Évaluer la conformité sans Compliance Manager

Vous pouvez utiliser Security Command Center pour évaluer votre Google Cloud environnement par rapport à différents frameworks réglementaires.

Security Command Center surveille votre conformité à l'aide de détecteurs mappés aux contrôles d'une grande variété de normes de sécurité.

Pour chaque norme de sécurité compatible, Security Command Center vérifie un sous-ensemble de contrôles. Pour les contrôles vérifiés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas réussis, Security Command Center affiche une liste de résultats décrivant les échecs de contrôle.

CIS examine et certifie les mappages des détecteurs Security Command Center pour chaque version compatible du benchmark CIS Google Cloud Foundations. Des mappages de conformité supplémentaires sont inclus à titre de référence uniquement.

Security Command Center ajoute régulièrement la compatibilité avec de nouvelles versions de benchmarks et de normes. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le benchmark ou la norme compatible la plus récente disponible.

Avec le service de posture de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller les modifications apportées à l'environnement qui pourraient affecter la conformité de votre entreprise.

Avec Compliance Manager, vous pouvez déployer des frameworks qui mappent les contrôles réglementaires aux contrôles cloud contrôles. Une fois que vous avez créé un framework, vous pouvez surveiller les modifications apportées à l’environnement qui pourraient affecter la conformité de votre entreprise et auditer votre environnement.

Normes de sécurité compatibles

Google Cloud

Security Command Center mappe les détecteurs pouravec une ou plusieurs des normes de conformité suivantes : Google Cloud

• CIS (Center for Information Security) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
• Benchmark CIS de Kubernetes v1.5.1
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• Normes ISO (Organisation internationale de normalisation) 27001, 2022 et 2013
• NIST (National Institute of Standards and Technology) 800-53 R5 et R4
• Cybersecurity Framework (CSF) du NIST 1.0
• Top 10 de l'OWASP (Open Web Application Security Project), 2021 et 2017
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 et 3.2.1
• SOC 2 2017 Trust Services Criteria (TSC)

AWS

Dans le niveau de service Enterprise, Security Command Center mappe les détecteurs pour Amazon Web Services (AWS) avec une ou plusieurs des normes de conformité suivantes :

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls Version 8.0
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• Norme ISO (Organisation internationale de normalisation) 27001, 2022
• NIST (National Institute of Standards and Technology) 800-53 R5
• Cybersecurity Framework (CSF) du NIST 1.0
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 et 3.2.1
• SOC 2 2017 Trusted Services Criteria (TSC)

Détecteurs et résultats en tant que contrôles de conformité

Les services de détection de Security Command Center, tels que Security Health Analytics et Web Security Scanner, utilisent des modules de détection (détecteurs) pour rechercher les failles et les erreurs de configuration dans votre environnement cloud.

Lorsqu'une faille est détectée, le détecteur génère un résultat. Un résultat est un enregistrement d'une faille ou d'un autre problème de sécurité qui inclut des informations telles que les suivantes :

• Description de la faille

• Recommandation pour résoudre la faille et rendre le contrôle conforme

• ID numérique du contrôle correspondant au résultat

• Étapes recommandées pour corriger la faille

Tous les contrôles d'une norme ne peuvent pas être mappés aux résultats de Security Command Center, généralement parce que certains contrôles ne peuvent pas être automatisés, mais peut-être pour d'autres raisons. Par conséquent, le nombre total de contrôles que Security Command Center vérifie est généralement inférieur au nombre total de contrôles définis par une norme.

Security Command Center utilise les résultats actifs et désactivés pour calculer les pourcentages des contrôles de conformité sur la page Conformité et dans les rapports de conformité.

Pour en savoir plus sur les résultats de Security Health Analytics et de Web Security Scanner, ainsi que sur le mappage entre les détecteurs compatibles et les normes de conformité, consultez la page Résultats concernant les failles.

Évaluer la conformité dans votre environnement cloud

Vous pouvez voir en un coup d'œil le niveau de conformité de votre environnement cloud avec une norme de sécurité donnée aux emplacements suivants :

• La page Conformité de la Google Cloud console.
• La page Aperçu des risques de la console Security Operations. Cette page présente un aperçu des principaux risques détectés dans vos environnements cloud, y compris la conformité.

Chaque norme de sécurité indique le pourcentage de contrôles qui reçoivent une note de passage dans le champ d'application sélectionné, que ce soit au niveau de l'organisation, du dossier ou du projet.

L'emplacement où Security Command Center a été activé affecte ce qui est affiché :

• Au niveau du projet : vous ne pouvez afficher que les statistiques de conformité du projet activé. Si vous passez à un dossier ou à une organisation auquel appartient le projet dans la Google Cloud console, la page Conformité ne s'affiche pas.

• Au niveau de l'organisation : si vous passez à l'organisation activée dans la Google Cloud console, la page Conformité affiche les statistiques de conformité pour l'ensemble de l'organisation, y compris ses dossiers et projets.

  Pour afficher les statistiques de conformité des dossiers et projets individuels au sein de cette organisation, passez à ce niveau de ressource dans la Google Cloud console.

Les rapports de conformité sont générés quotidiennement. Les rapports peuvent être obsolètes de 24 heures et peuvent être manquants s'ils n'ont pas pu être générés.

Évaluer la conformité dans la Google Cloud console

1. Accédez à la page Conformité dans la Google Cloud console.

   Accéder

2. Sélectionnez le projet, le dossier ou l'organisation pour lequel vous souhaitez afficher la conformité.

3. Cliquez sur Afficher les détails dans l'une des fiches de normes pour ouvrir la page Détails de conformité.

Sur cette page, vous pouvez effectuer les opérations suivantes :

• Afficher la conformité par rapport à la norme sélectionnée à une date donnée.

• Modifier la norme de conformité dont vous affichez les détails.

• Exporter un rapport des détails de conformité dans un fichier CSV.

• Suivre la progression de la conformité au fil du temps à l'aide d'un graphique de tendance.

• Développer les contrôles de la norme de sécurité pour afficher leurs règles constitutives et leur niveau de gravité.

• Cliquez sur les règles pour afficher les résultats des ressources non conformes et résoudre les problèmes, le cas échéant. Pour en savoir plus sur la correction des résultats, consultez Corriger les résultats de Security Health Analytics et Corriger les résultats de Web Security Scanner.