Mit einem Sicherheitsstatus können Sie den Sicherheitsstatus Ihrer Cloud-Assets definieren und verwalten, einschließlich Ihres Cloud-Netzwerks und Ihrer Cloud-Dienste. Sie können einen Sicherheitsstatus verwenden, um Ihre aktuelle Cloud-Sicherheit anhand definierter Benchmarks zu bewerten. So können Sie das von Ihrer Organisation geforderte Sicherheitsniveau aufrechterhalten. Mit einem Sicherheitsstatus können Sie Abweichungen von Ihrem definierten Benchmark erkennen und minimieren. Wenn Sie einen Sicherheitsstatus definieren und verwalten, der den Sicherheitsanforderungen Ihres Unternehmens entspricht, können Sie Cybersicherheitsrisiken für Ihre Organisation reduzieren und Angriffe verhindern.
In Google Cloudkönnen Sie den Dienst für den Sicherheitsstatus in Security Command Center verwenden, um einen Sicherheitsstatus zu definieren und bereitzustellen, den Sicherheits status Ihrer Google Cloud Ressourcen zu überwachen und Abweichungen (oder nicht autorisierte Änderungen) von Ihrem definierten Status zu beheben.
Vorteile und Anwendungen
Der Dienst für den Sicherheitsstatus ist ein integrierter Dienst für den Security Command Center, mit dem Sie den Gesamtstatus Ihrer Sicherheit in definieren, bewerten und überwachen können Google Cloud. Der Dienst für den Sicherheitsstatus ist nur verfügbar, wenn Sie ein Abo für die Premium- oder Enterprise-Stufe von Security Command Center erwerben und Security Command Center auf Organisationsebene aktivieren.
Mit dem Dienst für den Sicherheitsstatus können Sie die folgenden Ziele erreichen:
Sorgen Sie dafür, dass Ihre Arbeitslasten den Sicherheitsstandards, Compliance-Bestimmungen und den benutzerdefinierten Sicherheitsanforderungen Ihrer Organisation entsprechen.
Wenden Sie Ihre Sicherheitskontrollen auf Google Cloud Projekte, Ordner oder Organisationen an, bevor Sie Arbeitslasten bereitstellen.
Überwachen Sie kontinuierlich auf Abweichungen von Ihren definierten Sicherheitskontrollen und beheben Sie diese.
Der Dienst für den Sicherheitsstatus wird automatisch aktiviert, wenn Sie Security Command Center auf Organisationsebene aktivieren.
Dienstkomponenten
Der Dienst für den Sicherheitsstatus umfasst die folgenden Komponenten:
Sicherheitsstatus
Ein oder mehrere Richtliniensets, die die präventiven und detektiven Kontrollen erzwingen, die Ihre Organisation benötigt, um ihren Sicherheits standard zu erfüllen. Sie können Sicherheitsstatus auf Organisations-, Ordner- oder Projektebene bereitstellen. Eine Liste der Statusvorlagen finden Sie unter Vordefinierte Status vorlagen.
Richtliniensets
Eine Reihe von Sicherheitsanforderungen und zugehörigen Kontrollen in Google Cloud. In der Regel besteht ein Richtlinienset aus allen Richtlinien, mit denen Sie die Anforderungen eines bestimmten Sicherheitsstandards oder einer bestimmten Compliance-Bestimmung erfüllen können.
Richtlinie
Eine bestimmte Einschränkung, die das Verhalten von Ressourcen in steuert oder überwacht Google Cloud. Richtlinien können präventiv (z. B. Einschränkungen für Organisationsrichtlinien) oder detektiv (z. B. Security Health Analytics-Detektoren) sein. Folgende Richtlinien werden unterstützt:
Einschränkungen für Organisationsrichtlinien, einschließlich benutzerdefinierter Einschränkungen
Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Module
Statusbereitstellung
Nachdem Sie einen Sicherheitsstatus erstellt haben, stellen Sie ihn bereit, damit Sie ihn auf die Organisation, Ordner oder Projekte anwenden können, die Sie damit verwalten möchten.
