Gestire una strategia di sicurezza

Questa pagina descrive come configurare e utilizzare il servizio di analisi della postura di sicurezza dopo aver attivato Security Command Center. Per iniziare, devi creare una postura che includa i tuoi criteri, organizzati in insiemi di criteri, quindi eseguirne il deployment utilizzando un deployment della postura. Dopo aver implementato una postura, puoi monitorare la deriva e perfezionarla ulteriormente nel tempo.

Prima di iniziare

Completa queste attività prima di completare le restanti attività in questa pagina.

Attiva il livello Security Command Center Premium o Enterprise

Verifica che il livello Premium o Enterprise di Security Command Center sia attivato a livello di organizzazione.

Se vuoi utilizzare i rilevatori di Security Health Analytics come criteri, seleziona il servizio Security Health Analytics durante la procedura di attivazione.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per utilizzare la postura, chiedi all'amministratore di concederti il ruolo IAM Amministratore della postura di sicurezza (roles/securityposture.admin). Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per ulteriori informazioni sui ruoli e sulle autorizzazioni della postura di sicurezza, consulta IAM per le attivazioni a livello di organizzazione.

Configurare Google Cloud CLI

Devi utilizzare Google Cloud CLI versione 461.0.0 o successive.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Per configurare gcloud CLI in modo che utilizzi l'usurpazione di identità dell'account di servizio per autenticarsi alle API di Google anziché alle credenziali utente, esegui il seguente comando:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Per saperne di più, vedi Rappresentazione dell'account di servizio.

Abilita API

Abilita il servizio Organization Policy e le API del servizio di postura di sicurezza:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configura la connessione ad AWS

Per utilizzare i rilevatori di Security Health Analytics integrati specifici per AWS, devi attivare Security Command Center Enterprise e connetterti ad AWS per il rilevamento delle vulnerabilità.

Crea ed esegui il deployment di una postura

Per iniziare a utilizzare una posizione di sicurezza, devi completare i seguenti passaggi:

  • Crea un file YAML di postura che definisce i criteri applicabili alla tua postura di sicurezza.
  • Crea una postura in Google Cloud basata sul file YAML della postura.
  • Esegui il deployment della postura.

Le sezioni seguenti forniscono istruzioni dettagliate.

Crea un file YAML di postura

Una configurazione di sicurezza è costituita da uno o più set di criteri che vengono implementati insieme. Questi set di criteri includono tutti i criteri di prevenzione e rilevamento che vuoi includere nella tua postura.

Per creare la tua postura, esegui una delle seguenti operazioni:

Per informazioni dettagliate sui campi che puoi utilizzare in una postura, consulta il riferimento Posture e il riferimento PolicySet.

Creare un file di postura da un modello di postura predefinito

Puoi utilizzare un modello di postura predefinito per creare un file di postura.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della conformità.

    Vai a Gestione della postura

  2. Verifica di visualizzare l'organizzazione in cui hai attivato il livello Security Command Center Premium o Enterprise.

  3. Nella scheda Modelli, fai clic sul modello che vuoi utilizzare.

  4. Nella pagina Dettagli modello, fai clic su Crea posa.

  5. Fornisci un nome univoco per la postura e fai clic su Crea. Viene visualizzata la pagina Dettagli sulla postura.

  6. Esegui una delle seguenti azioni:

gcloud

  1. Esamina i modelli di posture predefiniti per determinare quali si applicano al tuo ambiente. Puoi applicarne alcune senza apportare modifiche, ma per altre è necessario personalizzare le norme in base al tuo ambiente.
  2. Utilizza uno dei seguenti metodi per copiare i file YAML nel tuo editor di testo:

    • Copia il file YAML dai contenuti di riferimento nei modelli di posture predefiniti.
    • Esegui il comando gcloud scc posture-templates describe per copiare il file YAML.
    gcloud scc posture-templates describe \
        organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \
        --revision-id=REVISION_ID
    
    gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/POSTURE_TEMPLATE \
    --revision-id=REVISION_ID

    Sostituisci i seguenti valori:

    • ORGANIZATION_ID è l'organizzazione in cui hai attivato il livello Premium o Enterprise di Security Command Center.
    • LOCATION è la posizione in cui vuoi eseguire il deployment e archiviare la postura. L'unica località supportata è global.
    • POSTURE_TEMPLATE è il nome del modello della postura predefinita, come descritto in Modelli di postura predefiniti.
    • REVISION_ID è la versione della revisione per la posizione predefinita. Se non includi l'ID revisione, viene visualizzata la versione più recente della configurazione di sicurezza predefinita.

