.

    1. Tinjau kebijakan yang ada dan nilainya. Untuk kebijakan yang memerlukan informasi khusus untuk lingkungan Anda, tetapkan nilai dengan tepat. Misalnya, untuk kebijakan ainotebooks.accessMode dalam postur yang telah ditentukan sebelumnya untuk AI yang aman, diperluas, tambahkan mode akses yang diizinkan di bagian policyRules:

      - policyId: Define access mode for Vertex AI Workbench notebooks and instances
  complianceStandards:
  - standard: NIST SP 800-53
    control: AC-3(3)
  - standard: NIST SP 800-53
    control: AC-6(1)
  constraint:
    orgPolicyConstraint:
      cannedConstraintId: ainotebooks.accessMode
      policyRules:
      - values:
          allowedValues: service-account
  description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.

    2. Tambahkan batasan kebijakan organisasi tambahan, seperti yang didokumentasikan dalam Batasan kebijakan organisasi. Jika Anda menentukan kebijakan organisasi kustom, pastikan file YAML menyertakan definisi batasan kustom. Anda tidak dapat menggunakan batasan kustom yang Anda buat menggunakan metode lain (misalnya, menggunakan konsol Google Cloud ).

      Misalnya, Anda mungkin ingin menetapkan batasan compute.trustedImageProjects untuk menentukan project yang dapat digunakan untuk penyimpanan image dan instansiasi disk. Jika Anda menyalin contoh ini, pastikan Anda mengganti allowedValues dengan daftar project yang sesuai:

      - policyId: Define projects with trusted images.
  complianceStandards:
  - standard:
    control:
  constraint:
    orgPolicyConstraint:
      cannedConstraintId: compute.trustedImageProjects
      policyRules:
      - values:
          allowedValues:
          - project1
          - project2
          - projectN
  description: This is a complete list of projects from which images can be used.

    3. Tambahkan detektor Security Health Analytics tambahan, seperti yang didokumentasikan dalam Temuan Security Health Analytics. Misalnya, tambahkan detektor Security Health Analytics untuk membuat temuan jika project tidak menggunakan kunci API untuk autentikasi:

      - policyId: API Key Exists
  constraint:
    securityHealthAnalyticsModule:
      moduleEnablementState: ENABLED
      moduleName: API_KEY_EXISTS

      Sebagai contoh lain, tambahkan modul kustom Security Health Analytics untuk mendeteksi apakah set data Vertex AI dienkripsi:

      - policyId: CMEK key is use for Vertex AI DataSet
  complianceStandards:
  - standard: NIST SP 800-53
    control: SC-12
  - standard: NIST SP 800-53
    control: SC-13
  constraint:
    securityHealthAnalyticsCustomModule:
      displayName: "vertexAIDatasetCMEKDisabled"
      config:
        customOutput: {}
        predicate:
          expression: "!has(resource.encryptionSpec)"
        resourceSelector:
          resourceTypes:
          - aiplatform.googleapis.com/Dataset
        severity: CRITICAL
        description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
        recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
      moduleEnablementState: ENABLED

      Sebagai contoh lain, untuk Security Command Center Enterprise, tambahkan detektor Security Health Analytics yang khusus untuk AWS (Pratinjau):

      - policySetId: AWS policy set
  description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
  policies:
  - policyId: S3 bucket replication enabled
    complianceStandards:
    - standard: NIST 800-53 R5
      control: SI-13(5)
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_REPLICATION_ENABLED
    description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.

  - policyId: S3 bucket logging enabled
    complianceStandards:
    - standard: NIST 800-53 R5
      control: SI-7(8)
    - standard: PCI DSS 3.2.1
      control: 10.3.1
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_LOGGING_ENABLED
    description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.

      Jika menambahkan detektor yang khusus untuk AWS, Anda harus men-deploy postur di tingkat organisasi.

  4. Upload file postur Anda ke repositori sumber yang dikontrol versi sehingga Anda dapat melacak perubahan yang Anda buat dari waktu ke waktu.

Membuat postur

Selesaikan tugas ini untuk membuat resource postur di Security Command Center yang dapat Anda deploy. Jika Anda membuat postur dari template postur yang telah ditentukan sebelumnya menggunakan konsol Google Cloud , resource postur akan dibuat secara otomatis untuk Anda.

Konsol

  1. Di konsol Google Cloud , buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Klik Buat Postur. Anda dapat membuat postur dengan memulai dari postur atau template yang ada, atau dengan menggunakan kebijakan yang diterapkan ke resource.

