安全防護機制可讓您定義及管理雲端網路、雲端服務等資產的安全狀態,您可以根據既定基準評估目前雲端安全,維持組織所需的安全等級。安全防護機制可幫助您偵測及因應任何偏離既定基準的狀況。定義並維護符合業務安全需求的安全性狀態,有助於降低貴機構的網路安全風險,並防範攻擊。
在 Google Cloud中,您可以使用 Security Command Center 的安全防護機制服務,定義及部署安全防護機制、監控 Google Cloud 資源的安全狀態,並解決與所定義防護機制的任何偏移 (或未經授權的變更)。
優點和應用
安全性狀態服務是 Security Command Center 的內建服務,可讓您定義、評估及監控 Google Cloud的整體安全性狀態。只有在購買 Security Command Center Premium 級或 Enterprise 級訂閱方案,並在機構層級啟用 Security Command Center 時,才能使用安全防護服務。
您可以透過安全狀態服務達成下列目標:
確保工作負載符合安全標準、法規遵循規定和貴機構的自訂安全要求。
在部署任何工作負載之前,請先將安全控管措施套用至 Google Cloud 專案、資料夾或機構。
持續監控並解決任何偏離既定安全控管機制的狀況。
在機構層級啟用 Security Command Center 時,系統會自動啟用安全狀況服務。
服務元件
安全狀態服務包含下列元件:
防護機制
一或多個政策集,可強制執行貴機構為符合安全標準而採用的預防和偵測控制項。您可以將防護機制部署在機構層級、資料夾層級或專案層級。如需防護機制範本清單,請參閱「預先定義的防護機制範本」。
政策組合
一組安全規定和相關控制項,請參閱 Google Cloud。一般來說,政策集包含所有可協助您符合特定安全標準或法規遵循規定的政策。
政策
用來控制或監控 Google Cloud中資源行為的特定限制。政策可以是預防性 (例如機構政策限制),也可以是偵測性 (例如安全性狀態分析偵測器)。支援的政策如下:
防護機制部署作業
建立安全狀態後,請部署該狀態,以便將其套用至要透過該狀態管理的機構、資料夾或專案。
下圖顯示安全性狀態範例的元件。
預先定義的防護機制範本
安全防護機制服務包含預先定義的防護機制範本,這些範本符合法規遵循標準或 Google 建議的標準,例如企業基礎藍圖建議。您可以運用這些範本,建立適用於貴商家的安全防護措施。下表說明防護機制範本。
| 防護機制範本 | 範本名稱 | 說明 |
|---|---|---|
| 預設採用安全設定,提供基本功能 | secure_by_default_essential |
這個範本會實作相關政策,協助您避免因預設設定而導致常見的錯誤設定和安全性問題。您可以部署這個範本,不必進行任何變更。 |
| 預設採用安全設定,並提供擴充功能 | secure_by_default_extended |
這個範本會實作相關政策,協助您避免因預設設定而產生常見的錯誤設定和安全性問題。部署這個範本前,請務必先自訂範本,使其符合您的環境。 |
| 安全 AI 建議、基本功能 | secure_ai_essential |
這個範本會實作相關政策,協助您保護 Gemini 和 Vertex AI 工作負載。您可以部署這個範本,無須進行任何變更。 |
| 安全 AI 建議 (擴充功能) | secure_ai_extended |
這個範本會實作相關政策,協助您保護 Gemini 和 Vertex AI 工作負載。部署這個範本前,請務必先自訂範本,使其符合您的環境。 |
| BigQuery 建議、基本概念 | big_query_essential |
這個範本會實作有助於保護 BigQuery 的政策。您可以部署這個範本,不必進行任何變更。 |
| Cloud Storage 建議、基本概念 | cloud_storage_essential |
這個範本會實作相關政策,協助您保護 Cloud Storage 安全。 您可以部署這個範本,不必進行任何變更。 |
| Cloud Storage 建議 (擴充版) | cloud_storage_extended |
這個範本會實作相關政策,協助您保護 Cloud Storage 安全。 部署這個範本前,請務必先自訂範本,使其符合您的環境。 |
