Uma postura de segurança permite-lhe definir e gerir o estado de segurança dos seus ativos da nuvem, incluindo a sua rede na nuvem e os serviços na nuvem. Pode usar uma postura de segurança para avaliar a sua segurança na nuvem atual em relação a referências definidas, o que ajuda a manter o nível de segurança exigido pela sua organização. Uma postura de segurança ajuda a detetar e mitigar qualquer desvio da sua referência definida. Ao definir e manter uma postura de segurança que corresponda às necessidades de segurança da sua empresa, pode reduzir os riscos de cibersegurança para a sua organização e ajudar a evitar a ocorrência de ataques.
No Google Cloud, pode usar o serviço de postura de segurança no Security Command Center para definir e implementar uma postura de segurança, monitorizar o estado de segurança dos seus recursos Google Cloud e resolver qualquer desvio (ou alteração não autorizada) da postura definida.
Vantagens e aplicações
O serviço de postura de segurança é um serviço incorporado do Security Command Center que lhe permite definir, avaliar e monitorizar o estado geral da sua segurança no Google Cloud. O serviço de postura de segurança só está disponível se comprar uma subscrição do nível Premium ou do nível Enterprise do Security Command Center e ativar o Security Command Center ao nível da organização.
Pode usar o serviço de postura de segurança para alcançar os seguintes objetivos:
Certifique-se de que as suas cargas de trabalho estão em conformidade com as normas de segurança, os regulamentos de conformidade e os requisitos de segurança personalizados da sua organização.
Aplique os controlos de segurança a Google Cloud projetos, pastas ou organizações antes de implementar quaisquer cargas de trabalho.
Monitorize continuamente e resolva qualquer desvio dos controlos de segurança definidos.
O serviço de postura de segurança é ativado automaticamente quando ativa o Security Command Center ao nível da organização.
Componentes de serviço
O serviço de postura de segurança inclui os seguintes componentes:
Postura
Um ou mais conjuntos de políticas que aplicam os controlos preventivos e detetives de que a sua organização precisa para cumprir a respetiva norma de segurança. Pode implementar posturas ao nível da organização, da pasta ou do projeto. Para ver uma lista de modelos de postura, consulte os modelos de postura predefinidos.
Políticas definidas
Um conjunto de requisitos de segurança e controlos associados em Google Cloud. Normalmente, um conjunto de políticas consiste em todas as políticas que lhe permitem cumprir os requisitos de uma determinada norma de segurança ou regulamento de conformidade.
Política
Uma restrição ou limitação específica que controla ou monitoriza o comportamento dos recursos em Google Cloud. As políticas podem ser preventivas (por exemplo, restrições de políticas da organização) ou de deteção (por exemplo, detetores do Security Health Analytics). As políticas suportadas são as seguintes:
Restrições da política da organização, incluindo restrições personalizadas
Detetores do Security Health Analytics, incluindo módulos personalizados
Implementação da postura
Depois de criar uma postura, implementa-a para poder aplicá-la à organização, às pastas ou aos projetos que quer gerir através da postura.
O diagrama seguinte mostra os componentes de um exemplo de postura de segurança.
Modelos de postura predefinidos
O serviço de postura de segurança inclui modelos de postura predefinidos que cumprem uma norma de conformidade ou uma norma recomendada pela Google, como as recomendações do projeto de base empresarial. Pode usar estes modelos para criar posturas de segurança que se aplicam à sua empresa. A tabela seguinte descreve os modelos de postura.
| Modelo de postura | Nome do modelo | Descrição |
|---|---|---|
| Segurança por predefinição, essenciais | secure_by_default_essential |
Este modelo implementa as políticas que ajudam a evitar configurações incorretas comuns e problemas de segurança comuns causados pelas definições predefinidas. Pode implementar este modelo sem fazer alterações. |
| Segurança por predefinição, alargada | secure_by_default_extended |
Este modelo implementa as políticas que ajudam a evitar configurações incorretas comuns e problemas de segurança comuns causados pelas definições predefinidas. Antes de implementar este modelo, tem de o personalizar para corresponder ao seu ambiente. |
| Recomendações de IA seguras, essenciais | secure_ai_essential |
Este modelo implementa políticas que ajudam a proteger as cargas de trabalho do Gemini e da Vertex AI. Pode implementar este modelo sem fazer alterações ao mesmo. |
| Recomendações de IA seguras, alargadas | secure_ai_extended |
Este modelo implementa políticas que ajudam a proteger as cargas de trabalho do Gemini e da Vertex AI. Antes de implementar este modelo, tem de o personalizar de acordo com o seu ambiente. |
| Recomendações essenciais do BigQuery | big_query_essential |
Este modelo implementa políticas que ajudam a proteger o BigQuery. Pode implementar este modelo sem fazer alterações. |
| Recomendações essenciais do Cloud Storage | cloud_storage_essential |