    Membuat postur menggunakan postur atau template yang ada

    1. Pilih Mulai dengan postur atau template yang ada (jelajahi postur).
    2. Tentukan detail postur seperti nama dan deskripsi postur.
    3. Klik Pilih Postur. Anda dapat membuat postur berdasarkan postur atau template yang ada.
      • Pilih Postur untuk membuat postur menggunakan postur yang ada. Pilih postur dari daftar postur yang ditampilkan, lalu pilih satu atau beberapa revisi dari daftar revisi yang tersedia untuk postur yang dipilih.
      • Pilih Template untuk membuat postur menggunakan template, lalu pilih satu atau beberapa template dari daftar template yang ditampilkan.
    4. Klik Simpan. Di bagian Set Kebijakan, Anda dapat melihat daftar set kebijakan yang terkait dengan postur yang dipilih.
    5. Pilih kebijakan dari daftar set kebijakan. Anda juga dapat mengedit kebijakan dan memindahkan kebijakan ke set kebijakan lain di halaman ini. Anda tidak dapat membuat postur dengan dua kebijakan yang memiliki nama yang sama dalam set kebijakan yang sama.
    6. Klik Buat.

    Buat postur menggunakan kebijakan yang diterapkan pada resource

    1. Pilih Mulai dengan postur yang diterapkan ke resource (jelajahi resource).
    2. Tentukan detail postur seperti nama dan deskripsi postur.
    3. Klik Pilih fasilitas.
    4. Pilih resource dari daftar resource yang ditampilkan, lalu klik Buat.

    Anda akan dialihkan ke halaman Detail postur yang menampilkan informasi tentang postur yang telah Anda buat. Anda dapat melihat set kebijakan yang terkait dengan postur tersebut.

gcloud

  1. Jalankan perintah gcloud scc postures create untuk membuat postur menggunakan file posture.yaml.

    gcloud scc postures create POSTURE_NAME \
    --posture-from-file=POSTURE_FROM_FILE

    Ganti nilai berikut:

    • POSTURE_NAME adalah nama resource relatif dari postur. Contoh, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi Anda. POSTURE_ID dibatasi hingga 63 karakter.

    Misalnya, untuk membuat postur dengan ID posture-example-1 di bawah organisasi organizations/3589215982, jalankan perintah berikut:

    gcloud scc postures create \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --posture-from-file=posture.yaml

    Jika proses pembuatan postur gagal, hapus postur, pecahkan masalah error, lalu coba lagi.

  2. Untuk memverifikasi bahwa postur berhasil dibuat, lihat Melihat postur.

Untuk menerapkan postur ini ke lingkungan Anda, Anda harus men-deploy postur.

Terraform

Jika Anda membuat konfigurasi Terraform untuk resource postur, Anda harus menyediakannya menggunakan pipeline infrastruktur sebagai kode.

Untuk mengetahui informasi selengkapnya, lihat Terraform di Google Cloud.

Men-deploy postur

Setelah membuat postur, Anda men-deploy-nya ke project, folder, atau organisasi sehingga Anda dapat menerapkan kebijakan dan definisinya ke resource tertentu di organisasi Anda dan memantau penyimpangan. Anda hanya dapat men-deploy satu postur ke project, folder, atau organisasi.

Verifikasi bahwa status postur Anda adalah ACTIVE.

Saat Anda men-deploy postur, tindakan berikut akan terjadi:

  • Definisi untuk kebijakan organisasi dan detektor Security Health Analytics diterapkan.
  • Untuk setiap kebijakan organisasi kustom yang ditentukan dalam postur, batasan kustom baru akan dibuat. Hal ini tetap berlaku meskipun Anda membuat postur dari template atau dari kebijakan yang diekstrak dan Anda tidak mengubah kebijakan tersebut. ID batasan mencakup ID revisi postur sebagai akhiran. Jika semua deployment postur dihapus, akhiran akan diganti dengan UUID acak.
  • Untuk setiap detektor Security Health Analytics kustom yang ditentukan dalam postur, batasan kustom baru akan dibuat. Hal ini tetap berlaku meskipun Anda membuat postur dari template atau dari kebijakan yang diekstrak dan Anda membiarkan kebijakan tersebut tidak berubah.

  • Status default untuk modul kustom ditetapkan ke Diaktifkan.

Konsol

  1. Di konsol Google Cloud , buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Postur, klik postur yang ingin Anda deploy.

