安全防護機制可讓您定義及管理雲端網路、雲端服務等資產的安全狀態,您可以根據既定基準評估目前雲端安全,維持組織所需的安全等級。安全防護機制可幫助您偵測及因應任何偏離既定基準的狀況。定義並維持符合貴商家安全需求的資安態勢,有助於降低貴機構的網路安全風險,並防範攻擊。
在 Google Cloud中,您可以使用 Security Command Center 的安全防護機制服務,定義及部署安全防護機制、監控 Google Cloud 資源的安全狀態,並解決與定義防護機制相關的任何偏移 (或未經授權的變更)。
福利和應用
安全防護服務是 Security Command Center 的內建服務,可讓您定義、評估及監控 Google Cloud的整體安全性狀態。只有在購買 Security Command Center 進階或 Enterprise 方案的訂閱方案,並在機構層級啟用 Security Command Center 時,才能使用安全防護服務。
您可以透過安全防護狀態服務達成下列目標:
確保工作負載符合安全標準、法規遵循規定和貴機構的自訂安全要求。
在部署任何工作負載之前,請先將安全控管措施套用至 Google Cloud 專案、資料夾或機構。
持續監控並解決任何偏離既定安全控管機制的狀況。
在組織層級啟用 Security Command Center 時,系統會自動啟用安全防護服務。
服務元件
安全狀態服務包含下列元件:
防護機制
一或多個政策集,可強制執行貴機構為符合安全標準而要求的預防和偵測控制項。您可以在組織、資料夾或專案層級部署防護機制。如需防護機制範本清單,請參閱「預先定義的防護機制範本」。
政策組合
一組安全需求和相關控制項,位於 Google Cloud。通常,政策集包含所有政策,可協助您符合特定安全標準或法規遵循規定的要求。
政策
用來控管或監控 Google Cloud中資源行為的特定限制。政策可以是預防性 (例如組織政策限制),也可以是偵測性 (例如 Security Health Analytics 偵測器)。支援的政策如下:
防護機制部署作業
建立安全狀態後,請部署該狀態,以便套用至要使用安全狀態管理的機構、資料夾或專案。
下圖顯示安全性狀態範例的元件。
預先定義的防護機制範本
安全性防護機制服務內含預先定義的防護機制範本,可遵守法規遵循標準或 Google 建議的標準,例如企業基礎藍圖建議。您可以運用這些範本,為自家企業建立適用的安全性狀態。下表說明防護機制範本。
| 防護機制範本 | 範本名稱 | 說明 |
|---|---|---|
| 預設採用安全設定,提供基本功能 | secure_by_default_essential |
這個範本會實作相關政策,協助您避免常見的錯誤設定,以及預設設定導致的常見安全性問題。您可以部署這個範本,不必進行任何變更。 |
| 預設採用安全設定,擴充功能 | secure_by_default_extended |
這個範本會實作相關政策,協助防範常見的錯誤設定,以及預設設定導致的常見安全問題。部署這個範本前,請務必先自訂範本,使其符合您的環境。 |
| 安全 AI 建議、基本功能 | secure_ai_essential |
這個範本會實作政策,協助您保護 Gemini 和 Gemini Enterprise Agent Platform 工作負載。您可以部署這個範本,不必進行任何變更。 |
| 安全 AI 建議 (延長) | secure_ai_extended |
這個範本會實作政策,協助您保護 Gemini 和 Gemini Enterprise Agent Platform 工作負載。部署這個範本前,請務必先自訂範本,使其符合您的環境。 |
| BigQuery 建議、基本概念 | big_query_essential |
這個範本會實作有助於保護 BigQuery 的政策。您可以部署這個範本,不必進行任何變更。 |
| Cloud Storage 建議、基本概念 | cloud_storage_essential |
這個範本會實作相關政策,協助您保護 Cloud Storage 安全。 您可以部署這個範本,不必進行任何變更。 |
| Cloud Storage 建議 (擴充功能) | cloud_storage_extended |
這個範本會實作相關政策,協助您保護 Cloud Storage 安全。 部署這個範本前,請務必先自訂範本,使其符合您的環境。 |