    Ad esempio, per visualizzare la posizione predefinita di elementi essenziali dell'AI sicura nell'organizzazione 3589215982, esegui quanto segue:

    gcloud scc posture-templates describe \
        organizations/3589215982/locations/global/postureTemplates/secure_ai_essential \
        --revision-id=v.1.0
    
  3. Esegui una delle seguenti azioni:

Creare un file di configurazione di sicurezza estraendo i criteri da un ambiente esistente

Puoi estrarre i criteri (criteri dell'organizzazione, inclusi i criteri personalizzati e tutti i rilevatori di Security Health Analytics, inclusi quelli personalizzati) configurati in un progetto, una cartella o un'organizzazione esistenti per creare un file di configurazione di sicurezza. Non puoi estrarre i criteri da un'organizzazione, una cartella o un progetto a cui è già stata applicata una configurazione di sicurezza.

Questo comando estrae solo i criteri configurati in precedenza per l'organizzazione, la cartella o il progetto e non estrae i criteri dalle cartelle o dall'organizzazione principali.

Se hai collegato Security Command Center Enterprise ad AWS, questo comando estrae anche i detector specifici per AWS (anteprima).

  1. Esegui il comando gcloud scc postures extract per estrarre i criteri dell'organizzazione esistenti e i rilevatori di Security Health Analytics nel tuo ambiente.

    gcloud scc postures extract POSTURE_NAME \
      --workload=WORKLOAD
    

    Sostituisci i seguenti valori:

    • POSTURE_NAME è il nome della risorsa relativa della posa. Ad esempio, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID è un nome alfanumerico per la tua postura che è univoco per la tua organizzazione. POSTURE_ID è limitato a 63 caratteri.
    • WORKLOAD è il progetto, la cartella o l'organizzazione da cui stai estraendo i criteri. Il carico di lavoro è uno dei seguenti:

    • projects/PROJECT_NUMBER

    • folder/FOLDER_ID

    • organizations/ORGANIZATION_ID

    Ad esempio, per estrarre i criteri dalla cartella 3589215982 nell'organizzazione 6589215984, esegui quanto segue:

    gcloud scc postures extract \
      organizations/6589215984/locations/global/postures/myStagingPosture \
      workload=folder/3589215982 > posture.yaml
    
  2. Apri il file posture.yaml risultante per la modifica.

  3. Esegui una delle seguenti azioni:

Creare una risorsa Terraform con definizioni di criteri

Puoi creare una configurazione Terraform per creare una risorsa di analisi di conformità.

Ad esempio, puoi creare una risorsa di analisi della posizione che includa vincoli dei criteri dell'organizzazione integrati e personalizzati e rilevatori di Security Health Analytics integrati e personalizzati. Il supporto della gestione della postura per i rilevatori di Security Health Analytics integrati specifici per AWS è in anteprima.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
    policies {
      policy_id = "canned_org_policy_for_service"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "run.allowedVPCEgress"
          policy_rules {
            allow_all: true
            condition {
              expression: "!(parameters.denyAll or resource.location in parameters.deniedLocations) && (parameters.allowAll or resource.location in parameters.allowedLocations)"
            }
            parameters {
              fields {
                key: "denyAll"
                value {
                  bool_value: false
                }
              }
              fields {
                key: "allowAll"
                value {
                  bool_value: false
                }
              }
              fields {
                key: "deniedLocations"
                value {
                  null_value: NULL_VALUE
                }
              }
              fields {
                key: "allowedLocations"
                value {
                  string_value: "allowedLocations.all(location, location in [\342\200\230US\342\200\231, \342\200\230EU\342\200\231])"
                }
              }
            }
            resource_types {
              included: "run.googleapis.com/Service"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Per ulteriori informazioni, consulta google_securityposture_posture.

Modificare un file YAML di postura

Per modificare un file YAML relativo alla postura:

  1. Apri il file YAML della postura in un editor di testo.
  2. Verifica name, description e state all'inizio del file.

  3. Verifica name, description e state all'inizio del file.

    name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
    description: DESCRIPTION
    state: STATE
    

    Per informazioni dettagliate su questi campi, consulta la documentazione di riferimento di Posture.

    Ad esempio:

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
    description: This posture applies to staging environments for Vertex AI.
    state: ACTIVE
    
  4. Personalizza le norme all'interno del file in base ai tuoi requisiti.

    Per informazioni dettagliate sui campi che puoi utilizzare, consulta il riferimento PolicySet.

