借助安全状况,您可以定义和管理云资产(包括云网络和云服务)的安全状态。您可以使用安全状况,根据既定的基准来评估您当前的云安全性,从而帮助您维持组织所需要的安全级别。安全状况的引入可帮助您检测并减少与既定基准之间的任何偏差。通过定义和维护符合贵组织安全需求的安全状况,您可以降低组织面临的网络安全风险,并有助于防止发生攻击。
在 Google Cloud中,您可以使用 Security Command Center 中的安全状况服务来定义和部署安全状况,监控 Google Cloud 资源的安全状态,并解决与所定义状况之间的任何偏差(或未经授权的更改)。
优势和应用
安全状况服务是 Security Command Center 的内置服务,可让您在 Google Cloud中定义、评估和监控安全的总体状态。仅当您购买 Security Command Center 高级层级或 Enterprise 层级订阅并在组织级激活 Security Command Center 时,才能使用安全状况服务。
您可以使用安全状况服务来实现以下目标:
确保您的工作负载符合安全标准、合规性法规以及贵组织的自定义安全要求。
在部署任何工作负载之前,先将安全控制措施应用于 Google Cloud 项目、文件夹或组织。
持续监控并解决与定义的安全控制措施存在偏差的情况。
在组织级激活 Security Command Center 后,安全状况服务会自动启用。
服务组件
安全状况服务包含以下组件:
安全状况
一个或多个政策集,用于强制执行组织满足其安全标准所需的预防性和检测性控制措施。您可以在组织级、文件夹级或项目级部署状况。如需查看状况模板列表,请参阅预定义的状况模板。
政策集
Google Cloud中的一组安全要求和关联的控制措施。通常,政策集由可让您满足特定安全标准或合规法规要求的所有政策组成。
政策
用于控制或监控 Google Cloud中资源行为的特定限制条件或限制。政策可以是预防性政策(例如组织政策限制条件)或侦测性政策(例如 Security Health Analytics 检测器)。支持的政策如下:
安全状况部署
创建状况后,您需要部署状况,以便将状况应用于您要使用状况管理的组织、文件夹或项目。
下图显示了示例安全状况的组件。
预定义的状况模板
安全状况服务包含遵守合规标准或 Google 建议的标准(例如企业基础蓝图建议)的预定义状况模板。您可以使用这些模板创建适用于您业务的安全状况。下表介绍了状况模板。
| 状况模板 | 模板名称 | 说明 |
|---|---|---|
| 默认安全核心要素 | secure_by_default_essential |
此模板会实施有助于防止由默认设置导致的常见配置错误和常见安全问题的政策。 您可以部署此模板而不对其进行任何更改。 |
| 默认安全扩展 | secure_by_default_extended |
此模板会实施有助于防止由默认设置导致的常见配置错误和常见安全问题的政策。在部署此模板之前,您必须对其进行自定义以符合您的环境。 |
| 安全 AI 建议核心要素 | secure_ai_essential |
此模板会实施有助于保护 Gemini 和 Vertex AI 工作负载安全的政策。您可以部署此模板而不对其进行任何更改。 |
| 安全 AI 建议扩展 | secure_ai_extended |
此模板会实施有助于保护 Gemini 和 Vertex AI 工作负载安全的政策。在部署此模板之前,您必须对其进行自定义以符合您的环境。 |
| BigQuery 建议核心要素 | big_query_essential |
此模板会实施有助于保护 BigQuery 安全的政策。您可以部署此模板而不对其进行任何更改。 |
| Cloud Storage 建议核心要素 | cloud_storage_essential |
此模板会实施有助于保护 Cloud Storage 安全的政策。 您可以部署此模板而不对其进行任何更改。 |
| Cloud Storage 建议扩展 | cloud_storage_extended |
此模板会实施有助于保护 Cloud Storage 安全的政策。 在部署此模板之前,您必须对其进行自定义以符合您的环境。 |
| VPC 建议核心要素 | vpc_networking_essential |
