Gerenciar uma postura de segurança

Nesta página, descrevemos como configurar e usar o serviço de postura de segurança depois de ativar o Security Command Center. Para começar, crie uma postura que inclua suas políticas, organizadas em conjuntos de políticas, e implante a postura usando uma implantação de postura. Depois que uma postura é implantada, é possível monitorar o desvio e refinar ainda mais a postura ao longo do tempo.

Antes de começar

Conclua essas tarefas antes de concluir as restantes nesta página.

Ativar o nível Premium ou Enterprise do Security Command Center

Verifique se o nível Premium ou Enterprise do Security Command Center está ativado no nível da organização.

Se quiser usar os detectores do Security Health Analytics como políticas, selecione o serviço Security Health Analytics durante o processo de ativação.

Configurar permissões

Para receber as permissões necessárias para usar a postura, peça ao administrador para conceder a você o papel do IAM de Administrador de postura de segurança (roles/securityposture.admin). Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Para mais informações sobre papéis e permissões de postura de segurança, consulte IAM para ativações no nível da organização.

Configurar a Google Cloud CLI

É necessário usar a Google Cloud CLI versão 461.0.0 ou mais recente.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Para configurar a CLI da gcloud para usar a representação da conta de serviço para autenticação nas APIs do Google, em vez de suas credenciais de usuário, execute o seguinte comando:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Para mais informações, consulte Identidade temporária de conta de serviço.

Ativar APIs

Ative as APIs do serviço de política da organização e do serviço de postura de segurança:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configurar a conexão com a AWS

Para usar detectores integrados do Security Health Analytics específicos da AWS, é necessário ativar o Security Command Center Enterprise e conectar à AWS para configuração e coleta de dados de recursos.

Criar e implantar uma postura

Para começar a usar uma postura de segurança, faça o seguinte:

• Crie um arquivo YAML de postura que defina as políticas aplicáveis à sua postura de segurança.
• Crie uma postura em Google Cloud com base no arquivo YAML de postura.
• Implante a postura.

Confira instruções detalhadas nas seções a seguir.

Criar um arquivo YAML de postura

Uma postura consiste em um ou mais conjuntos de políticas implantados juntos. Esses conjuntos de políticas incluem todas as políticas preventivas e de detecção que você quer incluir na sua postura.

Para criar sua postura, faça o seguinte:

• Copie um modelo de postura predefinido. Se necessário, faça edições nas políticas para que elas se apliquem ao seu ambiente e estejam em conformidade com os padrões regulatórios e de segurança da sua empresa. Para instruções, consulte Criar um arquivo de postura com base em um modelo predefinido.
• Extraia as políticas atuais do seu ambiente. Se necessário, faça edições nas políticas para que elas obedeçam aos padrões regulamentares e de segurança da sua empresa. Para instruções, consulte Criar um arquivo de postura extraindo políticas de um ambiente atual.
• Crie um recurso do Terraform que defina a postura. Para instruções, consulte Criar um recurso do Terraform com definições de política.

Para detalhes sobre os campos que podem ser usados em uma postura, consulte a referência Posture e a referência PolicySet.

Criar um arquivo de postura com base em um modelo predefinido

É possível usar um modelo de postura predefinido para criar um arquivo de postura.

Criar um arquivo de postura extraindo políticas de um ambiente atual

É possível extrair as políticas (políticas da organização, incluindo políticas personalizadas e todos os detectores do Security Health Analytics, incluindo detectores personalizados) que você configurou em um projeto, pasta ou organização para criar um arquivo de postura. Não é possível extrair políticas de uma organização, pasta ou projeto que já tenha uma postura aplicada.

Esse comando extrai apenas as políticas que você configurou anteriormente para a organização, pasta ou projeto e não extrai políticas de pastas ou organizações principais.

Se você conectou o Security Command Center Enterprise à AWS, esse comando também extrai os detectores específicos da AWS (prévia).

