Una postura de seguridad te permite definir y administrar el estado de seguridad de tus recursos en la nube, incluidos los servicios y la red en la nube. Puedes usar una postura de seguridad para evaluar tu actual nivel de seguridad en la nube según comparativas definidas, lo que te ayuda a mantener el nivel de seguridad que requiere tu organización. Una postura de seguridad te ayuda a detectar y mitigar cualquier desvío de la comparativa definida. Si defines y mantienes una postura de seguridad que satisfaga las necesidades de seguridad de tu empresa, puedes reducir los riesgos de seguridad cibernética para tu organización y ayudar a evitar que se produzcan ataques.
En Google Cloud, puedes usar el servicio de postura de seguridad en Security Command Center para definir y, luego, implementar una postura de seguridad, supervisar el estado de seguridad de tus recursos de Google Cloud y abordar cualquier desviación (o cambio no autorizado) de la postura definida.
Beneficios y aplicaciones
El servicio de postura de seguridad es un servicio integrado de Security Command Center que te permite definir, evaluar y supervisar el estado general de tu seguridad en Google Cloud. El servicio de postura de seguridad solo está disponible si compras una suscripción al nivel Premium o Enterprise de Security Command Center y activas Security Command Center a nivel de la organización.
Puedes usar el servicio de evaluación de la seguridad para alcanzar los siguientes objetivos:
Asegúrate de que tus cargas de trabajo cumplan con los estándares de seguridad, las reglamentaciones de cumplimiento y los requisitos de seguridad personalizados de tu organización.
Aplica tus controles de seguridad a Google Cloud proyectos, carpetas u organizaciones antes de implementar cualquier carga de trabajo.
Supervisa continuamente y resuelve cualquier desviación de los controles de seguridad definidos.
El servicio de postura de seguridad se habilita automáticamente cuando activas Security Command Center a nivel de la organización.
Componentes del servicio
El servicio de postura de seguridad incluye los siguientes componentes:
Postura
Uno o más conjuntos de políticas que aplican los controles preventivos y de detección que tu organización requiere para cumplir con su estándar de seguridad. Puedes implementar verificaciones de seguridad a nivel de la organización, la carpeta o el proyecto. Para obtener una lista de las plantillas de postura, consulta Plantillas de postura predefinidas.
Conjuntos de políticas
Un conjunto de requisitos de seguridad y controles asociados en Google Cloud. Por lo general, un conjunto de políticas consta de todas las políticas que te permiten cumplir con los requisitos de un estándar de seguridad o una reglamentación de cumplimiento en particular.
Política
Es una restricción o limitación particular que controla o supervisa el comportamiento de los recursos en Google Cloud. Las políticas pueden ser preventivas (por ejemplo, restricciones de políticas de la organización) o de detección (por ejemplo, detectores de Security Health Analytics). Las políticas admitidas son las siguientes:
Restricciones de las políticas de la organización, incluidas las restricciones personalizadas
Detectores de Security Health Analytics, incluidos los módulos personalizados
Implementación de la postura
Después de crear una postura, la implementas para poder aplicarla a la organización, las carpetas o los proyectos que deseas administrar con ella.
En el siguiente diagrama, se muestran los componentes de una postura de seguridad de ejemplo.
Plantillas de postura predefinidas
El servicio de postura de seguridad incluye plantillas de postura predefinidas que satisfacen un estándar de cumplimiento o uno recomendado por Google, como las recomendaciones del plano de bases empresariales. Puedes usar estas plantillas para crear estrategias de seguridad que se apliquen a tu empresa. En la siguiente tabla, se describen las plantillas de postura.
