Uma postura de segurança permite definir e gerenciar o nível de segurança dos seus recursos na nuvem, incluindo a rede e os serviços. É possível usar uma postura de segurança para avaliar a segurança atual da nuvem em comparação com benchmarks definidos, o que ajuda a manter o nível de segurança exigido pela sua organização. Uma postura de segurança permite identificar e corrigir qualquer problema de segurança em relação aos seus padrões definidos. Ao definir e manter uma postura de segurança que atenda às necessidades de segurança da sua empresa, é possível reduzir os riscos de cibersegurança para a sua organização e ajudar a evitar que ataques ocorram.
No Google Cloud Google Cloud, o serviço de postura de segurança no Security Command Center pode ser usado para definir e implantar uma postura de segurança, monitorar o status de segurança dos seus recursos do Google Cloud Google Cloud e corrigir qualquer desvio (ou mudança não autorizada) em relação à postura definida.
Benefícios e aplicações
O serviço de postura de segurança é uma ferramenta integrada do Security Command Center que permite definir, avaliar e monitorar o nível geral de segurança dos seus recursos em Google Cloud. O serviço de postura de segurança só está disponível se você comprar uma assinatura do nível Premium ou Enterprise do Security Command Center e ativar o Security Command Center no nível da organização.
É possível usar o serviço de postura de segurança para alcançar as seguintes metas:
Garantir que suas cargas de trabalho estejam em conformidade com os padrões de segurança, as regulamentações de compliance e os requisitos de segurança personalizados da sua organização.
Aplicar seus controles de segurança a Google Cloud projetos, pastas ou organizações antes de implantar cargas de trabalho.
Monitorar e resolver continuamente qualquer desvio dos controles de segurança definidos.
O serviço de postura de segurança é ativado automaticamente quando você ativa o Security Command Center no nível da organização.
Componentes de serviço
O serviço de postura de segurança inclui os seguintes componentes:
Postura
Um ou mais conjuntos de políticas que aplicam os controles preventivos e de detecção necessários para que sua organização atenda ao padrão de segurança. É possível implantar posturas no nível da organização, da pasta ou do projeto. Para conferir uma lista de modelos de postura, consulte Modelos de postura predefinidos.
Conjuntos de políticas
Um conjunto de requisitos de segurança e controles associados em Google Cloud. Normalmente, um conjunto de políticas consiste em todas as políticas que permitem atender aos requisitos de um padrão de segurança ou regulamentação de compliance específico.
Política
Uma restrição ou limitação específica que controla ou monitora o comportamento dos recursos no Google Cloud. As políticas podem ser preventivas (por exemplo, restrições da política da organização) ou de detecção (por exemplo, detectores da Análise de integridade da segurança). As políticas compatíveis são as seguintes:
Restrições da política da organização, incluindo restrições personalizadas
Detectores da Análise de integridade da segurança, incluindo módulos personalizados
Implantação de postura
Depois de criar uma postura, implante-a para poder aplicá-la à organização, às pastas ou aos projetos que você quer gerenciar usando a postura.
O diagrama a seguir mostra os componentes de uma postura de segurança de exemplo.
Modelos de postura predefinidos
O serviço de postura de segurança inclui modelos de postura predefinidos que aderem a um padrão de compliance ou a um padrão recomendado pelo Google, como as recomendações do blueprint das bases de segurança. É possível usar esses modelos para criar posturas de segurança que se aplicam à sua empresa. A tabela a seguir descreve os modelos de postura.
| Modelo de postura | Nome do modelo | Descrição |
|---|---|---|
| Seguro por padrão, essencial | secure_by_default_essential |
Esse modelo implementa as políticas que ajudam a evitar configurações incorretas e problemas de segurança comuns causados pelas configurações padrão. É possível implantar esse modelo sem fazer alterações. |
| Seguro por padrão, estendido | secure_by_default_extended |
Esse modelo implementa as políticas que ajudam a evitar configurações incorretas e problemas de segurança comuns causados pelas configurações padrão. Antes de implantar esse modelo, é necessário personalizá-lo para corresponder ao seu ambiente. |
| Recomendações de IA seguras, essencial | secure_ai_essential |
Esse modelo implementa políticas que ajudam a proteger as cargas de trabalho do Gemini e da plataforma de agentes do Gemini Enterprise. É possível implantar esse modelo sem fazer alterações. |
| Recomendações de IA seguras, estendido | secure_ai_extended |
Esse modelo implementa políticas que ajudam a proteger as cargas de trabalho do Gemini e da plataforma de agentes do Gemini Enterprise. Antes de implantar esse modelo, é necessário personalizá-lo para corresponder ao seu ambiente. |
| Recomendações do BigQuery, essencial | big_query_essential |
Esse modelo implementa políticas que ajudam a proteger o BigQuery. É possível implantar esse modelo sem fazer alterações. |
| Recomendações do Cloud Storage, essencial | cloud_storage_essential |
