Controles de base empresarial segura

Este documento inclui as práticas recomendadas e diretrizes para criar uma base empresarial segura ao executar cargas de trabalho que usam o Cloud de Confiance by S3NS. Uma base empresarial segura inclui controles para o seguinte:

Autenticação e autorização

Esta seção inclui as práticas recomendadas e diretrizes para o Identity and Access Management (IAM) e o Cloud Identity ao executar cargas de trabalho no Cloud de Confiance by S3NS.

Desativar concessões automáticas do IAM para contas de serviço padrão

ID de controle do Google IAM-CO-4.1
Implementação Obrigatório
Descrição

Use a restrição booleana automaticIamGrantsForDefaultServiceAccounts para desativar as concessões automáticas de papéis quando os serviços do Cloud de Confiance by S3NS criam automaticamente contas de serviço padrão com papéis excessivamente permissivos.

Por padrão, alguns sistemas concedem permissões muito amplas a contas automatizadas, o que é um possível risco à segurança. Por exemplo, se você não aplicar essa restrição e criar uma conta de serviço padrão, ela vai receber automaticamente o papel de editor (roles/editor) no projeto. Se um invasor comprometer uma única parte do sistema, ele poderá assumir o controle de todo o projeto. Essa restrição desativa as permissões automáticas de alto nível, forçando uma abordagem mais segura e deliberada em que apenas as permissões mínimas necessárias são concedidas.

Produtos aplicáveis
  • IAM
  • Serviço de política da organização
Caminho constraints/iam.automaticIamGrantsForDefaultServiceAccounts
Operador É
Valor

False

Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Bloquear a criação de chaves de conta de serviço externas

ID de controle do Google IAM-CO-4.2
Implementação Obrigatório
Descrição

Use a restrição booleana iam.disableServiceAccountKeyCreation para desativar a criação de chaves de conta de serviço externas. Com essa restrição, é possível controlar o uso de credenciais de longo prazo não gerenciadas para contas de serviço. Quando essa restrição é definida, não é possível criar credenciais gerenciadas pelo usuário para contas de serviço em projetos afetados por ela.

Produtos aplicáveis
  • Serviço de política da organização
  • IAM
Caminho constraints/iam.disableServiceAccountKeyCreation
Operador É
Valor

True

Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Bloquear uploads de chaves de conta de serviço

ID de controle do Google IAM-CO-4.3
Implementação Obrigatório
Descrição

Use a restrição booleana iam.disableServiceAccountKeyUpload para desativar o upload de chaves públicas externas para contas de serviço. Quando essa restrição é definida, os usuários não podem fazer upload de chaves públicas para contas de serviço em projetos afetados pela restrição.

Produtos aplicáveis
  • Serviço de política da organização
  • IAM
Caminho constraints/iam.disableServiceAccountKeyUpload
Operador É
Valor

True

Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Configurar a separação de funções para administradores de políticas da organização

ID de controle do Google OPS-CO-6.1
Implementação Obrigatório
Descrição
Atribua a função de administrador da política da organização (roles/orgpolicy.policyAdmin) aos grupos responsáveis pela postura de segurança da organização Cloud de Confiance by S3NS . Para evitar a criação de recursos que violem a política de segurança, não atribua essa função aos proprietários do projeto.
Produtos aplicáveis
  • IAM
  • Serviço de política da organização
Controles relacionados do NIST-800-53
  • AC-2
  • AC-3
  • AC-5
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Informações relacionadas

Ativar a verificação em duas etapas para contas de superadministrador

ID de controle do Google CI-CO-6.1
Implementação Obrigatório
Descrição

O Google recomenda as chaves de segurança Titan para a verificação em duas etapas (2SV) em contas de superadministrador. No entanto, para casos de uso em que isso não é possível, recomendamos usar outra chave de segurança como alternativa.

Produtos aplicáveis
  • Cloud Identity
  • Chaves de segurança Titan
Controles relacionados do NIST-800-53
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informações relacionadas

Aplicar a verificação em duas etapas na unidade organizacional do superadministrador

ID de controle do Google CI-CO-6.2
Implementação Obrigatório
Descrição

Aplique a verificação em duas etapas (2SV) a uma unidade organizacional (UO) específica ou a toda a organização. Recomendamos que você crie uma UO para superadministradores e aplique a verificação em duas etapas nessa UO.

