Faça a gestão de uma postura de segurança

Esta página descreve como pode configurar e usar o serviço de postura de segurança depois de ativar o Security Command Center. Para começar, tem de criar uma postura que inclua as suas políticas, organizadas em conjuntos de políticas, e, em seguida, implementar a postura através de uma implementação de postura. Depois de implementar uma postura, pode monitorizar a deriva e refinar ainda mais a postura ao longo do tempo.

Antes de começar

Conclua estas tarefas antes de concluir as restantes tarefas nesta página.

Ative o nível Premium ou Enterprise do Security Command Center

Verifique se o nível Premium ou nível Enterprise do Security Command Center está ativado ao nível da organização.

Se quiser usar os detetores do Security Health Analytics como políticas, selecione o serviço do Security Health Analytics durante o processo de ativação.

Configure as autorizações

Para receber as autorizações de que precisa para usar a postura, peça ao seu administrador para lhe conceder a função de IAM de administrador da postura de segurança (roles/securityposture.admin). Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Para mais informações acerca das funções de postura de segurança e das autorizações de postura de segurança, consulte o artigo IAM para ativações ao nível da organização.

Configure a CLI do Google Cloud

Tem de usar a versão 461.0.0 ou posterior da CLI Google Cloud.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Para configurar a CLI gcloud para usar a representação de contas de serviço para autenticar em APIs Google, em vez das suas credenciais de utilizador, execute o seguinte comando: 

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Para mais informações, consulte o artigo Roubo de identidade de contas de serviço.

Ativar APIs

Ative o serviço de políticas da organização e as APIs do serviço de postura de segurança:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Configure a ligação à AWS

Para usar os detetores de análise de estado de segurança incorporados específicos da AWS, tem de ativar o Security Command Center Enterprise e estabelecer ligação à AWS para a recolha de dados de configuração e recursos.

Crie e implemente uma postura

Para começar a usar uma postura de segurança, tem de concluir o seguinte:

  • Crie um ficheiro YAML de postura que defina as políticas aplicáveis à sua postura de segurança.
  • Crie uma postura no Google Cloud que se baseie no ficheiro YAML de postura.
  • Implemente a postura.

As secções seguintes fornecem instruções detalhadas.

Crie um ficheiro YAML de postura

Uma postura consiste num ou mais conjuntos de políticas que implementa em conjunto. Estes conjuntos de políticas incluem todas as políticas preventivas e de deteção que quer incluir na sua postura.

Para criar a sua postura, faça uma das seguintes ações:

Para ver detalhes sobre os campos que pode usar numa postura, consulte a Posture referência e a PolicySet referência.

Crie um ficheiro de postura a partir de um modelo de postura predefinido

Pode usar um modelo de postura predefinido para criar um ficheiro de postura.

Consola

  1. Na Google Cloud consola, aceda à página Gestão de postura.

    Aceda à gestão da postura

  2. Verifique se está a ver a organização na qual ativou o nível Premium ou Enterprise do Security Command Center.

  3. No separador Modelos, clique no modelo que quer usar.

  4. Na página Detalhes do modelo, clique em Criar postura.

  5. Atribua um nome exclusivo à postura e clique em Criar. É apresentada a página Detalhes da postura.

  6. Conclua uma das seguintes ações:

gcloud

  1. Reveja os modelos de postura predefinidos para determinar os que se aplicam ao seu ambiente. Pode aplicar algumas delas sem fazer alterações, mas outras requerem que personalize as políticas para corresponderem ao seu ambiente.

  2. Use um dos seguintes métodos para copiar os ficheiros YAML para o seu próprio editor de texto:

    • Copie o ficheiro YAML do conteúdo de referência nos modelos de postura predefinidos.
    • Execute o comando gcloud scc posture-templates describe para copiar o ficheiro YAML.
    gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/POSTURE_TEMPLATE \
    --revision-id=REVISION_ID

    Substitua os seguintes valores:

    • ORGANIZATION_ID é a organização onde ativou o nível Premium ou Enterprise do Security Command Center.
    • POSTURE_TEMPLATE é o nome do modelo da postura predefinida, conforme descrito em Modelos de posturas predefinidas.
    • REVISION_ID é a versão de revisão da postura predefinida. Se não incluir o ID da revisão, é apresentada a versão mais recente da postura predefinida.

    Por exemplo, para ver a postura predefinida essencial de IA segura na organização 3589215982, execute o seguinte:

    gcloud scc posture-templates describe \
    organizations/3589215982/locations/global/postureTemplates/secure_ai_essential \
    --revision-id=v.1.0

  3. Conclua uma das seguintes ações:

    • Se puder usar a postura sem fazer alterações (por exemplo, se usou um dos _essentialsmodelos), pode criar a postura. Para ver instruções, consulte o artigo Crie uma postura.
    • Se precisar de modificar algum dos conjuntos de políticas ou políticas, conclua o procedimento Modifique um ficheiro YAML de postura.

