ניהול מצב האבטחה

בדף הזה מוסבר איך להגדיר את שירות מצב האבטחה ולהשתמש בו אחרי שמפעילים את Security Command Center. כדי להתחיל, צריך ליצור תנוחה שכוללת את המדיניות שלכם, מאורגנת בקבוצות מדיניות, ואז לפרוס את התנוחה באמצעות פריסת תנוחה. אחרי פריסת המצב, אפשר לעקוב אחרי סחף ולשפר את המצב לאורך זמן.

לפני שמתחילים

צריך להשלים את המשימות האלה לפני שממשיכים למשימות הנותרות בדף הזה.

הפעלת Security Command Center

מוודאים שהפעלתם את Security Command Center ברמת הארגון.

אם רוצים להשתמש בגלאים של Security Health Analytics כמדיניות, בוחרים בשירות Security Health Analytics במהלך תהליך ההפעלה.

הגדרת ההרשאות

כדי לקבל את ההרשאות שנדרשות לשימוש בסטטוס האבטחה, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של סטטוס האבטחה (roles/securityposture.admin). להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

מידע נוסף על תפקידים והרשאות שקשורים למצב האבטחה מופיע במאמר IAM להפעלות ברמת הארגון.

הגדרת Google Cloud CLI

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

כדי להגדיר את ה-CLI של gcloud כך שיבצע התחזות לחשבון שירות כדי לאמת ל-Google APIs, במקום להשתמש בפרטי הכניסה של המשתמש, מריצים את הפקודה הבאה:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

מידע נוסף מופיע במאמר התחזות לחשבון שירות.

הפעלת ממשקי ה-API

מפעילים את ממשקי ה-API של Organization Policy Service ושל Security Posture Service:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

הגדרת חיבור ל-AWS

כדי להשתמש בגלאים מובנים של Security Health Analytics שספציפיים ל-AWS, צריך להתחבר ל-AWS כדי להגדיר את איסוף הנתונים של התצורה והמשאבים.

יצירה ופריסה של תנוחה

כדי להתחיל להשתמש במצב אבטחה, צריך לבצע את הפעולות הבאות:

• יוצרים קובץ YAML של תנוחת אבטחה שמגדיר את המדיניות שחלה על תנוחת האבטחה.
• יוצרים תנוחה ב- Google Cloud שמבוססת על קובץ ה-YAML של התנוחה.
• פורסים את המצב.

בקטעים הבאים מפורטות ההוראות.

יצירת קובץ YAML של תנוחת אבטחה

מצב אבטחה מורכב מקבוצת מדיניות אחת או יותר שפורסים יחד. ערכות המדיניות האלה כוללות את כל המדיניות המונעת והמזהה שרוצים לכלול במצב האבטחה.

כדי ליצור את המצב, מבצעים אחת מהפעולות הבאות:

• מעתיקים תבנית מוגדרת מראש של מדיניות אבטחה. אם צריך, עורכים את המדיניות כך שהיא תחול על הסביבה שלכם ותעמוד בתקנים הרגולטוריים והאבטחתיים של העסק. הוראות מפורטות זמינות במאמר בנושא יצירת קובץ תנוחה מתבנית תנוחה מוגדרת מראש.
• שולפים מדיניות קיימת מהסביבה. אם נדרש, עורכים את המדיניות כך שתעמוד בתקנים הרגולטוריים והביטחוניים של העסק. הוראות מפורטות זמינות במאמר יצירת קובץ תנוחה על ידי חילוץ מדיניות מסביבה קיימת.
• יוצרים משאב Terraform שמגדיר את המצב. הוראות מפורטות זמינות במאמר בנושא יצירת משאב Terraform עם הגדרות מדיניות.

פרטים על השדות שאפשר להשתמש בהם במצב אבטחה מופיעים במאמר Posture ובמאמר PolicySet.

יצירת קובץ תנוחה מתבנית תנוחה מוגדרת מראש

אתם יכולים להשתמש בתבנית מוגדרת מראש של תנוחה כדי ליצור קובץ תנוחה.