    1. Esamina le norme esistenti e i relativi valori. Per i criteri che richiedono informazioni specifiche per il tuo ambiente, imposta i valori di conseguenza. Ad esempio, per il criterio ainotebooks.accessMode nell'AI sicura, nella posizione predefinita estesa, aggiungi le modalità di accesso consentite in policy_rules:

      - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
        compliance_standards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          org_policy_constraint:
            canned_constraint_id: ainotebooks.accessMode
            policy_rules:
            - values:
                allowed_values: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      
    2. Aggiungi altri vincoli dei criteri dell'organizzazione, come descritto in Vincoli dei criteri dell'organizzazione. Se stai definendo un criterio dell'organizzazione personalizzato, assicurati che il file YAML includa la definizione del vincolo personalizzato. Non puoi utilizzare un vincolo personalizzato creato con altri metodi (ad esempio, con la console Google Cloud).

      Ad esempio, potresti voler impostare il vincolo compute.trustedImageProjects per definire i progetti che possono essere utilizzati per lo stoccaggio delle immagini e l'instanziazione del disco. Se copi questo esempio, assicurati di sostituireallowed_values con un elenco di progetti appropriato:

      - policy_id: Define projects with trusted images.
        compliance_standards:
        - standard:
          control:
        constraint:
          org_policy_constraint:
            canned_constraint_id: compute.trustedImageProjects
            policy_rules:
            - values:
                allowed_values:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      
    3. Aggiungi altri rilevatori di Security Health Analytics, ad esempio quelli descritti in Risultati di Security Health Analytics. Ad esempio, aggiungi un rilevatore di Security Health Analytics per creare un rilevamento se un progetto non utilizza una chiave API per l'autenticazione:

      - policy_id: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      Come altro esempio, aggiungi un modulo personalizzato di Security Health Analytics per rilevare se i set di dati Vertex AI sono criptati:

      - policy_id: CMEK key is use for Vertex AI DataSet
        compliance_standards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          security_health_analytics_custom_module:
            display_name: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resource_selector:
                resource_types:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            module_enablement_state: ENABLED
      

      Come altro esempio, per Security Command Center Enterprise, aggiungi un rilevatore Security Health Analytics specifico per AWS (anteprima):

      - policy_set_id: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policy_id: S3 bucket replication enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policy_id: S3 bucket logging enabled
          compliance_standards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Se aggiungi un rilevatore specifico per AWS, devi implementare la postura a livello di organizzazione.

  5. Carica il file di analisi della posizione in un repository di origine con controllo delle versioni in modo da poter monitorare le modifiche apportate nel tempo.

Crea una postura

Completa questa operazione per creare una risorsa di analisi della posizione in Security Command Center che puoi eseguire il deployment. Se hai creato una postura da un modello di postura predefinito utilizzando la console Google Cloud, la risorsa della postura viene creata automaticamente per te.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della conformità.

    Vai a Gestione della postura

  2. Verifica di visualizzare l'organizzazione in cui hai attivato il livello Security Command Center Premium o Enterprise.

  3. Fai clic su Crea posa. Puoi creare una configurazione di sicurezza partendo da un modello o da una configurazione esistente oppure utilizzando le norme applicate a una risorsa.

    Creare una postura utilizzando una postura o un modello esistente

    1. Seleziona Inizia con una postura o un modello esistente (sfoglia posture).
    2. Specifica i dettagli della postura, ad esempio il nome e la descrizione.
    3. Fai clic su Seleziona postura. Puoi creare una postura in base a una postura esistente o a un modello.
      • Seleziona Postura per creare una postura utilizzandone una esistente. Seleziona una postura dall'elenco delle posture visualizzate, quindi seleziona una o più revisioni dall'elenco delle revisioni disponibili per la postura selezionata.
      • Seleziona Modello per creare una postura utilizzando un modello, quindi seleziona uno o più modelli dall'elenco visualizzato.
    4. Fai clic su Salva. Nella sezione Set di criteri, puoi visualizzare l'elenco dei set di criteri associati alla postura selezionata.
    5. Seleziona i criteri dall'elenco dei set di criteri. In questa pagina puoi anche modificare il criterio e spostarlo in un altro insieme di criteri. Non puoi creare una postura con due criteri con lo stesso nome nello stesso insieme di criteri.
    6. Fai clic su Crea.

    Crea una configurazione di sicurezza utilizzando i criteri applicati a una risorsa

    1. Seleziona Inizia con una postura applicata a una risorsa (sfoglia risorse).
    2. Specifica i dettagli della postura, ad esempio il nome e la descrizione.
    3. Fai clic su Seleziona risorse.
    4. Seleziona una risorsa dall'elenco visualizzato e fai clic su Crea.

