Una postura de seguridad permite definir y administrar el estado de seguridad de los recursos en la nube, incluidos los servicios y la red en la nube. Puedes usar una postura de seguridad para evaluar tu nivel de seguridad actual en la nube según comparativas definidas, lo que te ayuda a mantener el nivel de seguridad que requiere tu organización. Una postura de seguridad ayuda a detectar y mitigar cualquier desvío de la comparativa definida. Definiendo y manteniendo una postura de seguridad que satisfaga las necesidades de seguridad de tu empresa, puedes reducir los riesgos de ciberseguridad para tu organización y evitar que se produzcan ataques.
En Google Cloud, puedes usar el servicio de postura de seguridad en Security Command Center para definir y, luego, implementar una postura de seguridad, supervisar el estado de seguridad de tus recursos de Google Cloud y abordar cualquier desvío (o cambio no autorizado) de la postura definida.
Beneficios y aplicaciones
El servicio de postura de seguridad es un servicio integrado de Security Command Center que te permite definir, evaluar y supervisar el estado general de tu nivel de seguridad en Google Cloud. Este servicio solo está disponible si adquieres una suscripción de nivel Premium o Enterprise de Security Command Center y activas Security Command Center a nivel de la organización.
Puedes usar el servicio de postura de seguridad para alcanzar los objetivos siguientes:
Asegurarte de que tus cargas de trabajo cumplan con los estándares de seguridad, las reglamentaciones de cumplimiento y los requisitos de seguridad personalizados de tu organización
Aplicar tus controles de seguridad a los proyectos, las carpetas o las organizaciones de Google Cloud antes de implementar cualquier carga de trabajo
Supervisar continuamente los controles de seguridad definidos y resolver cualquier desvío
El servicio de postura de seguridad se habilita automáticamente cuando activas Security Command Center a nivel de la organización.
Componentes del servicio
El servicio de postura de seguridad incluye los componentes siguientes:
Postura
Se trata de uno o más conjuntos de políticas que aplican controles de prevención y detección requeridos en tu organización para cumplir con su estándar de seguridad. Puedes implementar posturas a nivel de organización, carpeta o proyecto. Para obtener una lista de las plantillas de posturas, consulta Plantillas de posturas predefinidas.
Conjuntos de políticas
Son un conjunto de requisitos de seguridad y controles asociados en Google Cloud. En general, un conjunto de políticas consta de todas las políticas que te permiten cumplir con los requisitos de un estándar de seguridad o una reglamentación de cumplimiento en particular.
Política
Es una restricción o limitación particular que controla o supervisa el comportamiento de los recursos en Google Cloud. Las políticas pueden ser de prevención (por ejemplo, las restricciones de políticas de la organización) o de detección (por ejemplo, los detectores de Security Health Analytics). Las políticas admitidas son las siguientes:
Restricciones de las políticas de la organización, incluidas las restricciones personalizadas
Detectores de Security Health Analytics, incluidos los módulos personalizados
Implementación de posturas
Después de crear una postura, debes implementarla para poder aplicarla a la organización, las carpetas o los proyectos que quieres administrar con ella.
En el diagrama siguiente, se muestran los componentes de una postura de seguridad de ejemplo.
Plantillas de posturas predefinidas
El servicio de postura de seguridad incluye plantillas de posturas predefinidas que satisfacen un estándar de cumplimiento o uno recomendado por Google, como las recomendaciones del plano de bases empresariales. Puedes usar estas plantillas para crear posturas de seguridad que se apliquen a tu empresa. En la tabla siguiente, se describen las plantillas de posturas.