Crie um ficheiro de postura extraindo políticas de um ambiente existente

Pode extrair as políticas (políticas da organização, incluindo políticas personalizadas e todos os detetores do Security Health Analytics, incluindo detetores personalizados) que configurou num projeto, numa pasta ou numa organização existente para criar um ficheiro de postura. Não pode extrair políticas de uma organização, uma pasta ou um projeto que já tenha uma postura aplicada.

Este comando extrai apenas as políticas que configurou anteriormente para a organização, a pasta ou o projeto e não extrai políticas de pastas ou da organização principal.

Se tiver ligado o Security Command Center Enterprise à AWS, este comando também extrai os detetores específicos da AWS (pré-visualização).

  1. Execute o comando gcloud scc postures extract para extrair as políticas da organização e os detetores do Security Health Analytics existentes no seu ambiente.

    gcloud scc postures extract POSTURE_NAME \
    --workload=WORKLOAD

    Substitua os seguintes valores:

    • POSTURE_NAME é o nome do recurso relativo da postura. Por exemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • O POSTURE_ID é um nome alfanumérico para a sua postura que é exclusivo da sua organização. POSTURE_ID está limitado a 63 carateres.

    • WORKLOAD é o projeto, a pasta ou a organização dos quais está a extrair as políticas. A carga de trabalho é uma das seguintes:

    • projects/PROJECT_NUMBER

    • folder/FOLDER_ID

    • organizations/ORGANIZATION_ID

    Por exemplo, para extrair políticas da pasta 3589215982 na organização 6589215984, execute o seguinte:

    gcloud scc postures extract \
  organizations/6589215984/locations/global/postures/myStagingPosture \
  workload=folder/3589215982 > posture.yaml

  2. Abra o ficheiro posture.yaml resultante para edição.

  3. Conclua uma das seguintes ações:

    • Se puder usar a postura sem fazer alterações (por exemplo, se usou um dos _essentialsmodelos), pode criar a postura. Para ver instruções, consulte o artigo Crie uma postura.
    • Se precisar de modificar algum dos conjuntos de políticas ou políticas, conclua o procedimento Modifique um ficheiro YAML de postura.

Crie um recurso do Terraform com definições de políticas

Pode criar uma configuração do Terraform para criar um recurso de postura.

Por exemplo, pode criar um recurso de postura que inclua restrições de políticas organizacionais incorporadas e personalizadas, bem como detetores do Security Health Analytics incorporados e personalizados. O suporte de gestão da postura para detetores de Security Health Analytics incorporados específicos da AWS está em pré-visualização.

resource "google_securityposture_posture" "posture1"{
  posture_id  = "posture_example"
  parent      = "organizations/123456789"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression  = "resource.matchTag('org_id/tag_key_short_name,'tag_value_short_name')"
            	title       = "a CEL condition"
            }
          }
        }
      }
    }
    policies {
      policy_id = "custom_org_policy"
      constraint {
        org_policy_constraint_custom {
          custom_constraint {
            name           = "organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade"
            display_name   = "Disable GKE auto upgrade"
            description    = "Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced."
            action_type    = "ALLOW"
            condition      = "resource.management.autoUpgrade == false"
            method_types   = ["CREATE", "UPDATE"]
            resource_types = ["container.googleapis.com/NodePool"]
          }
          policy_rules {
            enforce = true
            condition {
            	description = "condition description"
            	expression = "resource.matchTagId('tagKeys/key_id','tagValues/value_id')"
            	title = "a CEL condition"
            }
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Para mais informações, consulte google_securityposture_posture.

Modifique um ficheiro YAML de postura

Conclua os passos seguintes para modificar um ficheiro YAML de postura:

  1. Abra o ficheiro YAML de postura num editor de texto.

  2. Valide os elementos name, description e state no início do ficheiro.

    name: organizations/ORGANIZATION_ID/locations/global/posture/POSTURE_ID
description: DESCRIPTION
state: STATE

    Para ver detalhes sobre estes campos, consulte a Posture referência.

    Por exemplo:

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
description: This posture applies to staging environments for Vertex AI.
state: ACTIVE

  3. Personalize as políticas no ficheiro de acordo com os seus requisitos.

    Para ver detalhes sobre os campos que pode usar, consulte a referência da PolicySet.

