הערכת תאימות ללא Compliance Manager

אתם יכולים להשתמש ב-Security Command Center כדי להעריך את הסביבה שלכם בהשוואה למסגרות רגולטוריות שונות. Google Cloud

ב-Security Command Center מתבצע מעקב אחרי התאימות שלכם לגלאים שממופים לאמצעי הבקרה של מגוון רחב של תקני אבטחה.

לכל תקן אבטחה נתמך, Security Command Center בודק קבוצת משנה של אמצעי הבקרה. במקרה של אמצעי הבקרה שנבדקו, ב-Security Command Center מוצג כמה מהם עברו את הבדיקה. ב-Security Command Center מוצגת רשימת ממצאים לגבי אמצעי הבקרה שלא עברו את הבדיקה, עם תיאור של הכשלים.

‫CIS בודק ומאשר את המיפויים של הגלאים ב-Security Command Center לכל גרסה נתמכת של CIS Google Cloud Foundations Benchmark. מיפויים נוספים לתאימות כלולים למטרות עיון בלבד.

‫Security Command Center מוסיף תמיכה בגרסאות חדשות של מדדים ותקנים מעת לעת. גרסאות ישנות יותר ממשיכות להיות נתמכות, אבל בסופו של דבר הן יוצאות משימוש. מומלץ להשתמש בנקודת ההשוואה או בתקן הנתמכים העדכניים ביותר.

באמצעות שירות מצב האבטחה, אתם יכולים למפות את מדיניות הארגון ואת אמצעי הזיהוי של Security Health Analytics לתקנים ולאמצעי הבקרה שחלים על העסק שלכם. אחרי שיוצרים את מצב האבטחה, אפשר לעקוב אחרי שינויים בסביבה שיכולים להשפיע על התאימות של העסק.

בעזרת Compliance Manager, אפשר להטמיע מסגרות שממפות אמצעי בקרה רגולטוריים לאמצעי בקרה בענן. אחרי שיוצרים מסגרת, אפשר לעקוב אחרי שינויים בסביבה שעשויים להשפיע על התאימות של העסק ועל הביקורת של הסביבה.

תקני אבטחה נתמכים

Google Cloud

ב-Security Command Center, גלאים ממופים ל Google Cloud אחד או יותר מהתקנים הבאים:

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark גרסאות v2.0.0,‏ v1.3.0,‏ v1.2.0,‏ v1.1.0 ו-v1.0.0
• CIS Kubernetes Benchmark v1.5.1
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (חוק היבילות ואחריות הדיווח של ביטוח בריאות, HIPAA)
• ‫International Organization for Standardization (ISO) 27001, ‏ 2022 ו-2013
• National Institute of Standards and Technology (NIST) 800-53 R5 and R4
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Open Web Application Security Project (OWASP) Top Ten, 2021 and 2017
• תקן אבטחת הנתונים בתחום כרטיסי התשלום (PCI DSS) גרסאות 4.0 ו-3.2.1
• ‫System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)

AWS

במהדורת Enterprise של Security Command Center, גלאים של Amazon Web Services‏ (AWS) ממופים לאחד או יותר מהתקנים הבאים לתאימות:

• ‫CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls Version 8.0
• Cloud Controls Matrix (CCM) 4
• חוק היבילות ואחריות הדיווח של ביטוח בריאות (HIPAA)
• ‫International Organization for Standardization (ISO) 27001, 2022
• National Institute of Standards and Technology (NIST) 800-53 R5
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• תקן אבטחת הנתונים בתחום כרטיסי התשלום (PCI DSS) 4.0 ו-3.2.1
• ‫System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)

ממצאים וגלאים כאמצעי בקרה לצורך עמידה בדרישות

שירותי הזיהוי של Security Command Center, כמו Security Health Analytics ו-Web Security Scanner, משתמשים במודולים של זיהוי (גלאים) כדי לבדוק אם יש פגיעויות וטעויות בהגדרות בסביבת הענן.