Das folgende Diagramm zeigt die Komponenten eines Beispiels für einen Sicherheitsstatus.
Vordefinierte Statusvorlagen
Der Dienst für den Sicherheitsstatus umfasst vordefinierte Status vorlagen, die einem Compliancestandard oder einem von Google empfohlenen Standard wie den Empfehlungen des Enterprise Foundations-Blueprints entsprechen. Mit diesen Vorlagen können Sie Sicherheitsstatus erstellen, die für Ihr Unternehmen gelten. In der folgenden Tabelle werden die Statusvorlagen beschrieben.
| Statusvorlage | Name der Vorlage | Beschreibung |
|---|---|---|
| Standardmäßig sicher, Grundlagen | secure_by_default_essential |
Diese Vorlage implementiert die Richtlinien, mit denen häufige Fehlkonfigurationen und häufige Sicherheitsprobleme verhindert werden können, die durch Standardeinstellungen verursacht werden. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Standardmäßig sicher, erweitert | secure_by_default_extended |
Diese Vorlage implementiert die Richtlinien, mit denen häufige Fehlkonfigurationen und häufige Sicherheitsprobleme verhindert werden können, die durch Standardeinstellungen verursacht werden. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| Sichere KI-Empfehlungen, Grundlagen | secure_ai_essential |
Diese Vorlage implementiert Richtlinien, mit denen Sie Gemini und Gemini Enterprise Agent Platform-Arbeitslasten schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Sichere KI-Empfehlungen, erweitert | secure_ai_extended |
Diese Vorlage implementiert Richtlinien, mit denen Sie Gemini und Gemini Enterprise Agent Platform-Arbeitslasten schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| BigQuery-Empfehlungen, Grundlagen | big_query_essential |
Diese Vorlage implementiert Richtlinien, mit denen Sie BigQuery schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Cloud Storage-Empfehlungen, Grundlagen | cloud_storage_essential |
Diese Vorlage implementiert Richtlinien, mit denen Sie Cloud Storage schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Cloud Storage-Empfehlungen, erweitert | cloud_storage_extended |
Diese Vorlage implementiert Richtlinien, mit denen Sie Cloud Storage schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| VPC-Empfehlungen, Grundlagen | vpc_networking_essential |
Diese Vorlage implementiert Richtlinien, mit denen Sie Virtual Private Cloud (VPC) schützen können. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| VPC-Empfehlungen, erweitert | vpc_networking_extended |
Diese Vorlage implementiert Richtlinien, mit denen Sie VPC schützen können. Bevor Sie diese Vorlage bereitstellen, müssen Sie sie an Ihre Umgebung anpassen. |
| Empfehlungen des Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0 | cis_2_0 |
Diese Vorlage implementiert Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud Umgebung nicht dem CIS Google Cloud Computing Platform Benchmark v2.0.0 entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Empfehlungen des NIST SP 800-53-Standards | nist_800_53 |
Diese Vorlage implementiert Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud Umgebung nicht dem NIST SP 800-53-Standard (National Institute of Standards and Technology) entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Empfehlungen des ISO 27001-Standards | iso_27001 |
Diese Vorlage implementiert Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud Umgebung nicht dem ISO 27001-Standard (International Organization for Standards) entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen. |
| Empfehlungen des PCI DSS-Standards | pci_dss_v_3_2_1 |
Diese Vorlage implementiert Richtlinien, mit denen Sie erkennen können, wenn Ihre Google Cloud Umgebung nicht dem Payment Card Industry Data Security Standard (PCI DSS) Version 3.2.1 und Version 1.0 entspricht. Sie können diese Vorlage ohne Änderungen bereitstellen. |
Statusbereitstellung und Abweichungsüberwachung
Wenn Sie einen Sicherheitsstatus mit allen zugehörigen Richtlinien auf eine Google Cloud Ressource erzwingen möchten, stellen Sie den Status bereit. Sie können angeben, auf welcher Ebene der Ressourcenhierarchie (Organisation, Ordner oder Projekt) der Status angewendet werden soll. Sie können nur einen Sicherheitsstatus für jede Organisation, jeden Ordner oder jedes Projekt bereitstellen.
