Com ela, é possível definir e gerenciar o nível de segurança dos seus recursos na nuvem, como a sua rede e os seus serviços. Você pode usar uma postura de segurança para avaliar sua segurança em nuvem atual em comparação com benchmarks definidos, o que ajuda a manter o nível de segurança que sua organização exige. Uma postura de segurança permite identificar e corrigir qualquer problema de segurança em relação aos seus padrões definidos. Ao definir e manter uma postura de segurança que corresponda às necessidades de segurança da sua empresa, você pode reduzir os riscos de segurança cibernética para sua organização e ajudar a evitar ataques.
No Google Cloud, é possível usar o serviço de postura de segurança no Security Command Center para definir e implantar uma postura de segurança, monitorar o status de segurança dos seus recursos do Google Cloud e resolver qualquer desvio (ou mudança não autorizada) da postura definida.
Benefícios e aplicações
O serviço de postura de segurança é um serviço integrado do Security Command Center que permite definir, avaliar e monitorar o status geral da segurança no Google Cloud. O serviço de postura de segurança só fica disponível se você comprar uma assinatura do nível Premium ou Enterprise do Security Command Center e ativar o Security Command Center no nível da organização.
É possível usar o serviço de postura de segurança para alcançar as seguintes metas:
Verifique se as cargas de trabalho estão em conformidade com os padrões de segurança, as regulamentações de compliance e os requisitos de segurança personalizados da sua organização.
Aplique seus controles de segurança a projetos, pastas ou organizações Google Cloud antes de implantar qualquer carga de trabalho.
Monitore e resolva continuamente qualquer desvio dos controles de segurança definidos.
O serviço de postura de segurança é ativado automaticamente quando você ativa o Security Command Center no nível da organização.
Componentes de serviço
O serviço de postura de segurança inclui os seguintes componentes:
Postura
Um ou mais conjuntos de políticas que aplicam os controles preventivos e de detecção necessários para que sua organização atenda ao padrão de segurança. É possível implantar posturas no nível da organização, da pasta ou do projeto. Para ver uma lista de modelos de postura, consulte Modelos de postura predefinidos.
Conjuntos de políticas
Um conjunto de requisitos de segurança e controles associados em Google Cloud. Normalmente, um conjunto de políticas consiste em todas as políticas que permitem atender aos requisitos de um determinado padrão de segurança ou regulamentação de compliance.
Política
Uma restrição ou limitação específica que controla ou monitora o comportamento dos recursos em Google Cloud. As políticas podem ser preventivas (por exemplo, restrições de políticas da organização) ou de detecção (por exemplo, detectores da Análise de integridade da segurança). As políticas compatíveis são as seguintes:
Restrições da política da organização, incluindo restrições personalizadas
Detectores do Security Health Analytics, incluindo módulos personalizados
Implantação de postura
Depois de criar uma postura, implante-a para que você possa aplicá-la à organização, às pastas ou aos projetos que quer gerenciar usando a postura.
O diagrama a seguir mostra os componentes de um exemplo de postura de segurança.
Modelos de postura predefinidos
O serviço de postura de segurança inclui modelos de postura predefinidos que seguem um padrão de compliance ou um padrão recomendado pelo Google, como as recomendações do blueprint de bases empresariais. Você pode usar esses modelos para criar posturas de segurança que se aplicam à sua empresa. A tabela a seguir descreve os modelos de postura.
| Modelo de postura | Nome do modelo | Descrição |
|---|---|---|
| Segurança por padrão, recursos essenciais | secure_by_default_essential |
Esse modelo implementa as políticas que ajudam a evitar erros de configuração e problemas de segurança comuns causados por configurações padrão. É possível implantar esse modelo sem fazer mudanças nele. |
| Segurança por padrão, estendida | secure_by_default_extended |
Esse modelo implementa as políticas que ajudam a evitar erros de configuração e problemas de segurança comuns causados por configurações padrão. Antes de implantar esse modelo, personalize-o para corresponder ao seu ambiente. |
| Recomendações de IA seguras, fundamentos | secure_ai_essential |
Esse modelo implementa políticas que ajudam a proteger as cargas de trabalho do Gemini e da Vertex AI. É possível implantar esse modelo sem fazer mudanças nele. |
| Recomendações de IA seguras, estendidas | secure_ai_extended |
Esse modelo implementa políticas que ajudam a proteger as cargas de trabalho do Gemini e da Vertex AI. Antes de implantar esse modelo, você precisa personalizá-lo para corresponder ao seu ambiente. |
| Recomendações e conceitos básicos do BigQuery | big_query_essential |
Esse modelo implementa políticas que ajudam a proteger o BigQuery. É possível implantar esse modelo sem fazer mudanças nele. |
| Recomendações e conceitos básicos do Cloud Storage | cloud_storage_essential |
