Gestire una strategia di sicurezza

Questa pagina descrive come configurare e utilizzare il servizio di postura di sicurezza dopo aver attivato Security Command Center. Per iniziare, devi creare una postura che includa le tue policy, organizzate in insiemi di policy, e poi eseguire il deployment della postura utilizzando un deployment della postura. Una volta implementata una postura, puoi monitorare la deriva e perfezionarla ulteriormente nel tempo.

Prima di iniziare

Completa queste attività prima di completare le attività rimanenti in questa pagina.

Attiva il livello Security Command Center Premium o Enterprise

Verifica che il livello Security Command Center Premium o Enterprise sia attivato a livello di organizzazione.

Se vuoi utilizzare i rilevatori di Security Health Analytics come criteri, seleziona il servizio Security Health Analytics durante la procedura di attivazione.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per utilizzare la postura, chiedi all'amministratore di concederti il ruolo IAM Security Posture Admin (roles/securityposture.admin). Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per saperne di più sui ruoli e sulle autorizzazioni della postura di sicurezza, consulta IAM per le attivazioni a livello di organizzazione.

Configura Google Cloud CLI

Devi utilizzare Google Cloud CLI versione 461.0.0 o successive.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Per configurare gcloud CLI in modo che utilizzi l'imitazione dell'account di servizio per l'autenticazione alle API di Google, anziché le credenziali utente, esegui questo comando:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Per maggiori informazioni, vedi Impersonificazione del service account.

Abilita API

Abilita le API del servizio Organization Policy e del servizio di postura di sicurezza:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configura la connessione ad AWS

Per utilizzare i rilevatori Security Health Analytics integrati specifici per AWS, devi attivare Security Command Center Enterprise e connetterti ad AWS per la raccolta di dati di configurazione e risorse.

Creare ed eseguire il deployment di una postura

Per iniziare a utilizzare una postura di sicurezza, devi completare le seguenti operazioni:

• Crea un file YAML di postura che definisca i criteri applicabili alla tua postura di sicurezza.
• Crea una postura in Google Cloud basata sul file YAML della postura.
• Esegui il deployment della postura.

Le sezioni seguenti forniscono istruzioni dettagliate.

Crea un file YAML di postura

Una postura è costituita da uno o più set di policy che vengono implementati insieme. Questi set di criteri includono tutti i criteri preventivi e di rilevamento che vuoi includere nella tua postura.

Per creare la tua postura, esegui una delle seguenti operazioni:

• Copia un modello di postura predefinito. Se necessario, apporta modifiche ai criteri in modo che si applichino al tuo ambiente e siano conformi agli standard normativi e di sicurezza della tua attività. Per le istruzioni, vedi Creare un file di postura da un modello di postura predefinito.
• Estrai le policy esistenti dal tuo ambiente. Se necessario, apporta modifiche alle norme in modo che siano conformi agli standard normativi e di sicurezza della tua attività. Per istruzioni, vedi Creare un file di postura estraendo i criteri da un ambiente esistente.
• Crea una risorsa Terraform che definisce la postura. Per le istruzioni, vedi Creare una risorsa Terraform con definizioni di criteri.

Per informazioni dettagliate sui campi che puoi utilizzare in una postura, consulta il riferimento Posture e il riferimento PolicySet.

Creare un file di postura da un modello di postura predefinito

Puoi utilizzare un modello di postura predefinito per creare un file di postura.

Creare un file di postura estraendo i criteri da un ambiente esistente

Puoi estrarre le policy (policy dell'organizzazione, incluse le policy personalizzate e tutti i rilevatori di Security Health Analytics, inclusi quelli personalizzati) che hai configurato in un progetto, una cartella o un'organizzazione esistenti per creare un file di postura. Non puoi estrarre criteri da un'organizzazione, una cartella o un progetto a cui è già stata applicata una postura.

Questo comando estrae solo i criteri che hai configurato in precedenza per l'organizzazione, la cartella o il progetto e non estrae i criteri dalle cartelle o dall'organizzazione padre.

Se hai collegato Security Command Center Enterprise ad AWS, questo comando estrae anche i detector specifici per AWS (anteprima).

1. Esegui il comando gcloud scc postures extract per estrarre le policy dell'organizzazione e i rilevatori di Security Health Analytics esistenti nel tuo ambiente.

   gcloud scc postures extract POSTURE_NAME \
       --workload=WORKLOAD
   

   Sostituisci i seguenti valori:

   • POSTURE_NAME è il nome della risorsa relativa della postura. Ad esempio, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

     • POSTURE_ID è un nome alfanumerico per la tua postura univoco per la tua organizzazione. POSTURE_ID è limitato a 63 caratteri.