    1. Reveja as políticas existentes e os respetivos valores. Para políticas que requerem informações específicas do seu ambiente, defina os valores de forma adequada. Por exemplo, para a política ainotebooks.accessMode na IA segura, postura predefinida alargada, adicione os modos de acesso permitidos em policyRules:

      - policyId: Define access mode for Vertex AI Workbench notebooks and instances
  complianceStandards:
  - standard: NIST SP 800-53
    control: AC-3(3)
  - standard: NIST SP 800-53
    control: AC-6(1)
  constraint:
    orgPolicyConstraint:
      cannedConstraintId: ainotebooks.accessMode
      policyRules:
      - values:
          allowedValues: service-account
  description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.

    2. Adicione restrições de políticas organizacionais adicionais, conforme documentado em Restrições de políticas organizacionais. Se estiver a definir uma política organizacional personalizada, certifique-se de que o ficheiro YAML inclui a definição da restrição personalizada. Não pode usar uma restrição personalizada que criou com outros métodos (por exemplo, através da consolaGoogle Cloud ).

      Por exemplo, pode querer definir a restrição compute.trustedImageProjects para definir projetos que podem ser usados para armazenamento de imagens e criação de instâncias de discos. Se copiar este exemplo, certifique-se de que substitui allowedValues por uma lista adequada de projetos:

      - policyId: Define projects with trusted images.
  complianceStandards:
  - standard:
    control:
  constraint:
    orgPolicyConstraint:
      cannedConstraintId: compute.trustedImageProjects
      policyRules:
      - values:
          allowedValues:
          - project1
          - project2
          - projectN
  description: This is a complete list of projects from which images can be used.

    3. Adicione detetores de análise de estado de segurança adicionais, como os documentados nas conclusões da análise de estado de segurança. Por exemplo, adicione um detetor do Security Health Analytics para criar uma descoberta se um projeto não estiver a usar uma chave da API para autenticação:

      - policyId: API Key Exists
  constraint:
    securityHealthAnalyticsModule:
      moduleEnablementState: ENABLED
      moduleName: API_KEY_EXISTS

      Como outro exemplo, adicione um módulo personalizado do Security Health Analytics para detetar se os conjuntos de dados do Vertex AI estão encriptados:

      - policyId: CMEK key is use for Vertex AI DataSet
  complianceStandards:
  - standard: NIST SP 800-53
    control: SC-12
  - standard: NIST SP 800-53
    control: SC-13
  constraint:
    securityHealthAnalyticsCustomModule:
      displayName: "vertexAIDatasetCMEKDisabled"
      config:
        customOutput: {}
        predicate:
          expression: "!has(resource.encryptionSpec)"
        resourceSelector:
          resourceTypes:
          - aiplatform.googleapis.com/Dataset
        severity: CRITICAL
        description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
        recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
      moduleEnablementState: ENABLED

      Como outro exemplo, para o Security Command Center Enterprise, adicione um detetor do Security Health Analytics específico para a AWS (pré-visualização):

      - policySetId: AWS policy set
  description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
  policies:
  - policyId: S3 bucket replication enabled
    complianceStandards:
    - standard: NIST 800-53 R5
      control: SI-13(5)
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_REPLICATION_ENABLED
    description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.

  - policyId: S3 bucket logging enabled
    complianceStandards:
    - standard: NIST 800-53 R5
      control: SI-7(8)
    - standard: PCI DSS 3.2.1
      control: 10.3.1
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_LOGGING_ENABLED
    description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.

      Se adicionar um detetor específico da AWS, tem de implementar a postura ao nível da organização.

  4. Carregue o ficheiro de postura para um repositório de origem com controlo de versões para poder acompanhar as alterações que lhe faz ao longo do tempo.

Crie uma postura

Conclua esta tarefa para criar um recurso de postura no Security Command Center que pode implementar. Se criou uma postura a partir de um modelo de postura predefinido através da consola Google Cloud , o recurso de postura é criado automaticamente para si.

Consola

  1. Na Google Cloud consola, aceda à página Gestão de postura.

    Aceda à gestão da postura

  2. Verifique se está a ver a organização na qual ativou o nível Premium ou Enterprise do Security Command Center.

  3. Clique em Criar postura. Pode criar uma postura começando com uma postura ou um modelo existente, ou usando as políticas aplicadas a um recurso.

    Crie uma postura com uma postura ou um modelo existente

    1. Selecione Começar com uma postura ou um modelo existente (procurar posturas).
    2. Especifique detalhes da postura, como o nome e a descrição da postura.
    3. Clique em Selecionar postura. Pode criar uma postura com base numa postura existente ou num modelo.
      • Selecione Postura para criar uma postura com uma postura existente. Selecione uma postura na lista de posturas apresentada e, de seguida, selecione uma ou mais revisões na lista de revisões disponíveis para a postura selecionada.
      • Selecione Modelo para criar uma postura com um modelo e, de seguida, selecione um ou mais modelos na lista de modelos apresentada.
    4. Clique em Guardar. Na secção Conjuntos de políticas, pode ver a lista de conjuntos de políticas associados à postura selecionada.
    5. Selecione as políticas na lista de conjuntos de políticas. Também pode editar a política e movê-la para um conjunto de políticas diferente nesta página. Não pode criar uma postura com duas políticas com o mesmo nome no mesmo conjunto de políticas.
    6. Clique em Criar.

