במאמר הזה מוסבר איך להפעיל את Security Command Center Premium בארגון דרך מסוף Google Cloud . הפעלת Security Command Center Premium מפעילה באופן אוטומטי מגוון שירותים.
מידע נוסף על Security Command Center Premium זמין במאמר מסלולי שירות של Security Command Center.
כדי להפעיל את Security Command Center ברמת שירות אחרת, אפשר להיעזר במאמרים הבאים:
- הפעלת רמת השירות Standard של Security Command Center בארגון
- הפעלת מהדורת Enterprise של Security Command Center
כדי להפעיל את Security Command Center רק לפרויקט מסוים, אפשר לעיין במאמר הפעלת Security Command Center לפרויקט.
לפני שמתחילים
לפני שמפעילים את Security Command Center Premium בארגון, צריך לבצע את הפעולות הבאות:
- קבלת תפקידים והרשאות ספציפיים לניהול זהויות והרשאות גישה (IAM).
- אופציונלי: מפעילים ממשקי API נוספים.
- אם רלוונטי לארגון שלכם, כדאי לעיין במדיניות הארגון.
- אם אתם מתכננים להפעיל את התכונה 'מיקום הנתונים', כדאי לעיין במאמר תכנון מיקום הנתונים ולקבוע באיזה מיקום להשתמש.
- אם אתם מתכננים להשתמש במפתח הצפנה בניהול הלקוח (CMEK), עליכם לבצע את המשימות הנדרשות כדי להפעיל CMEK ב-Security Command Center.
אפשר להגדיר את מיקום הנתונים ואת ההצפנה שלהם כשמפעילים את Security Command Center. כדי לשנות את ההגדרות האלה אחרי שמפעילים את Security Command Center Standard או Premium, אפשר לעיין במאמר בנושא שינוי ההגדרה של מיקום הנתונים או ההצפנה של הנתונים.
התפקידים הנדרשים
כדי לקבל את ההרשאות שדרושות להפעלת Security Command Center בארגון, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:
- אדמין ב-Security Center (
roles/securitycenter.admin) - אדמין ארגוני (
roles/resourcemanager.organizationAdmin)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
הפעלת Security Center Management API
אם אתם מתכננים להשתמש ב-Security Center Management API, אתם צריכים להפעיל את ה-API הזה בפרויקט שבו אתם מתכננים להפעיל אותו:
תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של שימוש בשירות' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים
סקירת מדיניות הארגון
אם מדיניות הארגון שלכם מוגדרת להגבלת זהויות על סמך הדומיין, צריך לוודא את הדברים הבאים:
- אתם צריכים להיות מחוברים למסוף Google Cloud דרך חשבון שנמצא בדומיין מורשה.
- חשבונות השירות צריכים להיות בדומיין מותר, או חברים בקבוצה בתוך הדומיין שלכם. הדרישה הזו מאפשרת לכם לתת לשירותים שמשתמשים בחשבון השירות
@*.gserviceaccount.comגישה למשאבים כשהשיתוף מוגבל לדומיין מופעל.
אם מדיניות הארגון שלכם מוגדרת להגבלת השימוש במשאבים, צריך לוודא שממשקי ה-API הבאים מאושרים על ידי המדיניות:
cloudsecuritycompliance.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
הפעלת Security Command Center Premium
אפשר להפעיל את Security Command Center Premium לארגון דרך מסוף Google Cloud .
נכנסים לדף הפתיחה של Security Command Center במסוף Google Cloud .
אם רוצים להפעיל את התכונה 'שמירת נתונים במדינה מסוימת', צריך לפתוח מסוף עם סמכות שיפוט באמצעות כתובת ה-URL שמתאימה למיקום שרוצים להגדיר.
כדי להפעיל את Security Command Center עם אמצעי בקרה של מיקום הנתונים ולשנות את ההגדרה של מיקום הנתונים אחרי ההפעלה, צריך להשתמש במסוף Google Cloud השיפוט. פרטים נוספים זמינים במאמר בנושא מידע על מסוףGoogle Cloud הסמכות השיפוטית.
בוחרים את הארגון שרוצים להפעיל בו את Security Command Center Premium ולוחצים על בחירה.
בדף הפתיחה, בוחרים באפשרות התחלת תקופת ניסיון בחינם ב-Premium.
כדי לבטל את תקופת הניסיון של Premium ולמנוע חיובים לפי שימוש, צריך לשנמך למהדורת Standard לפני שתקופת הניסיון מסתיימת. אפשר לשנמך בכל שלב במהלך תקופת הניסיון. הוראות מפורטות מופיעות במאמר בנושא שנמוך ממסלול פרימיום למסלול רגיל.
אם אתם רוצים לרכוש מינוי Premium, תוכלו לקרוא פרטים במאמר בנושא מסלול Premium: תמחור מבוסס-מינוי.
אופציונלי: כדי לאשר את ההגדרה של מיקום הנתונים או לשנות את ההגדרה של הצפנת הנתונים, לוחצים על עוד.
- אם אתם משתמשים במסוף של סמכות שיפוט, בשדה מיקום יופיע אותו מיקום כמו במסוף של סמכות השיפוט, ובשדה שמירת נתונים יופיע הפעלה. כדי לשנות את המיקום, פותחים את המסוף באמצעות כתובת URL שתואמת למיקום שרוצים להגדיר.