Produtos aplicáveis

Cloud Identity

Controles relacionados do NIST-800-53
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informações relacionadas

Criar um endereço de e-mail exclusivo para o superadministrador principal

ID de controle do Google CI-CO-6.4
Implementação Obrigatório
Descrição
Crie um endereço de e-mail que não seja específico de um usuário como a conta principal de superadministrador do Cloud Identity.
Produtos aplicáveis

Cloud Identity

Controles relacionados do NIST-800-53
  • IA-2
  • IA-4
  • IA-5
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informações relacionadas

Criar contas de administrador redundantes

ID de controle do Google CI-CO-6.7
Implementação Obrigatório
Descrição

Não ter um único superadministrador ou administrador da organização. Crie uma ou mais contas de administrador de backup (até 20). Um único superadministrador ou administrador da organização pode resultar em cenários de bloqueio. Essa situação também acarreta um risco maior, já que uma pessoa pode fazer mudanças que alteram a plataforma, possivelmente sem supervisão.

Produtos aplicáveis
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Controles relacionados do NIST-800-53
  • IA-2
  • IA-4
  • IA-5
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informações relacionadas

Usar o Privileged Access Manager

ID de controle do Google GCVE-CO-3.2
Implementação Obrigatório
Descrição

Use o Privileged Access Manager para gerenciar o acesso privilegiado. Para todo o restante, use grupos de acesso, deixe as associações a grupos expirarem automaticamente e implemente um fluxo de trabalho de aprovação para associações a grupos.

Com o modelo de privilégio mínimo, você só concede acesso quando necessário e aos recursos necessários. O uso de papéis predefinidos simplifica o uso e reduz a expansão causada por papéis personalizados, para que você não precise se preocupar em gerenciar o ciclo de vida deles.

Produtos aplicáveis

Identity and Access Management (IAM)

Controles relacionados do NIST-800-53
  • AC-2
  • AC-3
  • AC-6
Controles relacionados ao perfil da CRI
  • PR.AC-4.1
Informações relacionadas

Definir a fonte da verdade da identidade

Implementação Obrigatório
Descrição

Decida qual será a fonte de verdade para provisionar identidades de usuário gerenciadas. Os padrões incluem a criação de identidades de usuário no Cloud Identity, a sincronização de identidades de um provedor de identidade atual ou o uso da Federação de identidade de colaboradores.

Produtos aplicáveis
  • Cloud Identity
  • Federação de identidade de colaboradores
Controles relacionados do NIST-800-53
  • AC-2
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
Informações relacionadas

Aplicar políticas de senha forte

Implementação Obrigatório
Descrição

Aplique senhas fortes e exclusivas para todas as contas de usuário. Considere usar um gerenciador de senhas. Credenciais fracas ou inexistentes são um padrão comum que usuários maliciosos podem explorar facilmente.

Produtos aplicáveis
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Controles relacionados do NIST-800-53
  • IA-5
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
Informações relacionadas

Usar papéis com base nas funções de trabalho

Implementação Obrigatório
Descrição

Use papéis do Identity and Access Management (IAM) com base nas funções de trabalho para atribuir permissões aos usuários. As funções de trabalho são papéis predefinidos que permitem aos administradores fornecer um conjunto de permissões limitado a uma função de trabalho, melhorando a produtividade e reduzindo a necessidade de pedir permissões. Para se alinhar melhor aos requisitos da sua organização, crie papéis personalizados com base em papéis predefinidos.

Produtos aplicáveis

IAM

Controles relacionados do NIST-800-53
  • AC-6
Controles relacionados ao perfil da CRI
  • PR.AC-4.1
Informações relacionadas

Restringir participantes externos em grupos

Implementação Obrigatório
Descrição

Defina políticas para toda a organização e impeça a adição de membros externos aos Grupos do Google.

