Uma postura de segurança permite definir e gerenciar o status de segurança dos seus recursos em nuvem, incluindo a rede e os serviços em nuvem. É possível usar um modelo de segurança para avaliar sua segurança na nuvem atual em relação a comparativos de mercado definidos, o que ajuda a manter o nível de segurança que sua organização exige. Uma postura de segurança ajuda a detectar e mitigar qualquer desvio da comparativo de mercado. Ao definir e manter uma postura de segurança que corresponda às necessidades de segurança da sua empresa, você pode reduzir os riscos de segurança cibernética para sua organização e ajudar a evitar ataques.
No Google Cloud, é possível usar o serviço de postura de segurança em o Security Command Center para definir e implantar uma postura de segurança, monitorar a o status dos seus recursos do Google Cloud e resolverá qualquer desvio mudança não autorizada) de sua postura definida.
Visão geral do serviço de postura de segurança
O serviço de postura de segurança é um serviço integrado para o Security Command Center que permite definir, avaliar e monitorar o status geral dos sua segurança no Google Cloud. O serviço de postura de segurança só está disponível se você comprar uma assinatura do Security Command Center nível Premium ou Enterprise e ative o Security Command Center no no nível da organização.
O serviço de postura de segurança pode ser usado para alcançar metas:
Garanta que suas cargas de trabalho estejam em conformidade com os padrões de segurança, e os requisitos de segurança personalizados da organização.
Aplique seus controles de segurança a projetos, pastas ou organizações do Google Cloud antes de implantar cargas de trabalho.
Monitore e resolva continuamente qualquer desvio da segurança definida controles de segurança.
O serviço de postura de segurança é ativado automaticamente quando você ativar o Security Command Center no nível da organização.
Componentes do serviço de postura de segurança
O serviço de postura de segurança inclui os seguintes componentes:
Postura: um ou mais conjuntos de políticas que aplicam os controles preventivos e detectivos necessários para que sua organização atenda ao padrão de segurança. É possível implantar posturas no nível da organização, da pasta ou para envolvidos no projeto. Para conferir uma lista de modelos de postura, consulte Modelos de postura predefinidos.
Conjuntos de políticas: um conjunto de requisitos de segurança e controles associados no Google Cloud. Normalmente, um conjunto de políticas consiste em todas as políticas permitem que você atenda aos requisitos de um determinado padrão de segurança ou conformidade regulamentação.
Política: uma restrição específica que controla ou monitora o comportamento dos recursos no Google Cloud. As políticas podem ser preventivas Por exemplo, restrições da política da organização. ou detetives (por exemplo, detectores da Análise de integridade da segurança). As políticas com suporte são as seguintes:
Restrições das políticas da organização, incluindo restrições personalizadas
Detectores do Security Health Analytics, incluindo módulos personalizados
Implantação de postura: depois de criar uma postura, ela é implantada para que você possa aplicá-la à organização, às pastas ou aos projetos que você quer gerenciar.
O diagrama a seguir mostra os componentes de um exemplo de postura de segurança.
Modelos de postura predefinidos
O serviço de postura de segurança inclui postura modelos que aderem a um padrão de compliance ou a um padrão padrão, como o blueprint de bases empresariais recomendações. É possível usar esses modelos para criar posturas de segurança que que se aplicam ao seu negócio. A tabela a seguir descreve os modelos de postura.
| Modelo de postura | Nome do modelo | Descrição |
|---|---|---|
| Segurança por padrão e itens essenciais | secure_by_default_essential |
Este modelo implementa as políticas que ajudam a impedir configurações incorretas e problemas de segurança comuns causados por configurações padrão. É possível implantar esse modelo sem fazer alterações nele. |
| Segurança estendida por padrão | secure_by_default_extended |
Este modelo implementa as políticas que ajudam a impedir configurações incorretas e problemas de segurança comuns causados por padrão configurações. Antes de implantar este modelo, você precisa personalizá-lo para de acordo com seu ambiente. |
| Recomendações de IA seguras, requisitos básicos | secure_ai_essential |
Este modelo implementa políticas que ajudam a proteger o Gemini e cargas de trabalho da Vertex AI. É possível implantar esse modelo sem fazer alterações nele. |
| Recomendações de IA segura, estendidas | secure_ai_extended |
Este modelo implementa políticas que ajudam a proteger as cargas de trabalho da Gemini e da Vertex AI. Antes de implantar este modelo, é necessário personalizá-lo para que ele corresponda ao seu ambiente. |
| Noções básicas e recomendações do BigQuery | big_query_essential |
Este modelo implementa políticas que ajudam a proteger no BigQuery. É possível implantar esse modelo sem fazer alterações feitas nele. |
| Recomendações e informações essenciais do Cloud Storage | cloud_storage_essential |
Este modelo implementa políticas que ajudam a proteger o Cloud Storage. É possível implantar esse modelo sem fazer mudanças nele. |
