In diesem Dokument wird beschrieben, wie Sie Security Command Center Premium für eine Organisation über die Google Cloud Console aktivieren. Wenn Sie Security Command Center Premium aktivieren, werden automatisch verschiedene Diensteaktiviert.
Weitere Informationen zu Security Command Center Premium finden Sie unter Security Command Center-Dienststufen.
Informationen zum Aktivieren von Security Command Center für eine andere Dienststufe finden Sie hier:
- Security Command Center Standard-Stufe für eine Organisation aktivieren
- Security Command Center Enterprise-Stufe aktivieren
Informationen zum Aktivieren von Security Command Center nur für ein Projekt finden Sie unter Security Command Center für ein Projekt aktivieren.
Hinweis
Bevor Sie Security Command Center Premium für eine Organisation aktivieren, müssen Sie Folgendes tun:
- Bestimmte IAM-Rollen und -Berechtigungen (Identity and Access Management) erhalten.
- Optional: Zusätzliche APIs aktivieren.
- Organisationsrichtlinien überprüfen, falls sie für Ihre Organisation gelten.
- Wenn Sie den Datenstandort aktivieren möchten, lesen Sie den Artikel Datenstandort planen und legen Sie fest, welchen Standort Sie verwenden möchten.
- Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-managed Encryption Key, CMEK) verwenden möchten, führen Sie die erforderlichen Aufgaben zum Aktivieren von CMEK für Security Command Center aus.
Sie können den Datenstandort und die Datenverschlüsselung konfigurieren, wenn Sie Security Command Center aktivieren. Informationen zum Ändern dieser Einstellungen nach der Aktivierung von Security Command Center Standard oder Premium finden Sie unter Konfiguration des Datenstandorts oder der Datenverschlüsselung ändern.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aktivieren von Security Command Center für eine Organisation benötigen:
- Sicherheitscenter-Administrator (
roles/securitycenter.admin) - Administrator der Organisation (
roles/resourcemanager.organizationAdmin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Security Center Management API aktivieren
Wenn Sie die Security Center Management API verwenden möchten, aktivieren Sie sie in dem Projekt, in dem Sie sie aufrufen möchten:
Rollen, die zum Aktivieren von APIs erforderlich sind
Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“
(roles/serviceusage.serviceUsageAdmin), die
die Berechtigung serviceusage.services.enable enthält. Informationen zum Zuweisen von
Rollen.
Organisationsrichtlinien überprüfen
Wenn Ihre Organisationsrichtlinien so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, bestätigen Sie Folgendes:
- Sie müssen in der Google Cloud Console mit einem Konto in einer zulässigen Domain angemeldet sein.
- Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie Diensten, die das Dienstkonto
@*.gserviceaccount.comverwenden, den Zugriff auf Ressourcen gewähren, wenn die Freigabe der Domain beschränkt ist.
Wenn Ihre Organisationsrichtlinien so konfiguriert sind, dass die Ressourcennutzung eingeschränkt wird, prüfen Sie, ob die folgenden APIs durch Ihre Richtlinie zugelassen sind:
cloudsecuritycompliance.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
Security Command Center Premium aktivieren
Sie können Security Command Center Premium für eine Organisation über die Google Cloud Console aktivieren.
Rufen Sie in der Google Cloud Console die Security Command Center-Willkommensseite auf.
Wenn Sie den Datenstandort aktivieren möchten, öffnen Sie eine Console für den entsprechenden Rechtsraum mit der URL, die dem Standort entspricht, den Sie konfigurieren möchten.
Sie müssen die Console für den Rechtsraum verwenden, um Security Command Center mit Datenstandortkontrollen zu aktivieren und die Konfiguration des Datenstandorts nach der Aktivierung zu ändern. Google Cloud Weitere Informationen finden Sie unter Console für den Rechtsraum.Google Cloud
Wählen Sie die Organisation aus, für die Sie Security Command Center Premium aktivieren möchten, und klicken Sie dann auf Auswählen.
Wählen Sie auf der Willkommensseite die Option Premium kostenlos testen aus.
Wenn Sie den Premium-Testzeitraum beenden und „Pay as you go“-Gebühren vermeiden möchten, müssen Sie vor Ablauf des Testzeitraums auf die Standard-Stufe herabstufen. Sie können jederzeit während des Testzeitraums herabstufen. Eine detaillierte Anleitung finden Sie unter Von der Premium-Stufe auf die Standard-Stufe herabstufen.
Wenn Sie ein Premium-Abo erwerben möchten, finden Sie unter Premium-Stufe: Abo-basierte Preise weitere Informationen.
Optional: Wenn Sie die Konfiguration des Datenstandorts bestätigen oder die Konfiguration der Datenverschlüsselung ändern möchten, klicken Sie auf Mehr anzeigen.
- Wenn Sie eine Console für den Rechtsraum verwenden, wird im Feld Datenstandort die Option Aktivieren und im Feld Standort derselbe Standort wie in der Console für den Rechtsraum angezeigt. Wenn Sie den Standort ändern möchten, öffnen Sie die Console mit einer URL, die dem Standort entspricht, den Sie konfigurieren möchten.
