安全状况可用于定义和管理云资产(包括云网络和云服务)的安全状态。通过使用安全状况,您可以根据既定的基准来评估当前的云安全性,从而帮助您维持组织所需要的安全级别。安全状况的引入可帮助您检测并减少与既定基准之间的任何偏差。通过定义和维护与贵商家的安全需求相符的安全状况,您可以降低组织的网络安全风险,并帮助防范攻击。
在 Google Cloud 中,您可以使用 Security Command Center 中的安全状况服务来定义和部署安全状况、监控 Google Cloud 资源的安全状态,以及解决与您定义的安全状况存在偏差(或未经授权的更改)的任何问题。
Security Posture 服务概览
安全状况服务是 Security Command Center 的一项内置服务,可让您定义、评估和监控 Google Cloud 中的整体安全状态。只有当您购买 Security Command Center 高级层级或企业层级的订阅,并在组织级层激活 Security Command Center 时,才能使用安全状况服务。
您可以使用安全状况服务实现以下目标:
确保您的工作负载符合安全标准、合规性法规以及贵组织的自定义安全要求。
在部署任何工作负载之前,请先将安全控制措施应用于 Google Cloud 项目、文件夹或组织。
持续监控与您定义的安全控制措施之间的任何偏差,并加以解决。
当您在组织级层激活 Security Command Center 时,系统会自动启用安全状况服务。
安全状况服务组件
安全状况服务包括以下组件:
状况:一组或多组政策,用于强制执行贵组织为满足其安全标准而要求的预防性和检测性控制措施。您可以在组织级、文件夹级或项目级部署状态。如需查看体位模板列表,请参阅预定义的体位模板。
政策集:Google Cloud 中一系列安全要求和相关控制措施。通常,政策集由可让您满足特定安全标准或合规性法规要求的所有政策组成。
政策:用于控制或监控 Google Cloud 中资源行为的特定限制条件。政策可以是预防性(例如组织政策限制条件)或检测性(例如 Security Health Analytics 检测器)。支持的政策如下:
状态部署:创建状态后,您需要部署该状态,以便将其应用于您希望使用该状态进行管理的组织、文件夹或项目。
下图展示了一个示例安全状况的组成部分。
预定义的安全状况模板
安全状况服务包含遵守合规标准或 Google 建议标准(例如 企业基础蓝图建议)的预定义安全状况模板。您可以使用这些模板创建适用于您业务的安全状态。下表介绍了姿势模板。
| 安全状况模板 | 模板名称 | 说明 |
|---|---|---|
| 默认安全,必备功能 | secure_by_default_essential |
此模板会实现一些政策,这些政策有助于防止由默认设置导致的常见错误配置和常见安全问题。 您无需对此模板进行任何更改即可部署它。 |
| 默认安全,已扩展 | secure_by_default_extended |
此模板会实现一些政策,这些政策有助于防止由默认设置导致的常见错误配置和常见安全问题。在部署此模板之前,您必须对其进行自定义,使其与您的环境相匹配。 |
| 安全 AI 建议:必备知识 | secure_ai_essential |
此模板会实现有助于保护 Gemini 和 Vertex AI 工作负载的政策。您无需对此模板进行任何更改即可部署它。 |
| 安全 AI 建议,功能扩展 | secure_ai_extended |
此模板会实现有助于保护 Gemini 和 Vertex AI 工作负载的政策。在部署此模板之前,您必须对其进行自定义,使其与您的环境相匹配。 |
| BigQuery 建议 - 必备知识 | big_query_essential |
此模板会实现有助于保护 BigQuery 的政策。您无需对此模板进行任何更改即可部署它。 |
| Cloud Storage 建议、必备知识 | cloud_storage_essential |
此模板会实现有助于保护 Cloud Storage 的政策。 您无需对此模板进行任何更改即可部署它。 |
| Cloud Storage 建议(已扩展) | cloud_storage_extended |
此模板会实现有助于保护 Cloud Storage 的政策。 在部署此模板之前,您必须对其进行自定义,使其与您的环境相匹配。 |
| VPC 建议、必备知识 | vpc_networking_essential |