| 虛擬私有雲建議、基本概念 | vpc_networking_essential |
這個範本會實作相關政策,協助您保護虛擬私有雲 (VPC) 安全。您可以部署這個範本,不必進行任何變更。 |
| 虛擬私有雲建議 (擴充功能) | vpc_networking_extended |
這個範本會實作相關政策,協助您保護虛擬私有雲。部署這個範本前,請務必先自訂範本,使其符合您的環境。 |
| Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0 建議 | cis_2_0 |
這個範本會實作相關政策,協助您偵測 Google Cloud 環境是否符合 CIS Google Cloud Computing Platform Benchmark v2.0.0。您可以部署這個範本,不必進行任何變更。 |
| NIST SP 800-53 標準建議 | nist_800_53 |
這個範本會實作相關政策,協助您偵測環境是否符合美國國家標準與技術研究院 (NIST) SP 800-53 標準。 Google Cloud 您可以部署這個範本,不必進行任何變更。 |
| ISO 27001 標準建議 | iso_27001 |
這個範本會實作相關政策,協助您偵測 Google Cloud 環境是否不符合國際標準組織 (ISO) 27001 標準。您可以部署這個範本,不必進行任何變更。 |
| PCI DSS 標準建議 | pci_dss_v_3_2_1 |
這個範本會實作相關政策,協助您偵測 Google Cloud 環境是否符合支付卡產業資料安全標準 (PCI DSS) 3.2.1 版和 1.0 版。您可以部署這個範本,不必進行任何變更。 |
部署狀態和監控偏移
如要對 Google Cloud 資源強制執行姿勢及其所有政策,請部署姿勢。您可以指定姿勢適用的資源階層層級 (機構、資料夾或專案)。每個機構、資料夾或專案只能部署一個安全狀況。
子項資料夾和專案會沿用安全狀態。因此,如果您在機構層級和專案層級部署安全狀態,這兩種安全狀態中的所有政策都會套用至專案中的資源。如果政策定義有任何差異 (例如,政策在機構層級設為「允許」,在專案層級設為「拒絕」),專案中的資源會使用較低層級的安全狀態。
最佳做法是部署機構層級的狀態,其中包含可套用至整個業務的政策。然後,您可以對需要更嚴格政策的資料夾或專案套用政策。舉例來說,如果您使用企業基礎藍圖設定基礎架構,可以建立特定專案 (例如 prj-c-kms),專門用於存放資料夾中所有專案的加密金鑰。您可以透過安全防護措施,在 common 資料夾和環境資料夾 (development、nonproduction 和 production) 上設定機構政策限制,確保所有專案只使用金鑰專案的金鑰。constraints/gcp.restrictCmekCryptoKeyProjects
部署態勢後,您可以監控環境,找出與定義態勢的任何差異。Security Command Center 會將差異回報為發現項目,供您查看、篩選及解決。此外,您也可以匯出這些發現項目,方法與匯出 Security Command Center 的任何其他發現項目相同。詳情請參閱「匯出 Security Command Center 資料」。
與 Gemini Enterprise Agent Platform 和 Gemini 整合
您可以運用安全防護機制,維護 AI 工作負載的安全性。安全防護服務包括:
預先定義的姿態範本,適用於 AI 工作負載。
「總覽」頁面上的窗格,可讓您監控 Security Health Analytics 自訂模組發現的 AI 安全漏洞,並查看與狀態中定義的 Gemini Enterprise Agent Platform 機構政策的任何差異。
AWS 整合
如果將 Security Command Center Enterprise 連線至 AWS,以收集設定和資源資料,安全狀態分析服務會內建偵測器,可監控 AWS 環境並建立發現項目。
建立或修改姿勢檔案時,可以加入 AWS 專用的安全狀態分析偵測工具。您必須在機構層級部署這類姿勢檔案。
服務限制
安全狀態服務的限制如下:
- 一個機構最多可有 100 個姿勢。
- 每個姿勢最多可有 400 項政策。
- 一個機構最多可部署 1,000 個姿勢。