1. Execute o comando gcloud scc postures extract para extrair as políticas da organização e os detectores do Security Health Analytics atuais no seu ambiente.

   gcloud scc postures extract POSTURE_NAME \
       --workload=WORKLOAD
   

   Substitua os seguintes valores:

   • POSTURE_NAME é o nome do recurso relativo da postura. Por exemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

     • POSTURE_ID é um nome alfanumérico para sua postura que é exclusivo da sua organização. POSTURE_ID é limitado a 63 caracteres.

   • WORKLOAD é o projeto, a pasta ou a organização de que você está extraindo as políticas. A carga de trabalho é uma das seguintes:

   • projects/PROJECT_NUMBER

   • folder/FOLDER_ID

   • organizations/ORGANIZATION_ID

   Por exemplo, para extrair políticas da pasta 3589215982 na organização 6589215984, execute o seguinte:

   gcloud scc postures extract \
     organizations/6589215984/locations/global/postures/myStagingPosture \
     workload=folder/3589215982 > posture.yaml
   

2. Abra o arquivo posture.yaml resultante para edição.

3. Conclua uma das seguintes ações:

   • Se você puder usar a postura sem fazer mudanças (por exemplo, se usou um dos modelos _essentials), crie a postura. Para instruções, consulte Criar uma postura.
   • Se você precisar modificar algum dos conjuntos ou políticas, conclua Modificar um arquivo YAML de postura.

Criar um recurso do Terraform com definições de política

É possível criar uma configuração do Terraform para criar um recurso de postura.

Por exemplo, é possível criar um recurso de postura que inclua restrições de política da organização integradas e personalizadas, além de detectores do Security Health Analytics integrados e personalizados. O suporte ao gerenciamento de postura para detectores integrados da Análise de integridade da segurança específicos da AWS está em Pré-lançamento.

resource "google_securityposture_posture" "posture1"{
  posture_id  = "posture_example"
  parent      = "organizations/123456789"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression  = "resource.matchTag('org_id/tag_key_short_name,'tag_value_short_name')"
            	title       = "a CEL condition"
            }
          }
        }
      }
    }
    policies {
      policy_id = "custom_org_policy"
      constraint {
        org_policy_constraint_custom {
          custom_constraint {
            name           = "organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade"
            display_name   = "Disable GKE auto upgrade"
            description    = "Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced."
            action_type    = "ALLOW"
            condition      = "resource.management.autoUpgrade == false"
            method_types   = ["CREATE", "UPDATE"]
            resource_types = ["container.googleapis.com/NodePool"]
          }
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression = "resource.matchTagId('tagKeys/key_id','tagValues/value_id')"
            	title = "a CEL condition"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Para mais informações, consulte google_securityposture_posture.

Modificar um arquivo YAML de postura

Siga estas etapas para modificar um arquivo YAML de postura:

1. Abra o arquivo YAML de postura em um editor de texto.

2. Verifique name, description e state no início do arquivo.

   name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
   description: DESCRIPTION
   state: STATE
   

   Para detalhes sobre esses campos, consulte a referência do Posture.

   Exemplo:

   name: organizations/3589215982/locations/global/posture/stagingAIPosture
   description: This posture applies to staging environments for Vertex AI.
   state: ACTIVE
   

3. Personalize as políticas no arquivo para atender aos seus requisitos.

   Para detalhes sobre os campos que podem ser usados, consulte a referência PolicySet.

   1. Revise as políticas atuais e os valores delas. Para políticas que exigem informações específicas do seu ambiente, defina os valores adequadamente. Por exemplo, para a política ainotebooks.accessMode na postura predefinida de IA segura e estendida, adicione os modos de acesso permitidos em policyRules:

      - policyId: Define access mode for Vertex AI Workbench notebooks and instances
        complianceStandards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          orgPolicyConstraint:
            cannedConstraintId: ainotebooks.accessMode
            policyRules:
            - values:
                allowedValues: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      

   2. Adicione outras restrições de política da organização, conforme documentado em Restrições da política da organização. Se você estiver definindo uma política personalizada da organização, verifique se o arquivo YAML inclui a definição da restrição personalizada. Não é possível usar uma restrição personalizada criada com outros métodos, por exemplo, usando o consoleGoogle Cloud .