- Die Standardkonfiguration für die Datenverschlüsselung verwendet Google-owned and Google-managed encryption keys.
Wenn Sie einen Cloud Key Management Service-Schlüssel verwenden möchten, klicken Sie auf Datenverschlüsselung bearbeiten und gehen Sie dann so vor:
- Wählen Sie Cloud KMS-Schlüssel aus.
- Wählen Sie ein Projekt aus.
- Wählen Sie einen Schlüssel aus. Sie können einen Schlüssel aus jedem Google Cloud Projekt, einschließlich Projekten in anderen Organisationen auswählen. In der Liste werden nur Schlüssel an kompatiblen Standorten angezeigt.
Informationen dazu, welche Schlüsselstandorte mit Security Command Center kompatibel sind, finden Sie unter Schlüsselstandort bestimmen.
Wenn Ihre Organisation Organisationsrichtlinien für CMEK verwendet, haben Sie möglicherweise nur die Möglichkeit, CMEK oder bestimmte Schlüssel auszuwählen.
Während der Aktivierung gewährt Security Command Center dem Cloud Security Command Center-Dienst-Agent für den Cloud KMS-Schlüssel die Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (
roles/cloudkms.cryptoKeyEncrypterDecrypter) Rolle.
Klicken Sie auf Aktivieren.
Sobald Ergebnisse verfügbar sind, werden sie in der Console angezeigt. Anschließend können Sie in der Console Google Cloud Sicherheits- und Datenrisiken überprüfen und beheben. Google Cloud
Security Command Center führt den ersten vollständigen Scan innerhalb von 24 Stunden durch. Bei einigen Diensten kann es zu Verzögerungen kommen, bevor Scans gestartet werden. Weitere Informationen finden Sie unter Wann sind Ergebnisse in Security Command Center zu erwarten?.
Dienste für Security Command Center Premium
Nachdem Sie Security Command Center Premium aktiviert haben, werden bestimmte Dienste automatisch aktiviert und Dienst-Agents erstellt, damit diese Dienste in Ihrem Namen agieren können.
Dienste
Security Command Center verwendet Erkennungsdienste um Sicherheitsprobleme in Ihren Cloud-Umgebungen zu erkennen. Die folgenden Dienste werden aktiviert, wenn Sie Security Command Center Premium aktivieren:
-
Damit Container Threat Detection funktioniert, müssen Ihre Cluster auf einer unterstützten Version von Google Kubernetes Engine (GKE) basieren und Ihre GKE-Cluster richtig konfiguriert sein. Weitere Informationen finden Sie unter Container Threat Detection verwenden.
Verwaltung des Datensicherheitsstatus (Data Security Posture Management, DSPM)
-
Event Threat Detection basiert auf Logs, die von generiert werden Google Cloud. Wenn Sie Event Threat Detection verwenden möchten, aktivieren Sie Logs für Ihre Organisation, Ordner und Projekte.
Informationen zur Verwendung und Optimierung finden Sie in der Dokumentation der einzelnen Dienste. Event Threat Detection basiert beispielsweise auf Logs, die von Google Cloudgeneriert werden. Einige Logs sind immer aktiviert, sodass Event Threat Detection diese Logs scannen kann, sobald der Dienst aktiviert ist. Andere Logs, z. B. die meisten Audit-Logs zum Datenzugriff, müssen aktiviert werden, bevor Event Threat Detection sie scannen kann.
Die in diesem Abschnitt beschriebenen Dienste und zusätzliche Dienste können aktiviert oder deaktiviert werden. Folgen Sie dazu der Anleitung unter Security Command Center-Dienste konfigurieren.
Dienst-Agents
Ein Dienst-Agent ist ein Dienst konto, das von erstellt und verwaltet wird Google Cloud , um in Ihrem Namen auf Ressourcen zuzugreifen. Nachdem ein Dienst-Agent erstellt wurde, gewährt Security Command Center dem Dienst-Agent automatisch die erforderlichen IAM-Rollen. Die Aktivierung von Security Command Center Premium umfasst die folgenden Dienst-Agents:
- Cloud Security Command Center-Dienst-Agent für Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection und Sicherheitslücken bewertung
- Cloud Security Compliance Service Agent für KI-Schutz und Compliance-Manager
- Container Threat Detection-Dienst-Agent für Container Threat Detection
- Dienst-Agent für die Verwaltung des Datensicherheitsstatus (Data Security Posture Management, DSPM)
Security Command Center-Dienst ändern
Weitere Informationen zur Stufenverwaltung finden Sie unter Security Command Center Premium-Stufe für eine Organisation ändern.
Nächste Schritte
- Security Command Center-Dienste konfigurieren .
- Security Command Center in der Console verwenden Google Cloud
- Mit Security Command Center-Ergebnissen arbeiten
- Sicherheitsquellen Google Cloud
- Erfahren Sie, wie Model Armor zum Schutz Ihrer KI-Arbeitslasten beitragen kann.
- Schutz sensibler Daten aktivieren
- Kosten mit Cloud Billing im Blick behalten