Este documento descreve como ativar o Security Command Center Premium para uma organização através da Google Cloud consola. A ativação do Security Command Center Premium ativa automaticamente uma variedade de serviços.
Para mais informações sobre o Security Command Center Premium, consulte o artigo Níveis de serviço do Security Command Center.
Para ativar o Security Command Center para um nível de serviço diferente, consulte o seguinte:
- Ative o nível Standard do Security Command Center para uma organização
- Ative o nível Enterprise do Security Command Center
Para ativar o Security Command Center apenas para um projeto, consulte o artigo Ative o Security Command Center para um projeto.
Antes de começar
Antes de ativar o Security Command Center Premium para uma organização, tem de fazer o seguinte:
- Obter funções e autorizações específicas da gestão de identidade e de acesso (IAM).
- Reveja as políticas da sua organização, se aplicável à sua organização.
- Se planeia ativar a residência de dados, reveja o artigo Planeamento da residência de dados e determine que localização usar.
- Se planeia usar uma chave de encriptação gerida pelo cliente (CMEK), conclua as tarefas necessárias para ativar a CMEK para o Security Command Center.
Funções necessárias
Para receber as autorizações de que precisa para ativar o Security Command Center para uma organização, peça ao seu administrador que lhe conceda as seguintes funções do IAM na sua organização:
-
Administrador do centro de segurança (
roles/securitycenter.admin) -
Administrador da organização (
roles/resourcemanager.organizationAdmin)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Reveja as políticas da organização
Se as políticas da sua organização estiverem definidas para restringir identidades por domínio, confirme o seguinte:
- Tem de ter sessão iniciada na Google Cloud consola numa conta que esteja num domínio permitido.
- As suas contas de serviço têm de estar num domínio permitido ou ser membros de um grupo no seu domínio. Este requisito permite-lhe autorizar serviços que usam a conta de serviço
@*.gserviceaccount.coma aceder a recursos quando a partilha restrita por domínio está ativada.
Se as políticas da sua organização estiverem definidas para restringir a utilização de recursos, verifique se as seguintes APIs são permitidas pela sua política:
cloudsecuritycompliance.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
Ative o Security Command Center Premium
Pode ativar o Security Command Center Premium para uma organização através da Google Cloud consola.
Na Google Cloud consola, aceda à página de boas-vindas do Security Command Center.
Selecione a organização para a qual quer ativar o Security Command Center Premium e, de seguida, clique em Selecionar.
Na página de boas-vindas, selecione Iniciar avaliação gratuita do Premium.
Opcional: para ativar a residência de dados e a encriptação de dados, clique em Mostrar mais.
Para mais informações sobre a residência de dados, consulte o artigo Planeamento da residência de dados.
Para mais informações sobre a encriptação de dados, consulte o artigo Ative a CMEK para o Security Command Center. Se a sua organização usar políticas da organização CMEK, pode ter apenas a opção de escolher a CMEK ou chaves específicas. Se não usar as CMEK com o Security Command Center, a Google encripta os dados em repouso com a encriptação AES-256.Google-owned and Google-managed encryption keys
Clique em Ativar.
À medida que os resultados ficam disponíveis, são apresentados na consola. Em seguida, pode usar a consola para rever e corrigir Google Cloud a segurança e os riscos de dados. Google Cloud
O Security Command Center conclui a primeira análise completa no prazo de 24 horas. Pode haver um atraso antes de as análises serem iniciadas para alguns serviços. Para mais informações, consulte o artigo Quando esperar resultados no Security Command Center.
Serviços para o Security Command Center Premium
Depois de ativar o Security Command Center Premium, os serviços específicos são ativados automaticamente, e os agentes de serviço são criados para que estes serviços possam agir em seu nome.
Serviços
O Security Command Center usa serviços de deteção para detetar problemas de segurança nos seus ambientes de nuvem. Os seguintes serviços são ativados quando ativa o Security Command Center Premium:
Deteção de ameaças de contentores
Para que a deteção de ameaças de contentores funcione, certifique-se de que os seus clusters estão numa versão suportada do Google Kubernetes Engine (GKE) e que os seus clusters do GKE estão configurados corretamente. Para mais informações, consulte o artigo Use a Deteção de ameaças de contentores.
-
A Deteção de ameaças de eventos baseia-se nos registos gerados pelo Google Cloud. Para usar a Deteção de ameaças de eventos, ative os registos para a sua organização, pastas e projetos.