Este modelo implementa políticas que ajudam a proteger o Cloud Storage. Pode implementar este modelo sem fazer alterações. |
| Recomendações de armazenamento na nuvem, alargadas | cloud_storage_extended |
Este modelo implementa políticas que ajudam a proteger o Cloud Storage. Antes de implementar este modelo, tem de o personalizar para corresponder ao seu ambiente. |
| Recomendações de VPC, essenciais | vpc_networking_essential |
Este modelo implementa políticas que ajudam a proteger a nuvem virtual privada (VPC). Pode implementar este modelo sem fazer alterações. |
| Recomendações de VPC, alargadas | vpc_networking_extended |
Este modelo implementa políticas que ajudam a proteger a VPC. Antes de implementar este modelo, tem de o personalizar para corresponder ao seu ambiente. |
| Recomendações da referência v2.0.0 da Google Cloud Computing Platform do Center for Internet Security (CIS) | cis_2_0 |
Este modelo implementa políticas que ajudam a detetar quando o seu Google Cloud ambiente não está alinhado com o CIS Google Cloud Computing Platform Benchmark v2.0.0. Pode implementar este modelo sem fazer alterações ao mesmo. |
| Recomendações padrão da NIST SP 800-53 | nist_800_53 |
Este modelo implementa políticas que ajudam a detetar quando o seu Google Cloud ambiente não está alinhado com a norma SP 800-53 do National Institute of Standards and Technology (NIST). Pode implementar este modelo sem fazer alterações. |
| Recomendações da norma ISO 27001 | iso_27001 |
Este modelo implementa políticas que ajudam a detetar quando o seu Google Cloud ambiente não está alinhado com a norma 27001 da Organização Internacional de Normalização (ISO). Pode implementar este modelo sem fazer alterações. |
| Recomendações da norma PCI DSS | pci_dss_v_3_2_1 |
Este modelo implementa políticas que ajudam a detetar quando o seu Google Cloud ambiente não está alinhado com a Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) versão 3.2.1 e versão 1.0. Pode implementar este modelo sem fazer alterações. |
Implementação da postura e monitorização do desvio
Para aplicar uma postura com todas as respetivas políticas a um Google Cloud recurso, tem de implementar a postura. Pode especificar a que nível da hierarquia de recursos (organização, pasta ou projeto) a postura se aplica. Só pode implementar uma postura em cada organização, pasta ou projeto.
As posturas são herdadas pelas pastas e pelos projetos secundários. Por conseguinte, se implementar posturas ao nível da organização e ao nível do projeto, todas as políticas em ambas as posturas aplicam-se aos recursos no projeto. Se existirem diferenças nas definições de políticas (por exemplo, uma política está definida como Permitir ao nível da organização e como Negar ao nível do projeto), a postura de nível inferior é usada pelos recursos nesse projeto.
Como prática recomendada, recomendamos que implemente uma postura ao nível da organização que inclua políticas que possam ser aplicadas a toda a sua empresa. Em seguida, pode aplicar políticas mais rigorosas a pastas ou projetos que as exijam. Por exemplo, se usar o esquema detalhado das bases empresariais para configurar a sua infraestrutura, cria determinados projetos (por exemplo, prj-c-kms) que são criados especificamente para conter as chaves de encriptação de todos os projetos numa pasta. Pode usar uma postura de segurança para definir a restrição da política da organização na pasta common e nas pastas de ambiente (development, nonproduction e production) para que todos os projetos usem apenas chaves dos projetos de chaves.constraints/gcp.restrictCmekCryptoKeyProjects
Depois de implementar a sua postura, pode monitorizar o seu ambiente para detetar qualquer desvio da postura definida. O Security Command Center comunica instâncias de desvio como resultados que pode rever, filtrar e resolver. Além disso, pode exportar estas descobertas da mesma forma que exporta quaisquer outras descobertas do Security Command Center. Para mais informações, consulte o artigo Exportar dados do Centro de comandos de segurança.
Integração com o Vertex AI e o Gemini
Pode usar posturas de segurança para ajudar a manter a segurança das suas cargas de trabalho de IA. O serviço de postura de segurança inclui o seguinte:
Modelos de postura predefinidos específicos para cargas de trabalho de IA.
Um painel na página Vista geral que lhe permite monitorizar vulnerabilidades encontradas pelos módulos personalizados do Security Health Analytics que se aplicam à IA e ver qualquer desvio das políticas organizacionais do Vertex AI definidas numa postura.
Integração com a AWS
Se associar o Security Command Center Enterprise à AWS para a configuração e a recolha de dados de recursos, o serviço Security Health Analytics inclui detetores integrados que podem monitorizar o seu ambiente AWS e criar resultados.
Quando cria ou modifica um ficheiro de postura, pode incluir detetores do Security Health Analytics que são específicos da AWS. Tem de implementar este ficheiro de postura ao nível da organização.
Limites do serviço
O serviço de postura de segurança inclui os seguintes limites:
- Um máximo de 100 posturas numa organização.
- Um máximo de 400 políticas numa postura.
- Um máximo de 1000 implementações de postura numa organização.