Este modelo implementa políticas que ajudam a proteger o Cloud Storage. É possível implantar esse modelo sem fazer mudanças nele. |
| Recomendações do Cloud Storage, estendidas | cloud_storage_extended |
Este modelo implementa políticas que ajudam a proteger o Cloud Storage. Antes de implantar esse modelo, personalize-o para corresponder ao seu ambiente. |
| Recomendações e conceitos básicos da VPC | vpc_networking_essential |
Esse modelo implementa políticas que ajudam a proteger a nuvem privada virtual (VPC). É possível implantar esse modelo sem fazer mudanças nele. |
| Recomendações de VPC, estendidas | vpc_networking_extended |
Esse modelo implementa políticas que ajudam a proteger a VPC. Antes de implantar esse modelo, personalize-o para corresponder ao seu ambiente. |
| Recomendações do comparativo de mercado v2.0.0 do Center for Internet Security (CIS) para o Google Cloud Computing Platform | cis_2_0 |
Esse modelo implementa políticas que ajudam a detectar quando seu ambiente Google Cloud não está alinhado ao comparativo de mercado do CIS Google Cloud Computing Platform v2.0.0. É possível implantar esse modelo sem fazer mudanças nele. |
| Recomendações padrão do NIST SP 800-53 | nist_800_53 |
Esse modelo implementa políticas que ajudam a detectar quando o ambiente Google Cloud não está alinhado ao padrão SP 800-53 do Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês). É possível implantar esse modelo sem fazer mudanças nele. |
| Recomendações padrão da ISO 27001 | iso_27001 |
Esse modelo implementa políticas que ajudam a detectar quando seu ambiente Google Cloud não está alinhado ao padrão 27001 da Organização Internacional de Normalização (ISO). É possível implantar esse modelo sem fazer mudanças nele. |
| Recomendações padrão do PCI DSS | pci_dss_v_3_2_1 |
Esse modelo implementa políticas que ajudam a detectar quando seu ambiente Google Cloud não está alinhado com o padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) versão 3.2.1 e versão 1.0. É possível implantar esse modelo sem fazer mudanças nele. |
Implantação de postura e monitoramento de desvios
Para aplicar uma postura com todas as políticas em um recurso Google Cloud , você implanta a postura. É possível especificar a qual nível da hierarquia de recursos (organização, pasta ou projeto) a postura se aplica. Só é possível implantar uma postura em cada organização, pasta ou projeto.
As posturas são herdadas por pastas e projetos filhos. Portanto, se você implantar posturas no nível da organização e do projeto, todas as políticas em ambas as posturas serão aplicadas aos recursos do projeto. Se houver diferenças nas definições de política (por exemplo, uma política definida como "Permitir" no nível da organização e "Negar" no nível do projeto), a postura de nível inferior será usada pelos recursos desse projeto.
Como prática recomendada, recomendamos implantar uma postura no nível da organização que inclua políticas aplicáveis a toda a empresa. Em seguida, é possível aplicar políticas mais rigorosas a pastas ou projetos que exigem isso. Por exemplo, se você usar o blueprint das bases de empresa para configurar sua infraestrutura, vai criar determinados projetos (por exemplo, prj-c-kms) que são criados especificamente para conter as chaves de criptografia de todos os projetos em uma pasta. É possível usar uma postura de segurança para definir a restrição de política da organização constraints/gcp.restrictCmekCryptoKeyProjects na pasta common e nas pastas de ambiente (development, nonproduction e production) para que todos os projetos usem apenas chaves dos projetos de chave.
Depois de implantar sua postura, é possível monitorar o ambiente para detectar qualquer desvio da postura definida. O Security Command Center informa instâncias de desvio como descobertas que podem ser revisadas, filtradas e resolvidas. Além disso, é possível exportar essas descobertas da mesma forma que você exporta qualquer outra descoberta do Security Command Center. Para mais informações, consulte Como exportar dados do Security Command Center.
Integração com a Vertex AI e o Gemini
É possível usar posturas de segurança para manter a segurança das suas cargas de trabalho de IA. O serviço de postura de segurança inclui o seguinte:
Modelos de postura predefinidos específicos para cargas de trabalho de IA.
Um painel na página Visão geral que permite monitorar vulnerabilidades encontradas pelos módulos personalizados do Security Health Analytics aplicados à IA e visualizar qualquer desvio das políticas da organização da Vertex AI definidas em uma postura.
Integração com AWS
Se você conectar o Security Command Center Enterprise à AWS para coleta de dados de configuração e recursos, o serviço Security Health Analytics vai incluir detectores integrados que podem monitorar seu ambiente da AWS e criar descobertas.
Ao criar ou modificar um arquivo de postura, é possível incluir detectores do Security Health Analytics específicos da AWS. Você precisa implantar esse arquivo de postura no nível da organização.
Limites do serviço
O serviço de postura de segurança inclui os seguintes limites:
- No máximo 100 posturas em uma organização.
- Um máximo de 400 políticas em uma postura.
- No máximo 1.000 implantações de postura em uma organização.