Una security posture consente di definire e gestire lo stato di sicurezza degli asset cloud, inclusi la rete e i servizi cloud. Puoi utilizzare una security posture per valutare la sicurezza del cloud attuale rispetto ai benchmark definiti, il che ti aiuta a mantenere il livello di sicurezza richiesto dalla tua organizzazione. Una security posture ti aiuta a rilevare e mitigare eventuali deviazioni dal benchmark definito. Definendo e mantenendo una security posture che soddisfi le esigenze di sicurezza della tua attività, puoi ridurre i rischi di cybersicurezza per la tua organizzazione e contribuire a prevenire gli attacchi.
In Google Cloud, puoi utilizzare il servizio security posture in Security Command Center per definire ed eseguire il deployment di una security posture, monitorare lo stato di sicurezza delle tue Google Cloud risorse e risolvere eventuali deviazioni (o modifiche non autorizzate) dalla postura definita.
Vantaggi e applicazioni
Il servizio security posture è un servizio integrato per il Security Command Center che consente di definire, valutare e monitorare lo stato generale della sicurezza in Google Cloud. Il servizio security posture è disponibile solo se acquisti un abbonamento al livello Premium o Enterprise di Security Command Center e attivi Security Command Center a livello di organizzazione.
Puoi utilizzare il servizio security posture per raggiungere i seguenti obiettivi:
Assicurati che i tuoi workload siano conformi agli standard di sicurezza, alle normative di conformità e ai requisiti di sicurezza personalizzati della tua organizzazione.
Applica i controlli di sicurezza a Google Cloud progetti, cartelle o organizzazioni prima di eseguire il deployment di qualsiasi workload.
Monitora e risolvi continuamente eventuali deviazioni dai controlli di sicurezza definiti.
Il servizio security posture viene attivato automaticamente quando attivi Security Command Center a livello di organizzazione.
Componenti del servizio
Il servizio security posture include i seguenti componenti:
Postura
Uno o più set di policy che applicano i controlli preventivi e di rilevamento richiesti dalla tua organizzazione per soddisfare il suo standard di sicurezza. Puoi eseguire il deployment delle posture a livello di organizzazione, cartella o progetto. Per un elenco dei modelli di postura, vedi Modelli di postura predefiniti.
Set di policy
Un insieme di requisiti di sicurezza e controlli associati in Google Cloud. In genere, un set di policy è costituito da tutte le policy che consentono di soddisfare i requisiti di un determinato standard di sicurezza o normativa di conformità
Norme
Un vincolo o una restrizione specifica che controlla o monitora il comportamento delle risorse in Google Cloud. Le policy possono essere preventive (ad esempio, vincoli delle policy dell'organizzazione) o di rilevamento (ad esempio, rilevatori di Security Health Analytics). Le policy supportate sono le seguenti:
Vincoli delle policy dell'organizzazione, inclusi i vincoli personalizzati
Rilevatori di Security Health Analytics, inclusi i moduli personalizzati
Deployment della postura
Dopo aver creato una postura, esegui il deployment in modo che tu possa applicare la postura all'organizzazione, alle cartelle o ai progetti che vuoi gestire utilizzando la postura.
Il seguente diagramma mostra i componenti di una security posture di esempio.
Modelli di postura predefiniti
Il servizio security posture include modelli di postura predefiniti che rispettano uno standard di conformità o a uno standard consigliato da Google, come le raccomandazioni del blueprint delle fondamenta aziendali. Puoi utilizzare questi modelli per creare security posture applicabili alla tua attività. La seguente tabella descrive i modelli di postura.
