本頁說明如何為 Google Cloud 專案啟用 Security Command Center Standard 方案或進階方案。
在專案層級啟用 Standard 級別,即可支援新的 Standard 級別功能。
如要瞭解 Standard 級別的功能,請參閱「Security Command Center 服務級別」一文。
如要瞭解標準級和標準級 (舊版) 之間的差異,請參閱「部分客戶的標準級方案已自動啟用強化功能」。
如要為整個機構啟用 Security Command Center,請參閱下列其中一篇文章:
- 為機構啟用 Security Command Center Standard 級別
- 為機構啟用 Security Command Center Premium 級別
- 啟用 Security Command Center Enterprise 級別
事前準備
如要在專案中啟用 Security Command Center,您需要下列先決條件,詳情請參閱下列小節:
- 請先閱讀必要條件資訊,瞭解在專案層級啟用 Security Command Center 與在機構層級啟用有何不同。
- 您必須擁有與機構建立關聯的 Google Cloud 專案。
- 使用者帳戶必須獲得包含必要權限的 Identity and Access Management (IAM) 角色。
- 視您加入 Security Command Center Standard 方案的方式而定,啟用必要的 API。
- 如果專案繼承的組織政策設為依網域限制身分,使用者和服務帳戶必須位於允許的網域中。
- 如要使用 Container Threat Detection,Google Kubernetes Engine 叢集必須支援這項功能。詳情請參閱「確認 Container Threat Detection 的軟體版本」。
必要資訊
如要瞭解在專案層級啟用 Security Command Center 與在機構層級啟用有何不同,請參閱在專案層級啟用 Security Command Center 的總覽。
如要瞭解專案層級啟用作業不支援的服務和 Security Command Center 發現項目,請參閱「專案層級啟用作業的服務限制」。
專案需求
如要為專案啟用 Security Command Center,專案必須與機構建立關聯。如需建立專案,請參閱「建立及管理專案」。
必要的角色
如要取得啟用專案 Security Command Center 所需的權限,請要求管理員在專案中授予您下列 IAM 角色:
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
啟用必要的 API
如果貴機構已自動加入 Security Command Center (這是Google Cloud 服務的一部分),或是您打算使用 Security Command Center API,就必須為專案啟用 API。
啟用 API 時所需的角色
如要啟用 API,您需要服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin),其中包含 serviceusage.services.enable 權限。瞭解如何授予角色。
驗證組織政策
如果專案繼承的組織政策設為依網域限制身分,您必須符合下列條件:
- 您必須在允許網域的帳戶中登入 Google Cloud 控制台。
- 服務帳戶必須位於允許的網域中,或是網域內群組的成員。啟用網域限制共用功能後,您必須符合這項規定,才能允許
@*.gserviceaccount.com服務存取資源。
確認 Container Threat Detection 的軟體版本
如果您打算搭配 Google Kubernetes Engine (GKE) 使用 Container Threat Detection 功能,請確保叢集使用受支援的 GKE 版本,並正確設定叢集。詳情請參閱「使用 Container Threat Detection」。
專案的啟用情境
本頁面涵蓋下列啟用情境:
- 如果組織從未啟用 Security Command Center,請為專案啟用 Security Command Center Premium 或 Standard 方案。
- 在採用 Standard 方案的機構中,為專案啟用 Security Command Center Premium 方案。
- 在採用即將到期 Premium 級方案的機構中,為專案啟用 Security Command Center 的 Premium 級方案。
視貴機構是否使用 Security Command Center 而定,您可以使用不同方法為專案啟用 Security Command Center。
如果貴機構未使用 Security Command Center, Google Cloud 控制台會引導您完成一系列設定頁面。
如果貴機構使用 Security Command Center,請前往「設定」頁面的「方案詳細資料」分頁,為專案啟用 Security Command Center Premium。
判斷 Security Command Center 是否已在貴機構啟用
視 Security Command Center 是否已在貴機構啟用,為專案啟用 Security Command Center 的方式會有所不同。
如要確認 Security Command Center 是否已在貴機構啟用,請完成下列步驟:
前往 Google Cloud 控制台的 Security Command Center「總覽」頁面。
選取要啟用 Security Command Center 的專案名稱。
選取專案後,系統會開啟下列其中一個頁面:
- 如果貴機構已啟用 Security Command Center,系統會開啟「風險總覽」頁面。
- 如果機構尚未啟用 Security Command Center,系統會開啟歡迎頁面,您可以在該頁面啟動專案的啟用程序。
如果貴機構已啟用 Security Command Center,請檢查目前啟用的服務層級。
開啟 Security Command Center 的「設定」頁面:
在「設定」頁面中,按一下「層級詳細資料」。「層級」頁面隨即開啟。