יצירת קובץ תנוחה על ידי חילוץ מדיניות מסביבה קיימת

אתם יכולים לחלץ את כללי המדיניות (מדיניות הארגון, כולל כללי מדיניות בהתאמה אישית וכל הגלאים של Security Health Analytics, כולל גלאים בהתאמה אישית) שהגדרתם בפרויקט, בתיקייה או בארגון קיימים, כדי ליצור קובץ של תנוחת האבטחה. אי אפשר לחלץ מדיניות מארגון, מתיקייה או מפרויקט שכבר הוחל עליהם מצב אבטחה.

הפקודה הזו מחלצת רק את המדיניות שהגדרתם בעבר לארגון, לתיקייה או לפרויקט, ולא מחלצת מדיניות מתיקיות או מארגונים ברמת ההורה.

אם התחברתם ל-AWS, הפקודה הזו גם מחלצת את המזהים שספציפיים ל-AWS (תצוגה מקדימה).

1. מריצים את הפקודה gcloud scc postures extract כדי לחלץ את מדיניות הארגון הקיימת ואת הגלאים של Security Health Analytics בסביבה.

   gcloud scc postures extract POSTURE_NAME \
       --workload=WORKLOAD
   

   מחליפים את הערכים הבאים:

   • ‫POSTURE_NAME הוא שם המשאב היחסי של המצב. לדוגמה, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

     • ‫POSTURE_ID הוא שם אלפאנומרי של המצב, שייחודי לארגון שלכם. האורך של POSTURE_ID מוגבל ל-63 תווים.

   • ‫WORKLOAD הוא הפרויקט, התיקייה או הארגון שממנו אתם מחלצים את המדיניות. עומס העבודה הוא אחד מהבאים:

   • projects/PROJECT_NUMBER

   • folder/FOLDER_ID

   • organizations/ORGANIZATION_ID

   לדוגמה, כדי לחלץ מדיניות מהתיקייה 3589215982 בארגון 6589215984, מריצים את הפקודה הבאה:

   gcloud scc postures extract \
     organizations/6589215984/locations/global/postures/myStagingPosture \
     workload=folder/3589215982 > posture.yaml
   

2. פותחים את הקובץ posture.yaml שנוצר כדי לערוך אותו.

3. מבצעים אחת מהפעולות הבאות:

   • אם אתם יכולים להשתמש במצב האבטחה בלי לבצע שינויים (לדוגמה, אם השתמשתם באחת מהתבניות של _essentials), אתם יכולים ליצור את מצב האבטחה. הוראות מפורטות מופיעות במאמר יצירת תנוחה.
   • אם צריך לשנות את אחד ממערכי המדיניות או את אחת מהמדיניות, צריך לבצע את השלבים שמפורטים במאמר שינוי קובץ YAML של תנוחת אבטחה.

יצירת משאב Terraform עם הגדרות מדיניות

אפשר ליצור הגדרת Terraform כדי ליצור משאב של תנוחת אבטחה.

לדוגמה, אתם יכולים ליצור משאב של מצב אבטחה שכולל אילוצים מובנים ומותאמים אישית של מדיניות הארגון, וגלאים מובנים ומותאמים אישית של Security Health Analytics. תמיכה בניהול מצב האבטחה של גלאים מובנים ב-Security Health Analytics שספציפיים ל-AWS זמינה בגרסת Preview.

resource "google_securityposture_posture" "posture1"{
  posture_id  = "posture_example"
  parent      = "organizations/123456789"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression  = "resource.matchTag('org_id/tag_key_short_name,'tag_value_short_name')"
            	title       = "a CEL condition"
            }
          }
        }
      }
    }
    policies {
      policy_id = "custom_org_policy"
      constraint {
        org_policy_constraint_custom {
          custom_constraint {
            name           = "organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade"
            display_name   = "Disable GKE auto upgrade"
            description    = "Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced."
            action_type    = "ALLOW"
            condition      = "resource.management.autoUpgrade == false"
            method_types   = ["CREATE", "UPDATE"]
            resource_types = ["container.googleapis.com/NodePool"]
          }
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression = "resource.matchTagId('tagKeys/key_id','tagValues/value_id')"
            	title = "a CEL condition"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

מידע נוסף זמין במאמר בנושא google_securityposture_posture.