    Crie uma postura com as políticas aplicadas a um recurso

    1. Selecione Começar com uma postura aplicada a um recurso (procurar recursos).
    2. Especifique detalhes da postura, como o nome e a descrição da postura.
    3. Clique em Selecionar recursos.
    4. Selecione um recurso na lista de recursos apresentada e clique em Criar.

    É redirecionado para a página Detalhes da postura, que apresenta informações sobre a postura que criou. Pode ver os conjuntos de políticas associados a essa postura.

gcloud

  1. Execute o comando gcloud scc postures create para criar uma postura através do ficheiro posture.yaml.

    gcloud scc postures create POSTURE_NAME \
    --posture-from-file=POSTURE_FROM_FILE

    Substitua os seguintes valores:

    • POSTURE_NAME é o nome do recurso relativo da postura. Por exemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID é um nome alfanumérico para a sua postura exclusivo da sua organização. POSTURE_ID está limitado a 63 carateres.

    Por exemplo, para criar uma postura com o ID posture-example-1 na organização organizations/3589215982, execute o seguinte comando:

    gcloud scc postures create \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --posture-from-file=posture.yaml

    Se o processo de criação da postura falhar, elimine a postura, resolva o erro e tente novamente.

  2. Para verificar se a postura foi criada com êxito, consulte o artigo Ver uma postura.

Para aplicar esta postura ao seu ambiente, tem de implementar a postura.

Terraform

Se criou uma configuração do Terraform para o recurso de postura, tem de a aprovisionar através do pipeline de infraestrutura como código.

Para mais informações, consulte o artigo Terraform no Google Cloud.

Implemente uma postura

Depois de criar uma postura, implementa-a num projeto, numa pasta ou numa organização para poder aplicar as políticas e as respetivas definições a recursos específicos na sua organização e monitorizar a variação. Só pode implementar uma postura num projeto, numa pasta ou numa organização.

Verifique se o seu estado de postura é ACTIVE.

Quando implementa a postura, ocorrem as seguintes ações:

  • As definições das políticas organizacionais e dos detetores do Security Health Analytics são aplicadas.
  • Para cada política organizacional personalizada definida na postura, é criada uma nova restrição personalizada. Isto é verdade mesmo que tenha criado a postura a partir de um modelo ou de políticas extraídas e tenha mantido essas políticas inalteradas. O ID da restrição inclui o ID da revisão da postura como sufixo. Se todas as implementações da postura forem eliminadas, o sufixo é substituído por um UUID aleatório.
  • Para cada detetor do Security Health Analytics personalizado definido na postura, é criada uma nova restrição personalizada. Isto é verdade mesmo que tenha criado a postura a partir de um modelo ou de políticas extraídas e tenha mantido essas políticas inalteradas.

  • O estado predefinido dos módulos personalizados está definido como Ativado.

Consola

  1. Na Google Cloud consola, aceda à página Gestão de postura.

    Aceda à gestão da postura

  2. Verifique se está a ver a organização na qual ativou o nível Premium ou Enterprise do Security Command Center.

  3. No separador Posturas, clique na postura que quer implementar.

  4. Na página Detalhes da postura, selecione a revisão da postura. A revisão da postura que selecionar tem de estar no estado ativo.

  5. Clique em Aplicar a recursos.

  6. Clique em Selecionar para selecionar a organização, a pasta ou o projeto no qual quer implementar a postura.

  7. Clique em Aplicar postura.

gcloud

Execute o comando gcloud scc posture-deployments create para implementar uma postura num projeto, numa pasta ou numa organização.

gcloud scc posture-deployments create POSTURE_DEPLOYMENT_NAME \
    --posture-name=POSTURE_NAME \
    --posture-revision-id=POSTURE_REVISION_ID \
    --target-resource=TARGET_RESOURCE

Substitua os seguintes valores:

  • POSTURE_DEPLOYMENT_NAME é o nome do recurso relativo para a implementação de postura. O formato é organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION é global.

  • POSTURE_ID é um nome alfanumérico para a sua postura que é exclusivo da sua organização.

  • --posture-name=POSTURE_NAME é o nome da postura que está a implementar. O formato é organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

Se a sua postura incluir um detetor específico do AWS, tem de implementar a postura ao nível da organização (pré-visualização).