Por padrão, as contas de usuário externas podem ser adicionadas a grupos no Cloud Identity. Recomendamos que você defina configurações de compartilhamento para que os proprietários dos grupos não possam adicionar membros externos.

Essa restrição não se aplica à conta de superadministrador ou a outros administradores delegados com permissões de administrador do Google Grupos. Como a federação do seu provedor de identidade é executada com privilégios de administrador, as configurações de compartilhamento de grupo não se aplicam a essa sincronização de grupo. Recomendamos que você revise os controles no provedor de identidade e no mecanismo de sincronização para garantir que participantes que não sejam do domínio não sejam adicionados a grupos ou que você aplique restrições de grupo.

Produtos aplicáveis
  • Cloud Identity
  • Google Workspace
Controles relacionados do NIST-800-53
  • AC-2
  • AC-3
  • AC-20
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
  • PR.AC-5.1
Informações relacionadas

Definir a duração da sessão diária

Implementação Obrigatório
Descrição

Defina a duração da sessão para os serviços Cloud de Confiance by S3NS para que ela expire pelo menos uma vez por dia. Manter uma conta conectada por um longo período é um risco de segurança. A imposição de uma duração máxima da sessão encerra automaticamente a sessão após um período definido, forçando um novo login seguro.

Essa prática reduz a oportunidade de um usuário malicioso usar uma senha roubada e garante que o acesso seja verificado regularmente.

Para novos clientes, uma duração de sessão padrão de 16 horas é aplicada automaticamente. Os clientes que criaram a organização Cloud de Confiance by S3NS antes de 2023 podem ter uma configuração padrão para nunca exigir a autenticação novamente. Revise essa configuração para garantir que você tenha uma política de reautenticação com uma duração de sessão de 1 a 24 horas. A política de reautenticação invalida o token de atualização e força o usuário a reautenticar regularmente a CLI gcloud com a senha ou a chave de segurança.

A duração da sessão dos serviços do Cloud de Confiance by S3NS é uma configuração diferente da duração da sessão dos Serviços do Google, que controla as sessões da Web para login em serviços do Google Workspace, mas não controla a reautenticação do Cloud de Confiance by S3NS. Se você usa os serviços do Google Workspace, defina a duração da sessão para ambos.

Produtos aplicáveis
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Controles relacionados do NIST-800-53
  • AC-12
Controles relacionados ao perfil da CRI
  • PR.AC-7.1
Informações relacionadas

Corrigir contas pessoais não gerenciadas

Implementação Obrigatório
Descrição

Não permita contas pessoais não gerenciadas. Consolide todas as contas pessoais não gerenciadas e considere uma solução para impedir a criação de mais contas pessoais não gerenciadas com seu domínio.

As contas pessoais não gerenciadas não são regidas pelos processos de admissão, movimentação e desligamento (JML, na sigla em inglês). Por isso, elas apresentam o risco de que um funcionário ainda tenha acesso aos seus recursos depois de sair do emprego. Essas contas também são tratadas como externas em relação a controles como o compartilhamento restrito de domínio.

Produtos aplicáveis

Cloud Identity

Controles relacionados do NIST-800-53
  • AC-2
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
Informações relacionadas

Aplicar administradores dedicados e aprovação de várias partes

Implementação Obrigatório
Descrição

Verifique se as contas de superadministrador estão separadas das contas de usuário do dia a dia. As contas de superadministrador precisam ser dedicadas e usadas apenas para fazer mudanças importantes. Para aumentar a segurança, ative a aprovação de outra parte para ações de administrador. Ao ativar a aprovação de outra parte, as ações sensíveis são aprovadas por dois administradores, o que ajuda a evitar que invasores comprometam uma conta de administrador e bloqueiem outros usuários administradores.

Produtos aplicáveis
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Controles relacionados do NIST-800-53
  • AC-6
Controles relacionados ao perfil da CRI
  • PR.AC-4.1
Informações relacionadas

Ativar a autenticação multifator para todas as Contas do Google e usuários do Cloud Identity

ID de controle do Google CI-CO-6.1
Implementação Obrigatório
Descrição

Ative a autenticação multifator (MFA), também conhecida como verificação em duas etapas (2SV), para todas as Contas do Google e usuários do Cloud Identity, não apenas para superadministradores. A MFA para superadministradores é ativada por padrão. A MFA adiciona outra camada de defesa porque as senhas sozinhas geralmente não são uma medida de segurança forte o suficiente.