| Modello di postura | Nome template | Descrizione |
|---|---|---|
| Sicuro per impostazione predefinita, elementi essenziali | secure_by_default_essential |
Questo modello implementa le policy che aiutano a prevenire errori di configurazione comuni e problemi di sicurezza comuni causati dalle impostazioni predefinite. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Sicuro per impostazione predefinita, esteso | secure_by_default_extended |
Questo modello implementa le policy che aiutano a prevenire errori di configurazione comuni e problemi di sicurezza comuni causati dalle impostazioni predefinite. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Raccomandazioni AI sicure, elementi essenziali | secure_ai_essential |
Questo modello implementa le policy che ti aiutano a proteggere i workload di Gemini e della piattaforma agentica Gemini Enterprise. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Raccomandazioni AI sicure, estese | secure_ai_extended |
Questo modello implementa le policy che ti aiutano a proteggere i workload di Gemini e della piattaforma agentica Gemini Enterprise. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Raccomandazioni BigQuery, elementi essenziali | big_query_essential |
Questo modello implementa le policy che ti aiutano a proteggere BigQuery. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Raccomandazioni Cloud Storage, elementi essenziali | cloud_storage_essential |
Questo modello implementa le policy che ti aiutano a proteggere Cloud Storage. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Raccomandazioni Cloud Storage, estese | cloud_storage_extended |
Questo modello implementa le policy che ti aiutano a proteggere Cloud Storage. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Raccomandazioni VPC, elementi essenziali | vpc_networking_essential |
Questo modello implementa le policy che ti aiutano a proteggere Virtual Private Cloud (VPC). Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Raccomandazioni VPC, estese | vpc_networking_extended |
Questo modello implementa le policy che ti aiutano a proteggere VPC. Prima di eseguire il deployment di questo modello, devi personalizzarlo in base al tuo ambiente. |
| Raccomandazioni del benchmark della piattaforma di computing Google Cloud del Center for Internet Security (CIS) v2.0.0 | cis_2_0 |
Questo modello implementa le policy che ti aiutano a rilevare quando il tuo Google Cloud ambiente non è allineato al benchmark della piattaforma di computing Google Cloud del CIS v2.0.0. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Raccomandazioni standard NIST SP 800-53 | nist_800_53 |
Questo modello implementa le policy che ti aiutano a rilevare quando il tuo Google Cloud ambiente non è allineato allo standard SP 800-53 del National Institute of Standards and Technology (NIST). Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Raccomandazioni standard ISO 27001 | iso_27001 |
Questo modello implementa le policy che ti aiutano a rilevare quando il tuo Google Cloud ambiente non è allineato allo standard 27001 dell'International Organization for Standards (ISO). Puoi eseguire il deployment di questo modello senza apportare modifiche. |
| Raccomandazioni standard PCI DSS | pci_dss_v_3_2_1 |
Questo modello implementa le policy che ti aiutano a rilevare quando il tuo Google Cloud ambiente non è allineato al Payment Card Industry Data Security Standard (PCI DSS) versione 3.2.1 e versione 1.0. Puoi eseguire il deployment di questo modello senza apportare modifiche. |
Deployment della postura e monitoraggio della deviazione
Per applicare una postura con tutte le relative policy a una Google Cloud risorsa, esegui il deployment della postura. Puoi specificare il livello della gerarchia delle risorse (organizzazione, cartella o progetto) a cui si applica la postura. Puoi eseguire il deployment di una sola postura per ogni organizzazione, cartella o progetto.
Le posture vengono ereditate dalle cartelle e dai progetti secondari. Di conseguenza, se esegui il deployment delle posture a livello di organizzazione e di progetto, tutte le policy all'interno di entrambe le posture si applicano alle risorse del progetto. Se ci sono differenze nelle definizioni delle policy (ad esempio, una policy è impostata su Consenti a livello di organizzazione e su Nega a livello di progetto), le risorse del progetto utilizzano la postura di livello inferiore.
Come best practice, ti consigliamo di eseguire il deployment di una postura a livello di organizzazione che includa policy applicabili all'intera attività. Puoi quindi applicare policy più rigorose alle cartelle o ai progetti che le richiedono. Ad esempio, se utilizzi il blueprint delle fondamenta aziendali per configurare l'infrastruttura, crei determinati progetti (ad esempio, prj-c-kms) creati appositamente per contenere le chiavi di crittografia di tutti i progetti di una cartella. Puoi utilizzare una security posture per impostare il
constraints/gcp.restrictCmekCryptoKeyProjects
vincolo delle policy dell'organizzazione nella cartella common e nelle cartelle dell'ambiente
(development, nonproduction, e production) in modo che tutti i progetti utilizzino solo
le chiavi dei progetti chiave.
Dopo aver eseguito il deployment della postura, puoi monitorare l'ambiente per rilevare eventuali deviazioni dalla postura definita. Security Command Center segnala le istanze di deviazione come risultati che puoi esaminare, filtrare e risolvere. Inoltre, puoi esportare questi risultati nello stesso modo in cui esporti qualsiasi altro risultato da Security Command Center. Per ulteriori informazioni, vedi Esportare i dati di Security Command Center.
Integrazione con la piattaforma agentica Gemini Enterprise e Gemini
Puoi utilizzare le security posture per mantenere la sicurezza dei tuoi workload AI. Il servizio security posture include quanto segue:
Modelli di postura predefiniti specifici per i workload AI.
Un riquadro nella pagina Panoramica che consente di monitorare le vulnerabilità rilevate dai moduli personalizzati di Security Health Analytics che si applicano all'AI e di visualizzare eventuali deviazioni dalle policy dell'organizzazione della piattaforma agentica Gemini Enterprise definite in una postura.
Integrazione con AWS
Se colleghi Security Command Center Enterprise ad AWS per la raccolta di dati di configurazione e risorse, il servizio Security Health Analytics include rilevatori integrati in grado di monitorare l'ambiente AWS e creare risultati.
Quando crei o modifichi un file di postura, puoi includere rilevatori di Security Health Analytics specifici per AWS. Devi eseguire il deployment di questo file di postura a livello di organizzazione.
Limiti di servizio
Il servizio security posture include i seguenti limiti:
- Un massimo di 100 posture in un'organizzazione.
- Un massimo di 400 policy in una postura.
- Un massimo di 1000 deployment di posture in un'organizzazione.