Questo documento descrive come attivare Security Command Center Premium per un'organizzazione tramite la console Google Cloud . L'attivazione di Security Command Center Premium abilita automaticamente una serie di servizi.
Per saperne di più su Security Command Center Premium, consulta Livelli di servizio di Security Command Center.
Per attivare Security Command Center per un altro livello di servizio, consulta quanto segue:
- Attivare il livello Security Command Center Standard per un'organizzazione
- Attiva il livello Security Command Center Enterprise
Per attivare Security Command Center solo per un progetto, consulta Attivare Security Command Center per un progetto.
Prima di iniziare
Prima di attivare Security Command Center Premium per un'organizzazione, devi fare quanto segue:
- Ottieni ruoli e autorizzazioni IAM (Identity and Access Management) specifici.
- Esamina le policy della tua organizzazione, se applicabili.
- Se prevedi di attivare la residenza dei dati, consulta la sezione Pianificazione della residenza dei dati e determina la località da utilizzare.
- Se prevedi di utilizzare una chiave di crittografia gestita dal cliente (CMEK), completa le attività richieste per abilitare CMEK per Security Command Center.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per attivare Security Command Center per un'organizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM per l'organizzazione:
-
Security Center Admin (
roles/securitycenter.admin) -
Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Rivedi policy dell'organizzazione
Se i criteri dell'organizzazione sono impostati per limitare le identità in base al dominio, verifica quanto segue:
- Devi aver eseguito l'accesso alla console Google Cloud su un account che si trova in un dominio consentito.
- I tuoi service account devono trovarsi in un dominio consentito o essere membri di un gruppo
all'interno del tuo dominio. Questo requisito ti consente di autorizzare i servizi che utilizzano il account di servizio
@*.gserviceaccount.comad accedere alle risorse quando è abilitata la condivisione con limitazioni del dominio.
Se i criteri dell'organizzazione sono impostati per limitare l'utilizzo delle risorse, verifica che le seguenti API siano consentite dai criteri:
cloudsecuritycompliance.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
Attiva Security Command Center Premium
Puoi attivare Security Command Center Premium per un'organizzazione tramite la console Google Cloud .
Nella console Google Cloud , vai alla pagina di benvenuto di Security Command Center.
Seleziona l'organizzazione per cui vuoi attivare Security Command Center Premium e poi fai clic su Seleziona.
Nella pagina di benvenuto, seleziona Inizia una prova gratuita di Premium.
(Facoltativo) Per abilitare la residenza e la crittografia dei dati, fai clic su Mostra altro.
Per saperne di più sulla residenza dei dati, vedi Pianificare la residenza dei dati.
Per ulteriori informazioni sulla crittografia dei dati, vedi Attivare CMEK per Security Command Center. Se la tua organizzazione utilizza policy dell'organizzazione CMEK, potresti avere solo la possibilità di scegliere CMEK o chiavi specifiche. Se non utilizzi CMEK con Security Command Center, Google cripta i dati inattivi utilizzandoGoogle-owned and Google-managed encryption keys.
Fai clic su Attiva.
Man mano che i risultati diventano disponibili, vengono visualizzati nella console. Poi puoi utilizzare la console Google Cloud per esaminare e correggere Google Cloud i rischi per la sicurezza e i dati.
Security Command Center completa la prima scansione completa entro 24 ore. Potrebbe verificarsi un ritardo prima dell'avvio delle scansioni per alcuni servizi. Per saperne di più, consulta Quando aspettarsi i risultati in Security Command Center.
Servizi per Security Command Center Premium
Dopo aver attivato Security Command Center Premium, vengono attivati automaticamente servizi specifici e vengono creati agenti di servizio in modo che questi servizi possano agire per tuo conto.
Servizi
Security Command Center utilizza i servizi di rilevamento per rilevare problemi di sicurezza nei tuoi ambienti cloud. I seguenti servizi vengono abilitati quando attivi Security Command Center Premium:
-
Affinché Container Threat Detection funzioni, assicurati che i cluster siano eseguiti su una versione supportata di Google Kubernetes Engine (GKE) e che i cluster GKE siano configurati correttamente. Per saperne di più, vedi Utilizzare Container Threat Detection.
-
Event Threat Detection si basa sui log generati da Google Cloud. Per utilizzare Event Threat Detection, abilita i log per la tua organizzazione, le cartelle e i progetti.
Consulta la documentazione di ogni servizio per istruzioni sull'utilizzo e l'ottimizzazione. Ad esempio, Event Threat Detection si basa sui log generati da Google Cloud. Alcuni log sono sempre attivi, quindi Event Threat Detection può iniziare a esaminarli non appena viene abilitato. Altri log, come la maggior parte dei log di controllo dell'accesso ai dati, devono essere attivati prima che Event Threat Detection possa eseguirne la scansione.