Por exemplo, para implementar uma postura, execute o seguinte comando:

gcloud scc posture-deployments create \
  organizations/3589215982/locations/global/postureDeployments/postureDeployment123 \
  --posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture \
  --posture-revision-id=version1 \
  --target-resource=projects/4589215982

Pode ver as informações de estado à medida que o comando é concluído. Se o processo de criação da implementação de postura falhar, elimine a implementação, resolva o erro e tente novamente.

Terraform

Pode criar um recurso do Terraform para implementar uma postura.

resource "google_securityposture_posture_deployment" "posture_deployment_example" {
  posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
  parent = "organizations/<ORGANIZATION_ID>"
  location = "global"
  description = "a new posture deployment"
  target_resource = "<TARGET_RESOURCE>"
  posture_id = "<POSTURE_NAME>"
  posture_revision_id = "<POSTURE_REVISION_ID>"
}

Para mais informações, consulte google_securityposture_posture_deployment.

Veja informações sobre a postura e a implementação da postura

Pode ver informações sobre a postura e a implementação da postura para ver informações como as seguintes:

  • Que posturas são implementadas e onde na hierarquia de recursos (organizações, projetos e pastas) são aplicadas
  • As revisões e o estado das posturas
  • Os detalhes operacionais de uma implementação de postura

Veja uma postura

Pode ver informações sobre uma postura (como o respetivo estado e definições de políticas).

Consola

  1. Na Google Cloud consola, aceda à página Gestão de postura.

    Aceda à gestão da postura

  2. Selecione a organização na qual ativou o nível Premium ou Enterprise do Security Command Center.

  3. No separador Posturas, clique na postura que quer ver. São apresentados os detalhes da postura.

gcloud

Execute o comando gcloud scc postures describe para ver uma postura que criou.

gcloud scc postures describe POSTURE_NAME \
    --revision-id=REVISION_ID

Substitua os seguintes valores:

  • POSTURE_NAME é o nome do recurso relativo da postura. Por exemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

  • POSTURE_ID é um nome alfanumérico para a sua postura que é exclusivo da sua organização.

  • revision-id=REVISION_ID é uma flag opcional que especifica a versão da postura a ver. Se não incluir a flag, é devolvida a versão mais recente.

Por exemplo, para ver uma postura com o nome organizations/3589215982/locations/global/postures/posture-example-1 e o ID de revisão abcdefgh, execute o seguinte:

gcloud scc postures describe \
    organizations/3589215982/locations/global/postures/posture-example-1 \
    --revision-id=abcdefgh

Veja informações sobre uma operação de implementação de postura

Execute o comando gcloud scc posture-operations describe para ver os detalhes da operação de implementação de postura.

gcloud scc posture-operations describe OPERATION_NAME

Onde OPERATION_NAME é o nome do recurso relativo para a operação. O formato é organizations/ORGANIZATION_ID/locations/global/operations/OPERATION_ID. Pode obter o OPERATION_ID através do argumento --async quando executa o comando posture.

Por exemplo, para ver uma operação de análise com o nome organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae, execute o seguinte:

gcloud scc posture-operations describe \
    organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Veja informações sobre uma implementação de postura

Pode ver onde uma postura está implementada, bem como o estado de implementação.

Consola

  1. Na Google Cloud consola, aceda à página Gestão de postura.

    Aceda à gestão da postura

  2. Verifique se está a ver a organização na qual ativou o nível Premium ou Enterprise do Security Command Center.

  3. No separador Posturas, clique na postura que implementou.

  4. Aceda ao separador Recursos para ver os projetos, as pastas e a organização para os quais a postura está implementada, bem como o estado de implementação.

gcloud

Execute o comando gcloud scc posture-deployments describe para ver informações sobre uma postura implementada.

gcloud scc posture-deployments describe POSTURE_DEPLOYMENT_NAME

Onde POSTURE_DEPLOYMENT_NAME é o nome do recurso relativo para a implementação de postura. O formato é organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION é global.
  • POSTURE_DEPLOYMENT_ID é um nome exclusivo para a implementação da postura.

Por exemplo, para ver os detalhes de uma implementação de postura denominada organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1, execute o seguinte:

gcloud scc posture-deployments describe \
    organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Atualize uma postura e uma implementação de postura

Pode atualizar o seguinte:

  • O estado da postura.
  • As definições de políticas numa postura.
  • A organização, as pastas ou os projetos nos quais uma postura é implementada.

Atualize as definições de políticas numa postura

Pode ter de atualizar uma postura quando ativa mais Google Cloud serviços, implementa recursos adicionais ou requer políticas adicionais para cumprir os requisitos de conformidade novos ou em mudança. Se estiver a atualizar uma revisão da postura implementada, esta tarefa cria uma nova revisão da postura. Caso contrário, a revisão da postura especificada quando executa o comando de atualização é atualizada.