  4. Di halaman Detail postur, pilih revisi postur. Revisi postur yang Anda pilih harus dalam status aktif.

  5. Klik Terapkan ke resource.

  6. Klik Pilih untuk memilih organisasi, folder, atau project tempat Anda ingin men-deploy postur.

  7. Klik Terapkan postur.

gcloud

Jalankan perintah gcloud scc posture-deployments create untuk men-deploy postur ke project, folder, atau organisasi.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

Ganti nilai berikut:

  • POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION adalah global.

  • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik untuk organisasi Anda.

  • --posture-name=POSTURE_NAME adalah nama untuk postur yang Anda deploy. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

Jika postur Anda menyertakan detektor yang khusus untuk AWS, Anda harus men-deploy postur di tingkat organisasi (Pratinjau).

Misalnya, untuk men-deploy postur, jalankan perintah berikut:

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

Anda dapat melihat informasi status saat perintah selesai. Jika proses pembuatan deployment postur gagal, hapus deployment, pecahkan masalah error, lalu coba lagi.

Terraform

Anda dapat membuat resource Terraform untuk men-deploy postur.

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Untuk mengetahui informasi selengkapnya, lihat google_securityposture_posture_deployment.

Melihat postur dan informasi deployment postur

Anda dapat melihat informasi postur dan deployment postur untuk melihat informasi seperti berikut:

  • Postur apa yang di-deploy dan di mana dalam hierarki resource (organisasi, project, dan folder) postur tersebut diterapkan
  • Revisi dan status postur
  • Detail operasional deployment postur

Melihat postur

Anda dapat melihat informasi tentang postur (seperti definisi kebijakan dan statusnya).

Konsol

  1. Di konsol Google Cloud , buka halaman Posture Management.

    Buka Posture Management

  2. Pilih organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Postur, klik postur yang ingin Anda lihat. Detail postur akan muncul.

gcloud

Jalankan perintah gcloud scc postures describe untuk melihat postur yang Anda buat.

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

Ganti nilai berikut:

  • POSTURE_NAME adalah nama resource relatif dari postur. Contoh, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

  • POSTURE_ID adalah nama alfanumerik untuk postur yang unik untuk organisasi Anda.

  • revision-id=REVISION_ID adalah tanda opsional yang menentukan versi postur yang akan dilihat. Jika Anda tidak menyertakan flag, versi terbaru akan ditampilkan.

Misalnya, untuk melihat postur dengan nama organizations/3589215982/locations/global/postures/posture-example-1 dan ID revisi abcdefgh, jalankan perintah berikut:

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Melihat informasi tentang operasi deployment postur

Jalankan perintah gcloud scc posture-operations describe untuk melihat detail operasi bagi operasi deployment postur.

gcloud scc posture-operations describe OPERATION_NAME

Dengan OPERATION_NAME adalah nama resource relatif untuk operasi. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Anda dapat memperoleh OPERATION_ID dengan menggunakan argumen --async saat menjalankan perintah postur.

Misalnya, untuk melihat operasi pemindaian dengan nama organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, jalankan perintah berikut:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Melihat informasi tentang deployment postur

Anda dapat melihat tempat postur di-deploy, serta status deployment.

Konsol

  1. Di konsol Google Cloud , buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Postur, klik postur yang Anda deploy.

  4. Buka tab Resources untuk melihat project, folder, dan organisasi tempat postur di-deploy, serta status deployment.

gcloud

Jalankan perintah gcloud scc posture-deployments describe untuk melihat informasi tentang postur yang di-deploy.

gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME

Dengan POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION adalah global.
  • POSTURE_DEPLOYMENT_ID adalah nama unik untuk deployment postur.

Misalnya, untuk melihat detail deployment postur yang bernama organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, jalankan perintah berikut:

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Memperbarui postur dan deployment postur

Anda dapat memperbarui hal berikut:

  • Status postur.
  • Definisi kebijakan dalam postur.
  • Organisasi, folder, atau project tempat postur di-deploy.

Memperbarui definisi kebijakan dalam postur

Anda mungkin perlu memperbarui postur saat mengaktifkan lebih banyak layanan Google Cloud , men-deploy resource tambahan, atau memerlukan kebijakan tambahan untuk memenuhi persyaratan kepatuhan baru atau yang berubah. Jika Anda memperbarui revisi postur yang di-deploy, tugas ini akan membuat revisi postur baru. Jika tidak, revisi postur yang Anda tentukan saat menjalankan perintah update akan diperbarui.

