מצב אבטחה מאפשר לכם להגדיר ולנהל את מצב האבטחה של נכסי הענן, כולל רשת הענן ושירותי הענן. אתם יכולים להשתמש במצב אבטחה כדי להעריך את אבטחת הענן הנוכחית שלכם בהשוואה למדדים מוגדרים, וכך לשמור על רמת האבטחה שהארגון שלכם דורש. מצב אבטחה עוזר לכם לזהות ולצמצם כל חריגה מהמדד שהגדרתם. הגדרת מצב אבטחה שתואם לצרכי האבטחה של העסק ותחזוקה שלו יכולים להפחית את הסיכונים לאבטחת סייבר בארגון ולעזור למנוע מתקפות.
ב- Google Cloud, אפשר להשתמש בשירות 'מצב אבטחה' ב-Security Command Center כדי להגדיר ולפרוס מצב אבטחה, לעקוב אחרי סטטוס האבטחה של משאבי Google Cloud ולטפל בכל סטייה (או שינוי לא מורשה) מהמצב שהוגדר.
יתרונות ושימושים
שירות מצב האבטחה הוא שירות מובנה ב-Security Command Center שמאפשר להגדיר, להעריך ולעקוב אחרי הסטטוס הכללי של האבטחה ב- Google Cloud. השירות 'מצב האבטחה' זמין לכם רק אם רכשתם מינוי למסלול Security Command Center Premium או למסלול Enterprise והפעלתם את Security Command Center ברמת הארגון.
אפשר להשתמש בשירות 'מצב האבטחה' כדי להשיג את המטרות הבאות:
לוודא שעומסי העבודה עומדים בתקני האבטחה, בתקנות התאימות ובתקנות המותאמות אישית של הארגון.
כדאי להחיל את אמצעי הבקרה של האבטחה על Google Cloud פרויקטים, תיקיות או ארגונים לפני שמבצעים פריסה של עומסי עבודה.
מעקב רציף אחר סטיות מאמצעי האבטחה שהוגדרו ופתרון שלהן.
שירות מצב האבטחה מופעל אוטומטית כשמפעילים את Security Command Center ברמת הארגון.
רכיבי שירות
שירות מצב האבטחה כולל את הרכיבים הבאים:
תנוחה
קבוצה אחת או יותר של כללי מדיניות שמחייבים אמצעי בקרה מונעים וגילויים שהארגון צריך כדי לעמוד בתקן האבטחה שלו. אפשר לפרוס את המצבים ברמת הארגון, ברמת התיקייה או ברמת הפרויקט. רשימה של תבניות תנוחה מופיעה במאמר תבניות תנוחה מוגדרות מראש.
קבוצות מדיניות
קבוצה של דרישות אבטחה ובקרות משויכות ב- Google Cloud. בדרך כלל, קבוצת מדיניות כוללת את כל כללי המדיניות שמאפשרים לכם לעמוד בדרישות של תקן אבטחה מסוים או בתקנות תאימות.
מדיניות
מגבלה או הגבלה מסוימת ששולטת בהתנהגות של משאבים ב- Google Cloudאו מנטרת אותה. מדיניות יכולה להיות מניעתית (לדוגמה, אילוצים של מדיניות הארגון) או גילוי (לדוגמה, גלאים של Security Health Analytics). אלה כללי המדיניות הנתמכים:
אילוצים של מדיניות הארגון, כולל אילוצים בהתאמה אישית
גלאים של Security Health Analytics, כולל מודולים בהתאמה אישית
פריסת מצב האבטחה
אחרי שיוצרים תנוחה, פורסים אותה כדי להחיל אותה על הארגון, על התיקיות או על הפרויקטים שרוצים לנהל באמצעות התנוחה.
בתרשים הבא מוצגים הרכיבים של מצב אבטחה לדוגמה.