  1. Abra um ficheiro YAML num editor de texto. Adicione os campos que quer atualizar, juntamente com os respetivos valores. Se estiver a atualizar conjuntos de políticas, certifique-se de que o ficheiro inclui todos os conjuntos de políticas que quer incluir na postura, incluindo os conjuntos de políticas já existentes. Para obter instruções, consulte o artigo Modifique um ficheiro YAML de postura.

  2. Execute o comando gcloud scc postures update para atualizar a postura.

    gcloud scc postures update POSTURE_NAME \
    --posture-from-file=POSTURE_FROM_FILE \
    --revision-id=POSTURE_REVISION_ID \
    --update-mask=UPDATE_MASK

    Substitua os seguintes valores:

    • POSTURE_NAME é o nome do recurso relativo da postura. Por exemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID.

      • POSTURE_ID é um nome alfanumérico para a sua postura que é exclusivo da sua organização.

    • POSTURE_FROM_FILE é o caminho relativo ou absoluto para o ficheiro posture.yaml que inclui as suas alterações.

      • POSTURE_ID é um nome alfanumérico para a sua postura exclusivo da sua organização.

    • POSTURE_FROM_FILE é o caminho relativo ou absoluto para o ficheiro posture.yaml que inclui as suas alterações.

    • --revision-id=REVISION_ID é a revisão da postura que quer implementar. Se a postura já estiver implementada, o serviço de postura de segurança cria automaticamente uma nova versão da postura com um ID de revisão diferente e inclui o ID de revisão no resultado.

    • --update-mask=UPDATE_MASK é a lista de campos que quer atualizar, no formato separado por vírgulas. Este argumento é opcional. Pode definir UPDATE_MASK para um dos seguintes valores:

      • * ou não especificado: aplique as alterações que fez aos conjuntos de políticas e à descrição da postura.
      • policy_sets: aplique apenas as alterações que fez aos conjuntos de políticas.
      • description: aplique apenas as alterações que fez à descrição da postura.
      • policy_sets, description: aplique as alterações que fez aos conjuntos de políticas e à descrição da postura.
      • state: aplique apenas a alteração do estado.

    Por exemplo, para atualizar uma postura com o nome posture-example-1 na organização organizations/3589215982/locations/global e o ID da revisão definido como abcd1234, execute o seguinte:

    gcloud scc postures update \
    organizations/3589215982/locations/global/posture-example-1 \
    --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets

    Se o processo de atualização da postura falhar, resolva o erro e tente novamente.

  3. Para verificar se a postura foi atualizada com êxito, consulte o artigo Veja uma postura.

Altere o estado de uma postura

O estado de uma postura determina se está disponível para implementação num projeto, numa pasta ou numa organização.

Uma postura pode ter os seguintes estados:

  • DRAFT: a revisão da postura não está pronta para implementação. Não pode implementar uma revisão da postura que esteja no estado DRAFT.
  • ACTIVE: a revisão da postura está disponível para implementação. Pode alterar o estado de ACTIVE para DRAFT ou DEPRECATED.

  • DEPRECATED: não é possível implementar uma revisão de postura DEPRECATED num recurso. Tem de eliminar todas as implementações de postura existentes da postura antes de poder descontinuar uma revisão da postura. Se quiser voltar a implementar uma revisão de postura que descontinuou, tem de alterar o respetivo estado para ACTIVE.

Consola

  1. Na Google Cloud consola, aceda à página Gestão de postura.

    Aceda à gestão da postura

  2. Verifique se está a ver a organização na qual ativou o nível Premium ou Enterprise do Security Command Center.

  3. No separador Posturas, clique na postura que quer atualizar.

  4. Na página Detalhes da postura, clique em Editar.

  5. Selecione o estado da postura e clique em Guardar.

gcloud

Para alterar o estado de uma postura, execute o comando gcloud scc postures update. Não pode atualizar o estado da postura ao mesmo tempo que atualiza outros campos. Para ver instruções sobre a execução do comando gcloud scc postures update, consulte o artigo Modifique um ficheiro YAML de postura.

Atualize uma implementação de postura

Atualize uma implementação de postura num projeto, numa pasta ou numa organização para implementar uma nova postura ou implementar uma nova revisão de uma postura.

Se a revisão da postura que está a atualizar incluir uma restrição de organização personalizada que foi eliminada através da consola, não pode atualizar a implementação da postura com o mesmo ID da postura. Google Cloud O serviço de políticas da organização impede a criação de restrições da organização personalizadas com o mesmo nome. Em alternativa, tem de criar uma nova versão da postura ou usar um ID de postura diferente.

Além disso, os resultados das implementações de políticas eliminadas como parte do processo de atualização vão ser desativados.