| Plantilla de postura | Nombre de la plantilla | Descripción |
|---|---|---|
| Seguridad de forma predeterminada, conceptos básicos | secure_by_default_essential |
En esta plantilla, se implementan las políticas que ayudan a prevenir errores de configuración y problemas de seguridad habituales que causan los parámetros de configuración predeterminados. Esta plantilla se puede implementar sin modificarla. |
| Seguridad de forma predeterminada, extendida | secure_by_default_extended |
En esta plantilla, se implementan las políticas que ayudan a prevenir los errores de configuración y los problemas de seguridad habituales que causan los parámetros de configuración predeterminados. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
| Recomendaciones de IA seguras, conceptos básicos | secure_ai_essential |
En esta plantilla, se implementan políticas que te ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Esta plantilla se puede implementar sin modificarla. |
| Recomendaciones de IA seguras, extendidas | secure_ai_extended |
En esta plantilla, se implementan políticas que te ayudan a proteger las cargas de trabajo de Gemini y Vertex AI. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
| Recomendaciones de BigQuery, conceptos básicos | big_query_essential |
En esta plantilla, se implementan políticas que te ayudan a proteger BigQuery. Esta plantilla se puede implementar sin modificarla. |
| Recomendaciones de Cloud Storage, conceptos básicos | cloud_storage_essential |
En esta plantilla, se implementan políticas que te ayudan a proteger Cloud Storage. Esta plantilla se puede implementar sin modificarla. |
| Recomendaciones de Cloud Storage, extendidas | cloud_storage_extended |
En esta plantilla, se implementan políticas que te ayudan a proteger Cloud Storage. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
| Recomendaciones de VPC, conceptos básicos | vpc_networking_essential |
En esta plantilla, se implementan políticas que te ayudan a proteger la nube privada virtual (VPC). Puedes implementar esta plantilla sin realizarle ningún cambio. |
| Recomendaciones de VPC, extendidas | vpc_networking_extended |
En esta plantilla, se implementan políticas que te ayudan a proteger la VPC. Antes de implementar esta plantilla, debes personalizarla para que coincida con tu entorno. |
| Recomendaciones de la comparativa del Center for Internet Security (CIS) para la plataforma v2.0.0 de computación de Google Cloud | cis_2_0 |
En esta plantilla, se implementan políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no sigue la comparativa v2.0.0 del CIS para la plataforma de computación de Google Cloud. Esta plantilla se puede implementar sin modificarla. |
| Recomendaciones del estándar SP 800-53 del NIST | nist_800_53 |
En esta plantilla, se implementan políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no sigue el estándar SP 800-53 del Instituto Nacional de Normas y Tecnología (NIST). Esta plantilla se puede implementar sin modificarla. |
| Recomendaciones del estándar 27001 de la ISO | iso_27001 |
En esta plantilla, se implementan políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no sigue el estándar 27001 de la Organización Internacional de Normalización (ISO). Esta plantilla se puede implementar sin modificarla. |
| Recomendaciones del estándar PCI DSS | pci_dss_v_3_2_1 |
En esta plantilla, se implementan políticas que te ayudan a detectar cuándo tu entorno de Google Cloud no sigue las versiones 3.2.1 ni 1.0 de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Esta plantilla se puede implementar sin modificarla. |
Implementación de posturas y supervisión de desvíos
Para aplicar una postura con todas sus políticas en un recurso de Google Cloud , debes implementarla. Puedes especificar a qué nivel de la jerarquía de recursos (organización, carpeta o proyecto) se aplicará la postura. Solo puedes implementar una postura en cada organización, carpeta o proyecto.
Las carpetas y los proyectos secundarios heredan las posturas. Por lo tanto, si implementas posturas a nivel de la organización y del proyecto, todas las políticas de ambas posturas se aplicarán a los recursos del proyecto. Si hay diferencias en las definiciones de las políticas (por ejemplo, una política se establece en Permitir a nivel de la organización y en Denegar a nivel del proyecto), los recursos de ese proyecto usarán la postura de nivel inferior.
Como práctica recomendada, te sugerimos que implementes una postura a nivel de
la organización que incluya políticas que se puedan aplicar a toda tu empresa. Luego,
puedes aplicar políticas más estrictas a las carpetas o los proyectos que las requieran. Por
ejemplo, si usas el plano de bases empresariales para configurar tu infraestructura, crearás
ciertos proyectos (por ejemplo, prj-c-kms)
que se crean específicamente para contener las claves de encriptación de todos los proyectos
incluidos en una carpeta. Puedes usar una postura de seguridad para
configurar la restricción
de la política de la organización constraints/gcp.restrictCmekCryptoKeyProjects incluida en la carpeta common y en las carpetas
de entorno (development, nonproduction y production) de modo que todos los proyectos solo usen
claves de los proyectos de claves.
Después de implementar la postura, puedes supervisar tu entorno para detectar cualquier desvío de la postura definida. Security Command Center informa las instancias de desvío como hallazgos que puedes revisar, filtrar y resolver. Además, puedes exportar estos hallazgos de la misma manera que exportas cualquier otro hallazgo de Security Command Center. Para obtener más información, consulta Exporta datos de Security Command Center.
Integración en Vertex AI y Gemini
Puedes usar las posturas de seguridad para mantener la seguridad de tus cargas de trabajo de IA. El servicio de postura de seguridad incluye lo siguiente:
Plantillas de posturas predefinidas específicas para cargas de trabajo de IA
Un panel en la página Descripción general que permite supervisar las vulnerabilidades que encontraron los módulos personalizados de Security Health Analytics que se aplican a la IA y ver cualquier desvío de las políticas de la organización de Vertex AI que se definen en una postura
Integración en AWS
Si conectas Security Command Center Enterprise a AWS para la recopilación de datos de configuración y recursos, el servicio Security Health Analytics incluye detectores integrados que pueden supervisar tu entorno de AWS y crear hallazgos.
Cuando creas o modificas un archivo de postura, puedes incluir detectores de Security Health Analytics específicos para AWS. Este archivo de postura se debe implementar a nivel de la organización.
Límites del servicio
El servicio de postura de seguridad incluye los límites siguientes:
- Un máximo de 100 posturas por organización
- Un máximo de 400 políticas por postura
- Un máximo de 1,000 implementaciones de posturas por organización