Produtos aplicáveis
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Controles relacionados do NIST-800-53
  • IA-2
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
Informações relacionadas

Revogar funções padrão de criador de conteúdo

Implementação Obrigatório
Descrição

Remova os papéis de Criador de projetos e Criador da conta de faturamento em todo o domínio, que são concedidos por padrão a todos os membros de uma nova organização.

As novas organizações concedem os papéis de criador de projetos e criador da conta de faturamento a todas as identidades de usuário gerenciadas no domínio. Embora essas funções sejam úteis para começar, essa configuração não é destinada a ambientes de produção. Permitir que as contas de faturamento se multipliquem aumenta a sobrecarga administrativa e tem consequências técnicas ao dividir serviços em várias contas de faturamento. Permitir a criação de projetos de forma livre pode levar a projetos que não seguem suas convenções de governança.

Em vez disso, remova essas funções e estabeleça um processo de criação de projetos para solicitar novos projetos e associá-los ao faturamento.

Produtos aplicáveis

IAM

Caminho resourcemanager.organizations/iamPolicy.bindings
Operador not_contains
Valor
  • role:roles/resourcemanager.projectCreator AND member:domain:*
  • role:roles/billing.creator AND member:domain:*
Tipo String
Controles relacionados do NIST-800-53
  • AC-6
Controles relacionados ao perfil da CRI
  • PR.AC-4.1
Informações relacionadas

Alternar chaves da conta de serviço

Implementação Obrigatório
Descrição

Se você precisar usar chaves de conta de serviço, troque-as pelo menos uma vez a cada 90 dias.

Um intervalo de rotação limita o tempo que um invasor pode ter acesso ao sistema. Sem um intervalo de rotação, o invasor tem acesso para sempre. Quando possível, use a federação de identidade da carga de trabalho em vez de chaves de conta de serviço.

Produtos aplicáveis

IAM

Caminho constraints/iam.serviceAccountKeyExpiryHours
Operador <=
Valor

2160

Tipo String
Controles relacionados do NIST-800-53
  • SC-12
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
Informações relacionadas

Usar a federação de identidade da carga de trabalho

Implementação Obrigatório
Descrição

Use a federação de identidade da carga de trabalho para permitir que sistemas de CI/CD e cargas de trabalho executadas em outras nuvens se autentiquem no Cloud de Confiance by S3NS. Com a federação de identidade da carga de trabalho, as cargas de trabalho executadas fora do Cloud de Confiance podem ser autenticadas sem precisar de uma chave da conta de serviço. Ao evitar chaves de conta de serviço e outras credenciais de longa duração, a federação de identidade da carga de trabalho pode ajudar a reduzir o risco de vazamento de credenciais.

Produtos aplicáveis

IAM

Caminho iam.googleapis.com/WorkloadIdentityPool
Operador Está definido
Tipo String
Controles relacionados do NIST-800-53
  • IA-2
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
Informações relacionadas

Bloquear a recuperação de conta para superadministradores

ID de controle do Google CI-CO-6.3
Implementação Obrigatório
Descrição

Por padrão, a recuperação automática da conta de superadministrador fica desativada para novos clientes. No entanto, os clientes atuais podem ter essa configuração ativada. Desativar essa configuração ajuda a reduzir o risco de que um telefone ou e-mail comprometido ou um ataque de engenharia social possa permitir que um invasor receba privilégios de superadministrador sobre seu ambiente.

Planeje um processo interno para que um superadministrador entre em contato com outro superadministrador da organização se perder o acesso à conta e garanta que todos os superadministradores conheçam o processo de recuperação assistida por suporte.

Para desativar o recurso, acesse as configurações de recuperação de conta no Google Admin Console.