שינוי קובץ YAML של תנוחת אבטחה

כדי לשנות קובץ YAML של תנוחה:

1. פותחים את קובץ ה-YAML של התנוחה בכלי לעריכת טקסט.

2. בודקים את name, description ו-state בתחילת הקובץ.

   name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
   description: DESCRIPTION
   state: STATE
   

   פרטים על השדות האלה זמינים במאמר Posture.

   לדוגמה:

   name: organizations/3589215982/locations/global/posture/stagingAIPosture
   description: This posture applies to staging environments for Vertex AI.
   state: ACTIVE
   

3. מתאימים אישית את כללי המדיניות בקובץ בהתאם לדרישות שלכם.

   פרטים על השדות שבהם אפשר להשתמש מופיעים במאמר PolicySet.

   1. בודקים את המדיניות הקיימת ואת הערכים שלה. אם יש כללי מדיניות שדורשים מידע ספציפי לסביבה שלכם, צריך להגדיר את הערכים בהתאם. לדוגמה, כדי להוסיף את מצבי הגישה המותרים למדיניות ainotebooks.accessMode במצב המאובטח של AI, במצב המורחב שהוגדר מראש, מוסיפים את מצבי הגישה המותרים בקטע policyRules:

      - policyId: Define access mode for Vertex AI Workbench notebooks and instances
        complianceStandards:
        - standard: NIST SP 800-53
          control: AC-3(3)
        - standard: NIST SP 800-53
          control: AC-6(1)
        constraint:
          orgPolicyConstraint:
            cannedConstraintId: ainotebooks.accessMode
            policyRules:
            - values:
                allowedValues: service-account
        description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.
      

   2. מוסיפים עוד אילוצים של מדיניות הארגון, כמו שמתואר במאמר אילוצים של מדיניות הארגון. אם מגדירים מדיניות ארגונית בהתאמה אישית, צריך לוודא שקובץ ה-YAML כולל את ההגדרה של האילוץ בהתאמה אישית. אי אפשר להשתמש באילוץ מותאם אישית שיצרתם בשיטות אחרות (למשל באמצעותGoogle Cloud המסוף).

      לדוגמה, יכול להיות שתרצו להגדיר את האילוץ compute.trustedImageProjects כדי להגדיר פרויקטים שאפשר להשתמש בהם לאחסון תמונות וליצירת מופע של דיסק. אם מעתיקים את הדוגמה הזו, צריך להחליף את allowedValues ברשימה מתאימה של פרויקטים:

      - policyId: Define projects with trusted images.
        complianceStandards:
        - standard:
          control:
        constraint:
          orgPolicyConstraint:
            cannedConstraintId: compute.trustedImageProjects
            policyRules:
            - values:
                allowedValues:
                - project1
                - project2
                - projectN
        description: This is a complete list of projects from which images can be used.
      

   3. להוסיף גלאים נוספים של Security Health Analytics, כמו אלה שמתועדים בממצאים של Security Health Analytics. לדוגמה, אפשר להוסיף גלאי של Security Health Analytics כדי ליצור ממצא אם פרויקט לא משתמש במפתח API לאימות:

      - policyId: API Key Exists
        constraint:
          securityHealthAnalyticsModule:
            moduleEnablementState: ENABLED
            moduleName: API_KEY_EXISTS
      

      דוגמה נוספת: מוסיפים מודול בהתאמה אישית של Security Health Analytics כדי לזהות אם מערכי הנתונים של Vertex AI מוצפנים:

      - policyId: CMEK key is use for Vertex AI DataSet
        complianceStandards:
        - standard: NIST SP 800-53
          control: SC-12
        - standard: NIST SP 800-53
          control: SC-13
        constraint:
          securityHealthAnalyticsCustomModule:
            displayName: "vertexAIDatasetCMEKDisabled"
            config:
              customOutput: {}
              predicate:
                expression: "!has(resource.encryptionSpec)"
              resourceSelector:
                resourceTypes:
                - aiplatform.googleapis.com/Dataset
              severity: CRITICAL
              description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
              recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
            moduleEnablementState: ENABLED
      

      דוגמה נוספת: ברמת השירות Enterprise, מוסיפים גלאי של Security Health Analytics שספציפי ל-AWS (גרסת Preview):

      - policySetId: AWS policy set
        description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
        policies:
        - policyId: S3 bucket replication enabled
          complianceStandards:
          - standard: NIST 800-53 R5
            control: SI-13(5)
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_REPLICATION_ENABLED
          description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.
      
        - policyId: S3 bucket logging enabled
          complianceStandards:
          - standard: NIST 800-53 R5
            control: SI-7(8)
          - standard: PCI DSS 3.2.1
            control: 10.3.1
          constraint:
            securityHealthAnalyticsModule:
              moduleEnablementState: ENABLED
              moduleName: S3_BUCKET_LOGGING_ENABLED
          description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.
      

      אם מוסיפים גלאי שספציפי ל-AWS, צריך לפרוס את המצב ברמת הארגון.

4. מעלים את קובץ התנוחה למאגר מקור עם בקרת גרסאות, כדי שאפשר יהיה לעקוב אחרי השינויים שמבצעים בו לאורך זמן.

יצירת תנוחה

כדי ליצור משאב של תנוחת אבטחה ב-Security Command Center שאפשר לפרוס, צריך להשלים את המשימה הזו. אם יצרתם תנוחה מתבנית תנוחה מוגדרת מראש באמצעות מסוף Google Cloud , משאב התנוחה נוצר בשבילכם באופן אוטומטי.

פריסת תנוחה

אחרי שיוצרים תנוחה, פורסים אותה בפרויקט, בתיקייה או בארגון כדי להחיל את כללי המדיניות וההגדרות שלהם על משאבים ספציפיים בארגון ולעקוב אחרי שינויים. אפשר לפרוס רק תנוחה אחת בפרויקט, בתיקייה או בארגון.

מוודאים שמצב האבטחה הוא ACTIVE.

כשפורסים את המצב, מתבצעות הפעולות הבאות:

• ההגדרות של מדיניות הארגון ושל אמצעי הזיהוי של Security Health Analytics מוחלות.
• לכל מדיניות ארגונית מותאמת אישית שמוגדרת במצב האבטחה, נוצרת אילוץ מותאם אישית חדש. זה נכון גם אם יצרתם את המצב מתוך תבנית או מתוך מדיניות שחולצה, ולא שיניתם את המדיניות הזו. מזהה האילוץ כולל את מזהה הגרסה של המצב כסיומת. אם כל הפריסות של המצב נמחקות, הסיומת מוחלפת ב-UUID אקראי.
• לכל מזהה מותאם אישית של Security Health Analytics שמוגדר במצב האבטחה, נוצר אילוץ מותאם אישית חדש. זה נכון גם אם יצרתם את המצב מתבנית או ממדיניות שחולצה, ולא שיניתם את המדיניות הזו.

• מצב ברירת המחדל של המודולים המותאמים אישית הוא מופעל.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

הצגת מידע על מצב האבטחה ועל פריסת מצב האבטחה

אתם יכולים לראות את המידע על המצב ועל הפריסה של המצב כדי לקבל מידע כמו:

• אילו מצבי אבטחה נפרסו ואיפה בהיררכיית המשאבים (ארגונים, פרויקטים ותיקיות) הם מוחלים
• השינויים והמצב של אמצעי הבקרה
• הפרטים התפעוליים של פריסת תצורת אבטחה

צפייה בתנוחה

אפשר לראות מידע על מצב האבטחה (למשל, המצב והגדרות המדיניות).