    Verrà visualizzata la pagina Dettagli configurazione di sicurezza, che mostra le informazioni sulla configurazione di sicurezza che hai creato. Puoi visualizzare i set di norme associati a quella posizione.

gcloud

  1. Esegui il comando gcloud scc postures create per creare una postura utilizzando il file posture.yaml.

    gcloud scc postures create POSTURE_NAME \
        --posture-from-file=POSTURE_FROM_FILE
    

    Sostituisci i seguenti valori:

    • POSTURE_NAME è il nome della risorsa relativa della posa. Ad esempio, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID è un nome alfanumerico per la tua postura univoco per la tua organizzazione. POSTURE_ID è limitato a 63 caratteri.

    Ad esempio, per creare una posizione con l'ID posture-example-1 nell'organizzazione organizations/3589215982, esegui quanto segue:

    gcloud scc postures create \
        organizations/3589215982/locations/global/postures/posture-example-1 \
        --posture-from-file=posture.yaml
    

    Se il processo di creazione della postura non va a buon fine, elimina la postura, risolvi il problema e riprova.

  2. Per verificare che la postura sia stata creata correttamente, consulta Visualizzare una postura.

Per applicare questa postura al tuo ambiente, devi eseguirne il deployment.

Terraform

Se hai creato una configurazione Terraform per la risorsa di analisi della posizione, devi eseguirne il provisioning utilizzando la pipeline di infrastruttura come codice.

Per ulteriori informazioni, consulta Terraform su Google Cloud.

Esegui il deployment di una configurazione di sicurezza

Dopo aver creato una configurazione di sicurezza, esegui il deployment in un progetto, una cartella o un'organizzazione in modo da poter applicare i criteri e le relative definizioni a risorse specifiche nella tua organizzazione e monitorare la deriva. Puoi implementare una sola postura in un progetto, una cartella o un'organizzazione.

Verifica che lo stato della postura sia ACTIVE.

Quando esegui il deployment della postura, si verificano le seguenti azioni:

  • Vengono applicate le definizioni per i criteri dell'organizzazione e i rilevatori di Security Health Analytics.
  • Il vincolo personalizzato per i criteri dell'organizzazione personalizzati viene creato con ID vincolo per includere l'ID revisione della postura come suffisso dell'ID vincolo definito nella postura.
  • Lo stato predefinito per i moduli personalizzati è impostato su Attivato.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della conformità.

    Vai a Gestione della postura

  2. Verifica di visualizzare l'organizzazione in cui hai attivato il livello Security Command Center Premium o Enterprise.

  3. Nella scheda Posture, fai clic sulla postura che vuoi implementare.

  4. Nella pagina Dettagli postura, seleziona la revisione della postura. La revisione della postura selezionata deve essere in stato attivo.

  5. Fai clic su Applica alle risorse.

  6. Fai clic su Seleziona per selezionare l'organizzazione, la cartella o il progetto in cui vuoi implementare la postura.

  7. Fai clic su Applica postura.

gcloud

Esegui il comando gcloud scc posture-deployments create per eseguire il deployment di una configurazione di sicurezza in un progetto, una cartella o un'organizzazione.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

Sostituisci i seguenti valori:

  • POSTURE_DEPLOYMENT_NAME è il nome della risorsa relativa per il deployment della postura. Il formato è organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION è pari a global.

  • POSTURE_ID è un nome alfanumerico per la tua posizione che è univoco per la tua organizzazione.

  • --posture-name=POSTURE_NAME è il nome della configurazione che stai implementando. Il formato è organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

Se la tua postura include un rilevatore specifico per AWS, devi implementarla a livello di organizzazione (Anteprima).

Ad esempio, per eseguire il deployment di una postura, esegui il seguente comando:

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

Puoi visualizzare le informazioni sullo stato al termine del comando. Se il processo di creazione del deployment per la postura non riesce, elimina il deployment, risolvi il problema e riprova.

Terraform

Puoi creare una risorsa Terraform per eseguire il deployment di una postura.

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Per ulteriori informazioni, consulta google_securityposture_posture_deployment.

Dopo aver creato la risorsa Terraform, esegui il provisioning utilizzando la pipeline Infrastructure as Code.

