Dokumen ini menjelaskan cara mengaktifkan Security Command Center Premium untuk organisasi melalui Google Cloud konsol. Mengaktifkan Security Command Center Premium otomatis mengaktifkan berbagai layanan.
Untuk mengetahui informasi selengkapnya tentang Security Command Center Premium, lihat Paket layanan Security Command Center.
Untuk mengaktifkan Security Command Center untuk paket layanan yang berbeda, lihat hal berikut:
- Mengaktifkan paket Standard Security Command Center untuk organisasi
- Mengaktifkan Security Command Center Enterprise
Untuk mengaktifkan Security Command Center hanya untuk project, lihat Mengaktifkan Security Command Center untuk project.
Sebelum memulai
Sebelum mengaktifkan Security Command Center Premium untuk organisasi, Anda harus melakukan hal berikut:
- Mendapatkan peran dan izin Identity and Access Management (IAM) tertentu.
- Opsional: Mengaktifkan API tambahan.
- Meninjau kebijakan organisasi Anda, jika berlaku untuk organisasi Anda.
- Jika Anda berencana mengaktifkan residensi data, tinjau Perencanaan residensi data dan tentukan lokasi yang akan digunakan.
- Jika Anda berencana menggunakan kunci enkripsi yang dikelola pelanggan (CMEK), selesaikan tugas yang diperlukan untuk mengaktifkan CMEK untuk Security Command Center.
Anda dapat mengonfigurasi residensi data dan enkripsi data saat mengaktifkan Security Command Center. Untuk mengubah setelan ini setelah Anda mengaktifkan Security Command Center Standard atau Premium, lihat Mengubah konfigurasi residensi data atau enkripsi data.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk mengaktifkan Security Command Center untuk organisasi, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi Anda:
- Admin Security Center (
roles/securitycenter.admin) - Administrator Organisasi (
roles/resourcemanager.organizationAdmin)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Mengaktifkan Security Center Management API
Jika Anda berencana menggunakan Security Center Management API, aktifkan API ini di project tempat Anda berencana memanggilnya:
Peran yang diperlukan untuk mengaktifkan API
Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin
(roles/serviceusage.serviceUsageAdmin),
yang berisi izin serviceusage.services.enable. Pelajari cara memberikan
peran.
Meninjau kebijakan organisasi
Jika kebijakan organisasi Anda ditetapkan untuk membatasi identitas menurut domain, konfirmasi hal berikut:
- Anda harus login ke Google Cloud konsol di akun yang berada di domain yang diizinkan.
- Akun layanan Anda harus berada di domain yang diizinkan, atau anggota grup dalam domain Anda. Persyaratan ini memungkinkan Anda mengizinkan layanan yang menggunakan akun layanan
@*.gserviceaccount.comuntuk mengakses resource saat berbagi yang dibatasi domain diaktifkan.
Jika kebijakan organisasi Anda ditetapkan untuk membatasi penggunaan resource, pastikan API berikut diizinkan oleh kebijakan Anda:
cloudsecuritycompliance.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
Mengaktifkan Security Command Center Premium
Anda dapat mengaktifkan Security Command Center Premium untuk organisasi melalui konsol Google Cloud .
Di Google Cloud konsol, buka halaman selamat datang Security Command Center.
Jika Anda ingin mengaktifkan residensi data, buka konsol yurisdiksi menggunakan URL yang cocok dengan lokasi yang Anda rencanakan untuk dikonfigurasi.
Anda harus menggunakan konsol yurisdiksi Google Cloud untuk mengaktifkan Security Command Center dengan kontrol residensi data dan mengubah konfigurasi residensi data setelah aktivasi. Untuk mengetahui detailnya, lihat Tentang konsol Google Cloud yurisdiksi.
Pilih organisasi yang ingin Anda aktifkan Security Command Center Premium, lalu klik Pilih.
Di halaman selamat datang, pilih Mulai uji coba gratis Premium.
Untuk membatalkan uji coba Premium dan menghindari biaya bayar sesuai penggunaan, Anda harus melakukan downgrade ke paket Standard sebelum periode uji coba berakhir. Anda dapat melakukan downgrade kapan saja selama uji coba. Untuk mengetahui petunjuk mendetail, lihat Melakukan downgrade dari paket Premium ke paket Standard.
Jika Anda ingin membeli langganan Premium, lihat Paket Premium: Harga berbasis langganan untuk mengetahui detailnya.
Opsional: Untuk mengonfirmasi konfigurasi residensi data atau mengubah konfigurasi enkripsi data, klik Tampilkan lebih lanjut.
- Jika Anda menggunakan konsol yurisdiksi, kolom Residensi data akan menampilkan Aktifkan dan kolom Lokasi akan menampilkan lokasi yang sama dengan konsol yurisdiksi. Untuk mengubah lokasi, buka konsol menggunakan URL yang cocok dengan lokasi yang ingin Anda konfigurasi.
