Pode usar o Centro de Comando de Segurança para avaliar o seu Google Cloud ambiente em função de vários quadros regulamentares.
O Security Command Center monitoriza a sua conformidade com detetores mapeados para os controlos de uma grande variedade de normas de segurança.
Para cada norma de segurança suportada, o Security Command Center verifica um subconjunto dos controlos. Para os controlos selecionados, o Security Command Center mostra quantos estão a ser aprovados. Para os controlos que não estão a ser aprovados, o Security Command Center mostra uma lista de resultados que descrevem as falhas de controlo.
O CIS revê e certifica os mapeamentos dos detetores do Security Command Center para cada versão suportada da Google Cloud referência de base do CIS. Os mapeamentos de conformidade adicionais são incluídos apenas para fins de referência.
O Security Command Center adiciona periodicamente suporte para novas versões de referências e normas. As versões mais antigas continuam a ser suportadas, mas acabam por ser descontinuadas. Recomendamos que use a referência suportada mais recente ou o padrão disponível.
Com o serviço de postura de segurança, pode mapear as políticas organizacionais e os detetores do Security Health Analytics para as normas e os controlos que se aplicam à sua empresa. Depois de criar uma postura de segurança, pode monitorizar quaisquer alterações ao ambiente que possam afetar a conformidade da sua empresa.
Com o Gestor de conformidade (pré-visualização), pode implementar frameworks que mapeiam os controlos regulamentares para os controlos da nuvem. Depois de criar uma estrutura, pode monitorizar quaisquer alterações ao ambiente que possam afetar a conformidade da sua empresa e auditar o seu ambiente.
Normas de segurança suportadas
Google Cloud
O Security Command Center mapeia os detetores para um ou mais dos seguintes padrões de conformidade: Google Cloud
- Controlos do Center for Information Security (CIS) 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Matriz de controlos na nuvem (CCM) 4
- Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA)
- Organização Internacional de Normalização (ISO) 27001, 2022 e 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 e R4
- Framework de cibersegurança (CSF) 1.0 do Instituto Nacional de Padrões e Tecnologia (NIST)
- Os dez principais do Projeto Aberto de Segurança em Apps Web (OWASP), 2021 e 2017
- Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
- Controlos de sistemas e organizações (SOC) 2 Critérios de serviços fidedignos (TSC) de 2017
AWS
O Security Command Center mapeia os detetores dos Amazon Web Services (AWS) a um ou mais dos seguintes padrões de conformidade:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls versão 8.0
- Cloud Controls Matrix (CCM) 4
- Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022
- National Institute of Standards and Technology (NIST) 800-53 R5
- Instituto Nacional de Padrões e Tecnologia (NIST) Framework de cibersegurança (CSF) 1.0
- Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
- Controlos de sistemas e organizações (SOC) 2 Critérios de serviços fidedignos (TSC) de 2017
Detetores e resultados como controlos de conformidade
Os serviços de deteção do Security Command Center, como o Security Health Analytics e o Web Security Scanner, usam módulos de deteção (detetores) para verificar a existência de vulnerabilidades e configurações incorretas no seu ambiente de nuvem.
Quando é encontrada uma vulnerabilidade, o detetor gera uma descoberta. Uma descoberta é um registo de uma vulnerabilidade ou outro problema de segurança que inclui informações como as seguintes:
Uma descrição da vulnerabilidade
Uma recomendação para resolver a vulnerabilidade que colocaria o controlo em conformidade
O ID numérico do controlo que corresponde à descoberta
Passos recomendados para corrigir a vulnerabilidade
Nem todos os controlos numa norma podem ser mapeados para as conclusões do Security Command Center, geralmente porque determinados controlos não podem ser automatizados, mas possivelmente por outros motivos. Consequentemente, o número total de controlos que o Security Command Center verifica é normalmente inferior ao número total de controlos que uma norma define.
O CIS revê e certifica os mapeamentos dos detetores do Security Command Center para cada versão suportada da Google Cloud referência de base do CIS. Os mapeamentos de conformidade adicionais são incluídos apenas para fins de referência.
Para saber mais acerca da análise do estado de segurança e das conclusões do verificador de segurança Web, bem como do mapeamento entre os detetores suportados e as normas de conformidade, consulte as conclusões de vulnerabilidades.
Avalie a conformidade no seu ambiente de nuvem
Pode ver rapidamente a conformidade do seu ambiente de nuvem com uma determinada norma de segurança nos seguintes locais:
- A página Conformidade na Google Cloud consola.
- A página Vista geral de riscos na consola de operações de segurança. Esta página mostra uma vista rápida dos principais riscos encontrados nos seus ambientes de nuvem, incluindo a conformidade.
Cada norma de segurança mostra uma percentagem de quantos dos respetivos controlos constituintes recebem uma classificação aprovada no âmbito selecionado, quer seja ao nível da organização, da pasta ou do projeto.
O local onde o Security Command Center foi ativado afeta o que é apresentado:
Ao nível do projeto: só pode ver as estatísticas de conformidade do projeto ativado. Se mudar para uma pasta ou uma organização à qual o projeto pertence na Google Cloud consola, a página Conformidade não é apresentada.
Ao nível da organização: se mudar para a organização ativada na Google Cloud consola, a página Conformidade mostra estatísticas de conformidade para toda a organização, incluindo as respetivas pastas e projetos.
Para ver estatísticas de conformidade de pastas e projetos individuais nessa organização, mude para esse nível de recurso na Google Cloud consola.
Os relatórios de conformidade são gerados diariamente. Os relatórios podem estar desatualizados há 24 horas e podem estar em falta se não tiverem sido gerados.
Avalie a conformidade na Google Cloud consola
Aceda à página Conformidade na Google Cloud consola.
Selecione o projeto, a pasta ou a organização para os quais quer ver a conformidade.
Clique em Ver detalhes num dos cartões de normas para abrir a respetiva página de detalhes de conformidade.
Nesta página, pode fazer o seguinte:
Veja a conformidade com a norma selecionada numa data específica.
Altere a norma de conformidade para a qual está a ver os detalhes.
Exporte um relatório dos detalhes de conformidade para um ficheiro CSV.
Acompanhe o progresso da conformidade ao longo do tempo com um gráfico de tendências.
Expanda os controlos da norma de segurança para ver as respetivas regras constituintes e a gravidade das regras.
Clique nas regras para ver as conclusões relativas aos recursos não conformes e resolver os problemas, quando apropriado. Para obter informações sobre a correção de resultados, consulte os artigos Corrija os resultados da análise de segurança do Security Health e Corrija os resultados do verificador de segurança Web.