Questo documento descrive come attivare Security Command Center Premium per un'organizzazione tramite la console Google Cloud . L'attivazione di Security Command Center Premium abilita automaticamente una serie di servizi.
Per saperne di più su Security Command Center Premium, consulta Livelli di servizio di Security Command Center.
Per attivare Security Command Center per un altro livello di servizio, consulta quanto segue:
- Attivare il livello Standard di Security Command Center per un'organizzazione
- Attiva il livello Security Command Center Enterprise
Per attivare Security Command Center solo per un progetto, consulta Attivare Security Command Center per un progetto.
Prima di iniziare
Prima di attivare Security Command Center Premium per un'organizzazione, devi fare quanto segue:
- Ottieni ruoli e autorizzazioni Identity and Access Management (IAM) specifici.
- (Facoltativo) Abilita API aggiuntive.
- Esamina le policy della tua organizzazione, se applicabili.
- Se prevedi di abilitare la residenza dei dati, consulta la sezione Pianificare la residenza dei dati e determina la località da utilizzare.
- Se prevedi di utilizzare una chiave di crittografia gestita dal cliente (CMEK), completa le attività richieste per abilitare CMEK per Security Command Center.
Puoi configurare la residenza dei dati e la crittografia dei dati quando attivi Security Command Center. Per modificare queste impostazioni dopo aver attivato Security Command Center Standard o Premium, vedi Modificare la configurazione della residenza dei dati o della crittografia dei dati.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per attivare Security Command Center per un'organizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM per la tua organizzazione:
- Amministratore Security Center (
roles/securitycenter.admin) - Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Abilita l'API Security Center Management
Se prevedi di utilizzare l'API Security Center Management, abilita questa API nel progetto in cui prevedi di chiamarla:
Ruoli richiesti per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo dei servizi (roles/serviceusage.serviceUsageAdmin), che include l'autorizzazione serviceusage.services.enable. Scopri come concedere
i ruoli.
Rivedi policy dell'organizzazione
Se i criteri dell'organizzazione sono impostati per limitare le identità in base al dominio, verifica quanto segue:
- Devi aver eseguito l'accesso alla console Google Cloud su un account che si trova in un dominio consentito.
- I tuoi service account devono trovarsi in un dominio consentito o essere membri di un gruppo
all'interno del tuo dominio. Questo requisito ti consente di autorizzare i servizi che utilizzano il account di servizio
@*.gserviceaccount.comad accedere alle risorse quando è abilitata la condivisione con limitazioni del dominio.
Se le policy dell'organizzazione sono impostate per limitare l'utilizzo delle risorse, verifica che le seguenti API siano consentite dalla tua policy:
cloudsecuritycompliance.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
Attiva Security Command Center Premium
Puoi attivare Security Command Center Premium per un'organizzazione tramite la console Google Cloud .
Nella console Google Cloud , vai alla pagina di benvenuto di Security Command Center.
Se vuoi attivare la residenza dei dati, apri una console giurisdizionale utilizzando l'URL corrispondente alla località che intendi configurare.
Devi utilizzare la console Google Cloud giurisdizionale per attivare Security Command Center con controlli di residenza dei dati e modificare la configurazione della residenza dei dati dopo l'attivazione. Per maggiori dettagli, consulta Informazioni sulla console Google Cloud giurisdizionale.
Seleziona l'organizzazione per cui vuoi attivare Security Command Center Premium e poi fai clic su Seleziona.
Nella pagina di benvenuto, seleziona Inizia una prova senza costi di Premium.
Per annullare la prova di Premium ed evitare addebiti con pagamento a consumo, devi eseguire il downgrade al livello Standard prima della fine del periodo di prova. Puoi eseguire il downgrade in qualsiasi momento durante il periodo di prova. Per istruzioni dettagliate, vedi Eseguire il downgrade dal livello Premium al livello Standard.
Se vuoi acquistare un abbonamento Premium, consulta la sezione Livello Premium: prezzi basati sull'abbonamento per i dettagli.
(Facoltativo) Per confermare la configurazione della residenza dei dati o modificare la configurazione della crittografia dei dati, fai clic su Mostra altro.
- Se utilizzi una console giurisdizionale, il campo Residenza dei dati mostra Attiva e il campo Posizione mostra la stessa posizione della console giurisdizionale. Per modificare la posizione, apri la console utilizzando un URL che corrisponda alla posizione che vuoi configurare.