此模板会实现有助于您保护虚拟私有云 (VPC) 的政策。您无需对此模板进行任何更改即可部署它。 |
| VPC 建议(已扩展) | vpc_networking_extended |
此模板会实现有助于您保护 VPC 的政策。在部署此模板之前,您必须对其进行自定义,使其与您的环境相匹配。 |
| Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0 建议 | cis_2_0 |
此模板会实现一些政策,可帮助您检测 Google Cloud 环境是否符合 CIS Google Cloud Computing Platform Benchmark v2.0.0 的要求。您无需对此模板进行任何更改即可部署它。 |
| NIST SP 800-53 标准建议 | nist_800_53 |
此模板会实现一些政策,可帮助您检测 Google Cloud 环境是否符合美国国家标准与技术研究所 (NIST) SP 800-53 标准。您无需对此模板进行任何更改即可部署它。 |
| ISO 27001 标准建议 | iso_27001 |
此模板会实现一些政策,可帮助您检测 Google Cloud 环境是否符合国际标准化组织 (ISO) 27001 标准。您无需对此模板进行任何更改即可部署它。 |
| PCI DSS 标准建议 | pci_dss_v_3_2_1 |
此模板会实现一些政策,可帮助您检测 Google Cloud 环境是否符合支付卡行业数据安全标准 (PCI DSS) 版本 3.2.1 和版本 1.0。您可以部署此模板,而无需对其进行任何更改。 |
部署状态和监控偏移
如需在 Google Cloud 资源上强制执行某种状态及其所有政策,您需要部署该状态。您可以指定该状态信号适用于资源层次结构的哪个级别(组织、文件夹或项目)。您只能向每个组织、文件夹或项目部署一个状态。
子文件夹和项目会继承状态。因此,如果您在组织级和项目级部署了状态,则这两种状态中的所有政策都适用于项目中的资源。如果政策定义存在任何差异(例如,在组织级将政策设置为“允许”,而在项目级将其设置为“拒绝”),则该项目中的资源将使用较低级别的状态。
最佳实践是,在组织一级部署状态,其中包含可应用于整个企业的政策。然后,您可以对需要更严格政策的文件夹或项目应用更严格的政策。例如,如果您使用企业基础架构蓝图设置基础架构,则可以创建特定项目(例如 prj-c-kms),这些项目专门用于包含文件夹中所有项目的加密密钥。您可以使用安全状况在 common 文件夹和环境文件夹 (development、nonproduction 和 production) 上设置 constraints/gcp.restrictCmekCryptoKeyProjects 组织政策约束条件,以便所有项目仅使用关键项目中的密钥。
部署态势后,您可以监控环境,确保其不会偏离您定义的态势。Security Command Center 会将偏移实例报告为发现结果,您可以查看、过滤和解决这些发现结果。此外,您可以按照从 Security Command Center 导出任何其他发现结果的方式导出这些发现结果。如需了解详情,请参阅集成选项和导出 Security Command Center 数据。
将 Vertex AI 和 Gemini 与安全状况信息搭配使用
您可以使用安全状态来帮助维护 AI 工作负载的安全性。安全状况服务包括:
专门针对 AI 工作负载的预定义状态模板。
“概览”页面上的窗格,可让您监控 Security Health Analytics 自定义模块(适用于 AI)发现的漏洞,并查看与状态中定义的 Vertex AI 组织政策存在偏差的情况。
将安全状况服务与 AWS 搭配使用
如果您将 Security Command Center Enterprise 与 AWS 连接以进行漏洞检测,Security Health Analytics 服务将包含内置检测器,可监控您的 AWS 环境并生成发现结果。
创建或修改态势文件时,您可以添加特定于 AWS 的 Security Health Analytics 检测器。您必须在组织级部署此状态文件。
安全状况服务限制
安全状况服务存在以下限制:
- 一个组织中最多可以有 100 种姿势。
- 一个状态最多包含 400 项政策。
- 一个组织中最多可以部署 1,000 个状态。