Questo documento descrive come attivare Security Command Center Standard per un'organizzazione utilizzando la console Google Cloud .
Le attivazioni del livello Standard a livello di organizzazione abilitano le funzionalità avanzate del livello Standard.
Per informazioni sulle funzionalità avanzate del livello Standard, vedi Livelli di servizio di Security Command Center.
Per informazioni sulle differenze tra i livelli Standard e Standard legacy, consulta Livello Standard migliorato e attivato automaticamente per alcuni clienti.
Per attivare Security Command Center per un altro livello di servizio, consulta quanto segue:
- Attivare il livello Premium di Security Command Center per un'organizzazione
- Attiva il livello Security Command Center Enterprise
Per attivare Security Command Center per un progetto, consulta Attivare Security Command Center per un progetto.
Prima di iniziare
Prima di attivare Security Command Center Standard per un'organizzazione, devi svolgere le seguenti operazioni:
- Ottieni ruoli e autorizzazioni Identity and Access Management (IAM) specifici.
- (Facoltativo) Abilita l'API Security Center Management.
- Esamina le policy della tua organizzazione, se applicabili.
- Se prevedi di abilitare la residenza dei dati, consulta la sezione Pianificare la residenza dei dati e determina la località da utilizzare.
Se prevedi di utilizzare una chiave di crittografia gestita dal cliente (CMEK), completa le attività richieste per abilitare CMEK per Security Command Center.
Puoi configurare la residenza dei dati e la crittografia dei dati quando attivi Security Command Center. Per modificare queste impostazioni dopo aver attivato Security Command Center Standard o Premium, vedi Modificare la configurazione della residenza dei dati o della crittografia dei dati.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per attivare Security Command Center per un'organizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM per la tua organizzazione:
- Amministratore Security Center (
roles/securitycenter.admin) - Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Abilita l'API Security Center Management
Se prevedi di utilizzare l'API Security Center Management, abilita questa API nel progetto in cui prevedi di chiamarla:
Ruoli richiesti per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo dei servizi (roles/serviceusage.serviceUsageAdmin), che include l'autorizzazione serviceusage.services.enable. Scopri come concedere
i ruoli.
Rivedi policy dell'organizzazione
Se i criteri dell'organizzazione sono impostati per limitare le identità in base al dominio, verifica quanto segue:
- Devi aver eseguito l'accesso alla console Google Cloud su un account che si trova in un dominio consentito.
- I tuoi service account devono trovarsi in un dominio consentito o essere membri di un gruppo
all'interno del tuo dominio. Questo requisito ti consente di autorizzare i servizi che utilizzano il account di servizio
@*.gserviceaccount.comad accedere alle risorse quando è abilitata la condivisione con limitazioni del dominio.
Se le policy dell'organizzazione sono impostate per limitare l'utilizzo delle risorse, verifica che le seguenti API siano consentite dalla tua policy:
securitycenter.googleapis.comsecuritycentermanagement.googleapis.com
Attiva Security Command Center Standard
Puoi attivare Security Command Center Standard per un'organizzazione tramite la consoleGoogle Cloud .
Nella console Google Cloud , vai alla pagina di benvenuto di Security Command Center.
Se vuoi attivare la residenza dei dati, apri una console giurisdizionale utilizzando l'URL corrispondente alla località che intendi configurare.
Devi utilizzare la console Google Cloud giurisdizionale per attivare Security Command Center con controlli di residenza dei dati e modificare la configurazione della residenza dei dati dopo l'attivazione. Per maggiori dettagli, consulta Informazioni sulla console Google Cloud giurisdizionale.
Seleziona l'organizzazione per cui vuoi abilitare Security Command Center Standard e poi fai clic su Ottieni Standard.
Nella pagina di benvenuto, fai clic su Seleziona.
(Facoltativo) Per confermare la configurazione della residenza dei dati o modificare la configurazione della crittografia dei dati, fai clic su Mostra altro.
- Se utilizzi una console giurisdizionale, il campo Residenza dei dati mostra Attiva e il campo Posizione mostra la stessa posizione della console giurisdizionale. Per modificare la posizione, apri la console utilizzando un URL che corrisponda alla posizione che vuoi configurare.
- La configurazione predefinita della crittografia dei dati utilizza Google-owned and Google-managed encryption keys.
Per utilizzare una chiave Cloud Key Management Service, fai clic su Modifica crittografia dei dati e poi procedi nel seguente modo:
- Seleziona Chiave Cloud KMS.
- Seleziona un progetto.
- Seleziona una chiave. Puoi selezionare una chiave da qualsiasi Google Cloud progetto, inclusi i progetti di altre organizzazioni. Nell'elenco vengono visualizzate solo le chiavi in posizioni compatibili.
Per scoprire quali posizioni delle chiavi sono compatibili con Security Command Center, consulta la sezione Determinare la posizione della chiave.
Se la tua organizzazione utilizza le policy dell'organizzazione per le chiavi CMEK, potresti avere solo la possibilità di scegliere CMEK o chiavi specifiche.
Durante la procedura di attivazione, Security Command Center concede il ruolo Cloud KMS CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) all'agente di servizio Cloud Security Command Center nella chiave Cloud KMS.
Fai clic su Attiva.
Man mano che i risultati diventano disponibili, vengono visualizzati nella console. Poi puoi utilizzare la console Google Cloud per esaminare e correggere Google Cloud i rischi per la sicurezza e i dati.
Security Command Center completa la prima scansione completa entro 24 ore. Potrebbe verificarsi un ritardo prima dell'avvio delle scansioni per alcuni servizi. Per saperne di più, consulta Quando aspettarsi i risultati in Security Command Center.
Se esegui l'upgrade da Security Command Center Standard a Premium, ottieni l'accesso a grafici che mostrano l'avanzamento della scansione per funzionalità come problemi, minacce e framework. Anche i grafici esistenti vengono aggiornati con i risultati della scansione dei rilevatori Premium man mano che diventano disponibili.
Servizi per Security Command Center Standard
Dopo aver attivato Security Command Center Standard, alcuni servizi vengono attivati automaticamente e vengono creati agenti di servizio in modo che questi servizi possano agire per tuo conto.
Security Command Center utilizza i servizi di rilevamento per rilevare i problemi di sicurezza. I seguenti servizi vengono abilitati quando attivi Security Command Center Standard:
Consulta la documentazione di ogni servizio per istruzioni sull'utilizzo e l'ottimizzazione.
Puoi attivare servizi aggiuntivi seguendo i passaggi descritti in Configurare i servizi di Security Command Center.
Modifica il livello di servizio di Security Command Center
Per saperne di più sulla gestione dei livelli, vedi Modificare il livello Standard di Security Command Center per un'organizzazione.
Passaggi successivi
- Scopri come configurare i servizi di Security Command Center.
- Scopri come utilizzare Security Command Center nella console Google Cloud .
- Scopri come utilizzare i risultati di Security Command Center.
- Scopri di più sulle Google Cloud origini di sicurezza.
- Scopri come Model Armor può aiutarti a proteggere i tuoi workload di AI.