| 虛擬私有雲建議、基本概念 | vpc_networking_essential |
這個範本會實作相關政策,協助您保護虛擬私有雲 (VPC) 安全。您可以部署這個範本,不必進行任何變更。 |
| 虛擬私有雲建議 (擴充) | vpc_networking_extended |
這個範本會實作相關政策,協助您保護 VPC 安全。部署這個範本前,請務必先自訂範本,使其符合您的環境。 |
| 網際網路安全中心 (CIS) Google Cloud Computing Platform 基準 2.0.0 版建議 | cis_2_0 |
這個範本會實作相關政策,協助您偵測 Google Cloud 環境是否符合 CIS Google Cloud Computing Platform Benchmark v2.0.0。您可以部署這個範本,無須進行任何變更。 |
| NIST SP 800-53 標準建議 | nist_800_53 |
這個範本會實作相關政策,協助您偵測環境是否不符合美國國家標準暨技術研究院 (NIST) SP 800-53 標準。 Google Cloud 您可以部署這個範本,不必進行任何變更。 |
| ISO 27001 標準建議 | iso_27001 |
這個範本會實作相關政策,協助您偵測 Google Cloud 環境是否不符合國際標準組織 (ISO) 27001 標準。您可以部署這個範本,不必進行任何變更。 |
| PCI DSS 標準建議 | pci_dss_v_3_2_1 |
這項範本會實作相關政策,協助您偵測 Google Cloud 環境是否符合付款卡產業資料安全標準 (PCI DSS) 3.2.1 版和 1.0 版。您可以部署這個範本,不必進行任何變更。 |
部署狀態和監控偏移
如要對 Google Cloud 資源強制執行姿勢及其所有政策,請部署姿勢。您可以指定要將安全狀況套用至哪個層級的資源階層 (機構、資料夾或專案)。每個機構、資料夾或專案只能部署一個姿勢。
子項資料夾和專案會沿用姿勢。因此,如果您在機構層級和專案層級部署安全狀況,這兩種安全狀況中的所有政策都會套用至專案中的資源。如果政策定義有任何差異 (例如,政策在機構層級設為「允許」,在專案層級設為「拒絕」),則該專案中的資源會使用較低層級的狀態。
最佳做法是部署機構層級的狀態,其中包含可套用至整個業務的政策。然後,您可以對需要更嚴格政策的資料夾或專案套用政策。舉例來說,如果您使用企業基礎藍圖設定基礎架構,可以建立特定專案 (例如 prj-c-kms),專門用於存放資料夾中所有專案的加密金鑰。您可以透過安全防護狀態,在 common 資料夾和環境資料夾 (development、nonproduction 和 production) 中設定機構政策限制,確保所有專案只使用金鑰專案的金鑰。constraints/gcp.restrictCmekCryptoKeyProjects
部署姿態後,您可以監控環境,瞭解是否與定義的姿態有任何差異。Security Command Center 會將漂移情況回報為發現項目,供您查看、篩選及解決。此外,您也可以匯出這些發現項目,方法與匯出 Security Command Center 的其他發現項目相同。詳情請參閱匯出 Security Command Center 資料。
與 Vertex AI 和 Gemini 整合
您可以運用安全防護機制,維護 AI 工作負載的安全性。安全狀態服務包括:
預先定義的姿態範本,適用於 AI 工作負載。
「總覽」頁面中的窗格:可讓您監控 Security Health Analytics 自訂模組發現的 AI 安全漏洞,並查看與狀態中定義的 Vertex AI 機構政策的任何差異。
AWS 整合
如果將 Security Command Center Enterprise 連線至 AWS,以收集設定和資源資料,安全狀態分析服務就會內建偵測器,可監控 AWS 環境並建立發現項目。
建立或修改姿勢檔案時,您可以加入 AWS 專用的 Security Health Analytics 偵測器。您必須在機構層級部署這項姿勢檔案。
服務限制
安全狀態服務的限制如下:
- 每個機構最多可有 100 個姿勢。
- 每個姿勢最多可有 400 項政策。
- 機構最多可部署 1,000 個姿勢。