  1. Buka file YAML di editor teks. Tambahkan kolom yang ingin Anda perbarui, beserta nilainya. Jika Anda memperbarui set kebijakan, pastikan file Anda menyertakan semua set kebijakan yang ingin Anda sertakan dalam postur, termasuk set kebijakan yang sudah ada. Untuk mengetahui petunjuknya, lihat Mengubah file YAML postur.

  2. Jalankan perintah gcloud scc postures update untuk memperbarui postur.

    gcloud scc postures update POSTURE_NAME \
    --posture-from-file=POSTURE_FROM_FILE \
    --revision-id=POSTURE_REVISION_ID \
    --update-mask=UPDATE_MASK

    Ganti nilai berikut:

    • POSTURE_NAME adalah nama resource relatif dari postur. Contoh, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID adalah nama alfanumerik untuk postur yang unik untuk organisasi Anda.

    • POSTURE_FROM_FILE adalah jalur relatif atau absolut ke file posture.yaml yang menyertakan perubahan Anda.

      • POSTURE_ID adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi Anda.

    • POSTURE_FROM_FILE adalah jalur relatif atau absolut ke file posture.yaml yang menyertakan perubahan Anda.

    • --revision-id=REVISION_ID adalah revisi postur yang ingin Anda deploy. Jika postur sudah di-deploy, layanan postur keamanan akan otomatis membuat versi baru postur dengan ID revisi yang berbeda dan menyertakan ID revisi dalam output.

    • --update-mask=UPDATE_MASK adalah daftar kolom yang ingin Anda perbarui, dalam format yang dipisahkan koma. Argumen ini bersifat opsional. Anda dapat menetapkan UPDATE_MASK ke salah satu nilai berikut:

      • * atau tidak ditentukan: Terapkan perubahan yang Anda lakukan pada set kebijakan dan deskripsi postur.
      • policy_sets: Terapkan perubahan yang Anda buat hanya pada set kebijakan.
      • description: Terapkan perubahan yang Anda buat pada deskripsi postur saja.
      • policy_sets, description: Terapkan perubahan yang Anda lakukan pada set kebijakan dan deskripsi postur.
      • state: Terapkan perubahan status saja.

    Misalnya, untuk mengupdate postur dengan nama posture-example-1 di organisasi organizations/3589215982/locations/global dan ID revisi ditetapkan ke abcd1234, jalankan perintah berikut:

    gcloud scc postures update \
    organizations/3589215982/locations/global/posture-example-1 \
    --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets

    Jika proses pembaruan postur gagal, pecahkan masalah error, lalu coba lagi.

  3. Untuk memverifikasi bahwa postur berhasil diperbarui, lihat Melihat postur.

Mengubah status postur

Status postur menentukan apakah postur tersebut tersedia untuk deployment ke project, folder, atau organisasi.

Postur dapat memiliki status berikut:

  • DRAFT: Revisi postur belum siap untuk di-deploy. Anda tidak dapat men-deploy revisi postur yang berstatus DRAFT.
  • ACTIVE: Revisi postur tersedia untuk deployment. Anda dapat mengubah status dari ACTIVE menjadi DRAFT atau DEPRECATED.

  • DEPRECATED: Revisi postur DEPRECATED tidak dapat di-deploy ke resource. Anda harus menghapus semua deployment postur yang ada dari postur sebelum Anda dapat menghentikan penggunaan revisi postur. Jika ingin men-deploy ulang revisi postur yang Anda hentikan penggunaannya, Anda harus mengubah statusnya menjadi ACTIVE.

Konsol

  1. Di konsol Google Cloud , buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Postur, klik postur yang ingin Anda perbarui.

  4. Di halaman Posture details, klik Edit.

  5. Pilih status postur dan klik Simpan.

gcloud

Untuk mengubah status postur, jalankan perintah gcloud scc postures update. Anda tidak dapat memperbarui status postur secara bersamaan dengan memperbarui kolom lainnya. Untuk mengetahui petunjuk tentang cara menjalankan perintah gcloud scc postures update, lihat Mengubah file YAML postur.

Memperbarui deployment postur

Perbarui deployment postur di project, folder, atau organisasi untuk men-deploy postur baru atau men-deploy revisi baru postur.

Jika revisi postur yang Anda perbarui menyertakan batasan organisasi kustom yang dihapus menggunakan konsol Google Cloud , Anda tidak dapat memperbarui deployment postur menggunakan ID postur yang sama. Layanan Kebijakan Organisasi mencegah pembuatan batasan organisasi kustom yang memiliki nama yang sama. Sebagai gantinya, Anda harus membuat versi baru postur atau menggunakan ID postur yang berbeda.