Consulte a documentação de cada serviço para ver instruções de utilização e otimização. Por exemplo, a Deteção de ameaças de eventos baseia-se nos registos gerados pelo Google Cloud. Alguns registos estão sempre ativados, pelo que a Deteção de ameaças de eventos pode começar a analisar estes registos assim que estiver ativada. Outros registos, como a maioria dos registos de auditoria de acesso a dados, têm de ser ativados antes de a Deteção de ameaças de eventos os poder analisar.
Pode ativar ou desativar os serviços descritos nesta secção e serviços adicionais seguindo os passos em Configure os serviços do Security Command Center.
Agentes do serviço
Um agente de serviço é uma conta de serviço criada e gerida pela Google Cloud para aceder a recursos em seu nome. Depois de criar um agente de serviço, o Security Command Center concede automaticamente as funções do IAM necessárias ao agente de serviço. A ativação do Security Command Center Premium inclui os seguintes agentes de serviço:
- Agente de serviço do Cloud Security Command Center para o Security Health Analytics e a avaliação de vulnerabilidades
- Agente de serviço de conformidade de segurança na nuvem para o Gestor de conformidade
- Agente de serviço de deteção de ameaças de contentores para a deteção de ameaças de contentores
- Agente de serviço de gestão da postura de segurança de dados para DSPM
Modifique o seu serviço do Security Command Center
Esta secção descreve os seguintes cenários:
Alteração da ativação ao nível do projeto para a ativação ao nível da organização do nível Premium
Alterar para preços de pagamento conforme o uso como uma organização que usa uma subscrição do nível Premium que vai expirar
Atualizar do Nível Standard para o Nível Premium
Alterar do Nível premium para o Nível Standard
Qualquer uma destas alterações pode afetar os preços. Para mais detalhes, consulte o artigo Preços do Security Command Center.
Altere para a ativação ao nível da organização do nível Premium
Para alterar a ativação ao nível do projeto para uma ativação ao nível da organização, siga as instruções em Ative o Security Command Center Premium ao nível da organização.
Mude para a opção de pagamento à medida do Nível premium
Se a sua organização usar uma subscrição do nível Premium do Security Command Center, pode inscrever-se nos preços de pagamento conforme o uso antes da expiração da subscrição para fornecer acesso ininterrupto ao Security Command Center Premium.
Para se inscrever nos preços de pagamento conforme o uso, conclua os seguintes passos:
Na Google Cloud consola, aceda à página Detalhes do nível.
Selecione a organização para a qual quer alterar a opção de preços e, de seguida, clique em Selecionar.
Clique em Gerir nível.
No painel Gerir nível, verifique se a opção Premium está selecionada e clique em Atualizar.
Depois de concluir estes passos e a subscrição expirar, os preços de pagamento conforme o uso entram em vigor.
Atualize do nível Standard para o nível Premium
Conclua os passos seguintes para mudar do nível Standard do Security Command Center para o nível Premium do Security Command Center.
Na Google Cloud consola, aceda à página Detalhes do nível.
Selecione a organização para a qual quer atualizar o nível do Security Command Center e, de seguida, clique em Selecionar.
Clique em Atualizar para premium.
No painel Gerir nível, clique em Atualizar.
Altere do Nível premium para o Nível Standard
Conclua os passos seguintes para alterar a opção de pagamento por utilização do nível Premium do Security Command Center para o nível Standard do Security Command Center. Por predefinição, se tiver uma subscrição, a sua conta é automaticamente mudada para o nível Standard quando a subscrição expira.
Quando altera para o nível padrão do Security Command Center, perde o acesso aos serviços e às funcionalidades do nível premium. Valide se o perfil de risco de segurança da sua organização não é afetado negativamente antes de fazer esta alteração.
Embora o nível Standard do Security Command Center seja gratuito, ainda pode incorrer em custos indiretos. Para mais informações, consulte o artigo Possíveis custos indiretos associados ao Security Command Center.
Na Google Cloud consola, aceda à página Detalhes do nível.
Selecione a organização para a qual quer reduzir o nível do Security Command Center e, de seguida, clique em Selecionar.
Clique em Gerir nível.
No painel Gerir nível, clique em Selecionar para o nível Standard e clique em Atualizar.
Desative o Security Command Center
Para desativar o Security Command Center, contacte o apoio ao cliente do Google Cloud.
O que se segue?
- Saiba como configurar os serviços do Security Command Center.
- Saiba como usar o Security Command Center na Google Cloud consola.
- Saiba como trabalhar com as conclusões do Security Command Center.
- Saiba mais sobre as Google Cloud origens de segurança.
- Saiba como o Model Armor pode ajudar a proteger as suas cargas de trabalho de IA.
- Ative a proteção de dados confidenciais para ajudar a proteger os seus dados confidenciais.
- Saiba como monitorizar os seus custos através da faturação do Google Cloud.