סקירה כללית על מצב האבטחה

מצב אבטחה מאפשר לכם להגדיר ולנהל את מצב האבטחה של נכסי הענן, כולל רשת הענן ושירותי הענן. אתם יכולים להשתמש במצב אבטחה כדי להעריך את אבטחת הענן הנוכחית שלכם בהשוואה למדדים מוגדרים, וכך לשמור על רמת האבטחה שהארגון שלכם דורש. מצב אבטחה עוזר לכם לזהות ולצמצם כל סטייה מהמדד שהגדרתם. הגדרת מצב אבטחה שתואם לצרכי האבטחה של העסק שלכם ותחזוקה שלו יכולים לעזור לכם להפחית את הסיכונים לאבטחת סייבר בארגון ולמנוע מתקפות.

ב- Google Cloud, אפשר להשתמש בשירות 'מצב אבטחה' ב-Security Command Center כדי להגדיר ולפרוס מצב אבטחה, לעקוב אחרי סטטוס האבטחה של משאבי Google Cloud ולטפל בכל סטייה (או שינוי לא מורשה) מהמצב שהוגדר.

יתרונות ושימושים

שירות מצב האבטחה הוא שירות מובנה ב-Security Command Center שמאפשר להגדיר, להעריך ולעקוב אחרי הסטטוס הכללי של האבטחה ב- Google Cloud. השירות 'מצב האבטחה' זמין לכם רק אם רכשתם מינוי למסלול Security Command Center Premium או למסלול Enterprise והפעלתם את Security Command Center ברמת הארגון.

אפשר להשתמש בשירות 'מצב האבטחה' כדי להשיג את המטרות הבאות:

  • לוודא שעומסי העבודה עומדים בתקני האבטחה, בתקנות התאימות ובדרישות האבטחה המותאמות אישית של הארגון.

  • כדאי להחיל את אמצעי הבקרה של האבטחה על Google Cloud פרויקטים, תיקיות או ארגונים לפני שמבצעים פריסה של עומסי עבודה.

  • מעקב רציף אחר סטיות מאמצעי האבטחה שהוגדרו ופתרון שלהן.

שירות מצב האבטחה מופעל אוטומטית כשמפעילים את Security Command Center ברמת הארגון.

רכיבי שירות

שירות האבטחה כולל את הרכיבים הבאים:

יציבה

קבוצה אחת או יותר של כללי מדיניות שמחייבים אמצעי בקרה מונעים וגילויים שהארגון צריך כדי לעמוד בתקן האבטחה שלו. אפשר לפרוס את המצבים ברמת הארגון, ברמת התיקייה או ברמת הפרויקט. רשימה של תבניות תנוחה מופיעה במאמר תבניות תנוחה מוגדרות מראש.

קבוצות מדיניות

קבוצה של דרישות אבטחה ואמצעי בקרה משויכים ב- Google Cloud. בדרך כלל, קבוצת מדיניות כוללת את כל המדיניות שמאפשרת לכם לעמוד בדרישות של תקן אבטחה מסוים או בתקנה בנושא תאימות.

מדיניות

הגבלה או אילוץ מסוימים ששולטים בהתנהגות של משאבים ב- Google Cloudאו מנטרים אותה. מדיניות יכולה להיות מניעתית (לדוגמה, הגבלות של מדיניות הארגון) או גילוי (לדוגמה, גלאים של Security Health Analytics). אלה כללי המדיניות הנתמכים:

פריסת מצב האבטחה

אחרי שיוצרים תנוחה, פורסים אותה כדי להחיל אותה על הארגון, על התיקיות או על הפרויקטים שרוצים לנהל באמצעות התנוחה.

בתרשים הבא מוצגים הרכיבים של מצב אבטחה לדוגמה.

רכיבים בשירות של מצב האבטחה.

תבניות מוגדרות מראש של תנוחות

שירות האבטחה כולל תבניות מוגדרות מראש של מצבי אבטחה שתואמות לתקן תאימות או לתקן מומלץ של Google, כמו ההמלצות של תוכנית הבסיס של Enterprise. אתם יכולים להשתמש בתבניות האלה כדי ליצור מצבי אבטחה שמתאימים לעסק שלכם. בטבלה הבאה מתוארות תבניות המצב.