Visualizzare le informazioni sulla postura e sul deployment della postura

Puoi visualizzare le informazioni sulla postura e sul deployment della postura per visualizzare informazioni come:

  • Quali configurazioni di sicurezza vengono implementate e dove nella gerarchia delle risorse (organizzazioni, progetti e cartelle) vengono applicate
  • Le revisioni e lo stato delle posture
  • I dettagli operativi di un deployment di posture

Visualizzare una configurazione di sicurezza

Puoi visualizzare informazioni su una postura (ad esempio lo stato e le definizioni delle norme).

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della conformità.

    Vai a Gestione della postura

  2. Seleziona l'organizzazione in cui hai attivato il livello Security Command Center Premium o Enterprise.

  3. Nella scheda Posture, fai clic sulla postura che vuoi visualizzare. Vengono visualizzati i dettagli della postura.

gcloud

Esegui il comando gcloud scc postures describe per visualizzare una postura che hai creato.

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

Sostituisci i seguenti valori:

  • POSTURE_NAME è il nome della risorsa relativa della posa. Ad esempio, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

  • LOCATION è pari a global.

  • POSTURE_ID è un nome alfanumerico per la tua posizione che è univoco per la tua organizzazione.

  • revision-id=REVISION_ID è un flag facoltativo che specifica la versione della postura da visualizzare. Se non includi il flag, viene restituita la versione più recente.

Ad esempio, per visualizzare una postura con il nome organizations/3589215982/locations/global/postures/posture-example-1 e l'ID revisione abcdefgh, esegui il seguente comando:

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Visualizzare le informazioni su un'operazione di deployment della postura

Esegui il comando gcloud scc posture-operations describe per visualizzare i dettagli dell'operazione per un'operazione di deployment della postura.

gcloud scc posture-operations describe OPERATION_NAME

Dove OPERATION_NAME è il nome della risorsa relativa per l'operazione. Il formato è organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Puoi ottenere OPERATION_ID utilizzando l'argomento --async quando esegui il comando di analisi posturale.

Ad esempio, per visualizzare un'operazione di scansione con il nome organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, esegui quanto segue:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Visualizzare le informazioni su un deployment della postura

Puoi visualizzare la posizione in cui è stato eseguito il deployment di una postura, nonché lo stato del deployment.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della conformità.

    Vai a Gestione della postura

  2. Verifica di visualizzare l'organizzazione in cui hai attivato il livello Security Command Center Premium o Enterprise.

  3. Nella scheda Posture, fai clic sulla postura di cui hai eseguito il deployment.

  4. Vai alla scheda Risorse per visualizzare i progetti, le cartelle e l'organizzazione in cui è stato eseguito il deployment della postura, nonché lo stato del deployment.

gcloud

Esegui il comando gcloud scc posture-deployments describe per visualizzare informazioni su una postura di cui è stato eseguito il deployment.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

Dove POSTURE_DEPLOYMENT_NAME è il nome della risorsa relativa per il deployment della postura. Il formato è organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION è pari a global.
  • POSTURE_DEPLOYMENT_ID è un nome univoco per il deployment della postura.

Ad esempio, per visualizzare i dettagli di un deployment di posture denominatoorganizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, esegui quanto segue:

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Aggiornare una postura e un deployment della postura

Puoi aggiornare quanto segue:

  • Lo stato della postura.
  • Le definizioni dei criteri in una postura.
  • L'organizzazione, le cartelle o i progetti in cui viene implementata una postura.

Aggiornare le definizioni dei criteri in una postura

Potresti dover aggiornare una posizione quando attivi altri servizi Google Cloud, implementi risorse aggiuntive o richiedi criteri aggiuntivi per soddisfare requisiti di conformità nuovi o in evoluzione. Se stai aggiornando una revisione della configurazione di sicurezza di cui è stato eseguito il deployment, questa attività ne crea una nuova. In caso contrario, viene aggiornata la revisione della postura specificata quando esegui il comando di aggiornamento.

  1. Apri un file YAML in un editor di testo. Aggiungi i campi da aggiornare, insieme ai relativi valori. Se stai aggiornando i set di criteri, assicurati che il file includa tutti i set di criteri che vuoi includere nella posizione, inclusi quelli esistenti. Per le istruzioni, consulta Modificare un file YAML di postura.
  2. Esegui il comando gcloud scc postures update per aggiornare la posizione.

    gcloud scc postures update POSTURE_NAME \
        --posture-from-file=POSTURE_FROM_FILE \
        --revision-id=POSTURE_REVISION_ID \
        --update-mask=UPDATE_MASK
    

    Sostituisci i seguenti valori:

    • POSTURE_NAME è il nome della risorsa relativa della posa. Ad esempio, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID è un nome alfanumerico per la tua posizione che è univoco per la tua organizzazione.
    • POSTURE_FROM_FILE è il percorso relativo o assoluto del file posture.yaml che include le modifiche.