Selain itu, temuan untuk deployment kebijakan yang dihapus sebagai bagian dari proses update akan dinonaktifkan.

Konsol

  1. Di konsol Google Cloud , buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Postur, klik postur yang ingin Anda perbarui.

  4. Di halaman Detail postur, pilih revisi postur.

  5. Klik Terapkan ke resource.

  6. Klik Pilih untuk memilih organisasi, folder, atau project tempat Anda ingin men-deploy postur. Jika Anda melihat pesan bahwa deployment sudah ada, hapus deployment sebelum mencoba lagi.

gcloud

Jalankan perintah gcloud scc posture-deployments update untuk men-deploy postur.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

Ganti nilai berikut:

  • POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • POSTURE_DEPLOYMENT_ID adalah nama unik untuk deployment postur.

  • --description=DESCRIPTION adalah deskripsi opsional untuk postur yang di-deploy.

  • --posture-id=POSTURE_ID adalah nama postur Anda yang unik untuk organisasi Anda. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_NAME

  • --posture-revision-id=POSTURE_REVISION_ID adalah revisi postur yang ingin Anda deploy. Anda bisa mendapatkannya dari respons yang Anda terima saat membuat postur atau melihat postur.

  • --update-mask=UPDATE_MASK adalah daftar kolom yang ingin Anda perbarui, dalam format yang dipisahkan koma. Argumen ini bersifat opsional.

Misalnya, untuk mengupdate deployment postur dengan kriteria berikut:

  • Organisasi: organizations/3589215982/locations/global
  • ID penerapan postur: postureDeploymentexample
  • ID Postur: StagingAIPosture
  • Revisi: version2

Jalankan perintah berikut:

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Anda dapat melihat informasi status saat perintah selesai. Jika proses update deployment postur gagal, hapus deployment, pecahkan masalah error, dan coba lagi.

Memantau penyimpangan postur

Anda dapat memantau postur yang di-deploy untuk mendeteksi penyimpangan dari kebijakan yang ditentukan dalam postur keamanan. Penyimpangan adalah perubahan pada kebijakan yang terjadi di luar postur. Misalnya, penyimpangan terjadi saat administrator mengubah definisi kebijakan di konsol, bukan memperbarui deployment postur.

Layanan postur keamanan membuat temuan yang dapat Anda lihat di konsol Google Cloud atau gcloud CLI setiap kali terjadi penyimpangan.

Konsol

Untuk semua postur, Anda dapat memantau penyimpangan menggunakan halaman Temuan.

Jika Anda membuat postur yang berlaku untuk workload Vertex AI, dan Anda menggunakan Security Command Center Premium, Anda juga dapat memantau penyimpangan menggunakan halaman Ringkasan.

Untuk memantau penyimpangan dari halaman Temuan:

  1. Di konsol Google Cloud , buka halaman Temuan.

    Buka Temuan

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di panel Quick filters, pilih temuan Posture violation. Anda juga dapat memasukkan filter berikut di Pratinjau kueri:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"

  4. Untuk melihat detail temuan, klik temuan tersebut.

Untuk memantau penyimpangan dari halaman Ringkasan (khusus beban kerja Vertex AI):

  1. Di konsol Google Cloud , buka halaman Overview.

    Buka Ringkasan

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Tinjau panel Temuan Workload AI.

    • Tab Kerentanan menampilkan semua kerentanan yang terkait dengan modul kustom Security Health Analytics yang berlaku khusus untuk beban kerja Vertex AI.
    • Tab Penyimpangan Kebijakan menampilkan penyimpangan apa pun yang terkait dengan kebijakan organisasi Vertex AI yang telah Anda terapkan dalam postur.

  4. Untuk melihat detail temuan, klik temuan tersebut.

gcloud

Di gcloud CLI, untuk melihat temuan penyimpangan, jalankan perintah berikut:

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

Dengan ORGANIZATION_ID sebagai ID organisasi.

Untuk mengetahui informasi selengkapnya tentang cara mengatasi temuan ini, lihat Temuan layanan postur keamanan. Anda dapat mengekspor temuan ini dengan cara yang sama seperti saat mengekspor temuan lainnya dari Security Command Center. Untuk mengetahui informasi selengkapnya, lihat Mengekspor data Security Command Center.

