Una postura di sicurezza ti consente di definire e gestire lo stato di sicurezza delle tue risorse cloud, inclusi la rete cloud e i servizi cloud. Puoi utilizzare una postura di sicurezza per valutare la sicurezza del cloud attuale rispetto a benchmark definiti, il che ti aiuta a mantenere il livello di sicurezza richiesto dalla tua organizzazione. Una postura di sicurezza ti aiuta a rilevare e mitigare eventuali deviazioni dal benchmark definito. Definendo e mantenendo una postura di sicurezza che corrisponda alle esigenze di sicurezza della tua attività, puoi ridurre i rischi di cybersecurity per la tua organizzazione e contribuire a prevenire gli attacchi.
In Google Cloud, puoi utilizzare il servizio di postura di sicurezza in Security Command Center per definire e implementare una postura di sicurezza, monitorare lo stato di sicurezza delle tue risorse Google Cloud e risolvere eventuali deviazioni (o modifiche non autorizzate) dalla postura definita.
Vantaggi e applicazioni
Il servizio di postura di sicurezza è un servizio integrato per Security Command Center che ti consente di definire, valutare e monitorare lo stato generale della sicurezza in Google Cloud. Il servizio di postura di sicurezza è disponibile solo se acquisti un abbonamento al livello Premium o Enterprise di Security Command Center e attivi Security Command Center a livello di organizzazione.
Puoi utilizzare il servizio di postura di sicurezza per raggiungere i seguenti obiettivi:
Assicurati che i tuoi carichi di lavoro siano conformi agli standard di sicurezza, ai regolamenti di conformità e ai requisiti di sicurezza personalizzati della tua organizzazione.
Applica i controlli di sicurezza a progetti, cartelle o organizzazioni prima di eseguire il deployment di qualsiasi workload. Google Cloud
Monitora e risolvi continuamente qualsiasi deviazione dai controlli di sicurezza definiti.
Il servizio di postura di sicurezza viene attivato automaticamente quando attivi Security Command Center a livello di organizzazione.
Componenti di servizio
Il servizio di postura di sicurezza include i seguenti componenti:
Postura
Uno o più insiemi di criteri che applicano i controlli preventivi e rilevamento richiesti dalla tua organizzazione per soddisfare il proprio standard di sicurezza. Puoi eseguire il deployment delle posture a livello di organizzazione, cartella o progetto. Per un elenco dei modelli di postura, consulta Modelli di postura predefiniti.
Set di policy
Un insieme di requisiti di sicurezza e controlli associati in Google Cloud. In genere, un insieme di criteri è costituito da tutti i criteri che ti consentono di soddisfare i requisiti di un particolare standard di sicurezza o di una normativa di conformità.
Norme
Un vincolo o una limitazione particolare che controlla o monitora il comportamento delle risorse in Google Cloud. I criteri possono essere preventivi (ad esempio, vincoli dei criteri dell'organizzazione) o di rilevamento (ad esempio, i rilevatori di Security Health Analytics). Le norme supportate sono le seguenti:
Vincoli dei criteri dell'organizzazione, inclusi i vincoli personalizzati
Rilevatori di Security Health Analytics, inclusi i moduli personalizzati
Deployment della postura
Dopo aver creato una postura, la implementi in modo da poterla applicare all'organizzazione, alle cartelle o ai progetti che vuoi gestire utilizzando la postura.
Il seguente diagramma mostra i componenti di un esempio di postura di sicurezza.
Modelli di posture predefiniti
Il servizio di configurazione di sicurezza include modelli di configurazione di sicurezza predefiniti che rispettano uno standard di conformità o uno standard consigliato da Google, come i consigli del blueprint delle fondamenta dell'impresa. Puoi utilizzare questi modelli per creare posture di sicurezza che si applicano alla tua attività. La tabella seguente descrive i modelli di postura.