- La configurazione predefinita della crittografia dei dati utilizza Google-owned and Google-managed encryption keys.
Per utilizzare una chiave Cloud Key Management Service, fai clic su Modifica crittografia dei dati e poi procedi nel seguente modo:
- Seleziona Chiave Cloud KMS.
- Seleziona un progetto.
- Seleziona una chiave. Puoi selezionare una chiave da qualsiasi Google Cloud progetto, inclusi i progetti di altre organizzazioni. Nell'elenco vengono visualizzate solo le chiavi in posizioni compatibili.
Per scoprire quali posizioni delle chiavi sono compatibili con Security Command Center, consulta la sezione Determinare la posizione della chiave.
Se la tua organizzazione utilizza le policy dell'organizzazione per le chiavi CMEK, potresti avere solo la possibilità di scegliere CMEK o chiavi specifiche.
Durante la procedura di attivazione, Security Command Center concede il ruolo Cloud KMS CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) all'agente di servizio Cloud Security Command Center nella chiave Cloud KMS.
Fai clic su Attiva.
Man mano che i risultati diventano disponibili, vengono visualizzati nella console. Poi puoi utilizzare la console Google Cloud per esaminare e correggere Google Cloud i rischi per la sicurezza e i dati.
Security Command Center completa la prima scansione completa entro 24 ore. Potrebbe verificarsi un ritardo prima dell'avvio delle scansioni per alcuni servizi. Per saperne di più, consulta Quando aspettarsi i risultati in Security Command Center.
Servizi per Security Command Center Premium
Dopo aver attivato Security Command Center Premium, vengono attivati automaticamente servizi specifici e vengono creati agenti di servizio in modo che questi servizi possano agire per tuo conto.
Servizi
Security Command Center utilizza i servizi di rilevamento per rilevare problemi di sicurezza nei tuoi ambienti cloud. I seguenti servizi vengono abilitati quando attivi Security Command Center Premium:
-
Affinché Container Threat Detection funzioni, assicurati che i cluster siano eseguiti su una versione supportata di Google Kubernetes Engine (GKE) e che i cluster GKE siano configurati correttamente. Per saperne di più, vedi Utilizzare Container Threat Detection.
-
Event Threat Detection si basa sui log generati da Google Cloud. Per utilizzare Event Threat Detection, abilita i log per la tua organizzazione, le cartelle e i progetti.
Consulta la documentazione di ogni servizio per istruzioni sull'utilizzo e l'ottimizzazione. Ad esempio, Event Threat Detection si basa sui log generati da Google Cloud. Alcuni log sono sempre attivi, quindi Event Threat Detection può iniziare a esaminarli non appena viene abilitato. Altri log, come la maggior parte dei log di controllo dell'accesso ai dati, devono essere attivati prima che Event Threat Detection possa eseguirne la scansione.
I servizi descritti in questa sezione e i servizi aggiuntivi possono essere attivati o disattivati seguendo i passaggi descritti in Configurare i servizi di Security Command Center.
Agenti di servizio
Un agente di servizio è un service account creato e gestito da Google Cloud per accedere alle risorse per tuo conto. Una volta creato un service agent, Security Command Center concede automaticamente i ruoli IAM richiesti al service agent. L'attivazione di Security Command Center Premium include i seguenti service agent:
- Agente di servizio Cloud Security Command Center per Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection e Vulnerability Assessment
- Cloud Security Compliance Service Agent per AI Protection e Compliance Manager
- Container Threat Detection Service Agent per Container Threat Detection
- Agente di servizio Data Security Posture Management per DSPM
Modifica del servizio Security Command Center
Per saperne di più sulla gestione dei livelli, vedi Modificare il livello Security Command Center Premium per un'organizzazione.
Passaggi successivi
- Scopri come configurare i servizi di Security Command Center.
- Scopri come utilizzare Security Command Center nella console Google Cloud .
- Scopri come utilizzare i risultati di Security Command Center.
- Scopri di più sulle Google Cloud origini di sicurezza.
- Scopri come Model Armor può aiutarti a proteggere i tuoi workload AI.
- Attiva Sensitive Data Protection per proteggere i tuoi dati sensibili.
- Scopri come monitorare i costi utilizzando fatturazione Cloud.