Mit einem Sicherheitsstatus können Sie den Sicherheitsstatus Ihrer Cloud-Assets, einschließlich Ihres Cloud-Netzwerks und Ihrer Cloud-Dienste, definieren und verwalten. Mithilfe eines Sicherheitsstatus können Sie Ihre aktuelle Cloud-Sicherheit anhand definierter Benchmarks bewerten und so das von Ihrer Organisation geforderte Sicherheitsniveau aufrechterhalten. Mithilfe des Sicherheitsstatus können Sie Abweichungen von Ihrem definierten Benchmark erkennen und korrigieren. Wenn Sie einen Sicherheitsstatus definieren und aufrechterhalten, der den Sicherheitsanforderungen Ihres Unternehmens entspricht, können Sie Cybersicherheitsrisiken für Ihre Organisation reduzieren und dazu beitragen, Angriffe zu verhindern.
In Google Cloudkönnen Sie den Dienst für Sicherheitsstatus in Security Command Center verwenden, um einen Sicherheitsstatus zu definieren und bereitzustellen, den Sicherheitsstatus Ihrer Google Cloud Ressourcen zu überwachen und alle Abweichungen (oder unautorisierten Änderungen) von Ihrem definierten Status zu beheben.
Vorteile und Anwendungen
Der Dienst für den Sicherheitsstatus ist ein integrierter Dienst für Security Command Center, mit dem Sie den allgemeinen Sicherheitsstatus in Google Clouddefinieren, bewerten und überwachen können. Der Dienst für die Sicherheitskonfiguration ist nur verfügbar, wenn Sie ein Abo für die Premium- oder Enterprise-Stufe von Security Command Center erwerben und Security Command Center auf Organisationsebene aktivieren.
Mit dem Dienst für die Sicherheitslage können Sie die folgenden Ziele erreichen:
Sorgen Sie dafür, dass Ihre Arbeitslasten den Sicherheitsstandards, Compliance-Vorschriften und den benutzerdefinierten Sicherheitsanforderungen Ihrer Organisation entsprechen.
Wenden Sie Ihre Sicherheitskontrollen auf Google Cloud Projekte, Ordner oder Organisationen an, bevor Sie Arbeitslasten bereitstellen.
Überwachen Sie kontinuierlich auf Abweichungen von den definierten Sicherheitskontrollen und beheben Sie diese.
Der Dienst für die Sicherheitskonfiguration wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.
Dienstkomponenten
Der Sicherheitsstatusdienst umfasst die folgenden Komponenten:
Sicherheitsstatus
Ein oder mehrere Richtliniensätze, mit denen die präventiven und aufdeckenden Kontrollen erzwungen werden, die Ihre Organisation benötigt, um ihren Sicherheitsstandard zu erfüllen. Sie können Konfigurationen auf Organisations-, Ordner- oder Projektebene bereitstellen. Eine Liste der Haltungsvorlagen finden Sie unter Vordefinierte Haltungsvorlagen.
Richtliniensets
Eine Reihe von Sicherheitsanforderungen und zugehörigen Kontrollen in Google Cloud. In der Regel besteht ein Richtliniensatz aus allen Richtlinien, mit denen Sie die Anforderungen eines bestimmten Sicherheitsstandards oder einer bestimmten Compliance-Vorschrift erfüllen können.
Richtlinie
Eine bestimmte Einschränkung, mit der das Verhalten von Ressourcen in Google Cloudgesteuert oder überwacht wird. Richtlinien können präventiv (z. B. Einschränkungen für Organisationsrichtlinien) oder detektivisch (z. B. Security Health Analytics-Detektoren) sein. Die folgenden Richtlinien werden unterstützt:
Einschränkungen für Organisationsrichtlinien, einschließlich benutzerdefinierter Einschränkungen
Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Module
Bereitstellung des Sicherheitsstatus
Nachdem Sie eine Konfiguration erstellt haben, stellen Sie sie bereit, damit Sie sie auf die Organisation, Ordner oder Projekte anwenden können, die Sie damit verwalten möchten.
Das folgende Diagramm zeigt die Komponenten einer beispielhaften Sicherheitslage.
Vordefinierte Statusvorlagen
Der Dienst für die Sicherheitskonfiguration umfasst vordefinierte Statusvorlagen, die einem Compliancestandard oder einem von Google empfohlenen Standard wie den Empfehlungen des Blueprints für Unternehmensgrundlagen entsprechen. Mit diesen Vorlagen können Sie Sicherheitskonfigurationen erstellen, die für Ihr Unternehmen gelten. In der folgenden Tabelle werden die Vorlagen für die Körperhaltung beschrieben.