      Por exemplo, você pode definir a restrição compute.trustedImageProjects para definir projetos que podem ser usados para armazenamento de imagens e instanciação de disco. Se você copiar este exemplo, substitua allowedValues por uma lista adequada de projetos:

      - policyId: Define projects with trusted images.
        complianceStandards:
        - standard:
          control:
        constraint:
          orgPolicyConstraint:
            cannedConstraintId: compute.trustedImageProjects
            policyRules:
            - values:
                allowedValues:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      

   3. Adicione outros detectores da Análise de integridade da segurança, como os documentados em Descobertas da Análise de integridade da segurança. Por exemplo, adicione um detector do Security Health Analytics para criar uma descoberta se um projeto não estiver usando uma chave de API para autenticação:

      - policyId: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      Como outro exemplo, adicione um módulo personalizado da Análise de integridade da segurança para detectar se os conjuntos de dados da Vertex AI estão criptografados:

      - policyId: CMEK key is use for Vertex AI DataSet
        complianceStandards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          securityHealthAnalyticsCustomModule:
            displayName: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resourceSelector:
                resourceTypes:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            moduleEnablementState: ENABLED
      

      Como outro exemplo, para o Security Command Center Enterprise, adicione um detector do Security Health Analytics específico para a AWS (prévia):

      - policySetId: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policyId: S3 bucket replication enabled
          complianceStandards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policyId: S3 bucket logging enabled
          complianceStandards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      Se você adicionar um detector específico da AWS, implante a postura no nível da organização.

4. Faça upload do arquivo de postura para um repositório de origem com controle de versões para acompanhar as mudanças feitas nele ao longo do tempo.

Criar uma postura

Conclua esta tarefa para criar um recurso de postura no Security Command Center que você pode implantar. Se você criou uma postura usando um modelo predefinido no console Google Cloud , o recurso de postura será criado automaticamente.

Implantar uma postura

Depois de criar uma postura, implante-a em um projeto, uma pasta ou uma organização para aplicar as políticas e as definições delas a recursos específicos na sua organização e monitorar a deriva. Só é possível implantar uma postura em um projeto, pasta ou organização.

Verifique se o estado de postura é ACTIVE.

Quando você implanta a postura, as seguintes ações ocorrem:

• As definições de políticas da organização e detectores da Análise de integridade da segurança são aplicadas.
• Para cada política da organização personalizada definida na postura, uma nova restrição personalizada é criada. Isso vale mesmo que você tenha criado a postura com base em um modelo ou em políticas extraídas e as tenha mantido inalteradas. O ID da restrição inclui o ID da revisão de postura como um sufixo. Se todas as implantações da postura forem excluídas, o sufixo será substituído por um UUID aleatório.
• Para cada detector personalizado do Security Health Analytics definido na postura, uma nova restrição personalizada é criada. Isso vale mesmo que você tenha criado a postura com base em um modelo ou em políticas extraídas e as tenha mantido inalteradas.

• O estado padrão dos módulos personalizados é Ativado.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Ver informações sobre postura e implantação de postura

É possível conferir informações sobre postura e implantação de postura, como:

• Quais posturas são implantadas e onde na hierarquia de recursos (organizações, projetos e pastas) elas são aplicadas
• As revisões e o estado das posturas
• Os detalhes operacionais de uma implantação de postura

Ver uma postura

É possível conferir informações sobre uma postura, como o estado e as definições de política.

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Ver informações sobre uma operação de implantação de postura

Execute o comando gcloud scc posture-operations describe para conferir os detalhes de uma operação de implantação de postura.

gcloud scc posture-operations describe OPERATION_NAME

Em que OPERATION_NAME é o nome do recurso relativo da operação. O formato é organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. É possível usar o argumento --async ao executar o comando de postura para obter o OPERATION_ID.

Por exemplo, para ver uma operação de verificação com o nome organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, execute o seguinte:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Acessar informações sobre uma implantação de postura

É possível ver onde uma postura está implantada, bem como o estado da implantação.

gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Atualizar uma postura e uma implantação de postura

Você pode atualizar o seguinte:

• O estado da postura.
• As definições de política em uma postura.
• A organização, as pastas ou os projetos em que uma postura é implantada.

