本文說明如何透過 Google Cloud 控制台,為機構啟用 Security Command Center Premium。啟用 Security Command Center 進階版後,系統會自動啟用多種服務。
如要進一步瞭解 Security Command Center Premium,請參閱「Security Command Center 服務層級」。
如要啟用其他服務層級的 Security Command Center,請參閱下列文章:
如要只為專案啟用 Security Command Center,請參閱「為專案啟用 Security Command Center」。
事前準備
為機構啟用 Security Command Center Premium 前,請先完成下列事項:
- 取得特定的 Identity and Access Management (IAM) 角色和權限。
- 選用:啟用其他 API。
- 查看貴機構的政策 (如適用)。
- 如要啟用資料落地功能,請參閱「規劃資料落地功能」,並決定要使用的位置。
- 如要使用客戶自行管理的加密金鑰 (CMEK),請完成為 Security Command Center 啟用 CMEK 的必要工作。
啟用 Security Command Center 時,您可以設定資料落地和資料加密。如要在啟用 Security Command Center Standard 或 Premium 後變更這些設定,請參閱「修改資料落地或資料加密設定」。
必要的角色
如要取得為組織啟用 Security Command Center 所需的權限,請要求管理員授予您組織的下列 IAM 角色:
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
啟用 Security Center Management API
如要使用 Security Center Management API,請在要呼叫該 API 的專案中啟用此 API:
啟用 API 時所需的角色
如要啟用 API,您需要具備服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin),其中包含 serviceusage.services.enable 權限。瞭解如何授予角色。
查看機構政策
如果機構政策設為依照網域設定身分限制,請確認下列事項:
- 您必須在允許的網域中,透過帳戶登入 Google Cloud 控制台。
- 服務帳戶必須位於允許的網域中,或是您網域中群組的成員。啟用網域限制共用功能後,您必須符合這項規定,才能允許使用
@*.gserviceaccount.com服務帳戶的服務存取資源。
如果您的機構政策設為限制資源用量,請確認下列 API已獲政策允許:
cloudsecuritycompliance.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
啟用 Security Command Center Premium
您可以透過 Google Cloud 控制台為機構啟用 Security Command Center 進階方案。
前往 Google Cloud 控制台的 Security Command Center 歡迎頁面。
如要啟用資料落地控管機制,請使用與您打算設定的位置相符的網址,開啟管轄區控制台。
如要啟用 Security Command Center 和資料落地控管機制,以及在啟用後修改資料落地設定,請使用管轄區 Google Cloud 控制台。詳情請參閱「關於管轄區控制台」。Google Cloud
選取要啟用 Security Command Center Premium 的機構,然後按一下「選取」。
在歡迎頁面選取「開始免付費試用 Premium 方案」。
如要取消 Premium 試用並避免隨用隨付費用,請在試用期結束前降級至 Standard 方案。試用期間,您隨時可以降級。如需詳細操作說明,請參閱「從進階級降級至標準級」。
如要購買 Premium 方案,請參閱「Premium 級:訂閱制定價」一文瞭解詳情。
選用:如要確認資料落地控管設定或變更資料加密設定,請按一下「顯示更多」。
- 如果您使用管轄區控制台,「資料落地」欄位會顯示「啟用」,而「位置」欄位會顯示與管轄區控制台相同的位置。如要變更位置,請使用與要設定位置相符的網址開啟控制台。
- 預設資料加密設定會使用 Google-owned and Google-managed encryption keys。
如要使用 Cloud Key Management Service 金鑰,請按一下「編輯資料加密」,然後執行下列操作:
- 選取「Cloud KMS key」(Cloud KMS 金鑰)。
- 選取專案。
- 選取金鑰。您可以從任何 Google Cloud 專案選取金鑰,包括其他機構的專案。清單中只會顯示相容位置的鑰匙。
如要瞭解哪些主要地點與 Security Command Center 相容,請參閱「判斷主要地點」。
如果貴機構使用 CMEK 組織政策,您可能只能選擇 CMEK 或特定金鑰。
在啟用程序期間,Security Command Center 會將 Cloud KMS CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 角色授予 Cloud KMS 金鑰的Cloud Security Command Center 服務代理人。
點按「Activate」(啟用)。
結果會顯示在控制台中。接著,您可以使用 Google Cloud 控制台,查看並修正 Google Cloud 安全性與資料風險。
Security Command Center 會在 24 小時內完成第一次完整掃描。部分服務可能需要稍候一段時間,才會開始掃描。詳情請參閱「何時會在 Security Command Center 中看到發現項目」。
Security Command Center Premium 服務
啟用 Security Command Center Premium 後,系統會自動啟用特定服務,並建立服務代理程式,以便這些服務代表您執行動作。
服務
Security Command Center 會使用偵測服務,偵測雲端環境中的安全性問題。啟用 Security Command Center Premium 時,系統會啟用下列服務:
-
如要讓 Container Threat Detection 正常運作,請確保叢集使用受支援的 Google Kubernetes Engine (GKE) 版本,並正確設定 GKE 叢集。詳情請參閱「使用 Container Threat Detection」一文。
-
Event Threat Detection 會使用 Google Cloud產生的記錄。如要使用 Event Threat Detection,請為機構、資料夾和專案啟用記錄。
如需使用和最佳化操作說明,請參閱各項服務的說明文件。 舉例來說,Event Threat Detection 會依據Google Cloud產生的記錄檔。部分記錄檔一律會啟用,因此啟用 Event Threat Detection 後,系統會立即開始掃描這些記錄檔。其他記錄 (例如大多數的資料存取稽核記錄) 必須先啟用,事件威脅偵測才能掃描。
如要啟用或停用本節所述服務和其他服務,請按照「設定 Security Command Center 服務」一文中的步驟操作。
服務代理
服務代理人是由 Google Cloud 建立及管理的服務帳戶,可代表您存取資源。建立服務代理後,Security Command Center 會自動授予服務代理必要的 IAM 角色。啟用 Security Command Center Premium 方案後,系統會啟用下列服務代理程式:
- Cloud Security Command Center 服務代理程式,適用於 Event Threat Detection、安全狀態分析、Virtual Machine Threat Detection 和弱點評估
- Cloud Security Compliance 服務代理 適用於 AI Protection 和 Compliance Manager
- Container Threat Detection 服務代理 適用於 Container Threat Detection
- Data Security Posture Management 服務代理 (適用於 DSPM)
修改 Security Command Center 服務
如要進一步瞭解方案管理,請參閱「為機構修改 Security Command Center Premium 方案」。
後續步驟
- 瞭解如何設定 Security Command Center 服務。
- 瞭解如何在 Google Cloud 控制台中使用 Security Command Center。
- 瞭解如何處理 Security Command Center 發現項目。
- 瞭解Google Cloud 安全性來源。
- 瞭解 Model Armor 如何保護 AI 工作負載。
- 啟用 Sensitive Data Protection ,保護機密資料。
- 瞭解如何使用 Cloud Billing 監控費用。