Esse modelo implementa políticas que ajudam a proteger o Cloud Storage. É possível implantar esse modelo sem fazer alterações. |
| Recomendações do Cloud Storage, estendido | cloud_storage_extended |
Esse modelo implementa políticas que ajudam a proteger o Cloud Storage. Antes de implantar esse modelo, é necessário personalizá-lo para corresponder ao seu ambiente. |
| Recomendações de VPC, essencial | vpc_networking_essential |
Esse modelo implementa políticas que ajudam a proteger a nuvem privada virtual (VPC). É possível implantar esse modelo sem fazer alterações. |
| Recomendações de VPC, estendido | vpc_networking_extended |
Esse modelo implementa políticas que ajudam a proteger VPC. Antes de implantar esse modelo, é necessário personalizá-lo para corresponder ao seu ambiente. |
| Recomendações do Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0 | cis_2_0 |
Esse modelo implementa políticas que ajudam a detectar quando o Google Cloud ambiente não está alinhado com o CIS Google Cloud Computing Platform Benchmark v2.0.0. É possível implantar esse modelo sem fazer alterações. |
| Recomendações padrão NIST SP 800-53 | nist_800_53 |
Esse modelo implementa políticas que ajudam a detectar quando o Google Cloud ambiente não está alinhado com o padrão SP 800-53 do National Institute of Standards and Technology (NIST). É possível implantar esse modelo sem fazer alterações. |
| Recomendações padrão ISO 27001 | iso_27001 |
Esse modelo implementa políticas que ajudam a detectar quando o Google Cloud ambiente não está alinhado com o padrão 27001 da International Organization for Standards (ISO). É possível implantar esse modelo sem fazer alterações. |
| Recomendações padrão PCI DSS | pci_dss_v_3_2_1 |
Esse modelo implementa políticas que ajudam a detectar quando o Google Cloud ambiente não está alinhado com a versão 3.2.1 e a versão 1.0 do Payment Card Industry Data Security Standard (PCI DSS). É possível implantar esse modelo sem fazer alterações. |
Implantação de postura e monitoramento de desvios
Para aplicar uma postura com todas as políticas a um Google Cloud recurso, você implante a postura. É possível especificar a qual nível da hierarquia de recursos (organização, pasta ou projeto) a postura se aplica. Só é possível implantar uma postura em cada organização, pasta ou projeto.
As posturas são herdadas por pastas e projetos filhos. Portanto, se você implantar posturas no nível da organização e do projeto, todas as políticas nas duas posturas serão aplicadas aos recursos do projeto. Se houver diferenças nas definições de política (por exemplo, uma política está definida como "Permitir" no nível da organização e como "Negar" no nível do projeto), a postura de nível inferior será usada pelos recursos nesse projeto.
Como prática recomendada, implante uma postura no nível da organização que inclua políticas que possam ser aplicadas a toda a empresa. Em seguida, é possível aplicar políticas mais rigorosas a pastas ou projetos que exigem isso. Por exemplo, se você usar o blueprint das bases de segurança para configurar sua infraestrutura, crie determinados projetos (por exemplo, prj-c-kms) que são criados especificamente para conter as chaves de criptografia de todos os projetos em uma pasta. É possível usar uma postura de segurança para definir a
constraints/gcp.restrictCmekCryptoKeyProjects
restrição de política da organização na pasta common e nas pastas de ambiente
(development, nonproduction e production) para que todos os projetos usem apenas
chaves dos projetos de chave.
Depois de implantar a postura, você pode monitorar o ambiente para detectar qualquer desvio da postura definida. O Security Command Center informa instâncias de deslocamento como descobertas que podem ser revisadas, filtradas e resolvidas. Além disso, é possível exportar essas descobertas da mesma forma que você exporta outras descobertas do Security Command Center. Para mais informações, consulte Como exportar dados do Security Command Center.
Integração com a plataforma de agentes do Gemini Enterprise e o Gemini
É possível usar posturas de segurança para ajudar a manter a segurança das cargas de trabalho de IA. O serviço de postura de segurança inclui o seguinte:
Modelos de postura predefinidos específicos para cargas de trabalho de IA.
Um painel na página Visão geral que permite monitorar vulnerabilidades encontradas pelos módulos personalizados da Análise de integridade da segurança que se aplicam à IA e visualizar qualquer desvio das políticas da organização da plataforma de agentes do Gemini Enterprise definidas em uma postura.
Integração com AWS
Se você conectar o Security Command Center Enterprise à AWS para configuração e coleta de dados de recursos, o serviço da Análise de integridade da segurança incluirá detectores integrados que podem monitorar seu ambiente da AWS e criar descobertas.
Ao criar ou modificar um arquivo de postura, é possível incluir detectores da Análise de integridade da segurança específicos da AWS. É necessário implantar esse arquivo de postura no nível da organização.
Limites de serviço
O serviço de postura de segurança inclui os seguintes limites:
- No máximo 100 posturas em uma organização.
- No máximo 400 políticas em uma postura.
- No máximo 1.000 implantações de postura em uma organização.