- Konfigurasi enkripsi data default menggunakan Google-owned and Google-managed encryption keys.
Untuk menggunakan kunci Cloud Key Management Service, klik Edit enkripsi data, lalu lakukan hal berikut:
- Pilih Kunci Cloud KMS.
- Pilih project.
- Pilih kunci. Anda dapat memilih kunci dari project mana pun, termasuk project di organisasi lain. Google Cloud Hanya kunci di lokasi yang kompatibel yang ditampilkan dalam daftar.
Untuk mempelajari lokasi kunci mana yang kompatibel dengan Security Command Center, lihat Menentukan lokasi kunci.
Jika organisasi Anda menggunakan kebijakan organisasi CMEK, Anda mungkin hanya memiliki opsi untuk memilih CMEK atau kunci tertentu.
Selama proses aktivasi, Security Command Center memberikan peran Cloud KMS CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) kepada Cloud Security Command Center Service Agent di kunci Cloud KMS.
Klik Aktifkan.
Saat hasil tersedia, hasil tersebut akan ditampilkan di konsol. Kemudian, Anda dapat menggunakan konsol Google Cloud untuk meninjau dan memulihkan Google Cloud risiko keamanan dan data.
Security Command Center menyelesaikan pemindaian lengkap pertamanya dalam waktu 24 jam. Mungkin ada penundaan sebelum pemindaian dimulai untuk beberapa layanan. Untuk mengetahui informasi selengkapnya, lihat Kapan temuan dapat diharapkan di Security Command Center.
Layanan untuk Security Command Center Premium
Setelah Anda mengaktifkan Security Command Center Premium, layanan tertentu akan otomatis diaktifkan, dan agen layanan akan dibuat sehingga layanan ini dapat bertindak atas nama Anda.
Layanan
Security Command Center menggunakan layanan deteksi untuk mendeteksi masalah keamanan di lingkungan cloud Anda. Layanan berikut diaktifkan saat Anda mengaktifkan Security Command Center Premium:
-
Agar Container Threat Detection berfungsi, pastikan cluster Anda menggunakan Google Kubernetes Engine (GKE) versi yang didukung dan cluster GKE Anda dikonfigurasi dengan benar. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Container Threat Detection.
-
Event Threat Detection mengandalkan log yang dihasilkan oleh Google Cloud. Untuk menggunakan Event Threat Detection, aktifkan log untuk organisasi, folder, dan project Anda.
Lihat dokumentasi setiap layanan untuk mengetahui petunjuk penggunaan dan pengoptimalan. Sebagai contoh, Event Threat Detection mengandalkan log yang dihasilkan oleh Google Cloud. Beberapa log selalu aktif, sehingga Event Threat Detection dapat mulai memindai log ini segera setelah diaktifkan. Log lainnya, seperti sebagian besar log audit akses data, harus diaktifkan sebelum Event Threat Detection dapat memindainya.
Layanan yang diuraikan di bagian ini, dan layanan tambahan, dapat diaktifkan atau dinonaktifkan dengan mengikuti langkah-langkah di Mengonfigurasi layanan Security Command Center.
Agen layanan
Agen layanan adalah akun layanan yang dibuat dan dikelola oleh Google Cloud untuk mengakses resource atas nama Anda. Setelah agen layanan dibuat, Security Command Center akan otomatis memberikan peran IAM yang diperlukan kepada agen layanan. Aktivasi Security Command Center Premium mencakup agen layanan berikut:
- Agen Layanan Cloud Security Command Center untuk Event Threat Detection, Security Health Analytics, Virtual Machine Threat Detection, dan Vulnerability Assessment
- Cloud Security Compliance Service Agent untuk Perlindungan AI dan Compliance Manager
- Agen Layanan Deteksi Ancaman Kontainer untuk Deteksi Ancaman Kontainer
- Data Security Posture Management Service Agent untuk DSPM
Mengubah layanan Security Command Center
Untuk mengetahui informasi selengkapnya tentang pengelolaan paket, lihat Mengubah paket Premium Security Command Center untuk organisasi.
Langkah berikutnya
- Pelajari cara mengonfigurasi layanan Security Command Center.
- Pelajari cara menggunakan Security Command Center di konsol. Google Cloud
- Pelajari cara menggunakan temuan Security Command Center.
- Pelajari tentang Google Cloud sumber keamanan.
- Cari tahu bagaimana Model Armor dapat membantu melindungi workload AI Anda.
- Aktifkan Sensitive Data Protection untuk membantu melindungi data sensitif Anda.
- Pelajari cara memantau biaya menggunakan Penagihan Cloud.