| Plantilla de postura | Nombre de la plantilla | Descripción |
|---|---|---|
| Seguridad predeterminada, elementos básicos | secure_by_default_essential |
Esta plantilla implementa las políticas que ayudan a evitar los errores de configuración y los problemas de seguridad habituales causados por la configuración predeterminada. Puedes implementar esta plantilla sin realizarle ningún cambio. |
| Seguridad ante todo, ampliada | secure_by_default_extended |
Esta plantilla implementa las políticas que ayudan a evitar errores de configuración y problemas de seguridad comunes causados por la configuración predeterminada. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
| Recomendaciones de IA seguras, conceptos básicos | secure_ai_essential |
Esta plantilla implementa políticas que te ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Puedes implementar esta plantilla sin realizarle ningún cambio. |
| Recomendaciones de IA seguras, extendidas | secure_ai_extended |
Esta plantilla implementa políticas que te ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
| Recomendaciones de BigQuery: aspectos básicos | big_query_essential |
Esta plantilla implementa políticas que te ayudan a proteger BigQuery. Puedes implementar esta plantilla sin realizarle ningún cambio. |
| Recomendaciones y aspectos básicos de Cloud Storage | cloud_storage_essential |
Esta plantilla implementa políticas que te ayudan a proteger Cloud Storage. Puedes implementar esta plantilla sin realizarle ningún cambio. |
| Recomendaciones de Cloud Storage, extendidas | cloud_storage_extended |
Esta plantilla implementa políticas que te ayudan a proteger Cloud Storage. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
| Recomendaciones y conceptos básicos de VPC | vpc_networking_essential |
Esta plantilla implementa políticas que te ayudan a proteger la nube privada virtual (VPC). Puedes implementar esta plantilla sin realizarle ningún cambio. |
| Recomendaciones de VPC extendidas | vpc_networking_extended |
Esta plantilla implementa políticas que te ayudan a proteger la VPC. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
| Recomendaciones de la comparativa de Center for Internet Security (CIS) para Google Cloud Computing Platform v2.0.0 | cis_2_0 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu entorno Google Cloud no se alinea con la comparativa de la plataforma de computación de Google Cloud de CIS v2.0.0. Puedes implementar esta plantilla sin realizarle ningún cambio. |
| Recomendaciones estándar de NIST SP 800-53 | nist_800_53 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no se alinea con el estándar SP 800-53 del Instituto Nacional de Estándares y Tecnología (NIST). Puedes implementar esta plantilla sin realizarle ningún cambio. |
| Recomendaciones de la norma ISO 27001 | iso_27001 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no se alinea con el estándar de la Organización Internacional de Normalización (ISO) 27001. Puedes implementar esta plantilla sin realizarle ningún cambio. |
| Recomendaciones estándar de las PCI DSS | pci_dss_v_3_2_1 |
Esta plantilla implementa políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no se alinea con las versiones 3.2.1 y 1.0 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Puedes implementar esta plantilla sin realizarle ningún cambio. |
Implementación de la postura y supervisión del desvío
Para aplicar una postura con todas sus políticas en un recurso Google Cloud , debes implementar la postura. Puedes especificar a qué nivel de la jerarquía de recursos (organización, carpeta o proyecto) se aplica la postura. Solo puedes implementar una postura en cada organización, carpeta o proyecto.
Las posturas se heredan en las carpetas y los proyectos secundarios. Por lo tanto, si implementas verificaciones de seguridad a nivel de la organización y del proyecto, todas las políticas de ambas verificaciones se aplicarán a los recursos del proyecto. Si hay diferencias en las definiciones de políticas (por ejemplo, una política se establece en Permitir a nivel de la organización y en Denegar a nivel del proyecto), los recursos de ese proyecto utilizan la postura de nivel inferior.
Como práctica recomendada, te sugerimos que implementes una postura a nivel de la organización que incluya políticas que se puedan aplicar a toda tu empresa. Luego, puedes aplicar políticas más estrictas a las carpetas o los proyectos que las requieran. Por ejemplo, si usas el blueprint de bases empresariales para configurar tu infraestructura, creas ciertos proyectos (por ejemplo, prj-c-kms) que se crean específicamente para contener las claves de encriptación de todos los proyectos de una carpeta. Puedes usar una postura de seguridad para establecer la restricción de la política de organización constraints/gcp.restrictCmekCryptoKeyProjects en la carpeta common y en las carpetas de entorno (development, nonproduction y production) de modo que todos los proyectos solo usen claves de los proyectos de claves.
Después de implementar tu postura, puedes supervisar tu entorno para detectar cualquier desviación de la postura definida. Security Command Center informa las instancias de desviación como resultados que puedes revisar, filtrar y resolver. Además, puedes exportar estos resultados de la misma manera que exportas cualquier otro resultado de Security Command Center. Para obtener más información, consulta Exporta datos de Security Command Center.
Integración con Vertex AI y Gemini
Puedes usar las posturas de seguridad para mantener la seguridad de tus cargas de trabajo de IA. El servicio de postura de seguridad incluye lo siguiente:
Plantillas de postura predefinidas que son específicas para las cargas de trabajo de IA.
Un panel en la página Descripción general que te permite supervisar las vulnerabilidades que encontraron los módulos personalizados de Security Health Analytics que se aplican a la IA y ver cualquier desviación de las políticas de la organización de Vertex AI que se definen en una postura.
Integración con AWS
Si conectas Security Command Center Enterprise a AWS para la recopilación de datos de configuración y recursos, el servicio de Security Health Analytics incluye detectores integrados que pueden supervisar tu entorno de AWS y crear hallazgos.
Cuando creas o modificas un archivo de postura, puedes incluir detectores de Security Health Analytics específicos para AWS. Debes implementar este archivo de postura a nivel de la organización.
Límites del servicio
El servicio de postura de seguridad incluye los siguientes límites:
- Se pueden definir hasta 100 posturas en una organización.
- Se puede incluir un máximo de 400 políticas en una postura.
- Un máximo de 1,000 implementaciones de postura en una organización.