I servizi descritti in questa sezione e i servizi aggiuntivi possono essere attivati o disattivati seguendo i passaggi descritti in Configurare i servizi di Security Command Center.
Agenti di servizio
Un agente di servizio è un service account creato e gestito da Google Cloud per accedere alle risorse per tuo conto. Una volta creato un service agent, Security Command Center concede automaticamente i ruoli IAM richiesti al service agent. L'attivazione di Security Command Center Premium include i seguenti service agent:
- Agente di servizio Cloud Security Command Center per Security Health Analytics e Vulnerability Assessment
- Cloud Security Compliance Service Agent per Compliance Manager
- Container Threat Detection Service Agent per Container Threat Detection
- Agente di servizio Data Security Posture Management per DSPM
Modificare il servizio Security Command Center
Questa sezione descrive i seguenti scenari:
Passaggio dall'attivazione a livello di progetto all'attivazione a livello di organizzazione del livello Premium
Passaggio al pagamento a consumo come organizzazione che utilizza un abbonamento al livello Premium in scadenza
Upgrade dal livello Standard al livello Premium
Downgrade dal livello Premium al livello Standard
Qualsiasi di queste modifiche potrebbe influire sui prezzi. Per maggiori dettagli, consulta Prezzi di Security Command Center.
Passare all'attivazione a livello di organizzazione del livello Premium
Per passare da un'attivazione a livello di progetto a un'attivazione a livello di organizzazione, segui le istruzioni riportate in Attivare Security Command Center Premium a livello di organizzazione.
Passare all'opzione con pagamento a consumo del livello Premium
Se la tua organizzazione utilizza un abbonamento al livello Premium di Security Command Center, puoi registrarti ai prezzi pay-as-you-go prima della scadenza dell'abbonamento per garantire l'accesso ininterrotto a Security Command Center Premium.
Per registrarti al pagamento a consumo, completa i seguenti passaggi:
Nella console Google Cloud , vai alla pagina Dettagli livello.
Seleziona l'organizzazione per cui vuoi modificare l'opzione di prezzo, quindi fai clic su Seleziona.
Fai clic su Gestisci livello.
Nel riquadro Gestisci livello, verifica che sia selezionato Premium e fai clic su Aggiorna.
Una volta completati questi passaggi e scaduto l'abbonamento, viene applicato il prezzo pay as you go.
Esegui l'upgrade dal livello Standard al livello Premium
Completa i seguenti passaggi per passare dal livello Standard di Security Command Center al livello Premium di Security Command Center.
Nella console Google Cloud , vai alla pagina Dettagli livello.
Seleziona l'organizzazione per cui vuoi eseguire l'upgrade del livello di Security Command Center e poi fai clic su Seleziona.
Fai clic su Esegui l'upgrade a Premium.
Nel riquadro Gestisci livello, fai clic su Aggiorna.
Downgrade dal livello Premium al livello Standard
Per passare dall'opzione di pagamento pay-as-you-go per il livello Security Command Center Premium al livello Security Command Center Standard: Per impostazione predefinita, se hai un abbonamento, viene eseguito automaticamente il downgrade al livello Standard alla scadenza dell'abbonamento.
Se esegui il downgrade al livello Standard di Security Command Center, perdi l'accesso ai servizi e alle funzionalità del livello Premium. Prima di apportare questa modifica, verifica che il profilo di rischio per la sicurezza della tua organizzazione non sia interessato negativamente.
Anche se il livello Standard di Security Command Center è gratuito, potresti comunque riscontrare addebiti indiretti. Per saperne di più, vedi Possibili addebiti indiretti associati a Security Command Center.
Nella console Google Cloud , vai alla pagina Dettagli livello.
Seleziona l'organizzazione per cui vuoi eseguire il downgrade del livello di Security Command Center e poi fai clic su Seleziona.
Fai clic su Gestisci livello.
Nel riquadro Gestisci livello, fai clic su Seleziona per il livello Standard e fai clic su Aggiorna.
Disattiva Security Command Center
Per disattivare Security Command Center, contatta l'assistenza clienti Google Cloud.
Passaggi successivi
- Scopri come configurare i servizi di Security Command Center.
- Scopri come utilizzare Security Command Center nella console Google Cloud .
- Scopri come utilizzare i risultati di Security Command Center.
- Scopri di più sulle Google Cloud origini di sicurezza.
- Scopri come Model Armor può aiutarti a proteggere i tuoi workload di AI.
- Attiva Sensitive Data Protection per proteggere i tuoi dati sensibili.
- Scopri come monitorare i costi utilizzando fatturazione Cloud.