      • LOCATION è pari a global.
      • POSTURE_ID è un nome alfanumerico per la tua postura univoco per la tua organizzazione.
    • POSTURE_FROM_FILE è il percorso relativo o assoluto del file posture.yaml che include le modifiche.

    • --revision-id=REVISION_ID è la revisione della postura che vuoi eseguire. Se la postura è già stata implementata, il servizio di postura di sicurezza crea automaticamente una nuova versione della postura con un ID revisione diverso e include l'ID revisione nell'output.

    • --update-mask=UPDATE_MASK è l'elenco dei campi da aggiornare in formato separato da virgole. Questo argomento è facoltativo. Puoi impostare UPDATE_MASK su uno dei seguenti valori:

      • * o non specificato: applica le modifiche apportate ai set di criteri e alla descrizione dell'atteggiamento.
      • policy_sets: applica le modifiche apportate solo ai set di criteri.
      • description: applica le modifiche apportate solo alla descrizione della postura.
      • policy_sets, description: applica le modifiche apportate ai set di criteri e alla descrizione della posizione.
      • state: applica solo la modifica dello stato.

    Ad esempio, per aggiornare una posizione con il nome posture-example-1 nell'organizzazione organizations/3589215982/locations/global e l'ID revisione impostato su abcd1234, esegui il seguente comando:

    gcloud scc postures update \
        organizations/3589215982/locations/global/posture-example-1 \
        --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
    

    Se il processo di aggiornamento della postura non riesce, risolvi il problema e riprova.

  3. Per verificare che la postura sia stata aggiornata correttamente, consulta Visualizzare una postura.

Modificare lo stato di una configurazione di sicurezza

Lo stato di una postura determina se è disponibile per il deployment in un progetto, una cartella o un'organizzazione.

Una postura può avere i seguenti stati:

  • DRAFT: la revisione della configurazione di sicurezza non è pronta per il deployment. Non puoi eseguire il deployment di una revisione della postura nello stato DRAFT.
  • ACTIVE: la revisione della postura è disponibile per il deployment. Puoi cambiare lo stato da ACTIVE a DRAFT o DEPRECATED.
  • DEPRECATED: non è possibile eseguire il deployment di una revisione della configurazione di sicurezza DEPRECATED in una risorsa. Devi eliminare tutti i deployment esistenti della postura prima di poter ritirare una revisione della postura. Se vuoi eseguire nuovamente il deployment di una revisione della postura ritirata, devi impostarne lo stato su ACTIVE.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della conformità.

    Vai a Gestione della postura

  2. Verifica di visualizzare l'organizzazione in cui hai attivato il livello Security Command Center Premium o Enterprise.

  3. Nella scheda Posture, fai clic sulla postura che vuoi aggiornare.

  4. Nella pagina Dettagli postura, fai clic su Modifica.

  5. Seleziona lo stato della postura e fai clic su Salva.

gcloud

Per modificare lo stato di una postura, esegui il comando gcloud scc postures update. Non puoi aggiornare lo stato della postura contemporaneamente ad altri campi. Per istruzioni su come eseguire il comando gcloud scc postures update, consulta Modificare un file YAML di postura.

Aggiornare un deployment di posture

Aggiorna il deployment di una postura in un progetto, una cartella o un'organizzazione per eseguire il deployment di una nuova postura o di una nuova revisione di una postura.

Se la revisione della postura che stai aggiornando include un vincolo dell'organizzazione personalizzato che è stato eliminato utilizzando la console Google Cloud, non puoi aggiornare il deployment della postura utilizzando lo stesso ID postura. Il servizio di criteri dell'organizzazione impedisce la creazione di vincoli dell'organizzazione personalizzati con lo stesso nome. Devi invece creare una nuova versione della postura o utilizzare un ID postura diverso.

Inoltre, i risultati relativi ai deployment dei criteri eliminati nell'ambito della procedura di aggiornamento verranno disattivati.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della conformità.

    Vai a Gestione della postura

  2. Verifica di visualizzare l'organizzazione in cui hai attivato il livello Security Command Center Premium o Enterprise.