כשנמצאת נקודת חולשה, המזהה יוצר ממצא. ממצא הוא רשומה של נקודת חולשה או בעיית אבטחה אחרת, שכוללת מידע כמו:

• תיאור של נקודת החולשה

• המלצה לטיפול בנקודת החולשה שתאפשר לעמוד בדרישות הבקרה

• המזהה המספרי של אמצעי הבקרה שמתאים לממצא

• פעולות מומלצות לתיקון פרצת האבטחה

לא ניתן למפות את כל אמצעי הבקרה בתקן לממצאים ב-Security Command Center, בדרך כלל כי אי אפשר להפוך אמצעי בקרה מסוימים לאוטומטיים, אבל יכול להיות שיש לכך סיבות אחרות. לכן, המספר הכולל של אמצעי הבקרה שנבדקים ב-Security Command Center בדרך כלל נמוך מהמספר הכולל של אמצעי הבקרה שמוגדרים בתקן.

‫Security Command Center משתמש בממצאים פעילים ובממצאים שהושתקו כדי לחשב את אחוזי התאימות לאמצעי הבקרה בדף תאימות ובדוחות התאימות.

מידע נוסף על ממצאי Security Health Analytics ו-Web Security Scanner ועל המיפוי בין גלאים נתמכים לתקני תאימות זמין במאמר ממצאי פגיעויות.

הערכת התאימות בסביבת הענן

במקומות הבאים אפשר לראות במבט חטוף את רמת התאימות של סביבת הענן שלכם לתקן אבטחה מסוים:

• הדף Compliance במסוף Google Cloud .
• הדף Risk Overview במסוף Security Operations. בדף הזה מוצגת סקירה כללית של הסיכונים העיקריים שנמצאו בסביבות הענן שלכם, כולל סיכונים שקשורים לתאימות.

בכל תקן אבטחה מוצג אחוז שמציין כמה מהאמצעים שלו מקבלים ציון עובר בהיקף שנבחר, בין אם זה ברמת הארגון, התיקייה או הפרויקט.

המיקום שבו הופעל Security Command Center משפיע על מה שמוצג:

• ברמת הפרויקט: אפשר לראות רק את נתוני התאימות של הפרויקט שהופעל. אם עוברים לתיקייה או לארגון שהפרויקט שייך להם במסוף Google Cloud , הדף Compliance לא מוצג.

• ברמת הארגון: אם עוברים לארגון שהופעל במסוף Google Cloud , בדף תאימות מוצגים נתונים סטטיסטיים של תאימות לכל הארגון, כולל התיקיות והפרויקטים שלו.

  כדי לראות את נתוני התאימות של תיקיות ופרויקטים ספציפיים בארגון, צריך לעבור לרמת המשאב הרלוונטית במסוף Google Cloud .

דוחות התאימות נוצרים מדי יום. יכול להיות שהדוחות לא יהיו עדכניים במשך 24 שעות, ואולי הם לא יופיעו אם יצירתם נכשלה.

הערכת התאימות במסוף Google Cloud

1. נכנסים לדף Compliance במסוף Google Cloud .

   לתאימות

2. בוחרים את הפרויקט, התיקייה או הארגון שרוצים לראות את התאימות שלהם.

3. לוחצים על הצגת הפרטים באחד מכרטיסי התקנים כדי לפתוח את הדף פרטי התאימות.

בדף הזה אפשר לבצע את הפעולות הבאות:

• הצגת התאימות לתקן שנבחר בתאריך מסוים.

• להחליף את תקן התאימות שרוצים לראות את הפרטים שלו.

• ייצוא דוח של פרטי התאימות לקובץ CSV.

• אפשר לעקוב אחרי ההתקדמות בתאימות לאורך זמן באמצעות תרשים מגמות.

• מרחיבים את האמצעים לבקרת תקני האבטחה כדי לראות את הכללים שמרכיבים אותם ואת חומרת הכללים.

• לוחצים על כללים כדי לראות את הממצאים לגבי משאבים שלא עומדים בדרישות, ולתקן את הבעיות לפי הצורך. למידע על תיקון הממצאים, אפשר לעיין במאמרים בנושא תיקון ממצאים ב-Security Health Analytics ותיקון ממצאים ב-Web Security Scanner.