   • WORKLOAD è il progetto, la cartella o l'organizzazione da cui stai estraendo i criteri. Il carico di lavoro è uno dei seguenti:

   • projects/PROJECT_NUMBER

   • folder/FOLDER_ID

   • organizations/ORGANIZATION_ID

   Ad esempio, per estrarre le policy dalla cartella 3589215982 nell'organizzazione 6589215984, esegui questo comando:

   gcloud scc postures extract \
     organizations/6589215984/locations/global/postures/myStagingPosture \
     workload=folder/3589215982 > posture.yaml
   

2. Apri il file posture.yaml risultante per modificarlo.

3. Completa una delle seguenti azioni:

   • Se puoi utilizzare la postura senza apportare modifiche (ad esempio, se hai utilizzato uno dei modelli _essentials), puoi creare la postura. Per le istruzioni, vedi Creare una postura.
   • Se devi modificare uno dei set di criteri o dei criteri, completa Modificare un file YAML di postura.

Crea una risorsa Terraform con definizioni di policy

Puoi creare una configurazione Terraform per creare una risorsa di postura.

Ad esempio, puoi creare una risorsa di postura che includa vincoli dei criteri dell'organizzazione integrati e personalizzati e rilevatori di Security Health Analytics integrati e personalizzati. Il supporto della gestione della postura per i rilevatori di Security Health Analytics integrati specifici per AWS è in anteprima.

resource "google_securityposture_posture" "posture1"{
  posture_id  = "posture_example"
  parent      = "organizations/123456789"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression  = "resource.matchTag('org_id/tag_key_short_name,'tag_value_short_name')"
            	title       = "a CEL condition"
            }
          }
        }
      }
    }
    policies {
      policy_id = "custom_org_policy"
      constraint {
        org_policy_constraint_custom {
          custom_constraint {
            name           = "organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade"
            display_name   = "Disable GKE auto upgrade"
            description    = "Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced."
            action_type    = "ALLOW"
            condition      = "resource.management.autoUpgrade == false"
            method_types   = ["CREATE", "UPDATE"]
            resource_types = ["container.googleapis.com/NodePool"]
          }
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression = "resource.matchTagId('tagKeys/key_id','tagValues/value_id')"
            	title = "a CEL condition"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Per ulteriori informazioni, consulta google_securityposture_posture.

Modificare un file YAML di postura

Per modificare un file YAML di postura:

1. Apri il file YAML della postura in un editor di testo.

2. Verifica i valori name, description e state all'inizio del file.

   name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
   description: DESCRIPTION
   state: STATE
   

   Per informazioni dettagliate su questi campi, consulta il riferimento Posture.

   Ad esempio:

   name: organizations/3589215982/locations/global/posture/stagingAIPosture
   description: This posture applies to staging environments for Vertex AI.
   state: ACTIVE
   

3. Personalizza le norme all'interno del file in base ai tuoi requisiti.

   Per informazioni dettagliate sui campi che puoi utilizzare, consulta il riferimento PolicySet.

   1. Esamina le norme esistenti e i relativi valori. Per i criteri che richiedono informazioni specifiche per il tuo ambiente, imposta i valori in modo appropriato. Ad esempio, per il criterio ainotebooks.accessMode nella postura predefinita estesa dell'AI sicura, aggiungi le modalità di accesso consentite in policyRules:

      - policyId: Define access mode for Vertex AI Workbench notebooks and instances
        complianceStandards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          orgPolicyConstraint:
            cannedConstraintId: ainotebooks.accessMode
            policyRules:
            - values:
                allowedValues: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      

   2. Aggiungi ulteriori vincoli dei criteri dell'organizzazione, come descritto in Vincoli dei criteri dell'organizzazione. Se stai definendo un criterio dell'organizzazione personalizzato, assicurati che il file YAML includa la definizione del vincolo personalizzato. Non puoi utilizzare un vincolo personalizzato creato con altri metodi (ad esempio, utilizzando la consoleGoogle Cloud ).

