É possível usar o Security Command Center para avaliar seu Google Cloud ambiente em relação a vários frameworks regulatórios.
O Security Command Center monitora sua conformidade com detectores mapeados para os controles de uma grande variedade de padrões de segurança.
Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Para os controles verificados, o Security Command Center mostra quantos estão aprovados. Para os controles que não estão aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.
A CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do comparativo de mercado CIS Google Cloud Foundations. Outros mapeamentos de compliance são incluídos apenas para fins de referência.
O Security Command Center adiciona suporte a novos padrões e versões de comparativo de mercado periodicamente. As versões mais antigas ainda são compatíveis, mas acabam ficando obsoletas. Recomendamos que você use o comparativo de mercado ou padrão compatível mais recente disponível.
Com o serviço de postura de segurança, é possível mapear políticas da organização e detectores da Análise de integridade da segurança para os padrões e controles aplicáveis à sua empresa. Depois de criar uma postura de segurança, você pode monitorar as mudanças no ambiente que possam afetar a conformidade da sua empresa.
Com o Compliance Manager, é possível implantar frameworks que mapeiam controles regulatórios para controles de nuvem. Depois de criar um framework, você pode monitorar as mudanças no ambiente que possam afetar a conformidade da sua empresa e auditar o ambiente.
Padrões de segurança compatíveis
Google Cloud
O Security Command Center mapeia detectores para um ou mais dos seguintes padrões de compliance standards: Google Cloud
- Controles 8.0 do Center for Information Security (CIS)
- Comparativo de mercado CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- Comparativo de mercado CIS do Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
- Organização Internacional de Normalização (ISO) 27001, 2022 e 2013
- Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5 e R4
- Framework de Cibersegurança (CSF, na sigla em inglês) 1.0 do Instituto Nacional de Padrões e Tecnologia (NIST)
- Open Web Application Security Project (OWASP) Top Ten, 2021 e 2017
- Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
- Critérios de Serviços Confiáveis (TSC, na sigla em inglês) de 2017 do System and Organization Controls (SOC) 2
AWS
No nível de serviço Enterprise, o Security Command Center mapeia detectores para Amazon Web Services (AWS) para um ou mais dos seguintes padrões de compliance:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls versão 8.0
- Cloud Controls Matrix (CCM) 4
- Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
- Organização Internacional de Normalização (ISO) 27001, 2022
- Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5
- Framework de Segurança Cibernética (CSF, na sigla em inglês) 1.0 do Instituto Nacional de Padrões e Tecnologia (NIST)
- Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
- Critérios de Serviços Confiáveis (TSC, na sigla em inglês) de 2017 do System and Organization Controls (SOC) 2
Detectores e descobertas como controles de compliance
Os serviços de detecção do Security Command Center, como a Análise de integridade da segurança e o Web Security Scanner, usam módulos de detecção (detectores) para verificar vulnerabilidades e configurações incorretas no ambiente de nuvem.
Quando uma vulnerabilidade é encontrada, o detector gera uma descoberta. Uma descoberta é um registro de uma vulnerabilidade ou outro problema de segurança que inclui informações como:
Uma descrição da vulnerabilidade
Uma recomendação para resolver a vulnerabilidade que colocaria o controle em conformidade
O ID numérico do controle que corresponde à descoberta
Etapas recomendadas para corrigir a vulnerabilidade
Nem todos os controles em um padrão podem ser mapeados para descobertas do Security Command Center, geralmente porque determinados controles não podem ser automatizados, mas possivelmente por outros motivos. Consequentemente, o número total de controles que o Security Command Center verifica geralmente é menor que o número total de controles definidos por um padrão.
O Security Command Center usa descobertas ativas e silenciadas para calcular as porcentagens de controles de compliance na página Compliance e nos relatórios de compliance.
Para saber mais sobre as descobertas da Análise de integridade da segurança e do Web Security Scanner e o mapeamento entre detectores compatíveis e padrões de conformidade, consulte as descobertas de vulnerabilidades.
Avaliar a conformidade no ambiente de nuvem
É possível conferir rapidamente o nível de conformidade do ambiente de nuvem com um determinado padrão de segurança nestes locais:
- A página Compliance no Google Cloud console do.
- A página Visão geral de riscos no console de operações de segurança. Essa página mostra uma visão geral dos principais riscos encontrados nos seus ambientes de nuvem, incluindo a conformidade.
Cada padrão de segurança mostra uma porcentagem de quantos controles recebem uma nota de aprovação no escopo selecionado, seja no nível da organização, da pasta ou do projeto.
O local em que o Security Command Center foi ativado afeta o que é mostrado:
No nível do projeto: só é possível conferir as estatísticas de conformidade do projeto ativado. Se você mudar para uma pasta ou organização a que o projeto pertence no Google Cloud console do, a página Compliance não será exibida.
No nível da organização: se você mudar para a organização ativada no console do, a página Compliance mostrará as estatísticas de conformidade de toda a organização, incluindo pastas e projetos. Google Cloud
Para conferir as estatísticas de conformidade de pastas e projetos individuais nessa organização, mude para esse nível de recurso no Google Cloud console do.
Os relatórios de compliance são gerados diariamente. Os relatórios podem ficar desatualizados por 24 horas e podem estar ausentes se não forem gerados.
Avaliar a conformidade no Google Cloud console do
Acesse a página Compliance no Google Cloud console.
Selecione o projeto, a pasta ou a organização para que você quer conferir a conformidade.
Clique em Ver detalhes em um dos cards de padrões para abrir a página Detalhes de compliance.
Nessa página, é possível fazer o seguinte:
Conferir a conformidade com o padrão selecionado em uma data específica.
Mudar o padrão de compliance para o qual você está conferindo os detalhes.
Exportar um relatório dos detalhes de compliance para um arquivo CSV.
Acompanhar o progresso da conformidade ao longo do tempo com um gráfico de tendências.
Expandir os controles de padrão de segurança para conferir as regras constituintes e a gravidade da regra.
Clique nas regras para conferir as descobertas de recursos não compatíveis e corrigir problemas quando apropriado. Para mais informações sobre como corrigir descobertas, consulte Como corrigir descobertas da Análise de integridade da segurança e Como corrigir descobertas do Web Security Scanner.