Sicherheitsstatus werden von untergeordneten Ordnern und Projekten übernommen. Wenn Sie also Sicherheitsstatus auf Organisations- und Projektebene bereitstellen, gelten alle Richtlinien beider Status für die Ressourcen im Projekt. Wenn es Unterschiede in den Richtliniendefinitionen gibt (z. B. ist eine Richtlinie auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt), wird der Status auf niedrigerer Ebene von den Ressourcen in diesem Projekt verwendet.
Als Best Practice empfehlen wir, einen Sicherheitsstatus auf Organisationsebene bereitzustellen, der Richtlinien enthält, die für Ihr gesamtes Unternehmen gelten können. Anschließend können Sie strengere Richtlinien auf Ordner oder Projekte anwenden, die diese erfordern. Wenn Sie beispielsweise den Enterprise Foundations-Blueprint verwenden, um Ihre Infrastruktur einzurichten, erstellen Sie bestimmte Projekte (z. B. prj-c-kms), die speziell für die Verschlüsselungsschlüssel für alle Projekte in einem Ordner erstellt wurden. Sie können einen Sicherheitsstatus verwenden, um die
constraints/gcp.restrictCmekCryptoKeyProjects
Einschränkung für Organisationsrichtlinien für den common Ordner und die Umgebungsordner
(development, nonproduction, und production) festzulegen, sodass alle Projekte nur
Schlüssel aus den Schlüsselprojekten verwenden.
Nachdem Sie Ihren Sicherheitsstatus bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von Ihrem definierten Status überwachen. Security Command Center meldet Abweichungen als Ergebnisse, die Sie prüfen, filtern und beheben können. Außerdem können Sie diese Ergebnisse auf dieselbe Weise exportieren wie alle anderen Ergebnisse aus Security Command Center. Weitere Informationen finden Sie unter Security Command Center-Daten exportieren.
Integration mit der Gemini Enterprise Agent Platform und Gemini
Sie können Sicherheitsstatus verwenden, um die Sicherheit Ihrer KI-Arbeitslasten aufrechtzuerhalten. Der Dienst für den Sicherheitsstatus umfasst Folgendes:
Vordefinierte Statusvorlagen, die speziell für KI- Arbeitslasten entwickelt wurden.
Ein Bereich auf der Seite Übersicht , in dem Sie auf Sicherheitslücken überwachen können, die von den benutzerdefinierten Modulen von Security Health Analytics gefunden wurden, die für KI gelten. Außerdem können Sie Abweichungen von den Organisationsrichtlinien der Gemini Enterprise Agent Platform sehen, die in einem Sicherheitsstatus definiert sind.
AWS-Integration
Wenn Sie Security Command Center Enterprise mit AWS verbinden, um Konfigurations- und Ressourcendaten zu erfassen, enthält der Security Health Analytics-Dienst integrierte Detektoren, mit denen Sie Ihre AWS-Umgebung überwachen und Ergebnisse erstellen können.
Wenn Sie eine Statusdatei erstellen oder ändern, können Sie Security Health Analytics-Detektoren einbeziehen, die speziell für AWS entwickelt wurden. Sie müssen diese Statusdatei auf Organisationsebene bereitstellen.
Dienstlimits
Für den Dienst für den Sicherheitsstatus gelten die folgenden Limits:
- Maximal 100 Sicherheitsstatus in einer Organisation.
- Maximal 400 Richtlinien in einem Sicherheitsstatus.
- Maximal 1.000 Statusbereitstellungen in einer Organisation.