תבניות מוגדרות מראש של תנוחות
שירות האבטחה כולל תבניות מוגדרות מראש של מצב האבטחה, שעומדות בתקן תאימות או בתקן מומלץ של Google, כמו ההמלצות של תוכנית הבסיס של Enterprise. אתם יכולים להשתמש בתבניות האלה כדי ליצור מצבי אבטחה שמתאימים לעסק שלכם. בטבלה הבאה מתוארות תבניות המצב.
| תבנית תנוחה | שם התבנית | תיאור |
|---|---|---|
| אבטחה כברירת מחדל, חבילת Essentials | secure_by_default_essential |
בתבנית הזו מיושמת המדיניות שעוזרת למנוע טעויות נפוצות בהגדרות ובעיות אבטחה נפוצות שנגרמות בגלל הגדרות ברירת מחדל. אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים. |
| אבטחה כברירת מחדל, מורחבת | secure_by_default_extended |
בתבנית הזו מיושמת המדיניות שעוזרת למנוע בעיות נפוצות בהגדרות ובעיות אבטחה נפוצות שנגרמות בגלל הגדרות ברירת מחדל. לפני שמפעילים את התבנית הזו, צריך להתאים אותה לסביבה שלכם. |
| המלצות מאובטחות לשימוש ב-AI, מוצרים חיוניים | secure_ai_essential |
התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את עומסי העבודה של Gemini ו-Vertex AI. אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים. |
| המלצות מאובטחות מבוססות-AI, גרסה מורחבת | secure_ai_extended |
התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את עומסי העבודה של Gemini ו-Vertex AI. לפני שמפעילים את התבנית הזו, צריך להתאים אותה לסביבה שלכם. |
| המלצות ב-BigQuery, מידע בסיסי | big_query_essential |
התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את BigQuery. אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים. |
| המלצות ומידע חיוני על Cloud Storage | cloud_storage_essential |
התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את Cloud Storage. אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים. |
| המלצות ל-Cloud Storage, בהרחבה | cloud_storage_extended |
התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את Cloud Storage. לפני שמפעילים את התבנית הזו, צריך להתאים אותה לסביבה שלכם. |
| המלצות ל-VPC, חיוניות | vpc_networking_essential |
התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את הענן הווירטואלי הפרטי (VPC). אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים. |
| המלצות ל-VPC, מורחבות | vpc_networking_extended |
התבנית הזו מטמיעה מדיניות שעוזרת לכם לאבטח את ה-VPC. לפני שמפעילים את התבנית הזו, צריך להתאים אותה לסביבה שלכם. |
| המלצות של Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0 | cis_2_0 |
התבנית הזו מטמיעה מדיניות שעוזרת לכם לזהות מקרים שבהם Google Cloud הסביבה שלכם לא תואמת ל-CIS Google Cloud Computing Platform Benchmark v2.0.0. אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים. |
| המלצות תקן NIST SP 800-53 | nist_800_53 |
בתבנית הזו מיושמות מדיניות שעוזרות לכם לזהות מקרים שבהם Google Cloud הסביבה שלכם לא תואמת לתקן SP 800-53 של המכון הלאומי לתקנים וטכנולוגיה (NIST). אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים. |
| המלצות לתקן ISO 27001 | iso_27001 |
התבנית הזו מטמיעה מדיניות שעוזרת לכם לזהות מקרים שבהם הסביבה שלכם לא תואמת לתקן ISO 27001 של ארגון התקינה הבינלאומי (ISO). Google Cloud אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים. |
| המלצות לתקן PCI DSS | pci_dss_v_3_2_1 |
התבנית הזו מיישמת מדיניות שעוזרת לכם לזהות מקרים שבהם Google Cloud הסביבה שלכם לא תואמת לגרסה 3.2.1 ולגרסה 1.0 של תקן אבטחת הנתונים בתעשיית כרטיסי התשלום (PCI DSS). אפשר לפרוס את התבנית הזו בלי לבצע בה שינויים. |
פריסת תנוחת האבטחה ומעקב אחרי שינויים
כדי לאכוף את המצב עם כל המדיניות שלו על משאב Google Cloud , צריך לפרוס את המצב. אתם יכולים לציין באיזו רמה בהיררכיית המשאבים (ארגון, תיקייה או פרויקט) חל המצב. אפשר לפרוס רק תצורת אבטחה אחת לכל ארגון, תיקייה או פרויקט.