      Ad esempio, potresti voler impostare il vincolo compute.trustedImageProjects per definire i progetti che possono essere utilizzati per l'archiviazione delle immagini e l'istanza del disco. Se copi questo esempio, assicurati di sostituire allowedValues con un elenco di progetti appropriato:

      - policyId: Define projects with trusted images.
        complianceStandards:
        - standard:
          control:
        constraint:
          orgPolicyConstraint:
            cannedConstraintId: compute.trustedImageProjects
            policyRules:
            - values:
                allowedValues:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      

   3. Aggiungi altri rilevatori di Security Health Analytics, come quelli documentati in Risultati di Security Health Analytics. Ad esempio, aggiungi un rilevatore Security Health Analytics per creare un risultato se un progetto non utilizza una chiave API per l'autenticazione:

      - policyId: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      Come altro esempio, aggiungi un modulo personalizzato di Security Health Analytics per rilevare se i set di dati Vertex AI sono criptati:

      - policyId: CMEK key is use for Vertex AI DataSet
        complianceStandards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          securityHealthAnalyticsCustomModule:
            displayName: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resourceSelector:
                resourceTypes:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            moduleEnablementState: ENABLED
      

      Come altro esempio, per Security Command Center Enterprise, aggiungi un rilevatore Security Health Analytics specifico per AWS (anteprima):

      - policySetId: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policyId: S3 bucket replication enabled
          complianceStandards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policyId: S3 bucket logging enabled
          complianceStandards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Se aggiungi un rilevatore specifico per AWS, devi eseguire il deployment della postura a livello di organizzazione.

4. Carica il file di postura in un repository di origine con controllo delle versioni in modo da poter monitorare le modifiche apportate nel tempo.

Creare una postura

Completa questa attività per creare una risorsa di postura in Security Command Center che puoi implementare. Se hai creato una postura da un modello di postura predefinito utilizzando la console Google Cloud , la risorsa postura viene creata automaticamente.

Eseguire il deployment di una postura

Dopo aver creato una postura, la esegui il deployment in un progetto, una cartella o un'organizzazione in modo da poter applicare i criteri e le relative definizioni a risorse specifiche della tua organizzazione e monitorare la deriva. Puoi eseguire il deployment di una sola postura in un progetto, una cartella o un'organizzazione.

Verifica che lo stato di postura sia ACTIVE.

Quando esegui il deployment della postura, vengono eseguite le seguenti azioni:

• Vengono applicate le definizioni per i criteri dell'organizzazione e i rilevatori di Security Health Analytics.
• Per ogni norma dell'organizzazione personalizzata definita nella postura, viene creato un nuovo vincolo personalizzato. Questo vale anche se hai creato la postura da un modello o da criteri estratti e li hai mantenuti invariati. L'ID del vincolo include l'ID revisione della postura come suffisso. Se vengono eliminate tutte le implementazioni della postura, il suffisso viene sostituito con un UUID casuale.
• Per ogni detector Security Health Analytics personalizzato definito nella postura, viene creata una nuova limitazione personalizzata. Questo vale anche se hai creato la configurazione di sicurezza da un modello o da criteri estratti e li hai mantenuti invariati.

• Lo stato predefinito dei moduli personalizzati è impostato su Attivato.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Visualizzare le informazioni sulla postura e sul deployment della postura

Puoi visualizzare informazioni sulla postura e sul deployment della postura per visualizzare informazioni come le seguenti:

• Quali posture vengono implementate e in quale punto della gerarchia delle risorse (organizzazioni, progetti e cartelle) vengono applicate
• Le revisioni e lo stato delle posture
• I dettagli operativi di un deployment di postura

Visualizzare una postura

Puoi visualizzare informazioni su una postura (ad esempio il relativo stato e le definizioni dei criteri).

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Visualizzare le informazioni su un'operazione di deployment della configurazione della sicurezza

Esegui il comando gcloud scc posture-operations describe per visualizzare i dettagli dell'operazione per un'operazione di deployment della postura.

gcloud scc posture-operations describe OPERATION_NAME

Dove OPERATION_NAME è il nome della risorsa relativa per l'operazione. Il formato è organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Puoi ottenere OPERATION_ID utilizzando l'argomento --async quando esegui il comando posture.

Ad esempio, per visualizzare un'operazione di scansione con il nome organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, esegui il seguente comando:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Visualizzare informazioni su un deployment di una configurazione della sicurezza

Puoi visualizzare la posizione in cui viene eseguito il deployment di una postura, nonché lo stato del deployment.

gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Aggiornare una postura e il relativo deployment

Puoi aggiornare quanto segue:

• Lo stato della postura.
• Le definizioni dei criteri in una postura.
• L'organizzazione, le cartelle o i progetti in cui viene implementata una postura.