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

הצגת מידע על פעולת פריסה של תנוחת אבטחה

מריצים את הפקודה gcloud scc posture-operations describe כדי לראות את פרטי הפעולה של פריסת מצב האבטחה.

gcloud scc posture-operations describe OPERATION_NAME

כאשר OPERATION_NAME הוא שם המשאב היחסי של הפעולה. הפורמט הוא organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. אפשר לקבל את OPERATION_ID באמצעות הארגומנט --async כשמריצים את פקודת המצב.

לדוגמה, כדי לראות פעולת סריקה עם השם organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, מריצים את הפקודה הבאה:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

הצגת מידע על פריסת תצורת אבטחה

אתם יכולים לראות איפה נפרס מצב האבטחה ומה מצב הפריסה.

gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

עדכון של מצב אבטחה ופריסה של מצב אבטחה

אפשר לעדכן את הפרטים הבאים:

• המצב של אבטחת המידע.
• הגדרות המדיניות במצב האבטחה.
• הארגון, התיקיות או הפרויקטים שבהם נפרס המצב.

עדכון הגדרות המדיניות במצב אבטחה

יכול להיות שתצטרכו לעדכן את המצב כשמפעילים עוד שירותים Google Cloud , כשפורסים משאבים נוספים או כשנדרשות מדיניות נוספות כדי לעמוד בדרישות תאימות חדשות או משתנות. אם אתם מעדכנים מהדורה של תנוחת אבטחה שכבר הופעלה, המשימה הזו יוצרת מהדורה חדשה של תנוחת האבטחה. אחרת, מתבצע עדכון של גרסת האבטחה שצוינה כשמריצים את פקודת העדכון.

1. פותחים קובץ YAML בכלי לעריכת טקסט. מוסיפים את השדות שרוצים לעדכן, יחד עם הערכים שלהם. אם מעדכנים קבוצות מדיניות, צריך לוודא שהקובץ כולל את כל קבוצות המדיניות שרוצים לכלול במצב האבטחה, כולל קבוצות המדיניות שכבר קיימות. הוראות מפורטות מופיעות במאמר בנושא שינוי קובץ YAML של תנוחת אבטחה.

2. מריצים את הפקודה gcloud scc postures update כדי לעדכן את המצב.

   gcloud scc postures update POSTURE_NAME \
       --posture-from-file=POSTURE_FROM_FILE \
       --revision-id=POSTURE_REVISION_ID \
       --update-mask=UPDATE_MASK
   

   מחליפים את הערכים הבאים:

   • ‫POSTURE_NAME הוא שם המשאב היחסי של המצב. לדוגמה, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

     • ‫POSTURE_ID הוא שם אלפאנומרי של המצב, שייחודי לארגון שלכם.

   • ‫POSTURE_FROM_FILE הוא הנתיב היחסי או המוחלט לקובץ posture.yaml שכולל את השינויים.

     • ‫POSTURE_ID הוא שם אלפאנומרי של המצב שלכם, שייחודי לארגון.

   • ‫POSTURE_FROM_FILE הוא הנתיב היחסי או המוחלט לקובץ posture.yaml שכולל את השינויים.

   • ‫--revision-id=REVISION_ID הוא מספר הגרסה של המצב שרוצים לפרוס. אם המצב כבר נפרס, שירות מצב האבטחה יוצר באופן אוטומטי גרסה חדשה של המצב עם מזהה תיקון שונה, וכולל את מזהה התיקון בפלט.