הגדרות האבטחה עוברות בירושה לתיקיות ולפרויקטים צאצאים. לכן, אם פורסים תצורות אבטחה ברמת הארגון וברמת הפרויקט, כל כללי המדיניות בשתי תצורות האבטחה חלים על המשאבים בפרויקט. אם יש הבדלים בהגדרות המדיניות (לדוגמה, מדיניות מוגדרת כ'הרשאה' ברמת הארגון וכ'דחייה' ברמת הפרויקט), המצב ברמה הנמוכה יותר ישמש את המשאבים בפרויקט הזה.
מומלץ להגדיר מדיניות ברמת הארגון שתחול על כל העסק. אחר כך תוכלו להחיל מדיניות מחמירה יותר על תיקיות או פרויקטים שנדרשת בהם מדיניות כזו. לדוגמה, אם משתמשים בתוכנית ה-blueprint של enterprise foundations כדי להגדיר את התשתית, יוצרים פרויקטים מסוימים (לדוגמה, prj-c-kms) שנוצרו במיוחד כדי להכיל את מפתחות ההצפנה של כל הפרויקטים בתיקייה. אתם יכולים להשתמש במצב אבטחה כדי להגדיר את האילוץ של מדיניות הארגון constraints/gcp.restrictCmekCryptoKeyProjects בתיקייה common ובתיקיות הסביבה (development, nonproduction ו-production), כך שכל הפרויקטים ישתמשו רק במפתחות מהפרויקטים של המפתחות.
אחרי שפורסים את המצב, אפשר לעקוב אחרי הסביבה כדי לזהות חריגות מהמצב שהוגדר. ב-Security Command Center מדווחים על מקרים של סחף כעל ממצאים שאפשר לבדוק, לסנן ולפתור. בנוסף, אפשר לייצא את הממצאים האלה באותו אופן שבו מייצאים ממצאים אחרים מ-Security Command Center. מידע נוסף זמין במאמר בנושא ייצוא נתונים מ-Security Command Center.
אינטגרציה עם Vertex AI ו-Gemini
אתם יכולים להשתמש במצבי אבטחה כדי לשמור על האבטחה של עומסי העבודה של ה-AI. שירות האבטחה כולל את האפשרויות הבאות:
תבניות מוגדרות מראש של מצבי אבטחה שספציפיות לעומסי עבודה של AI.
חלונית בדף סקירה כללית שמאפשרת לעקוב אחרי נקודות חולשה שנמצאו על ידי המודולים המותאמים אישית של Security Health Analytics שרלוונטיים ל-AI, ולראות כל חריגה ממדיניות הארגון של Vertex AI שמוגדרת במצב אבטחה.
שילוב עם AWS
אם מקשרים את Security Command Center Enterprise ל-AWS כדי להגדיר ולאסוף נתונים על משאבים, השירות Security Health Analytics כולל גלאים מובנים שיכולים לעקוב אחרי סביבת AWS וליצור ממצאים.
כשיוצרים או משנים קובץ תנוחה, אפשר לכלול בו גלאים של Security Health Analytics שספציפיים ל-AWS. צריך לפרוס את קובץ המצב הזה ברמת הארגון.
מגבלות שירות
שירות האבטחה כולל את המגבלות הבאות:
- עד 100 תנוחות בארגון.
- אפשר להוסיף עד 400 כללי מדיניות למצב אבטחה.
- עד 1,000 פריסות של מצב אבטחה בארגון.