- ההגדרה של הצפנת הנתונים שמוגדרת כברירת מחדל משתמשת ב- Google-owned and Google-managed encryption keys.
כדי להשתמש במפתח של Cloud Key Management Service, לוחצים על עריכת הצפנת הנתונים ופועלים לפי השלבים הבאים:
- בוחרים באפשרות מפתח Cloud KMS.
- בוחרים פרויקט.
- בוחרים מקש. אפשר לבחור מפתח מכל Google Cloud פרויקט, כולל פרויקטים בארגונים אחרים. ברשימה מוצגים רק מפתחות במיקומים תואמים.
כדי לדעת אילו מיקומים מרכזיים תואמים ל-Security Command Center, אפשר לעיין במאמר בנושא קביעת המיקום המרכזי.
אם הארגון שלכם משתמש במדיניות הארגון ל-CMEK, יכול להיות שתהיה לכם רק אפשרות לבחור ב-CMEK או במפתחות ספציפיים.
במהלך תהליך ההפעלה, Security Command Center מקצה את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) לסוכן השירות של Cloud Security Command Center במפתח Cloud KMS.
לוחצים על הפעלה.
כשהתוצאות יהיו זמינות, הן יוצגו במסוף. אחר כך תוכלו להשתמש במסוף כדי לבדוק ולטפל בסיכוני אבטחה ובסיכונים שקשורים לנתונים. Google Cloud Google Cloud
סריקה מלאה ראשונה של Security Command Center מסתיימת תוך 24 שעות. יכול להיות שיהיה עיכוב עד שהסריקות יתחילו בשירותים מסוימים. מידע נוסף זמין במאמר מתי אפשר לצפות לתוצאות ב-Security Command Center.
שירותים ל-Security Command Center Premium
אחרי שמפעילים את Security Command Center Premium, שירותים מסוימים מופעלים באופן אוטומטי, ונוצרים סוכני שירות כדי שהשירותים האלה יוכלו לפעול בשמכם.
שירותים
Security Command Center משתמש בשירותי זיהוי כדי לזהות בעיות אבטחה בסביבות הענן שלכם. השירותים הבאים מופעלים כשמפעילים את Security Command Center Premium:
-
כדי שהתכונה 'זיהוי איומים בקונטיינרים' תפעל, צריך לוודא שהאשכולות שלכם הם בגרסה נתמכת של Google Kubernetes Engine (GKE) ושהאשכולות של GKE מוגדרים בצורה נכונה. מידע נוסף זמין במאמר שימוש ב-Container Threat Detection.
-
Event Threat Detection מסתמך על יומנים שנוצרו על ידי Google Cloud. כדי להשתמש ב-Event Threat Detection, צריך להפעיל את היומנים עבור הארגון, התיקיות והפרויקטים.
לקבלת הוראות לשימוש ולאופטימיזציה, אפשר לעיין במאמרי העזרה של כל שירות. לדוגמה, Event Threat Detection מסתמך על יומנים שנוצרו על ידיGoogle Cloud. חלק מהיומנים תמיד מופעלים, כך שהתכונה Event Threat Detection יכולה להתחיל לסרוק את היומנים האלה ברגע שהיא מופעלת. צריך להפעיל יומנים אחרים, כמו רוב יומני הביקורת של גישה לנתונים, כדי ש-Event Threat Detection יוכל לסרוק אותם.
כדי להפעיל או להשבית את השירותים שמפורטים בקטע הזה ושירותים נוספים, צריך לפעול לפי השלבים שמפורטים במאמר בנושא הגדרת שירותים ב-Security Command Center.
סוכני שירות
סוכן שירות הוא חשבון שירות שנוצר ומנוהל על ידי Google Cloud כדי לגשת למשאבים בשמכם. אחרי שסוכן שירות נוצר, Security Command Center מקצה לו באופן אוטומטי את תפקידי ה-IAM הנדרשים. הפעלת Security Command Center Premium כוללת את סוכני השירות הבאים:
- סוכן שירות של Cloud Security Command Center לזיהוי איומים באירועים, לניתוח תקינות האבטחה, לזיהוי איומים במכונות וירטואליות ולהערכת פגיעות
- סוכן שירות של Cloud Security Compliance ל-AI Protection ול-Compliance Manager
- Container Threat Detection Service Agent בשביל Container Threat Detection
- סוכן שירות לניהול מצב אבטחת הנתונים (DSPM)
שינוי שירות Security Command Center
מידע נוסף על ניהול רמות זמין במאמר שינוי רמת Premium של Security Command Center בארגון.
המאמרים הבאים
- איך מגדירים שירותים ב-Security Command Center
- איך משתמשים ב-Security Command Center ב Google Cloud מסוף
- איך עובדים עם ממצאים של Security Command Center
- Google Cloud מידע נוסף על מקורות אבטחה
- איך Model Armor יכול לעזור להגן על עומסי העבודה של ה-AI.
- כדי להגן על מידע אישי רגיש, מומלץ להפעיל את Sensitive Data Protection.
- איך עוקבים אחרי העלויות באמצעות החיוב ב-Cloud