| Statusvorlage | Name der Vorlage | Beschreibung |
|---|---|---|
| Standardmäßig sicher, grundlegende Funktionen | secure_by_default_essential |
Diese Vorlage implementiert die Richtlinien, die dazu beitragen, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme zu vermeiden, die durch Standardeinstellungen verursacht werden. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
| Standardmäßig sicher, erweitert | secure_by_default_extended |
Diese Vorlage implementiert die Richtlinien, die dazu beitragen, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme zu vermeiden, die durch Standardeinstellungen verursacht werden. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| Sichere KI-Empfehlungen, Grundlagen | secure_ai_essential |
Diese Vorlage implementiert Richtlinien, mit denen Sie Gemini- und Vertex AI-Arbeitslasten schützen können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
| Erweiterte sichere KI-Empfehlungen | secure_ai_extended |
Diese Vorlage implementiert Richtlinien, mit denen Sie Gemini- und Vertex AI-Arbeitslasten schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| BigQuery-Empfehlungen – Grundlagen | big_query_essential |
Diese Vorlage implementiert Richtlinien, mit denen Sie BigQuery schützen können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
| Cloud Storage-Empfehlungen – Grundlagen | cloud_storage_essential |
Diese Vorlage implementiert Richtlinien, mit denen Sie Cloud Storage schützen können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
| Cloud Storage-Empfehlungen, erweitert | cloud_storage_extended |
Diese Vorlage implementiert Richtlinien, mit denen Sie Cloud Storage schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| VPC-Empfehlungen – Grundlagen | vpc_networking_essential |
Diese Vorlage implementiert Richtlinien, mit denen Sie die Virtual Private Cloud (VPC) schützen können. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
| Erweiterte VPC-Empfehlungen | vpc_networking_extended |
Diese Vorlage implementiert Richtlinien, mit denen Sie die VPC schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| Empfehlungen des Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0 | cis_2_0 |
Diese Vorlage implementiert Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud Umgebung nicht dem CIS Google Cloud Computing Platform Benchmark v2.0.0 entspricht. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
| NIST SP 800-53-Standardempfehlungen | nist_800_53 |
Diese Vorlage implementiert Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud -Umgebung nicht dem NIST SP 800-53-Standard entspricht. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
| Empfehlungen zur ISO 27001-Norm | iso_27001 |
Diese Vorlage implementiert Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud -Umgebung nicht dem ISO-Standard 27001 entspricht. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
| Empfehlungen für den PCI DSS-Standard | pci_dss_v_3_2_1 |
In dieser Vorlage werden Richtlinien implementiert, mit denen Sie erkennen können, wenn Ihre Google Cloud -Umgebung nicht dem Datensicherheitsstandard der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI DSS) Version 3.2.1 und Version 1.0 entspricht. Sie können diese Vorlage bereitstellen, ohne Änderungen daran vorzunehmen. |
Bereitstellung und Drift-Monitoring von Einstellungen
Wenn Sie eine Konfiguration mit allen zugehörigen Richtlinien für eine Google Cloud -Ressource erzwingen möchten, stellen Sie die Konfiguration bereit. Sie können angeben, auf welcher Ebene der Ressourcenhierarchie (Organisation, Ordner oder Projekt) die Konfiguration angewendet wird. Sie können nur eine Sicherheitskonfiguration für jede Organisation, jeden Ordner oder jedes Projekt bereitstellen.
Die Einstellungen werden von untergeordneten Ordnern und Projekten übernommen. Wenn Sie also Konfigurationen auf Organisations- und Projektebene bereitstellen, gelten alle Richtlinien in beiden Konfigurationen für die Ressourcen im Projekt. Wenn es Unterschiede in den Richtliniendefinitionen gibt (z. B. wenn eine Richtlinie auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt ist), wird die Haltung auf niedrigerer Ebene von den Ressourcen in diesem Projekt verwendet.
Als Best Practice empfehlen wir, eine Konfiguration auf Organisationsebene bereitzustellen, die Richtlinien enthält, die für Ihr gesamtes Unternehmen gelten können. Anschließend können Sie strengere Richtlinien auf Ordner oder Projekte anwenden, für die sie erforderlich sind. Wenn Sie beispielsweise den Unternehmensgrundlagen-Blueprint verwenden, um Ihre Infrastruktur einzurichten, erstellen Sie bestimmte Projekte (z. B. prj-c-kms), die speziell für die Verschlüsselungsschlüssel für alle Projekte in einem Ordner vorgesehen sind. Sie können eine Sicherheitskonfiguration verwenden, um die Einschränkung der Organisationsrichtlinie constraints/gcp.restrictCmekCryptoKeyProjects für den Ordner common und die Umgebungsordner (development, nonproduction und production) festzulegen, sodass in allen Projekten nur Schlüssel aus den Schlüsselprojekten verwendet werden.
Nachdem Sie Ihre Konfiguration bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von der definierten Konfiguration überwachen. Security Command Center meldet Abweichungen als Ergebnisse, die Sie prüfen, filtern und beheben können. Außerdem können Sie diese Ergebnisse genauso exportieren wie alle anderen Ergebnisse aus Security Command Center. Weitere Informationen finden Sie unter Security Command Center-Daten exportieren.
Einbindung in Vertex AI und Gemini
Mithilfe von Sicherheitskonfigurationen können Sie die Sicherheit Ihrer KI-Arbeitslasten aufrechterhalten. Der Dienst für den Sicherheitsstatus umfasst Folgendes:
Vordefinierte Vorlagen für die Sicherheitskonfiguration, die speziell für KI-Arbeitslasten entwickelt wurden.
Ein Bereich auf der Seite Übersicht, in dem Sie nach Sicherheitslücken suchen können, die von den benutzerdefinierten Security Health Analytics-Modulen gefunden wurden, die für KI gelten, und in dem Sie Abweichungen von den Vertex AI-Organisationsrichtlinien sehen können, die in einer Sicherheitskonfiguration definiert sind.
AWS-Integration
Wenn Sie Security Command Center Enterprise mit AWS verbinden, um Konfigurations- und Ressourcendaten zu erfassen, enthält der Security Health Analytics-Dienst integrierte Detektoren, mit denen Sie Ihre AWS-Umgebung überwachen und Ergebnisse erstellen können.
Wenn Sie eine Konfigurationsdatei erstellen oder ändern, können Sie Security Health Analytics-Detektoren einfügen, die speziell für AWS gelten. Sie müssen diese Datei auf Organisationsebene bereitstellen.
Dienstlimits
Für den Dienst für den Sicherheitsstatus gelten die folgenden Limits:
- Maximal 100 Haltungen in einer Organisation.
- Maximal 400 Richtlinien in einer Konfiguration.
- Maximal 1.000 Posture-Bereitstellungen in einer Organisation.