Este documento descreve como ativar o Security Command Center Premium para uma organização pelo console Google Cloud . A ativação do Security Command Center Premium habilita automaticamente vários serviços.
Para mais informações sobre o Security Command Center Premium, consulte Níveis de serviço do Security Command Center.
Para ativar o Security Command Center em um nível de serviço diferente, consulte o seguinte:
- Ativar o nível Standard do Security Command Center para uma organização
- Ativar o nível do Security Command Center Enterprise
Para ativar o Security Command Center apenas para um projeto, consulte Ativar o Security Command Center para um projeto.
Antes de começar
Antes de ativar o Security Command Center Premium para uma organização, faça o seguinte:
- Receba papéis e permissões específicos do Identity and Access Management (IAM).
- Revise as políticas da organização, se aplicável.
- Se você planeja ativar a residência de dados, consulte Planejamento da residência de dados e determine qual local usar.
- Se você planeja usar uma chave de criptografia gerenciada pelo cliente (CMEK), conclua as tarefas necessárias para ativar a CMEK no Security Command Center.
Funções exigidas
Para receber as permissões necessárias para ativar o Security Command Center em uma organização, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:
-
Administrador da Central de segurança (
roles/securitycenter.admin) -
Administrador da organização (
roles/resourcemanager.organizationAdmin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Revisar as políticas da organização
Se as políticas da organização estiverem definidas para restringir identidades por domínio, confirme o seguinte:
- Você precisa fazer login no console do Google Cloud em uma conta que esteja em um domínio permitido.
- As contas de serviço precisam estar em um domínio permitido ou membros de um
grupo dentro do domínio. Esse requisito permite que você autorize serviços que usam a conta de serviço
@*.gserviceaccount.coma acessar recursos quando o compartilhamento restrito de domínio está ativado.
Se as políticas da sua organização estiverem definidas para restringir o uso de recursos, verifique se as seguintes APIs são permitidas pela sua política:
cloudsecuritycompliance.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
Ativar o Security Command Center Premium
É possível ativar o Security Command Center Premium para uma organização no console Google Cloud .
No console do Google Cloud , acesse a página inicial do Security Command Center.
Selecione a organização para a qual você quer ativar o Security Command Center Premium e clique em Selecionar.
Na página de boas-vindas, selecione Iniciar um teste sem custo financeiro do Premium.
Opcional: para ativar a residência e a criptografia de dados, clique em Mostrar mais.
Para mais informações sobre a residência de dados, consulte Planejar a residência de dados.
Para mais informações sobre criptografia de dados, consulte Ativar a CMEK para o Security Command Center. Se a organização usar políticas da organização de CMEK, talvez você só tenha a opção de escolher CMEK ou chaves específicas. Se você não usar a CMEK com o Security Command Center, o Google criptografará os dados em repouso usandoGoogle-owned and Google-managed encryption keys.
Clique em Ativar.
À medida que os resultados ficam disponíveis, eles são exibidos no console. Em seguida, use o console Google Cloud para analisar e corrigir os riscos de segurança Google Cloud e de dados.
O Security Command Center conclui a primeira verificação completa em até 24 horas. As verificações de alguns serviços podem demorar um tempo até serem iniciadas. Para mais informações, consulte Quando esperar descobertas no Security Command Center.
Serviços do Security Command Center Premium
Depois de ativar o Security Command Center Premium, serviços específicos são ativados automaticamente, e agentes de serviço são criados para que esses serviços possam agir em seu nome.
Serviços
O Security Command Center usa serviços de detecção para detectar problemas de segurança nos seus ambientes de nuvem. Os seguintes serviços são ativados quando você ativa o Security Command Center Premium:
-
Para que o Container Threat Detection funcione, verifique se os clusters estão em uma versão compatível do Google Kubernetes Engine (GKE) e se os clusters do GKE estão configurados corretamente. Para mais informações, consulte Usar o Container Threat Detection.
-
O Event Threat Detection depende de registros gerados pelo Google Cloud. Para usar o Event Threat Detection, ative os registros da sua organização, pastas e projetos.
Consulte a documentação de cada serviço para instruções de uso e otimização. Por exemplo, o Event Threat Detection depende de registros gerados pelo Google Cloud. Alguns registros ficam sempre ativados, então o Event Threat Detection pode começar a verificá-los assim que forem ativados. Outros registros, como a maioria dos registros de auditoria de acesso a dados, precisam ser ativados antes que o Event Threat Detection possa verificá-los.