| Recomendações do Cloud Storage estendidas | cloud_storage_extended |
Este modelo implementa políticas que ajudam a proteger o Cloud Storage. Antes de implantar esse modelo, é necessário personalizá-lo para que ele corresponda ao seu ambiente. |
| Recomendações e recursos essenciais da VPC | vpc_networking_essential |
Este modelo implementa políticas que ajudam a proteger nuvem privada virtual (VPC). É possível implantar esse modelo sem fazer mudanças nele. |
| Recomendações da VPC, estendidas | vpc_networking_extended |
Este modelo implementa políticas que ajudam a proteger VPC. Antes de implantar esse modelo, é necessário personalizá-lo para que ele corresponda ao seu ambiente. |
| Recomendações do comparativo de mercado v2.0.0 da plataforma de computação em nuvem do Google Cloud Computing para o Centro de Segurança da Internet (CIS, na sigla em inglês) | cis_2_0 |
Este modelo implementa políticas que ajudam a detectar quando seu O ambiente do Google Cloud não está alinhado à CIS do Google Cloud Comparativo de mercado da plataforma de computação v2.0.0. É possível implantar esse modelo sem fazer qualquer mudança. |
| Recomendações do padrão NIST SP 800-53 | nist_800_53 |
Esse modelo implementa políticas que ajudam a detectar quando o ambiente do Google Cloud não está alinhado com o padrão SP 800-53 do Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês). É possível implantar esse modelo sem fazer mudanças nele. |
| Recomendações do padrão ISO 27001 | iso_27001 |
Esse modelo implementa políticas que ajudam a detectar quando o ambiente do Google Cloud não está alinhado com a norma ISO 27001 da Organização Internacional de Normalização (ISO, na sigla em inglês). É possível implantar esse modelo sem fazer mudanças nele. |
| Recomendações do padrão PCI DSS | pci_dss_v_3_2_1 |
Esse modelo implementa políticas que ajudam a detectar quando o ambiente do Google Cloud não está alinhado com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS, na sigla em inglês) versão 3.2.1 e 1.0. Você pode implantar esse modelo sem fazer alterações nele. |
Implantar posturas e monitorar desvios
Para aplicar uma postura com todas as políticas dela em um recurso do Google Cloud, implantar a postura. É possível especificar qual nível da hierarquia de recursos (organização, pasta ou projeto) a que a postura se aplica. Só é possível implantar uma postura em cada organização, pasta ou projeto.
As posturas são herdadas pelas pastas e projetos filhos. Portanto, se você implantar posturas no nível da organização e do projeto, todas as políticas em ambas as posturas serão aplicadas aos recursos do projeto. Se houver diferenças nas definições de políticas (por exemplo, uma política definida como "Permitir" no nível da organização e como "Negar" no nível do projeto), a postura de nível inferior será usada pelos recursos nesse projeto.
Como prática recomendada, sugerimos que você implante uma postura na organização
que inclua políticas que podem ser aplicadas a toda a empresa. Depois, é possível
aplicar políticas mais rígidas a pastas ou projetos que as exigem. Por
exemplo, se você usar o blueprint das bases de segurança empresarial para configurar sua
infraestrutura, criará determinados projetos (por exemplo, prj-c-kms) que são
criados especificamente para conter as chaves de criptografia de todos os projetos em uma
pasta. É possível usar uma postura de segurança para definir a
restrição de política da organização constraints/gcp.restrictCmekCryptoKeyProjects
na pasta common e nas pastas de ambiente
(development, nonproduction e production) para que todos os projetos usem apenas
chaves dos projetos principais.
Depois de implantar sua postura, é possível monitorar o ambiente em busca de desvios da sua postura definida. O Security Command Center informa as instâncias de desvio como descobertas que podem ser analisadas, filtradas e resolvidas. Além disso, é possível exportar essas descobertas da mesma forma que você exporta outras descobertas do Security Command Center. Para mais informações, consulte Opções de integração. e Como exportar dados do Security Command Center.
Use posturas de segurança com a Vertex AI e o Gemini
É possível usar posturas de segurança para manter a segurança da sua IA do Google Cloud. O serviço de postura de segurança inclui o seguinte:
Modelos de postura predefinidos específicos da IA do Google Cloud.
Um painel na página Visão geral que permite monitorar vulnerabilidades encontradas pelos módulos personalizados do Security Health Analytics que se aplicam à IA e mostra qualquer desvio das políticas da organização da Vertex AI definidas em uma postura.
Usar o serviço de postura de segurança com a AWS
Se você conectar o Security Command Center Enterprise à AWS para detecção de vulnerabilidades, o serviço Análise de integridade da segurança inclui detectores integrados que podem monitorar os e criar descobertas.
Ao criar ou modificar um arquivo de postura, é possível incluir detectores do Security Health Analytics específicos da AWS. É necessário implantar esse arquivo de postura na organização nível
Limites de serviço de postura de segurança
O serviço de postura de segurança inclui os seguintes limites:
- Um máximo de 100 posturas em uma organização.
- Um máximo de 400 políticas em uma postura.
- No máximo 1.000 implantações de postura em uma organização.