   • ‫--update-mask=UPDATE_MASK היא רשימת השדות שרוצים לעדכן, בפורמט מופרד בפסיקים. הארגומנט הזה הוא אופציונלי. אפשר להגדיר את UPDATE_MASK לאחד מהערכים הבאים:

     • ‫* או לא מוגדר: החלת השינויים שביצעתם בקבוצות המדיניות ובתיאור המצב.
     • ‫policy_sets: החלת השינויים שביצעתם רק על קבוצות המדיניות.
     • ‫description: החלת השינויים שביצעתם רק בתיאור התנוחה.
     • ‫policy_sets, description: החלת השינויים שביצעתם על קבוצות המדיניות ותיאור המצב.
     • ‫state: החלת שינוי המצב בלבד.

   לדוגמה, כדי לעדכן את המצב עם השם posture-example-1 בארגון organizations/3589215982/locations/global ומזהה הגרסה abcd1234, מריצים את הפקודה הבאה:

   gcloud scc postures update \
       organizations/3589215982/locations/global/posture-example-1 \
       --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets
   

   אם תהליך העדכון של מצב האבטחה נכשל, צריך לפתור את השגיאה ולנסות שוב.

3. כדי לוודא שהמצב עודכן בהצלחה, אפשר לעיין במאמר בנושא הצגת מצב.

שינוי המצב של תנוחה

המצב של תצורת אבטחה קובע אם היא זמינה לפריסה בפרויקט, בתיקייה או בארגון.

מצב האבטחה יכול להיות אחד מהמצבים הבאים:

• ‫DRAFT: הגרסה של המצב לא מוכנה לפריסה. אי אפשר לפרוס שינוי במצב האבטחה שנמצא במצב DRAFT.
• ‫ACTIVE: הגרסה של המצב מוכנה לפריסה. אפשר לשנות את המצב מACTIVE לDRAFT או לDEPRECATED.

• ‫DEPRECATED: אי אפשר לפרוס גרסת שינוי של DEPRECATED למשאב. כדי להוציא משימוש גרסה של בדיקת אבטחה, צריך למחוק את כל הפריסות הקיימות של בדיקת האבטחה. אם רוצים לפרוס מחדש גרסה של מצב אבטחה שהוצאה משימוש, צריך לשנות את הסטטוס שלה ל-ACTIVE.

עדכון פריסה של מצב האבטחה

עדכון פריסת תנוחת אבטחה בפרויקט, בתיקייה או בארגון כדי לפרוס תנוחת אבטחה חדשה או לפרוס גרסה חדשה של תנוחת אבטחה.

אם עדכון המצב כולל אילוץ ארגוני בהתאמה אישית שנמחק באמצעות Google Cloud המסוף, אי אפשר לעדכן את פריסת המצב באמצעות אותו מזהה מצב. שירות מדיניות הארגון מונע יצירה של אילוצים מותאמים אישית לארגון עם אותו שם. במקום זאת, צריך ליצור גרסה חדשה של המצב או להשתמש במזהה מצב אחר.

בנוסף, הממצאים לגבי פריסות המדיניות שנמחקו כחלק מתהליך העדכון יושבתו.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

מעקב אחרי שינויים במצב האבטחה

אתם יכולים לעקוב אחרי מצב האבטחה שנפרס כדי לזהות חריגות מהמדיניות שהגדרתם במצב האבטחה. סטייה היא שינוי במדיניות שמתרחש מחוץ למצב. לדוגמה, סחף מתרחש כשאדמין משנה הגדרת מדיניות במסוף במקום לעדכן את פריסת המצב.

שירות האבטחה יוצר ממצאים שאפשר לראות במסוף Google Cloud או ב-CLI של gcloud בכל פעם שמתרחשת סחף.

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

מידע נוסף על טיפול בממצאים האלה זמין במאמר ממצאים של שירות אבטחת המידע. אפשר לייצא את הממצאים האלה באותו אופן שבו מייצאים ממצאים אחרים מ-Security Command Center. מידע נוסף זמין במאמר בנושא ייצוא נתונים מ-Security Command Center.

כדי להשבית ממצא של סחף, אפשר לעדכן את פריסת המצב עם אותו מזהה מצב וגרסת מצב.