Aggiorna le definizioni dei criteri in una postura

Potresti dover aggiornare una postura quando attivi più Google Cloud servizi, quando implementi risorse aggiuntive o quando richiedi policy aggiuntive per soddisfare requisiti di conformità nuovi o in evoluzione. Se stai aggiornando una revisione della configurazione di sicurezza di cui è stato eseguito il deployment, questa attività crea una nuova revisione della configurazione di sicurezza. In caso contrario, viene aggiornata la revisione della postura specificata quando esegui il comando di aggiornamento.

1. Apri un file YAML in un editor di testo. Aggiungi i campi che vuoi aggiornare, insieme ai relativi valori. Se stai aggiornando i set di criteri, assicurati che il file includa tutti i set di criteri che vuoi includere nella postura, inclusi quelli già esistenti. Per istruzioni, vedi Modificare un file YAML di postura.

2. Esegui il comando gcloud scc postures update per aggiornare la postura.

   gcloud scc postures update POSTURE_NAME \
       --posture-from-file=POSTURE_FROM_FILE \
       --revision-id=POSTURE_REVISION_ID \
       --update-mask=UPDATE_MASK
   

   Sostituisci i seguenti valori:

   • POSTURE_NAME è il nome della risorsa relativa della postura. Ad esempio, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

     • POSTURE_ID è un nome alfanumerico per la tua postura univoco per la tua organizzazione.

   • POSTURE_FROM_FILE è il percorso relativo o assoluto del file posture.yaml che include le modifiche.

     • POSTURE_ID è un nome alfanumerico per la tua postura univoco per la tua organizzazione.

   • POSTURE_FROM_FILE è il percorso relativo o assoluto del file posture.yaml che include le modifiche.

   • --revision-id=REVISION_ID è la revisione della postura che vuoi implementare. Se la postura è già stata implementata, il servizio di postura di sicurezza crea automaticamente una nuova versione della postura con un ID revisione diverso e include l'ID revisione nell'output.

   • --update-mask=UPDATE_MASK è l'elenco dei campi che vuoi aggiornare, in formato separato da virgole. Questo argomento è facoltativo. Puoi impostare UPDATE_MASK su uno dei seguenti valori:

     • * o non specificato: applica le modifiche apportate ai set di norme e alla descrizione della postura.
     • policy_sets: applica solo le modifiche apportate ai set di criteri.
     • description: applica solo le modifiche apportate alla descrizione della postura.
     • policy_sets, description: applica le modifiche apportate ai set di criteri e alla descrizione della postura.
     • state: applica solo la modifica dello stato.

   Ad esempio, per aggiornare una postura con il nome posture-example-1 nell'organizzazione organizations/3589215982/locations/global e l'ID revisione impostato su abcd1234, esegui il comando seguente:

   gcloud scc postures update \
       organizations/3589215982/locations/global/posture-example-1 \
       --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
   

   Se il processo di aggiornamento della postura non riesce, risolvi il problema correlato all'errore e riprova.

3. Per verificare che la configurazione di sicurezza sia stata aggiornata correttamente, vedi Visualizzare una configurazione di sicurezza.

Modificare lo stato di una postura

Lo stato di una postura determina se è disponibile per il deployment in un progetto, una cartella o un'organizzazione.

Una postura può avere i seguenti stati:

• DRAFT: La revisione della configurazione di sicurezza non è pronta per il deployment. Non puoi eseguire il deployment di una revisione della postura nello stato DRAFT.
• ACTIVE: La revisione della postura è disponibile per l'implementazione. Puoi modificare lo stato da ACTIVE a DRAFT o DEPRECATED.

• DEPRECATED: non è possibile eseguire il deployment di una revisione della configurazione di sicurezza DEPRECATED in una risorsa. Prima di poter ritirare una revisione della postura, devi eliminare tutte le implementazioni della postura esistenti. Se vuoi eseguire nuovamente il deployment di una revisione della postura che hai ritirato, devi impostarne lo stato su ACTIVE.

Aggiorna un deployment di postura

Aggiorna un deployment di posture su un progetto, una cartella o un'organizzazione per eseguire il deployment di una nuova postura o di una nuova revisione di una postura.

Se la revisione della postura che stai aggiornando include un vincolo personalizzato dell'organizzazione che è stato eliminato utilizzando la console Google Cloud , non puoi aggiornare l'implementazione della postura utilizzando lo stesso ID postura. Il servizio criteri dell'organizzazione impedisce la creazione di vincoli dell'organizzazione personalizzati con lo stesso nome. Devi invece creare una nuova versione della postura o utilizzare un ID postura diverso.