Consola

  1. Na Google Cloud consola, aceda à página Gestão de postura.

    Aceda à gestão da postura

  2. Verifique se está a ver a organização na qual ativou o nível Premium ou Enterprise do Security Command Center.

  3. No separador Posturas, clique na postura que quer atualizar.

  4. Na página Detalhes da postura, selecione a revisão da postura.

  5. Clique em Aplicar a recursos.

  6. Clique em Selecionar para selecionar a organização, a pasta ou o projeto no qual quer implementar a postura. Se vir uma mensagem a indicar que a implementação já existe, elimine a implementação antes de tentar novamente.

gcloud

Execute o comando gcloud scc posture-deployments update para implementar uma postura.

gcloud scc posture-deployments update POSTURE_DEPLOYMENT_NAME \
    --description=DESCRIPTION \
    --update-mask=UPDATE_MASK \
    --posture-id=POSTURE_ID \
    --posture-revision-id=POSTURE_REVISION_ID

Substitua os seguintes valores:

  • POSTURE_DEPLOYMENT_NAME é o nome do recurso relativo para a implementação de postura. O formato é organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • POSTURE_DEPLOYMENT_ID é um nome exclusivo para a implementação da postura.

  • --description=DESCRIPTION é a descrição opcional para a postura implementada.

  • --posture-id=POSTURE_ID é o nome da sua postura que é exclusivo da sua organização. O formato é organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_NAME

  • --posture-revision-id=POSTURE_REVISION_ID é a revisão da postura que quer implementar. Pode obtê-lo na resposta que recebe quando cria a postura ou vê a postura.

  • --update-mask=UPDATE_MASK é a lista de campos que quer atualizar, no formato separado por vírgulas. Este argumento é opcional.

Por exemplo, para atualizar uma implementação de postura com os seguintes critérios:

  • Organização: organizations/3589215982/locations/global
  • ID de implementação da postura: postureDeploymentexample
  • ID da postura: StagingAIPosture
  • Revisão: version2

Execute o seguinte comando:

gcloud scc posture-deployments update \
    organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample \
    --posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture \
    --posture-revision-id=version2

Pode ver as informações de estado à medida que o comando é concluído. Se o processo de atualização da implementação de postura falhar, elimine a implementação, resolva o erro e tente novamente.

Monitorize o desvio da postura

Pode monitorizar uma postura implementada para verificar se existem desvios das políticas definidas na postura de segurança. A deriva é uma alteração a uma política que ocorre fora de uma postura. Por exemplo, a deriva ocorre quando um administrador altera uma definição de política na consola em vez de atualizar a implementação da postura.

O serviço de postura de segurança cria resultados que pode ver na consola ou na CLI gcloud sempre que ocorre uma deriva. Google Cloud

Consola

Para todas as posturas, pode monitorizar o desvio através da página Resultados.

  1. Na Google Cloud consola, aceda à página Resultados.

    Aceda a Conclusões

  2. Verifique se está a ver a organização na qual ativou o nível Premium ou Enterprise do Security Command Center.

  3. Use as seguintes opções de filtro para investigar as conclusões da postura:

    • No painel Filtros rápidos, selecione a constatação Violação de postura. Também pode introduzir o seguinte filtro na Pré-visualização da consulta:

      state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"

    • Para ver as conclusões relacionadas com quaisquer módulos personalizados do Security Health Analytics que se apliquem especificamente a cargas de trabalho da Vertex AI, execute a seguinte consulta de filtro:

      state="ACTIVE" AND NOT mute="MUTED" AND resource.type:"aiplatform"

    • Para ver as conclusões relacionadas com o desvio das políticas da organização do Vertex AI que aplicou numa postura, execute a seguinte consulta de filtro:

        state="ACTIVE" AND NOT mute="MUTED" AND
  (category="SECURITY_POSTURE_POLICY_DRIFT" OR
  category="SECURITY_POSTURE_POLICY_DELETE" OR
  category="SECURITY_POSTURE_DETECTOR_DRIFT" OR
  category="SECURITY_POSTURE_DETECTOR_DELETE")
  AND contains(risks, risk_category = "AI_WORKLOAD_AT_RISK")

  4. Para ver os detalhes de uma descoberta, clique na descoberta.

gcloud

Na CLI gcloud, para ver as conclusões de desvio, execute o seguinte:

gcloud scc findings list ORGANIZATION_ID \
    --filter="category=\"SECURITY_POSTURE_DRIFT\""

Em que ORGANIZATION_ID é o ID da organização.

Para mais informações sobre como resolver estas conclusões, consulte o artigo Conclusões do serviço de postura de segurança. Pode exportar estas conclusões da mesma forma que exporta quaisquer outras conclusões do Security Command Center. Para mais informações, consulte o artigo Exportar dados do Centro de comandos de segurança.

