Puedes usar Security Command Center para evaluar tu Google Cloud entorno en función de varios marcos regulatorios.
Security Command Center supervisa tu cumplimiento con detectores que se asignan a los controles de una amplia variedad de estándares de seguridad.
Para cada estándar de seguridad compatible, Security Command Center verifica un subconjunto de los controles. En el caso de los controles verificados, Security Command Center te muestra cuántos se aprobaron. En el caso de los controles que no se aprobaron, Security Command Center te muestra una lista de hallazgos que describen las fallas de control.
CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la comparativa de CIS Google Cloud Foundations. Se incluyen asignaciones de cumplimiento adicionales solo como referencia.
Security Command Center agrega compatibilidad con nuevas versiones de comparativas y estándares de forma periódica. Las versiones anteriores siguen siendo compatibles, pero, con el tiempo, se dejan de usar. Te recomendamos que uses la comparativa o el estándar compatible más reciente disponible.
Con el servicio de postura de seguridad, puedes asignar políticas de la organización y detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar cualquier cambio en el entorno que pueda afectar el cumplimiento de tu empresa.
Con Administrador de cumplimiento, puedes implementar frameworks que asignen controles regulatorios a controles de la nube. Después de crear un framework, puedes supervisar cualquier cambio en el entorno que pueda afectar el cumplimiento de tu empresa y auditar tu entorno.
Estándares de seguridad compatibles
Google Cloud
Security Command Center asigna detectores paraa uno o más de los siguientes estándares de cumplimiento : Google Cloud
- Controles de Center for Information Security (CIS) 8.0
- Comparativas de CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- Comparativas de CIS en Kubernetes 1.5.1
- Cloud Controls Matrix (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R5 y R4
- Framework de ciberseguridad (CSF) 1.0 del Instituto Nacional de Normas y Tecnología (NIST)
- Open Web Application Security Project (OWASP) Top Ten, 2021 y 2017
- Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Criterios de Trust Services (TSC) de 2017 de System and Organization Controls (SOC) 2
AWS
En el nivel de servicio Enterprise, Security Command Center asigna detectores para Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:
- Bases de los servicios web de Amazon CIS 2.0.0
- CIS Critical Security Controls versión 8.0
- Cloud Controls Matrix (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022
- Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R5
- Framework de seguridad cibernética (CSF) 1.0 del Instituto Nacional de Estándares y Tecnología (NIST)
- Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Criterios de Trust Services (TSC) de 2017 de System and Organization Controls (SOC) 2
Detectores y hallazgos como controles de cumplimiento
Los servicios de detección de Security Command Center, como Security Health Analytics y Web Security Scanner, usan módulos de detección (detectores) para verificar si hay vulnerabilidades y errores de configuración en tu entorno de nube.
Cuando se encuentra una vulnerabilidad, el detector genera un hallazgo. Un hallazgo es un registro de una vulnerabilidad o de otro problema de seguridad que incluye información como la siguiente:
Una descripción de la vulnerabilidad
Una recomendación para abordar la vulnerabilidad que haría que el control cumpla con los requisitos
El ID numérico del control que corresponde al hallazgo
Pasos recomendados para solucionar la vulnerabilidad
No todos los controles de un estándar se pueden asignar a los hallazgos de Security Command Center, por lo general, porque ciertos controles no se pueden automatizar, pero posiblemente por otros motivos. En consecuencia, la cantidad total de controles que verifica Security Command Center suele ser menor que la cantidad total de controles que define un estándar.
Security Command Center usa hallazgos activos y silenciados para calcular los porcentajes de los controles de cumplimiento en la página Cumplimiento y en los informes de cumplimiento.
Para obtener más información sobre Security Health Analytics y los hallazgos de Web Security Scanner y la asignación entre detectores compatibles y estándares de cumplimiento, consulta hallazgos de vulnerabilidades.
Evalúa el cumplimiento en tu entorno de nube
Puedes ver de un vistazo qué tan compatible es tu entorno de nube con un estándar de seguridad determinado en los siguientes lugares:
- La página Cumplimiento en la Google Cloud consola.
- La página Descripción general de riesgos en la consola de Security Operations. En esta página, se muestra una vista rápida de los principales riesgos que se encuentran en tus entornos de nube, incluido el cumplimiento.
Cada estándar de seguridad muestra un porcentaje de cuántos de sus controles reciben una calificación aprobatoria en el permiso seleccionado, ya sea a nivel de la organización, la carpeta o el proyecto.
El lugar donde se activó Security Command Center afecta lo que se muestra:
A nivel del proyecto: Solo puedes ver las estadísticas de cumplimiento del proyecto activado. Si cambias a una carpeta o una organización a la que pertenece el proyecto en la Google Cloud consola, no se mostrará la página Cumplimiento.
A nivel de la organización: Si cambias a la organización activada en la Google Cloud consola, la página Cumplimiento muestra estadísticas de cumplimiento para toda la organización, incluidas sus carpetas y proyectos.
Para ver las estadísticas de cumplimiento de carpetas y proyectos individuales dentro de esa organización, cambia a ese nivel de recurso en la Google Cloud consola.
Los informes de cumplimiento se generan a diario. Los informes pueden tener 24 horas de antigüedad y es posible que falten si no se pudieron generar.
Evalúa el cumplimiento en la Google Cloud consola
Ve a la página Cumplimiento en la Google Cloud consola.
Selecciona el proyecto, la carpeta o la organización para los que deseas ver el cumplimiento.
Haz clic en Ver detalles en una de las tarjetas de estándares para abrir su página Detalles de cumplimiento.
En esta página, puedes hacer lo siguiente:
Ver el cumplimiento con el estándar seleccionado en una fecha determinada
Cambiar el estándar de cumplimiento para el que estás viendo los detalles
Exportar un informe de los detalles de cumplimiento a un archivo CSV
Hacer un seguimiento del progreso del cumplimiento a lo largo del tiempo con un gráfico de tendencias
Expandir los controles de los estándares de seguridad para ver sus reglas constituyentes y la gravedad de las reglas
Hacer clic en las reglas para ver los hallazgos de los recursos que no cumplen con los requisitos y solucionar los problemas cuando corresponda Para obtener información sobre cómo solucionar hallazgos, consulta Soluciona los problemas de los hallazgos de Security Health Analytics y Soluciona los problemas de los hallazgos de Web Security Scanner.