Untuk menonaktifkan temuan penyimpangan, Anda dapat memperbarui deployment postur dengan ID postur dan revisi postur yang sama.

Membuat temuan penyimpangan untuk tujuan pengujian

Setelah men-deploy postur, Anda dapat memantau penyimpangan dari kebijakan Anda. Untuk melihat temuan penyimpangan dalam tindakan di lingkungan pengujian, selesaikan langkah-langkah berikut:

  1. Di konsol, buka halaman Kebijakan organisasi.

    Buka Kebijakan organisasi

  2. Edit salah satu kebijakan yang Anda tetapkan dalam postur yang di-deploy. Misalnya, jika Anda menggunakan postur keamanan AI yang telah ditentukan sebelumnya, Anda dapat mengedit kebijakan Batasi akses IP publik pada notebook dan instance Vertex AI Workbench baru.

  3. Setelah Anda mengubah kebijakan, klik Setel Kebijakan.

  4. Buka halaman Temuan.

    Buka Temuan

  5. Di panel Quick filters, di bagian Source display name, pilih Security Posture. Temuan terkait perubahan Anda akan muncul dalam waktu lima menit.

  6. Untuk melihat detail temuan, klik temuan tersebut.

Menghapus deployment postur

Anda dapat menghapus deployment postur jika tidak di-deploy dengan benar, Anda tidak lagi memerlukan postur tertentu, atau Anda tidak lagi ingin postur tertentu ditetapkan ke project, folder, atau organisasi. Untuk menghapus deployment postur, deployment postur harus berada dalam salah satu status berikut:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Untuk memverifikasi status deployment postur, lihat Melihat informasi tentang deployment postur.

Saat Anda menghapus deployment postur, Anda akan menghapus postur dari resource (organisasi, folder, atau project Anda) yang Anda tetapkan. Selain itu, tindakan ini akan menonaktifkan temuan terkait.

Output untuk berbagai jenis kebijakan adalah:

  • Saat Anda menghapus deployment postur yang mencakup kebijakan organisasi kustom, kebijakan organisasi kustom akan dihapus. Namun, batasan kustom tetap ada.

  • Saat Anda menghapus deployment postur yang mencakup detektor Security Health Analytics bawaan, status akhir modul Security Health Analytics bergantung pada organisasi, folder, atau project tempat deployment berada.

    • Jika Anda men-deploy postur di folder atau project, detektor Security Health Analytics bawaan akan mewarisi statusnya dari organisasi atau folder induk.
    • Jika Anda men-deploy postur di tingkat organisasi, detektor Security Health Analytics bawaan akan kembali ke status default. Untuk mengetahui deskripsi status default, lihat Mengaktifkan dan menonaktifkan detektor.

Konsol

  1. Di konsol Google Cloud , buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Postur, klik postur yang ingin Anda hapus dari resource yang ditetapkan untuknya.

  4. Di halaman Posture details, pilih revisi postur dan buka Resources.

  5. Dari daftar resource tempat revisi postur aktif saat ini di-deploy, klik Hapus.

gcloud

Jalankan perintah gcloud scc posture-deployments delete untuk menghapus deployment postur.

gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME adalah nama resource relatif untuk deployment postur. Formatnya adalah organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • POSTURE_DEPLOYMENT_ID adalah nama unik untuk deployment postur.

Misalnya, untuk menghapus deployment postur yang bernama organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, jalankan perintah berikut:

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Menghapus postur

Saat Anda menghapus postur, Anda juga menghapus semua revisi. Anda tidak dapat menghapus postur jika revisinya di-deploy. Anda harus menghapus semua deployment postur sebelum dapat menyelesaikan tugas ini.

Konsol

  1. Di konsol Google Cloud , buka halaman Posture Management.

    Buka Posture Management

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan paket Premium atau Enterprise Security Command Center.

  3. Di tab Postur, klik postur yang ingin Anda hapus.

  4. Di halaman Detail postur, klik Hapus.

gcloud

Jalankan perintah gcloud scc postures delete untuk menghapus postur.

 gcloud scc postures delete POSTURE_NAME

POSTURE_NAME adalah nama resource relatif postur.

Misalnya, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID. ID postur adalah nama alfanumerik untuk postur Anda yang unik bagi organisasi Anda.

Misalnya, untuk menghapus postur yang bernama organizations/3589215982/locations/global/postures/posture-example-1, jalankan perintah berikut:

 gcloud scc postures delete \
     organizations/3589215982/locations/global/postures/posture-example-1

Langkah berikutnya