| Modello di postura | Nome modello | Descrizione |
|---|---|---|
| Sicurezza per impostazione predefinita, elementi essenziali | secure_by_default_essential |
Questo modello implementa le norme che aiutano a prevenire errori di configurazione e problemi di sicurezza comuni causati dalle impostazioni predefinite. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Sicuro di default, esteso | secure_by_default_extended |
Questo modello implementa le norme che aiutano a prevenire errori di configurazione comuni e problemi di sicurezza comuni causati dalle impostazioni predefinite. Prima di eseguire il deployment di questo modello, devi personalizzarlo in modo che corrisponda al tuo ambiente. |
| Consigli sicuri dell'AI, elementi essenziali | secure_ai_essential |
Questo modello implementa criteri che ti aiutano a proteggere i carichi di lavoro Gemini e Vertex AI. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli dell'AI sicuri, estesi | secure_ai_extended |
Questo modello implementa criteri che ti aiutano a proteggere i carichi di lavoro Gemini e Vertex AI. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Suggerimenti e nozioni di base di BigQuery | big_query_essential |
Questo modello implementa criteri che ti aiutano a proteggere BigQuery. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli ed elementi essenziali per Cloud Storage | cloud_storage_essential |
Questo modello implementa criteri che ti aiutano a proteggere Cloud Storage. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli su Cloud Storage, estesi | cloud_storage_extended |
Questo modello implementa criteri che ti aiutano a proteggere Cloud Storage. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| VPC recommendations, essentials | vpc_networking_essential |
Questo modello implementa criteri che ti aiutano a proteggere Virtual Private Cloud (VPC). Puoi eseguire il deployment di questo modello senza apportare alcuna modifica. |
| Consigli per il VPC, estesi | vpc_networking_extended |
Questo modello implementa criteri che ti aiutano a proteggere il VPC. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0 recommendations | cis_2_0 |
Questo modello implementa criteri che ti aiutano a rilevare quando il tuo Google Cloud ambiente non è in linea con il benchmark CIS Google Cloud Computing Platform v2.0.0. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| NIST SP 800-53 standard recommendations | nist_800_53 |
Questo modello implementa criteri che ti aiutano a rilevare quando il tuo ambiente Google Cloud non è in linea con lo standard NIST SP 800-53 del National Institute of Standards and Technology (NIST). Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli standard ISO 27001 | iso_27001 |
Questo modello implementa criteri che ti aiutano a rilevare quando il tuo ambiente Google Cloud non è in linea con lo standard ISO (International Organization for Standards) 27001. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Consigli standard PCI DSS | pci_dss_v_3_2_1 |
Questo modello implementa criteri che ti aiutano a rilevare quando il tuo ambiente Google Cloud non è conforme alla versione 3.2.1 e alla versione 1.0 dello standard PCI DSS (Payment Card Industry Data Security Standard). Puoi eseguire il deployment di questo modello senza apportare modifiche. |
Deployment della postura e monitoraggio della deriva
Per applicare una postura con tutte le relative policy a una risorsa Google Cloud , devi implementare la postura. Puoi specificare a quale livello della gerarchia delle risorse (organizzazione, cartella o progetto) si applica la postura. Puoi eseguire il deployment di una sola postura per ogni organizzazione, cartella o progetto.
Le posture vengono ereditate dalle cartelle e dai progetti secondari. Pertanto, se implementi posture a livello di organizzazione e di progetto, tutti i criteri all'interno di entrambe le posture si applicano alle risorse del progetto. Se ci sono differenze nelle definizioni dei criteri (ad esempio, un criterio è impostato su Consenti a livello di organizzazione e su Nega a livello di progetto), viene utilizzata la postura di livello inferiore dalle risorse del progetto.
Come best practice, ti consigliamo di implementare una postura a livello di organizzazione che includa criteri applicabili all'intera attività. Puoi
poi applicare criteri più rigorosi alle cartelle o ai progetti che li richiedono. Ad esempio, se utilizzi il blueprint delle fondamenta aziendali per configurare l'infrastruttura, crei determinati progetti (ad esempio prj-c-kms) creati appositamente per contenere le chiavi di crittografia per tutti i progetti in una cartella. Puoi utilizzare una postura di sicurezza per impostare il
vincolo dei criteri dell'organizzazione constraints/gcp.restrictCmekCryptoKeyProjects
nelle cartelle common e dell'ambiente
(development, nonproduction e production) in modo che tutti i progetti utilizzino solo
le chiavi dei progetti di chiavi.
Dopo aver eseguito il deployment della postura, puoi monitorare l'ambiente per rilevare eventuali deviazioni dalla postura definita. Security Command Center segnala le istanze di drift come risultati che puoi esaminare, filtrare e risolvere. Inoltre, puoi esportare questi risultati nello stesso modo in cui esporti qualsiasi altro risultato da Security Command Center. Per ulteriori informazioni, vedi Esportazione dei dati di Security Command Center.
Integrazione con Vertex AI e Gemini
Puoi utilizzare le security posture per mantenere la sicurezza dei tuoi workload di AI. Il servizio di postura di sicurezza include quanto segue:
Modelli di postura predefiniti specifici per i carichi di lavoro dell'AI.
Un riquadro nella pagina Panoramica che ti consente di monitorare le vulnerabilità rilevate dai moduli personalizzati di Security Health Analytics che si applicano all'AI e di visualizzare eventuali deviazioni dalle norme dell'organizzazione Vertex AI definite in una postura.
Integrazione con AWS
Se colleghi Security Command Center Enterprise ad AWS per la raccolta di dati di configurazione e risorse, il servizio Security Health Analytics include rilevatori integrati che possono monitorare il tuo ambiente AWS e creare risultati.
Quando crei o modifichi un file di postura, puoi includere i rilevatori di Security Health Analytics specifici per AWS. Devi eseguire il deployment di questo file di postura a livello di organizzazione.
Limiti di servizio
Il servizio di postura di sicurezza include i seguenti limiti:
- Un massimo di 100 posture in un'organizzazione.
- Un massimo di 400 criteri in una postura.
- Un massimo di 1000 distribuzioni di posture in un'organizzazione.