Os serviços descritos nesta seção e outros podem ser ativados ou desativados seguindo as etapas em Configurar serviços do Security Command Center.
Agentes de serviço
Um agente de serviço é uma conta de serviço criada e gerenciada pelo Google Cloud para acessar recursos em seu nome. Depois que um agente de serviço é criado, o Security Command Center concede automaticamente os papéis necessários do IAM a ele. A ativação do Security Command Center Premium inclui os seguintes agentes de serviço:
- Agente de serviço do Cloud Security Command Center para o Security Health Analytics e a avaliação de vulnerabilidades
- Agente de serviço de compliance de segurança do Cloud para o Gerenciador de compliance
- Agente de serviço do Container Threat Detection para o Container Threat Detection
- Agente de serviço de gerenciamento da postura de segurança de dados para DSPM
Modificar seu serviço do Security Command Center
Esta seção descreve os seguintes cenários:
Mudar de uma ativação do nível Premium no nível do projeto para uma ativação no nível da organização
Mudar para o preço de pagamento por utilização como uma organização que usa uma assinatura expirada do nível Premium
Como fazer upgrade do nível Standard para o Premium
Fazer downgrade do nível Premium para o Standard
Qualquer uma dessas mudanças pode afetar os preços. Para mais detalhes, consulte Preços do Security Command Center.
Mudar para a ativação do nível Premium no nível da organização
Para mudar de uma ativação no nível do projeto para uma ativação no nível da organização, siga as instruções em Ativar o Security Command Center Premium no nível da organização.
Mudar para a opção de pagamento por utilização do nível Premium
Se a organização usa uma assinatura do nível Premium do Security Command Center, você pode se inscrever nos preços de pagamento por uso antes que a assinatura expire para fornecer acesso ininterrupto ao Security Command Center Premium.
Para se inscrever no preço por uso, siga estas etapas:
No console Google Cloud , acesse a página Detalhes do nível.
Selecione a organização para a qual você quer mudar a opção de preço e clique em Selecionar.
Clique em Gerenciar nível.
No painel Gerenciar nível, verifique se a opção Premium está selecionada e clique em Atualizar.
Depois de concluir essas etapas e a assinatura expirar, o preço por uso vai entrar em vigor.
Fazer upgrade do nível Standard para o nível Premium
Conclua as etapas a seguir para mudar do nível Standard do Security Command Center para o nível Premium.
No console Google Cloud , acesse a página Detalhes do nível.
Selecione a organização para a qual você quer fazer upgrade do nível do Security Command Center e clique em Selecionar.
Clique em Fazer upgrade para o Premium.
No painel Gerenciar nível, clique em Atualizar.
Fazer downgrade do nível Premium para o nível Standard
Conclua as etapas a seguir para mudar da opção de pagamento conforme o uso do nível Premium do Security Command Center para o nível Standard. Por padrão, se você tiver uma assinatura, será feito automaticamente o downgrade para o nível Standard quando ela expirar.
Ao fazer downgrade para o nível Standard do Security Command Center, você perde o acesso aos serviços e recursos do nível Premium. Verifique se o perfil de risco de segurança da sua organização não foi afetado negativamente antes de fazer essa alteração.
Mesmo que o nível Standard do Security Command Center seja gratuito, você ainda poderá receber cobranças indiretas. Para mais informações, consulte Possíveis cobranças indiretas associadas ao Security Command Center.
No console Google Cloud , acesse a página Detalhes do nível.
Selecione a organização para a qual você quer fazer downgrade do nível do Security Command Center e clique em Selecionar.
Clique em Gerenciar nível.
No painel Gerenciar nível, clique em Selecionar para o nível Standard e em Atualizar.
Desativar o Security Command Center
Para desativar o Security Command Center, entre em contato com o Cloud Customer Care.
A seguir
- Saiba como configurar os serviços do Security Command Center.
- Saiba como usar o Security Command Center no console do Google Cloud .
- Saiba como trabalhar com descobertas do Security Command Center.
- Saiba mais sobre as fontes de segurança doGoogle Cloud .
- Saiba como o Model Armor pode ajudar a proteger suas cargas de trabalho de IA.
- Ative a Proteção de dados sensíveis para proteger seus dados sensíveis.
- Saiba como monitorar seus custos usando o Cloud Billing.