Atualizar as definições de política em uma postura

Talvez seja necessário atualizar uma postura quando você ativar mais Google Cloud serviços, implantar recursos adicionais ou exigir mais políticas para atender a requisitos de compliance novos ou em mudança. Se você estiver atualizando uma revisão de postura implantada, essa tarefa vai criar uma nova revisão. Caso contrário, a revisão de postura especificada ao executar o comando de atualização será atualizada.

1. Abra um arquivo YAML em um editor de texto. Adicione os campos que você quer atualizar, junto com os valores deles. Se você estiver atualizando conjuntos de políticas, verifique se o arquivo inclui todos os conjuntos que você quer incluir na postura, incluindo os que já existem. Para instruções, consulte Modificar um arquivo YAML de postura.

2. Execute o comando gcloud scc postures update para atualizar a postura.

   gcloud scc postures update POSTURE_NAME \
       --posture-from-file=POSTURE_FROM_FILE \
       --revision-id=POSTURE_REVISION_ID \
       --update-mask=UPDATE_MASK
   

   Substitua os seguintes valores:

   • POSTURE_NAME é o nome do recurso relativo da postura. Por exemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

     • POSTURE_ID é um nome alfanumérico exclusivo da sua organização.

   • POSTURE_FROM_FILE é o caminho relativo ou absoluto para o arquivo posture.yaml que inclui suas mudanças.

     • POSTURE_ID é um nome alfanumérico exclusivo da sua organização.

   • POSTURE_FROM_FILE é o caminho relativo ou absoluto para o arquivo posture.yaml que inclui suas mudanças.

   • --revision-id=REVISION_ID é a revisão de postura que você quer implantar. Se a postura já estiver implantada, o serviço de postura de segurança vai criar automaticamente uma nova versão da postura com um ID de revisão diferente e incluir o ID de revisão na saída.

   • --update-mask=UPDATE_MASK é a lista de campos que você quer atualizar, em formato separado por vírgulas. Esse argumento é opcional. É possível definir UPDATE_MASK como um dos seguintes valores:

     • * ou não especificado: aplique as mudanças feitas nos conjuntos de políticas e na descrição da postura.
     • policy_sets: aplique apenas as mudanças feitas nos conjuntos de políticas.
     • description: aplique as mudanças feitas apenas à descrição da postura.
     • policy_sets, description: aplique as mudanças feitas nos conjuntos de políticas e na descrição da postura.
     • state: aplique apenas a mudança de estado.

   Por exemplo, para atualizar uma postura com o nome posture-example-1 na organização organizations/3589215982/locations/global e o ID da revisão definido como abcd1234, execute o seguinte:

   gcloud scc postures update \
       organizations/3589215982/locations/global/posture-example-1 \
       --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
   

   Se o processo de atualização de postura falhar, resolva o problema e tente de novo.

3. Para verificar se a postura foi atualizada, consulte Ver uma postura.

Mudar o estado de uma postura

O estado de uma postura determina se ela está disponível para implantação em um projeto, pasta ou organização.

Uma postura pode ter os seguintes estados:

• DRAFT: a revisão de postura não está pronta para implantação. Não é possível implantar uma revisão de postura no estado DRAFT.
• ACTIVE: a revisão de postura está disponível para implantação. É possível mudar o estado de ACTIVE para DRAFT ou DEPRECATED.

• DEPRECATED: uma revisão de postura DEPRECATED não pode ser implantada em um recurso. É necessário excluir todas as implantações de postura atuais da postura antes de descontinuar uma revisão de postura. Se você quiser reimplantar uma revisão de postura que foi descontinuada, mude o estado dela para ACTIVE.

Atualizar uma implantação de postura

Atualize uma implantação de postura em um projeto, uma pasta ou uma organização para implantar uma nova postura ou uma nova revisão de uma postura.

Se a revisão de postura que você está atualizando incluir uma restrição de organização personalizada que foi excluída usando o console Google Cloud , não será possível atualizar a implantação de postura usando o mesmo ID de postura. O Serviço de políticas da organização impede a criação de restrições personalizadas com o mesmo nome. Em vez disso, crie uma nova versão da postura ou use um ID diferente.

