Valutare la conformità senza Compliance Manager

Puoi utilizzare Security Command Center per valutare il tuo Google Cloud ambiente in base a vari framework normativi.

Security Command Center monitora la tua conformità con i rilevatori mappati ai controlli di un'ampia varietà di standard di sicurezza.

Per ogni standard di sicurezza supportato, Security Command Center controlla un sottoinsieme dei controlli. Per i controlli verificati, Security Command Center mostra quanti sono conformi. Per i controlli non conformi, Security Command Center mostra un elenco di risultati che descrivono gli errori di controllo.

CIS esamina e certifica le mappature dei rilevatori di Security Command Center per ogni versione supportata del benchmark CIS Google Cloud Foundations. Le mappature di conformità aggiuntive sono incluse solo a scopo di riferimento.

Security Command Center aggiunge periodicamente il supporto per nuove versioni di benchmark e standard. Le versioni precedenti rimangono supportate, ma alla fine vengono ritirate. Ti consigliamo di utilizzare l'ultimo benchmark supportato disponibile o standard.

Con il servizio di security posture, puoi mappare le policy dell'organizzazione e i rilevatori di Security Health Analytics agli standard e ai controlli applicabili alla tua attività. Dopo aver creato una postura di sicurezza, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità della tua attività.

Con Compliance Manager, puoi eseguire il deployment di framework che mappano i controlli normativi ai controlli cloud controlli. Dopo aver creato un framework, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità della tua attività ed eseguire un audit dell'ambiente.

Standard di sicurezza supportati

Google Cloud

Security Command Center mappa i rilevatori per Google Cloud uno o più dei seguenti standard di conformità standard:

• Controlli del Center for Information Security (CIS) 8.0
• Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
• Benchmark CIS Kubernetes v1.5.1
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• International Organization for Standardization (ISO) 27001, 2022 e 2013
• National Institute of Standards and Technology (NIST) 800-53 R5 e R4
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Open Web Application Security Project (OWASP) Top Ten, 2021 e 2017
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 e 3.2.1
• System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)

AWS

Nel livello di servizio Enterprise, Security Command Center mappa i rilevatori per Amazon Web Services (AWS) a uno o più dei seguenti standard di conformità standards:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls versione 8.0
• Cloud Controls Matrix (CCM) 4
• Health Insurance Portability and Accountability Act (HIPAA)
• International Organization for Standardization (ISO) 27001, 2022
• National Institute of Standards and Technology (NIST) 800-53 R5
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
• Payment Card Industry Data Security Standard (PCI DSS) 4.0 e 3.2.1
• System and Organization Controls (SOC) 2 2017 Trusted Services Criteria (TSC)

Rilevatori e risultati come controlli di conformità

I servizi di rilevamento di Security Command Center, come Security Health Analytics e Web Security Scanner, utilizzano moduli di rilevamento (rilevatori) per verificare la presenza di vulnerabilità e configurazioni errate nel tuo ambiente cloud.

Quando viene rilevata una vulnerabilità, il rilevatore genera un risultato. Un risultato è un record di una vulnerabilità o di un altro problema di sicurezza che include informazioni come le seguenti:

• Una descrizione della vulnerabilità

• Un consiglio per risolvere la vulnerabilità che porterebbe il controllo alla conformità

• L'ID numerico del controllo corrispondente al risultato

• Passaggi consigliati per la correzione della vulnerabilità

Non tutti i controlli di uno standard possono essere mappati ai risultati di Security Command Center, in genere perché alcuni controlli non possono essere automatizzati, ma forse anche per altri motivi. Di conseguenza, il numero totale di controlli che Security Command Center verifica è in genere inferiore al numero totale di controlli definiti da uno standard.

Security Command Center utilizza i risultati attivi e disattivati per calcolare le percentuali dei controlli di conformità nella pagina Conformità e nei report sulla conformità.

Per scoprire di più sui risultati di Security Health Analytics e Web Security Scanner e sulla mappatura tra i rilevatori supportati e gli standard di conformità, consulta Risultati delle vulnerabilità.

Valutare la conformità nell'ambiente cloud

Puoi vedere a colpo d'occhio il livello di conformità del tuo ambiente cloud a un determinato standard di sicurezza nei seguenti punti:

• La pagina Conformità nella Google Cloud console.
• La pagina Panoramica sui rischi nella console Security Operations. Questa pagina mostra una panoramica dei principali rischi rilevati negli ambienti cloud, inclusa la conformità.

Ogni standard di sicurezza mostra una percentuale di quanti dei suoi controlli ricevono un voto positivo nell'ambito selezionato, sia a livello di organizzazione, cartella o progetto.

La posizione in cui è stato attivato Security Command Center influisce su ciò che viene visualizzato:

• A livello di progetto: puoi visualizzare solo le statistiche di conformità del progetto attivato. Se passi a una cartella o a un'organizzazione a cui appartiene il progetto nella Google Cloud console, la Conformità non viene visualizzata.

• A livello di organizzazione: se passi all'organizzazione attivata nella console, la pagina Conformità mostra le statistiche di conformità per l'intera organizzazione, incluse le cartelle e i progetti. Google Cloud

  Per visualizzare le statistiche di conformità per le singole cartelle e i singoli progetti all'interno dell' organizzazione, passa al livello di risorsa nella Google Cloud console.

I report sulla conformità vengono generati quotidianamente. I report possono essere obsoleti di 24 ore e potrebbero mancare se non sono stati generati.

Valutare la conformità nella Google Cloud console

1. Vai alla pagina Conformità nella Google Cloud console.

   Vai a Conformità

2. Seleziona il progetto, la cartella o l'organizzazione di cui vuoi visualizzare la conformità.

3. Fai clic su Visualizza dettagli in una delle schede degli standard per aprire la relativa pagina Dettagli conformità.

Da questa pagina puoi eseguire le seguenti operazioni:

• Visualizzare la conformità allo standard selezionato in una data specifica.

• Cambiare lo standard di conformità di cui stai visualizzando i dettagli.

• Esportare un report dei dettagli di conformità in un file CSV.

• Monitorare i progressi della conformità nel tempo con un grafico di tendenza.

• Espandere i controlli degli standard di sicurezza per visualizzare le regole costitutive e la gravità delle regole.

• Fare clic sulle regole per visualizzare i risultati per le risorse non conformi e risolvere i problemi, se necessario. Per informazioni sulla correzione dei risultati, consulta Correzione dei risultati di Security Health Analytics e Correzione dei risultati di Web Security Scanner.