  3. Nella scheda Posture, fai clic sulla postura che vuoi aggiornare.

  4. Nella pagina Dettagli postura, seleziona la revisione della postura.

  5. Fai clic su Applica alle risorse.

  6. Fai clic su Seleziona per selezionare l'organizzazione, la cartella o il progetto in cui eseguire il deployment della postura. Se viene visualizzato un messaggio che indica che il deployment esiste già, eliminalo prima di riprovare.

gcloud

Esegui il comando gcloud scc posture-deployments update per eseguire il deployment di una postura.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

Sostituisci i seguenti valori:

  • POSTURE_DEPLOYMENT_NAME è il nome della risorsa relativa per il deployment della postura. Il formato è organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • POSTURE_DEPLOYMENT_ID è un nome univoco per il deployment della postura.
  • --description=DESCRIPTION è la descrizione facoltativa per la postura di cui è stato eseguito il deployment.

  • --posture-id=POSTURE_ID è il nome della tua postura che è univoco per la tua organizzazione. Il formato è organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_NAME

  • --posture-revision-id=POSTURE_REVISION_ID è la revisione della postura che vuoi eseguire. Puoi ottenerlo dalla risposta che ricevi quando crei la posa o la visualizzi.

  • --update-mask=UPDATE_MASK è l'elenco dei campi da aggiornare in formato separato da virgole. Questo argomento è facoltativo.

Ad esempio, per aggiornare un deployment di posture con i seguenti criteri:

  • Organizzazione: organizations/3589215982/locations/global
  • ID deployment posture: postureDeploymentexample
  • ID postura: StagingAIPosture
  • Revisione: version2

Esegui questo comando:

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Puoi visualizzare le informazioni sullo stato al termine del comando. Se il processo di aggiornamento del deployment della postura non riesce, elimina il deployment, risolvi il problema e riprova.

Monitorare la deriva della postura

Puoi monitorare una postura di sicurezza di cui è stato eseguito il deployment per rilevare eventuali deviazioni dai criteri definiti. La deriva è una modifica di un criterio che si verifica al di fuori di una postura. Ad esempio, il drift si verifica quando un amministratore modifica una definizione di criteri nella console anziché aggiornare il deployment della postura.

Il servizio di postura di sicurezza crea risultati che puoi visualizzare nella console Google Cloud o nell'gcloud CLI ogni volta che si verifica un'evoluzione.

Console

Se hai creato una strategia che si applica ai carichi di lavoro Vertex AI, puoi monitorare la deviazione in due modi: dalla pagina Risultati e dalla pagina Panoramica. Per tutte le altre posture, puoi monitorare la deriva dalla pagina Risultati.

Per monitorare la deriva dalla pagina Risultati:

  1. Nella console Google Cloud, vai alla pagina Risultati.

    Vai a Risultati

  2. Verifica di visualizzare l'organizzazione in cui hai attivato il livello Security Command Center Premium o Enterprise.

  3. Nel riquadro Filtri rapidi, seleziona il rilevamento Violazione della postura. Puoi anche inserire il seguente filtro in Anteprima query:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"
    
  4. Per visualizzare i dettagli di un risultato, fai clic sul risultato.

Per monitorare la deriva dalla pagina Panoramica (solo per i carichi di lavoro Vertex AI): 1. Nella console Google Cloud, vai alla pagina Panoramica.

Vai alla panoramica

1. Verifica di visualizzare l'organizzazione in cui hai attivato il livello Security Command Center Premium o Enterprise. 1. Esamina il riquadro Risultati relativi a workload IA.

  • La scheda Vulnerabilità mostra tutte le vulnerabilità relative a eventuali moduli personalizzati di Security Health Analytics che si applicano specificamente ai carichi di lavoro di Vertex AI.
  • La scheda Deviazione dai criteri mostra eventuali deviazioni relative ai criteri dell'organizzazione Vertex AI che hai applicato in una postura.
  • Per visualizzare i dettagli di un risultato, fai clic sul risultato.

gcloud

In gcloud CLI, per visualizzare i risultati relativi allo scostamento, esegui quanto segue:

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

Dove ORGANIZATION_ID è l'ID dell'organizzazione.

Per ulteriori informazioni su come risolvere questi problemi, consulta Risultati del servizio di postura di sicurezza. Puoi esportare questi risultati nello stesso modo in cui esporti qualsiasi altro risultato da Security Command Center. Per ulteriori informazioni, consulta Opzioni di integrazione e Esportazione dei dati di Security Command Center.

Per disattivare un rilevamento di deriva, puoi aggiornare il deployment della postura con lo stesso ID postura e la stessa revisione della postura.