Inoltre, i risultati per le implementazioni dei criteri eliminati nell'ambito della procedura di aggiornamento verranno disattivati.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Monitorare la deriva della postura

Puoi monitorare una postura di sicurezza di cui è stato eseguito il deployment per rilevare eventuali deviazioni dai criteri definiti. La deriva è una modifica a una policy che si verifica al di fuori di una postura. Ad esempio, la deriva si verifica quando un amministratore modifica una definizione di policy nella console anziché aggiornare l'implementazione della postura.

Il servizio di postura di sicurezza crea risultati che puoi visualizzare nella console Google Cloud o in gcloud CLI ogni volta che si verifica una deviazione.

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

Per ulteriori informazioni su come risolvere questi risultati, consulta Risultati del servizio di postura di sicurezza. Puoi esportare questi risultati nello stesso modo in cui esporti qualsiasi altro risultato da Security Command Center. Per ulteriori informazioni, vedi Esportazione dei dati di Security Command Center.

Per disattivare un risultato di drift, puoi aggiornare il deployment della postura con lo stesso ID postura e revisione della postura.

Genera un risultato di deriva a scopo di test

Dopo aver implementato una postura, puoi monitorare la deviazione dalle tue norme. Per vedere i risultati della deriva in azione in un ambiente di test, completa i seguenti passaggi:

1. Nella console, vai alla pagina Policy dell'organizzazione.

   Vai a Criteri dell'organizzazione

2. Modifica uno dei criteri definiti nella postura di cui è stato eseguito il deployment. Ad esempio, se utilizzi una postura di sicurezza dell'AI predefinita, puoi modificare il criterio Limita l'accesso all'IP pubblico sui nuovi notebook e istanze di Vertex AI Workbench.

3. Dopo aver modificato il criterio, fai clic su Imposta criterio.

4. Vai alla pagina Risultati.

   Vai a Risultati

5. Nel riquadro Filtri rapidi, nella sezione Nome visualizzato origine, seleziona Postura di sicurezza. Un risultato correlato alla modifica dovrebbe essere visualizzato entro cinque minuti.

6. Per visualizzare i dettagli del risultato, fai clic su quest'ultimo.

Elimina un deployment di postura

Puoi eliminare un deployment della postura se non è stato eseguito correttamente, se non hai più bisogno di una postura specifica o se non vuoi più che una postura specifica venga assegnata a un progetto, una cartella o un'organizzazione. Per eliminare un deployment di postura, il deployment di postura deve trovarsi in uno dei seguenti stati:

• ACTIVE
• CREATE_FAILED
• UPDATE_FAILED
• DELETE_FAILED

Per verificare lo stato di un deployment della configurazione della sicurezza, vedi Visualizzare le informazioni su un deployment della configurazione della sicurezza.

Quando elimini un deployment della postura, rimuovi la postura dalla risorsa (la tua organizzazione, cartella o progetto) a cui l'hai assegnata. Inoltre, disattiva i risultati associati.

L'output per i diversi tipi di norme è:

• Quando elimini un deployment di postura che include policy dell'organizzazione personalizzate, queste vengono eliminate. Tuttavia, il vincolo personalizzato continua a esistere.

• Quando elimini un deployment di postura che include rilevatori di Security Health Analytics integrati, lo stato finale dei moduli di Security Health Analytics dipende dall'organizzazione, dalla cartella o dal progetto in cui esisteva il deployment.

  • Se hai eseguito il deployment di una postura in una cartella o un progetto, i rilevatori di Security Health Analytics integrati ereditano il loro stato dall'organizzazione o dalla cartella padre.
  • Se hai eseguito il deployment di una postura a livello di organizzazione, i rilevatori Security Health Analytics integrati tornano allo stato predefinito. Per una descrizione degli stati predefiniti, vedi Attivare e disattivare i rilevatori.

gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Eliminare una postura

Quando elimini una configurazione di sicurezza, vengono eliminate anche tutte le revisioni. Non puoi eliminare una postura se una delle sue revisioni è stata implementata. Prima di poter completare questa attività, devi eliminare tutti i deployment delle posture.

 gcloud scc postures delete POSTURE_NAME

 gcloud scc postures delete \
     organizations/3589215982/locations/global/postures/posture-example-1

Passaggi successivi

• Leggi la panoramica delle posture di sicurezza.
• Scopri di più sui moduli personalizzati per Security Health Analytics.
• Scopri di più sui vincoli personalizzati delle policy dell'organizzazione.
• Controlla gli audit log per le operazioni relative alla postura.
• Esportare i dati del servizio Postura di sicurezza.