Attiva il livello Premium di Security Command Center per un'organizzazione

Questo documento descrive come attivare Security Command Center Premium per un'organizzazione tramite la console Google Cloud . L'attivazione di Security Command Center Premium abilita automaticamente una serie di servizi.

Per saperne di più su Security Command Center Premium, consulta Livelli di servizio di Security Command Center.

Per attivare Security Command Center per un altro livello di servizio, consulta quanto segue:

Per attivare Security Command Center solo per un progetto, consulta Attivare Security Command Center per un progetto.

Prima di iniziare

Prima di attivare Security Command Center Premium per un'organizzazione, devi fare quanto segue:

  • Ottieni ruoli e autorizzazioni Identity and Access Management (IAM) specifici.
  • (Facoltativo) Abilita API aggiuntive.
  • Esamina le policy della tua organizzazione, se applicabili.
  • Se prevedi di abilitare la residenza dei dati, consulta la sezione Pianificare la residenza dei dati e determina la località da utilizzare.
  • Se prevedi di utilizzare una chiave di crittografia gestita dal cliente (CMEK), completa le attività richieste per abilitare CMEK per Security Command Center.

Puoi configurare la residenza dei dati e la crittografia dei dati quando attivi Security Command Center. Per modificare queste impostazioni dopo aver attivato Security Command Center Standard o Premium, vedi Modificare la configurazione della residenza dei dati o della crittografia dei dati.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per attivare Security Command Center per un'organizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM per la tua organizzazione:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Abilita l'API Security Center Management

Se prevedi di utilizzare l'API Security Center Management, abilita questa API nel progetto in cui prevedi di chiamarla:

Ruoli richiesti per abilitare le API

Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo dei servizi (roles/serviceusage.serviceUsageAdmin), che include l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.

Abilitare l'API

Rivedi policy dell'organizzazione

Se i criteri dell'organizzazione sono impostati per limitare le identità in base al dominio, verifica quanto segue:

  • Devi aver eseguito l'accesso alla console Google Cloud su un account che si trova in un dominio consentito.
  • I tuoi service account devono trovarsi in un dominio consentito o essere membri di un gruppo all'interno del tuo dominio. Questo requisito ti consente di autorizzare i servizi che utilizzano il account di servizio @*.gserviceaccount.com ad accedere alle risorse quando è abilitata la condivisione con limitazioni del dominio.

Se le policy dell'organizzazione sono impostate per limitare l'utilizzo delle risorse, verifica che le seguenti API siano consentite dalla tua policy:

  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Attiva Security Command Center Premium

Puoi attivare Security Command Center Premium per un'organizzazione tramite la console Google Cloud .

  1. Nella console Google Cloud , vai alla pagina di benvenuto di Security Command Center.

    Vai a Security Command Center

  2. Se vuoi attivare la residenza dei dati, apri una console giurisdizionale utilizzando l'URL corrispondente alla località che intendi configurare.

    Devi utilizzare la console Google Cloud giurisdizionale per attivare Security Command Center con controlli di residenza dei dati e modificare la configurazione della residenza dei dati dopo l'attivazione. Per maggiori dettagli, consulta Informazioni sulla console Google Cloud giurisdizionale.

  3. Seleziona l'organizzazione per cui vuoi attivare Security Command Center Premium e poi fai clic su Seleziona.

  4. Nella pagina di benvenuto, seleziona Inizia una prova senza costi di Premium.

    Per annullare la prova di Premium ed evitare addebiti con pagamento a consumo, devi eseguire il downgrade al livello Standard prima della fine del periodo di prova. Puoi eseguire il downgrade in qualsiasi momento durante il periodo di prova. Per istruzioni dettagliate, vedi Eseguire il downgrade dal livello Premium al livello Standard.

    Se vuoi acquistare un abbonamento Premium, consulta la sezione Livello Premium: prezzi basati sull'abbonamento per i dettagli.

  5. (Facoltativo) Per confermare la configurazione della residenza dei dati o modificare la configurazione della crittografia dei dati, fai clic su Mostra altro.

    • Se utilizzi una console giurisdizionale, il campo Residenza dei dati mostra Attiva e il campo Posizione mostra la stessa posizione della console giurisdizionale. Per modificare la posizione, apri la console utilizzando un URL che corrisponda alla posizione che vuoi configurare.
    • La configurazione predefinita della crittografia dei dati utilizza Google-owned and Google-managed encryption keys. Per utilizzare una chiave Cloud Key Management Service, fai clic su Modifica crittografia dei dati e poi procedi nel seguente modo:
      1. Seleziona Chiave Cloud KMS.
      2. Seleziona un progetto.
      3. Seleziona una chiave. Puoi selezionare una chiave da qualsiasi Google Cloud progetto, inclusi i progetti di altre organizzazioni. Nell'elenco vengono visualizzate solo le chiavi in posizioni compatibili.

      Per scoprire quali posizioni delle chiavi sono compatibili con Security Command Center, consulta la sezione Determinare la posizione della chiave.

      Se la tua organizzazione utilizza le policy dell'organizzazione per le chiavi CMEK, potresti avere solo la possibilità di scegliere CMEK o chiavi specifiche.

      Durante la procedura di attivazione, Security Command Center concede il ruolo Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) all'agente di servizio Cloud Security Command Center nella chiave Cloud KMS.

  6. Fai clic su Attiva.

Man mano che i risultati diventano disponibili, vengono visualizzati nella console. Poi puoi utilizzare la console Google Cloud per esaminare e correggere Google Cloud i rischi per la sicurezza e i dati.

Security Command Center completa la prima scansione completa entro 24 ore. Potrebbe verificarsi un ritardo prima dell'avvio delle scansioni per alcuni servizi. Per saperne di più, consulta Quando aspettarsi i risultati in Security Command Center.

Servizi per Security Command Center Premium

Dopo aver attivato Security Command Center Premium, vengono attivati automaticamente servizi specifici e vengono creati agenti di servizio in modo che questi servizi possano agire per tuo conto.

Servizi

Security Command Center utilizza i servizi di rilevamento per rilevare problemi di sicurezza nei tuoi ambienti cloud. I seguenti servizi vengono abilitati quando attivi Security Command Center Premium:

Consulta la documentazione di ogni servizio per istruzioni sull'utilizzo e l'ottimizzazione. Ad esempio, Event Threat Detection si basa sui log generati da Google Cloud. Alcuni log sono sempre attivi, quindi Event Threat Detection può iniziare a esaminarli non appena viene abilitato. Altri log, come la maggior parte dei log di controllo dell'accesso ai dati, devono essere attivati prima che Event Threat Detection possa eseguirne la scansione.

I servizi descritti in questa sezione e i servizi aggiuntivi possono essere attivati o disattivati seguendo i passaggi descritti in Configurare i servizi di Security Command Center.

Agenti di servizio

Un agente di servizio è un service account creato e gestito da Google Cloud per accedere alle risorse per tuo conto. Una volta creato un service agent, Security Command Center concede automaticamente i ruoli IAM richiesti al service agent. L'attivazione di Security Command Center Premium include i seguenti service agent:

Modifica del servizio Security Command Center

Per saperne di più sulla gestione dei livelli, vedi Modificare il livello Security Command Center Premium per un'organizzazione.

Passaggi successivi