「層級」列會列出專案繼承的服務層級。
如要為專案啟用 Security Command Center,請按照父項組織中 Security Command Center 的啟用狀態,執行下列程序:
如果 Security Command Center 已在組織中啟用,請為專案啟用
如果 Security Command Center 已在機構中啟用,您只需要在專案層級啟用 Premium 方案,因為專案至少會沿用 Standard 方案。
如要查看各級別提供的功能,請參閱「服務級別」。
如要將專案升級至 Premium 方案,請按照下列步驟操作:
前往 Google Cloud 控制台的「層級詳細資料」頁面。
選取要升級 Security Command Center 層級的專案,然後按一下「選取」。
按一下「管理專案級別」。
在「管理層級」窗格中,按一下「選取」,選擇 Premium 方案。然後按一下「更新」。
您已完成專案的 Security Command Center Premium 啟用程序。接著,請等待初始掃描完成。
在組織未啟用 Security Command Center 時,為專案啟用
如果貴機構未啟用 Security Command Center,在 Google Cloud 控制台中開啟 Security Command Center 時,系統會顯示歡迎頁面,其中包含層級詳細資料。選取方案即可開始啟用程序。
Security Command Center 提供三種方案:Standard、Premium 和 Enterprise。 您選取的級別會決定可用的功能,以及使用 Security Command Center 的費用。您只能在機構層級啟用 Enterprise 級別。詳情請參閱「啟用 Security Command Center Enterprise 方案」。
如要查看各級別提供的功能,請參閱「服務級別」。
如要為專案啟用 Security Command Center,請選取要啟用的服務方案 (Standard 或 Premium),然後按照下列步驟操作:
標準
前往 Google Cloud 控制台的 Security Command Center「總覽」頁面。
選取要啟用 Security Command Center Standard 的專案,然後按一下「選取」。
在歡迎頁面中,按一下取得標準。
點按「Activate」(啟用)。
Premium
前往 Google Cloud 控制台的 Security Command Center「總覽」頁面。
選取要啟用 Security Command Center Premium 的專案,然後按一下「選取」。
在歡迎頁面選取「開始免付費試用 Premium 方案」。
點按「Activate」(啟用)。
結果會顯示在 Google Cloud 控制台中。顯示後,您就可以審查並修正 Google Cloud 安全性 Google Cloud 和資料風險。
Security Command Center 會在 24 小時內完成第一次完整掃描。部分服務可能不會立即開始掃描,詳情請參閱「何時會在 Security Command Center 中看到發現項目」。
Security Command Center 服務
Security Command Center 會使用偵測服務,偵測雲端環境中的安全性問題。啟用 Security Command Center 後,系統會自動啟用特定服務並建立服務代理程式,以便這些服務代表您執行動作。
按照「設定 Security Command Center 服務」一文的步驟,啟用或停用各項服務。
系統會根據服務層級自動啟用服務。 選取服務層級,即可查看系統自動啟用的功能。
標準
啟用 Security Command Center Standard 後,系統會自動啟用安全狀態分析,並授予服務代理服務運作所需的角色和權限。
Premium
啟用 Security Command Center Premium 時,系統會啟用下列服務:
-
如要讓 Container Threat Detection 正常運作,請確保叢集使用受支援的 Google Kubernetes Engine (GKE) 版本,並正確設定 GKE 叢集。詳情請參閱「使用 Container Threat Detection」。
-
Event Threat Detection 會依據 Google Cloud產生的記錄檔運作。如要使用 Event Threat Detection,請為機構、資料夾和專案啟用記錄。
服務代理
服務代理人是由 Google Cloud 建立及管理的服務帳戶,可代表您存取資源。建立服務代理後,Security Command Center 會自動授予服務代理必要的 IAM 角色。啟用 Security Command Center Premium 時,系統會一併啟用下列服務代理程式:
- Cloud Security Command Center 服務代理程式,適用於 Event Threat Detection、安全狀態分析、虛擬機器威脅偵測和弱點評估
- Cloud Security Compliance 服務代理 適用於 AI Protection 和 Compliance Manager
- Container Threat Detection 服務代理 適用於 Container Threat Detection
- Data Security Posture Management 服務代理 (適用於 DSPM)
如需使用和最佳化操作說明,請參閱各項服務的說明文件。舉例來說,Event Threat Detection 會依據Google Cloud產生的記錄檔。部分記錄檔一律會啟用,因此啟用 Event Threat Detection 後,系統會立即開始掃描這些記錄檔。其他記錄 (例如大多數的資料存取稽核記錄) 必須先啟用,Event Threat Detection 才能掃描。
後續步驟
進一步瞭解 Security Command Center 及其內建服務。
- 瞭解如何使用 Security Command Center 檢查資產、發現項目和安全漏洞。
- 瞭解Google Cloud 安全性來源。
- 瞭解如何將安全性來源新增至 Security Command Center。