此模板会实施有助于保护虚拟私有云 (VPC) 安全的政策。您可以部署此模板而不对其进行任何更改。 |
| VPC 建议扩展 | vpc_networking_extended |
此模板会实施有助于保护 VPC 安全的政策。在部署此模板之前,您必须对其进行自定义以符合您的环境。 |
| 互联网安全中心 (CIS) Google Cloud Computing Platform Benchmark v2.0.0 建议 | cis_2_0 |
此模板会实施一些政策,以帮助您检测 Google Cloud 环境是否符合 CIS Google Cloud Computing Platform Benchmark v2.0.0 标准。您可以部署此模板而不对其进行任何更改。 |
| NIST SP 800-53 标准建议 | nist_800_53 |
此模板会实施一些政策,以帮助您检测 Google Cloud 环境是否符合美国国家标准与技术研究院 (NIST) SP 800-53 标准。您可以部署此模板而不对其进行任何更改。 |
| ISO 27001 标准建议 | iso_27001 |
此模板会实施一些政策,以帮助您检测 Google Cloud 环境是否符合国际标准化组织 (ISO) 27001 标准。您可以部署此模板而不对其进行任何更改。 |
| PCI DSS 标准建议 | pci_dss_v_3_2_1 |
此模板会实施一些政策,以帮助您检测 Google Cloud 环境是否符合支付卡行业数据安全标准 (PCI DSS) 3.2.1 版和 1.0 版。您可以部署此模板而不对其进行任何更改。 |
状况部署和偏差监控
如需在 Google Cloud 资源上强制执行包含所有政策的状况,请部署该状况。您可以指定状况适用的资源层次结构的级别(组织、文件夹或项目)。您只能向每个组织、文件夹或项目部署一个状况。
子文件夹和项目会继承状况。因此,如果您在组织级和项目级部署状况,则这两个状况中的所有政策都将应用于项目中的资源。如果政策定义存在任何差异(例如,政策在组织级设置为“允许”,而在项目级设置为“拒绝”),该项目中的资源将使用较低级别的状况。
我们建议的最佳实践是,在组织级部署状况,其中包含可应用于整个业务的政策。然后,您可以将更严格的政策应用于需要它们的文件夹或项目。例如,如果您使用企业基础蓝图来设置基础架构,则可以创建特定项目(例如 prj-c-kms),这些项目是专门创建的,用于包含文件夹中所有项目的加密密钥。您可以使用安全状况来对 common 文件夹和环境文件夹(development、nonproduction 和 production)设置 constraints/gcp.restrictCmekCryptoKeyProjects 组织政策限制条件,以便所有项目仅使用来自关键项目的密钥。
部署状况后,您可以监控环境是否偏离了您定义的状况。Security Command Center 会将偏移实例报告为发现结果,您可以查看、过滤和解决这些发现结果。此外,您可以按照导出 Security Command Center 中的任何其他发现结果的方式导出这些发现结果。如需了解详情,请参阅导出 Security Command Center 数据。
与 Vertex AI 和 Gemini 集成
您可以使用安全状况来帮助维护 AI 工作负载的安全性。安全状况服务包括:
特定于 AI 工作负载的预定义的状况模板。
概览页面上的窗格,让您可以监控适用于 AI 的 Security Health Analytics 自定义模块发现的漏洞,并让您可以查看状况中定义的 Vertex AI 组织政策的任何偏差。
AWS 集成
如果您将 Security Command Center Enterprise 连接到 AWS 以进行配置和资源数据收集,Security Health Analytics 服务包含内置检测器,可监控您的 AWS 环境并创建发现结果。
创建或修改状况文件时,您可以添加特定于 AWS 的 Security Health Analytics 检测器。您必须在组织级部署此状况文件。
服务限制
安全状况服务包含以下限制:
- 一个组织中最多 100 个状况。
- 一个状况中最多 400 项政策。
- 一个组织中最多 1,000 个状况部署。