תבנית תנוחה שם התבנית תיאור
אבטחה כברירת מחדל, תכונות חיוניות secure_by_default_essential התבנית הזו מטמיעה את המדיניות שעוזרת למנוע בעיות נפוצות בהגדרות ובעיות אבטחה נפוצות שנגרמות בגלל הגדרות ברירת המחדל. אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים.
אבטחה כברירת מחדל, מורחבת secure_by_default_extended התבנית הזו מטמיעה את המדיניות שעוזרת למנוע בעיות נפוצות בהגדרות ובעיות אבטחה נפוצות שנגרמות מהגדרות ברירת מחדל. לפני שמפעילים את התבנית הזו, צריך להתאים אותה לסביבה שלכם.
המלצות מאובטחות לשימוש ב-AI, מוצרים חיוניים secure_ai_essential התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את עומסי העבודה של Gemini ושל Gemini Enterprise Agent Platform. אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים.
המלצות מאובטחות מבוססות-AI, גרסה מורחבת secure_ai_extended התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את עומסי העבודה של Gemini ושל Gemini Enterprise Agent Platform. לפני שמפעילים את התבנית הזו, צריך להתאים אותה לסביבה שלכם.
המלצות ב-BigQuery, מידע בסיסי big_query_essential התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את BigQuery. אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים.
המלצות ומידע חשוב על Cloud Storage cloud_storage_essential התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את Cloud Storage. אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים.
המלצות מורחבות ל-Cloud Storage cloud_storage_extended התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את Cloud Storage. לפני שמפעילים את התבנית הזו, צריך להתאים אותה לסביבה שלכם.
המלצות ל-VPC, חיוניות vpc_networking_essential בתבנית הזו מוטמעות מדיניות שעוזרות לכם לאבטח את הענן הווירטואלי הפרטי (VPC). אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים.
המלצות מורחבות ל-VPC vpc_networking_extended התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את ה-VPC. לפני שמפעילים את התבנית הזו, צריך להתאים אותה לסביבה שלכם.
המלצות של Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0 cis_2_0 התבנית הזו מטמיעה מדיניות שעוזרת לכם לזהות מקרים שבהם Google Cloud הסביבה שלכם לא תואמת ל-CIS Google Cloud Computing Platform Benchmark v2.0.0. אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים.
המלצות רגילות של NIST SP 800-53 nist_800_53 התבנית הזו מיישמת מדיניות שעוזרת לכם לזהות מקרים שבהם Google Cloud הסביבה שלכם לא תואמת לתקן NIST SP 800-53 של המכון הלאומי לתקנים וטכנולוגיה (NIST). אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים.
המלצות לתקן ISO 27001 iso_27001 התבנית הזו מטמיעה מדיניות שעוזרת לכם לזהות מקרים שבהם הסביבה שלכם לא תואמת לתקן ISO 27001 של ארגון התקינה הבינלאומי (ISO). Google Cloud אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים.
המלצות לתקן PCI DSS pci_dss_v_3_2_1 התבנית הזו מיישמת מדיניות שעוזרת לכם לזהות מקרים שבהם Google Cloud הסביבה שלכם לא תואמת לגרסה 3.2.1 ולגרסה 1.0 של תקן אבטחת הנתונים בתעשיית כרטיסי התשלום (PCI DSS). אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים.

פריסת תנוחה ומעקב אחרי סחף

כדי לאכוף את כללי המדיניות של מצב האבטחה במשאב Google Cloud , צריך לפרוס את מצב האבטחה. אתם יכולים לציין באיזו רמה בהיררכיית המשאבים (ארגון, תיקייה או פרויקט) חל המצב. אפשר לפרוס רק תצורת אבטחה אחת לכל ארגון, תיקייה או פרויקט.

ההגדרות עוברות בירושה לתיקיות ולפרויקטים צאצאים. לכן, אם פורסים תצורות אבטחה ברמת הארגון וברמת הפרויקט, כל כללי המדיניות בשתי תצורות האבטחה חלים על המשאבים בפרויקט. אם יש הבדלים בהגדרות המדיניות (לדוגמה, אם המדיניות מוגדרת כ'הרשאה' ברמת הארגון וכ'דחייה' ברמת הפרויקט), המשאבים בפרויקט ישתמשו במצב האבטחה ברמה הנמוכה יותר.

מומלץ להגדיר מדיניות ברמת הארגון שתחול על כל העסק. אחר כך תוכלו להחיל מדיניות מחמירה יותר על תיקיות או פרויקטים שנדרשת בהם מדיניות כזו. לדוגמה, אם משתמשים בתוכנית ה-blueprint של enterprise foundations כדי להגדיר את התשתית, יוצרים פרויקטים מסוימים (לדוגמה, prj-c-kms) שנוצרו במיוחד כדי להכיל את מפתחות ההצפנה של כל הפרויקטים בתיקייה. אתם יכולים להשתמש במצב אבטחה כדי להגדיר את האילוץ של מדיניות הארגון constraints/gcp.restrictCmekCryptoKeyProjects בתיקייה common ובתיקיות הסביבה (development, ‏ nonproduction ו-production), כך שכל הפרויקטים ישתמשו רק במפתחות מהפרויקטים של המפתחות.

אחרי שפורסים את המצב, אפשר לעקוב אחרי הסביבה כדי לזהות חריגות מהמצב שהוגדר. ב-Security Command Center, מקרים של סטיות מוצגים כתוצאות שאפשר לבדוק, לסנן ולפתור. בנוסף, אפשר לייצא את הממצאים האלה באותו אופן שבו מייצאים ממצאים אחרים מ-Security Command Center. מידע נוסף זמין במאמר בנושא ייצוא נתונים מ-Security Command Center.

שילוב עם Gemini ועם Gemini Enterprise Agent Platform

אתם יכולים להשתמש במצבי אבטחה כדי לשמור על האבטחה של עומסי העבודה של ה-AI. שירות האבטחה כולל את האפשרויות הבאות:

שילוב עם AWS

אם מקשרים את Security Command Center Enterprise ל-AWS כדי להגדיר ולאסוף נתונים על משאבים, השירות Security Health Analytics כולל גלאים מובנים שיכולים לעקוב אחרי סביבת AWS וליצור ממצאים.

כשיוצרים או משנים קובץ תנוחה, אפשר לכלול בו גלאים של Security Health Analytics שספציפיים ל-AWS. צריך לפרוס את קובץ המצב הזה ברמת הארגון.

מגבלות על השירות

שירות האבטחה כולל את המגבלות הבאות:

  • עד 100 תצורות אבטחה בארגון.
  • עד 400 כללי מדיניות במצב אבטחה.
  • עד 1,000 פריסות של תצורת אבטחה בארגון.

המאמרים הבאים