Attiva il livello Premium di Security Command Center per un'organizzazione

Questo documento descrive come attivare Security Command Center Premium per un'organizzazione tramite la Google Cloud console. L'attivazione di Security Command Center Premium automaticamente abilita una varietà di servizi.

Per saperne di più su Security Command Center Premium, consulta Livelli di servizio di Security Command Center.

Per attivare Security Command Center per un livello di servizio diverso, consulta quanto segue:

Per attivare Security Command Center solo per un progetto, consulta Attivare Security Command Center per un progetto.

Prima di iniziare

Prima di attivare Security Command Center Premium per un'organizzazione, devi:

  • Ottenere ruoli e autorizzazioni IAM (Identity and Access Management) specifici.
  • (Facoltativo) Abilitare API aggiuntive.
  • Esaminare le policy dell'organizzazione, se applicabili alla tua organizzazione.
  • Se prevedi di abilitare la residenza dei dati, consulta Pianificare la residenza dei dati e determina la località da utilizzare.
  • Se prevedi di utilizzare una chiave di crittografia gestita dal cliente (CMEK), completa le attività richieste per abilitare CMEK per Security Command Center.

Puoi configurare la residenza e la crittografia dei dati quando attivi Security Command Center. Per modificare queste impostazioni dopo aver attivato Security Command Center Standard o Premium, consulta Modificare la configurazione della residenza o della crittografia dei dati.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per attivare Security Command Center per un'organizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM per la tua organizzazione:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Abilitare l'API Security Center Management

Se prevedi di utilizzare l'API Security Center Management, abilita questa API nel progetto in cui prevedi di chiamarla:

Ruoli richiesti per abilitare le API

Per abilitare le API, devi disporre del ruolo IAM Amministratore Service Usage (roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.

Abilitare l'API

Rivedi policy dell'organizzazione

Se le policy dell'organizzazione sono impostate per limitare le identità in base al dominio, verifica quanto segue:

  • Devi aver eseguito l'accesso alla Google Cloud console con un account in un dominio consentito.
  • I tuoi service account devono trovarsi in un dominio consentito o essere membri di un gruppo all'interno del tuo dominio. Questo requisito ti consente di consentire ai servizi che utilizzano il account di servizio @*.gserviceaccount.com di accedere alle risorse quando è abilitata la condivisione con limitazioni di dominio.

Se le policy dell'organizzazione sono impostate per limitare l'utilizzo delle risorse, verifica che le seguenti API siano consentite dalla policy:

  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Attivare Security Command Center Premium

Puoi attivare Security Command Center Premium per un'organizzazione tramite la Google Cloud console.

  1. Nella Google Cloud console, vai alla pagina di benvenuto di Security Command Center.

    Vai a Security Command Center

  2. Se vuoi abilitare la residenza dei dati, apri una console giurisdizionale utilizzando l'URL che corrisponde alla località che prevedi di configurare.

    Devi utilizzare la console giurisdizionale Google Cloud per attivare Security Command Center con i controlli di residenza dei dati e modificare la configurazione della residenza dei dati dopo l'attivazione. Per maggiori dettagli, consulta Informazioni sulla console Google Cloud giurisdizionale.

  3. Seleziona l'organizzazione per cui vuoi abilitare Security Command Center Premium, quindi fai clic su Seleziona.

  4. Nella pagina di benvenuto, seleziona Inizia una prova senza costi di Premium.

    Per annullare la prova di Premium ed evitare addebiti con pagamento a consumo, devi eseguire il downgrade al livello Standard prima della fine del periodo di prova. Puoi eseguire il downgrade in qualsiasi momento durante la prova. Per istruzioni dettagliate, consulta Eseguire il downgrade dal livello Premium al livello Standard.

    Se vuoi acquistare un abbonamento Premium, consulta Livello Premium: prezzi basati su abbonamento per i dettagli.

  5. (Facoltativo) Per confermare la configurazione della residenza dei dati o modificare la configurazione della crittografia dei dati, fai clic su Mostra altro.

    • Se utilizzi una console giurisdizionale, il il campo Residenza dei dati mostra Abilita e il il campo Località mostra la stessa località della console giurisdizionale. Per modificare la località, apri la console utilizzando un URL che corrisponde alla località che vuoi configurare.
    • La configurazione predefinita della crittografia dei dati utilizza Google-owned and Google-managed encryption keys. Per utilizzare una chiave Cloud Key Management Service, fai clic su Modifica crittografia dei dati e poi:
      1. Seleziona Chiave Cloud KMS.
      2. Seleziona un progetto.
      3. Seleziona una chiave. Puoi selezionare una chiave da qualsiasi Google Cloud progetto, inclusi i progetti di altre organizzazioni. Nell'elenco vengono visualizzate solo le chiavi nelle località compatibili.

      Per scoprire quali località delle chiavi sono compatibili con Security Command Center, consulta Determinare la località della chiave.

      Se la tua organizzazione utilizza le policy dell'organizzazione per le chiavi CMEK, potresti avere solo la possibilità di scegliere CMEK o chiavi specifiche.

      Durante il processo di attivazione, Security Command Center concede il ruolo Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) al Cloud Security Command Center Service Agent sulla chiave Cloud KMS.

  6. Fai clic su Attiva.

I risultati vengono visualizzati nella console man mano che diventano disponibili. Poi puoi utilizzare la Google Cloud console per esaminare e correggere Google Cloud i rischi per la sicurezza e i dati.

Security Command Center completa la prima scansione completa entro 24 ore. Potrebbe verificarsi un ritardo prima dell'avvio delle scansioni per alcuni servizi. Per saperne di più, consulta Quando prevedere i risultati in Security Command Center.

Servizi per Security Command Center Premium

Dopo aver attivato Security Command Center Premium, vengono abilitati automaticamente servizi specifici e vengono creati service agent in modo che questi servizi possano agire per tuo conto.

Servizi

Security Command Center utilizza i servizi di rilevamento per rilevare problemi di sicurezza negli ambienti cloud. Quando attivi Security Command Center Premium, vengono abilitati i seguenti servizi:

Consulta la documentazione di ogni servizio per le istruzioni sull'utilizzo e l'ottimizzazione. Ad esempio, Event Threat Detection si basa sui log generati da Google Cloud. Alcuni log sono sempre attivi, quindi Event Threat Detection può iniziare a eseguirne la scansione non appena viene abilitato. Altri log, come la maggior parte degli audit log di accesso ai dati, devono essere attivati prima che Event Threat Detection possa eseguirne la scansione.

I servizi descritti in questa sezione e altri servizi possono essere abilitati o disabilitati seguendo i passaggi descritti in Configurare i servizi di Security Command Center.

Service agent

Un service agent è un service account creato e gestito da Google Cloud per accedere alle risorse per tuo conto. Dopo la creazione di un service agent, Security Command Center concede automaticamente i ruoli IAM richiesti al service agent. L'attivazione di Security Command Center Premium include i seguenti service agent:

Modificare il servizio Security Command Center

Per saperne di più sulla gestione dei livelli, consulta Modificare il livello Premium di Security Command Center per un'organizzazione.

Passaggi successivi