Generare un esito relativo alla deriva a scopo di test

Dopo aver implementato una posizione, puoi monitorare eventuali deviazioni dalle tue norme. Per vedere i risultati relativi alla deriva in azione in un ambiente di test, svolgi i seguenti passaggi:

  1. Nella console, vai alla pagina Criterio dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Modifica uno dei criteri che hai definito nella postura di cui è stato eseguito il deployment. Ad esempio, se utilizzi una posizione di IA sicura predefinita, puoi modificare il criterio Limita l'accesso all'IP pubblico sui nuovi notebook e istanze di Vertex AI Workbench.

  3. Dopo aver modificato il criterio, fai clic su Imposta criterio.

  4. Vai alla pagina Risultati.

    Vai a Risultati

  5. Nel riquadro Filtri rapidi, nella sezione Nome visualizzato dell'origine, selezionate Posizione di sicurezza. Entro cinque minuti dovrebbe apparire un risultato correlato alla modifica.

  6. Per visualizzare i dettagli del risultato, fai clic sul risultato.

Eliminare un deployment di configurazione di sicurezza

Puoi eliminare il deployment di una postura se non è stato eseguito correttamente, se non hai più bisogno di una determinata postura o se non vuoi più che una determinata postura sia assegnata a un progetto, a una cartella o a un'organizzazione. Per eliminare un deployment di posture, il deployment di posture deve trovarsi in uno dei seguenti stati:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Per verificare lo stato di un deployment di posture, consulta Visualizzare le informazioni su un deployment di posture.

Quando elimini un deployment della configurazione di sicurezza, la rimuovi dalla risorsa (organizzazione, cartella o progetto) a cui l'hai assegnata. Inoltre, disattiva i risultati associati.

L'output per i diversi tipi di criteri è:

  • Quando elimini un deployment di posture che include criteri dell'organizzazione personalizzati, questi vengono eliminati. Tuttavia, il vincolo personalizzato continua a esistere.
  • Quando elimini un deployment di configurazione di sicurezza che include i rilevatori di Security Health Analytics integrati, lo stato finale dei moduli di Security Health Analytics dipende dall'organizzazione, dalla cartella o dal progetto su cui esisteva il deployment.

    • Se hai implementato una configurazione di sicurezza in una cartella o un progetto, i rilevatori di Security Health Analytics integrati ereditano il loro stato dall'organizzazione o dalla cartella principale.
    • Se hai implementato una postura a livello di organizzazione, i rilevatori di Security Health Analytics integrati tornano allo stato predefinito. Per una descrizione degli stati predefiniti, consulta Attivare e disattivare i rilevatori.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della conformità.

    Vai a Gestione della postura

  2. Verifica di visualizzare l'organizzazione in cui hai attivato il livello Security Command Center Premium o Enterprise.

  3. Nella scheda Posture, fai clic sulla postura che vuoi rimuovere dalla risorsa a cui è assegnata.

  4. Nella pagina Dettagli postura, seleziona la revisione della postura e vai a Risorse.

  5. Nell'elenco delle risorse in cui è stato eseguito il deployment della revisione della postura attiva corrente, fai clic su Rimuovi.

gcloud

Esegui il comando gcloud scc posture-deployments delete per eliminare un deployment di posture.

gcloud scc posture-deployments deletePOSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME è il nome della risorsa relativa per il deployment della postura. Il formato è organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • POSTURE_DEPLOYMENT_ID è il nome univoco del deployment della postura.

Ad esempio, per eliminare un deployment di posture denominato organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, esegui quanto segue:

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Eliminare una configurazione di sicurezza

Quando elimini una configurazione di sicurezza, vengono eliminate anche tutte le revisioni. Non puoi eliminare una postura se una delle relative revisioni è stata implementata. Per poter completare questa operazione, devi eliminare tutti i deployment di analisi della posizione.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione della conformità.

    Vai a Gestione della postura

  2. Verifica di visualizzare l'organizzazione in cui hai attivato il livello Security Command Center Premium o Enterprise.

  3. Nella scheda Posture, fai clic sulla postura che vuoi eliminare.

  4. Nella pagina Dettagli postura, fai clic su Elimina.

gcloud

Esegui il comando gcloud scc postures delete per eliminare una postura.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME è il nome della risorsa relativa della posa. Ad esempio, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID. L'ID postura è un nome alfanumerico per la postura univoco per la tua organizzazione.

Ad esempio, per eliminare una postura denominata organizations/3589215982/locations/global/postures/posture-example-1, esegui quanto segue:

gcloud scc postures delete \
    organizations/3589215982/locations/global/postures/posture-example-1

Passaggi successivi