יצירת ממצא של סחף לצורכי בדיקה

אחרי שפורסים את המצב, אפשר לעקוב אחרי סטיות מהמדיניות. כדי לראות את ממצאי הסחף בפעולה בסביבת בדיקה, מבצעים את הפעולות הבאות:

1. במסוף, עוברים לדף Organization policy.

   מעבר אל מדיניות הארגון

2. בוחרים ארגון.

3. עורכים את אחת מהמדיניות שהגדרתם במצב הפריסה. לדוגמה, אם משתמשים במצב אבטחה מוגדר מראש של AI, אפשר לערוך את המדיניות Restrict public IP access on new Vertex AI Workbench notebooks and instances.

4. אחרי שמשנים את המדיניות, לוחצים על הגדרת מדיניות.

5. עוברים לדף ממצאים.

   כניסה לדף Findings

6. בוחרים ארגון.

7. בחלונית Quick filters, בקטע Source display name, בוחרים באפשרות Security Posture. ממצא שקשור לשינוי אמור להופיע תוך חמש דקות.

8. כדי לראות את הפרטים של הממצא, לוחצים על הממצא.

מחיקת פריסת תצורת אבטחה

אפשר למחוק פריסת תנוחה אם היא לא נפרסה כמו שצריך, אם כבר לא צריך תנוחה מסוימת או אם לא רוצים יותר שתנוחה מסוימת תוקצה לפרויקט, לתיקייה או לארגון. כדי למחוק פריסת תנוחה, הפריסה צריכה להיות באחד מהסטטוסים הבאים:

• ACTIVE
• CREATE_FAILED
• UPDATE_FAILED
• DELETE_FAILED

כדי לאמת את המצב של פריסת תנוחה, אפשר לעיין במאמר בנושא הצגת מידע על פריסת תנוחה.

כשמוחקים פריסת תנוחה, מסירים את התנוחה מהמשאב (הארגון, התיקייה או הפרויקט) שהקציתם לה. בנוסף, היא משביתה את הממצאים שמשויכים אליה.

הפלט של סוגים שונים של כללי מדיניות הוא:

• כשמוחקים פריסת תצורת אבטחה שכוללת מדיניות ארגונית בהתאמה אישית, המדיניות הארגונית בהתאמה אישית נמחקת. עם זאת, האילוץ המותאם אישית ממשיך להתקיים.

• כשמוחקים פריסת תצורת אבטחה שכוללת גלאים מובנים של Security Health Analytics, המצב הסופי של מודולי Security Health Analytics תלוי בארגון, בתיקייה או בפרויקט שבהם הפריסה הייתה קיימת.

  • אם פרסתם תצורת אבטחה בתיקייה או בפרויקט, גלאי Security Health Analytics המובנים יורשים את המצב שלהם מהארגון או מהתיקייה ברמת ההורה.
  • אם פרסתם תנוחה ברמת הארגון, גלאים מובנים של Security Health Analytics חוזרים למצב ברירת המחדל. במאמר הפעלה והשבתה של אמצעי זיהוי מופיע תיאור של מצבי ברירת המחדל.

gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

מחיקת תנוחה

כשמוחקים תנוחה, נמחקות גם כל הגרסאות שלה. אי אפשר למחוק תנוחה אם אחת מהגרסאות שלה נפרסה. כדי לבצע את המשימה הזו, צריך למחוק את כל פריסות המצב.

 gcloud scc postures delete POSTURE_NAME

 gcloud scc postures delete \
     organizations/3589215982/locations/global/postures/posture-example-1

המאמרים הבאים

• קרא את הסקירה הכללית על מצבי אבטחה
• מידע נוסף על מודולים בהתאמה אישית ל-Security Health Analytics
• מידע נוסף על אילוצים מותאמים אישית של מדיניות הארגון
• בדיקת יומני הביקורת של פעולות שקשורות למצב האבטחה
• ייצוא נתונים של שירות אבטחת המידע