Para desativar uma deteção de desvio, pode atualizar a implementação da postura com o mesmo ID da postura e revisão da postura.

Gere uma deteção de desvio para fins de teste

Depois de implementar uma postura, pode monitorizar o desvio das suas políticas. Para ver os resultados da deriva em ação num ambiente de teste, conclua o seguinte:

  1. Na consola, aceda à página Política da organização.

    Aceda à política da organização

  2. Edite uma das políticas que definiu na postura implementada. Por exemplo, se usar uma postura de IA segura predefinida, pode editar a política Restringir o acesso ao IP público em novas instâncias e notebooks do Vertex AI Workbench.

  3. Depois de alterar a política, clique em Definir política.

  4. Aceda à página Resultados.

    Aceda a Conclusões

  5. No painel Filtros rápidos, na secção Nome a apresentar da origem, selecione Posição de segurança. Deve ser apresentada uma descoberta relacionada com a sua alteração no prazo de cinco minutos.

  6. Para ver os detalhes da descoberta, clique na descoberta.

Elimine uma implementação de postura

Pode eliminar uma implementação de postura se não tiver sido implementada corretamente, já não precisar de uma postura específica ou já não pretender que uma postura específica seja atribuída a um projeto, uma pasta ou uma organização. Para eliminar uma implementação de postura, esta tem de estar num dos seguintes estados:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Para validar o estado de uma implementação de postura, consulte o artigo Veja informações sobre uma implementação de postura.

Quando elimina uma implementação de postura, remove a postura do recurso (a sua organização, pasta ou projeto) ao qual a atribuiu. Além disso, desativa as conclusões associadas.

Os resultados para diferentes tipos de políticas são:

  • Quando elimina uma implementação de postura que inclui políticas de organização personalizadas, as políticas de organização personalizadas são eliminadas. No entanto, a restrição personalizada continua a existir.

  • Quando elimina uma implementação de postura que inclui detetores do Security Health Analytics incorporados, o estado final dos módulos do Security Health Analytics depende da organização, da pasta ou do projeto em que a implementação existia.

    • Se implementou uma postura numa pasta ou num projeto, os detetores do Security Health Analytics incorporados herdam o respetivo estado da organização ou da pasta principal.
    • Se implementou uma postura ao nível da organização, os detetores do Security Health Analytics incorporados revertem para o estado predefinido. Para ver uma descrição dos estados predefinidos, consulte Ative e desative detetores.

Consola

  1. Na Google Cloud consola, aceda à página Gestão de postura.

    Aceda à gestão da postura

  2. Verifique se está a ver a organização na qual ativou o nível Premium ou Enterprise do Security Command Center.

  3. No separador Posturas, clique na postura que quer remover do recurso ao qual está atribuída.

  4. Na página Detalhes da postura, selecione a revisão da postura e aceda a Recursos.

  5. Na lista de recursos onde a revisão da postura ativa atual está implementada, clique em Remover.

gcloud

Execute o comando gcloud scc posture-deployments delete para eliminar uma implementação de postura.

gcloud scc posture-deployments delete POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME é o nome do recurso relativo para a implementação de postura. O formato é organizations/ORGANIZATION_ID/locations/global/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • POSTURE_DEPLOYMENT_ID é o nome exclusivo da implementação de postura.

Por exemplo, para eliminar uma implementação de postura com o nome organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1, execute o seguinte:

gcloud scc posture-deployments delete \
    organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Elimine uma postura

Quando elimina uma postura, também elimina todas as revisões. Não pode eliminar uma postura se alguma das respetivas revisões estiver implementada. Tem de eliminar todas as implementações de postura antes de poder concluir esta tarefa.

Consola

  1. Na Google Cloud consola, aceda à página Gestão de postura.

    Aceda à gestão da postura

  2. Verifique se está a ver a organização na qual ativou o nível Premium ou Enterprise do Security Command Center.

  3. No separador Posturas, clique na postura que quer eliminar.

  4. Na página Detalhes da postura, clique em Eliminar.

gcloud

Execute o comando gcloud scc postures delete para eliminar uma postura.

 gcloud scc postures delete POSTURE_NAME

POSTURE_NAME é o nome do recurso relativo da postura.

Por exemplo, organizations/ORGANIZATION_ID/locations/global/postures/POSTURE_ID. O ID da postura é um nome alfanumérico da sua postura que é exclusivo da sua organização.

Por exemplo, para eliminar uma postura com o nome organizations/3589215982/locations/global/postures/posture-example-1, execute o seguinte:

 gcloud scc postures delete \
     organizations/3589215982/locations/global/postures/posture-example-1

O que se segue?