Além disso, as descobertas das implantações de políticas excluídas como parte do processo de atualização serão desativadas.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Monitorar o desvio de postura

É possível monitorar uma postura implantada para detectar desvios das políticas definidas na postura de segurança. O deslocamento é uma mudança em uma política que ocorre fora de uma postura. Por exemplo, o deslocamento ocorre quando um administrador muda uma definição de política no console em vez de atualizar a implantação de postura.

O serviço de postura de segurança cria descobertas que podem ser visualizadas no console do Google Cloud ou na CLI gcloud sempre que ocorre uma deriva.

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

Para mais informações sobre como resolver essas descobertas, consulte Descobertas do serviço de postura de segurança. É possível exportar essas descobertas da mesma forma que você exporta qualquer outra descoberta do Security Command Center. Para mais informações, consulte Como exportar dados do Security Command Center.

Para inativar uma descoberta de deriva, atualize a implantação de postura com o mesmo ID e revisão de postura.

Gerar uma descoberta de deriva para fins de teste

Depois de implantar uma postura, é possível monitorar o desvio das suas políticas. Para ver os resultados de deriva em ação em um ambiente de teste, faça o seguinte:

1. No console, acesse a página Política da organização.

   Acessar a política da organização

2. Edite uma das políticas definidas na postura implantada. Por exemplo, se você usar uma postura de IA segura predefinida, poderá editar a política Restringir o acesso de IP público em novas instâncias e notebooks do Vertex AI Workbench.

3. Depois de mudar a política, clique em Definir política.

4. Acesse a página Descobertas.

   Acesse Descobertas

5. No painel Filtros rápidos, na seção Nome de exibição da origem, selecione Postura de segurança. Uma descoberta relacionada à sua mudança vai aparecer em até cinco minutos.

6. Para ver os detalhes, clique na descoberta.

Excluir uma implantação de postura

É possível excluir uma implantação de postura se ela não foi implantada corretamente, se você não precisa mais de uma postura específica ou se não quer mais que uma postura específica seja atribuída a um projeto, uma pasta ou uma organização. Para excluir uma implantação de postura, ela precisa estar em um dos seguintes estados:

• ACTIVE
• CREATE_FAILED
• UPDATE_FAILED
• DELETE_FAILED

Para verificar o estado de uma implantação de postura, consulte Ver informações sobre uma implantação de postura.

Quando você exclui uma implantação de postura, remove a postura do recurso (sua organização, pasta ou projeto) a que ela foi atribuída. Além disso, ele desativa as descobertas associadas.

A saída para diferentes tipos de políticas é:

• Quando você exclui uma implantação de postura que inclui políticas personalizadas da organização, elas também são excluídas. No entanto, a restrição personalizada continua existindo.

• Quando você exclui uma implantação de postura que inclui detectores integrados do Security Health Analytics, o estado final dos módulos do Security Health Analytics depende da organização, pasta ou projeto em que a implantação existia.

  • Se você implantou uma postura em uma pasta ou projeto, os detectores integrados do Security Health Analytics herdam o estado da organização ou pasta pai.
  • Se você implantou uma postura no nível da organização, os detectores integrados da Análise de integridade da segurança vão reverter para o estado padrão. Para uma descrição dos estados padrão, consulte Ativar e desativar detectores.

gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Excluir uma postura

Quando você exclui uma postura, todas as revisões também são excluídas. Não é possível excluir uma postura se alguma das revisões dela estiver implantada. É necessário excluir todas as implantações de postura antes de concluir essa tarefa.

 gcloud scc postures delete POSTURE_NAME

 gcloud scc postures delete \
     organizations/3589215982/locations/global/postures/posture-example-1

A seguir

• Leia a visão geral das posturas de segurança.
• Saiba mais sobre os módulos personalizados para o Security Health Analytics.
• Saiba mais sobre as restrições personalizadas da política da organização.
• Verifique os registros de auditoria para operações relacionadas à postura.
• Exportar dados do serviço de postura de segurança.