Produtos aplicáveis
  • Cloud Identity
  • Google Workspace
Controles relacionados do NIST-800-53
  • AC-2
  • AC-3
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
  • PR.AC-4.1
Informações relacionadas

Definir o tempo limite da sessão inativa para casos de uso sensíveis

Implementação Obrigatório
Descrição

Defina o tempo limite da sessão inativa como 15 minutos para casos de uso sensíveis. Sessões inativas podem ser usadas por invasores para roubo de credenciais.

Produtos aplicáveis
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Controles relacionados do NIST-800-53
  • AC-12
Controles relacionados ao perfil da CRI
  • PR.AC-7.1
Informações relacionadas

Exigir chaves de segurança de hardware para administradores

Implementação Obrigatório
Descrição

Se possível, forneça chaves de segurança de hardware para superadministradores ou administradores da organização como um segundo fator. As contas de superadministrador são os alvos de maior valor para ataques sofisticados. As chaves de segurança de hardware oferecem um alto nível de proteção porque são resistentes a phishing. As chaves de segurança de hardware são a defesa mais forte possível contra o sequestro de contas para seus administradores mais importantes e se baseiam na sua política padrão de MFA.

Produtos aplicáveis
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Controles relacionados do NIST-800-53
  • IA-2
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
Informações relacionadas

Ativar a verificação pós-SSO

Implementação Obrigatório
Descrição

Se você estiver usando um provedor de identidade externo, configure a verificação pós-SSO.

Ative uma camada adicional de controle com base na análise de risco de login do Google. Depois que você aplicar essa configuração, os usuários poderão ver outros desafios de login com base em riscos no login se o Google determinar que um login de usuário é suspeito.

Produtos aplicáveis
  • Cloud Identity
  • Google Workspace
Controles relacionados do NIST-800-53
  • IA-2
  • IA-5
  • IA-8
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-3.1
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informações relacionadas

Ativar políticas de limite de acesso principal

Implementação Obrigatório
Descrição

Ative as políticas de limite de acesso de principal (PAB) para limitar o acesso de principal e ajudar a proteger contra phishing e exfiltração de dados. Ative uma política de PAB para a organização e evite ataques de phishing externos. Os PABs melhoram a segurança ao reduzir a extensão de um ataque com uma identidade comprometida e também ajudam a evitar ataques de phishing externos e outros ataques de exfiltração.

Produtos aplicáveis

IAM

Caminho iam.googleapis.com/PrincipalAccessBoundaryPolicy
Operador Está definido
Tipo String
Controles relacionados do NIST-800-53
  • AC-3
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
Informações relacionadas

Implementar tags para atribuir políticas do IAM e políticas da organização de maneira eficiente

ID de controle do Google IAM-CO-6.1
Implementação Recomendado
Descrição

As tags fornecem uma maneira de criar anotações para recursos e, em alguns casos, permitir ou negar políticas condicionalmente com base em um recurso ter uma tag específica. Use tags e aplicação condicional de políticas para ter um controle refinado em toda a hierarquia de recursos.

Produtos aplicáveis

Resource Manager

Controles relacionados do NIST-800-53
  • AC-2
  • AC-3
  • AC-5
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Informações relacionadas

Auditar mudanças de alto risco no IAM

ID de controle do Google IAM-CO-7.1
Implementação Recomendado
Descrição

Use os Registros de auditoria do Cloud para monitorar atividades de alto risco, como contas que recebem papéis de alto risco, como administrador da organização e superadministrador. Configure alertas para esse tipo de atividade.

Produtos aplicáveis

Registros de auditoria do Cloud

Controles relacionados do NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controles relacionados ao perfil da CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informações relacionadas

Bloquear o acesso ao Cloud Shell para contas de usuário gerenciadas do Cloud Identity

ID de controle do Google CI-CO-6.8
Implementação Recomendado
Descrição

Para evitar conceder acesso excessivo a Cloud de Confiance by S3NS, bloqueie o acesso ao Cloud Shell para contas de usuário gerenciadas pelo Cloud Identity.

Produtos aplicáveis
  • Cloud Identity
  • Cloud Shell
Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil da CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Configurar o acesso baseado no contexto para consoles do Google

ID de controle do Google IAM-CO-8.2
Implementação Opcional
Descrição

Com o acesso baseado no contexto, é possível criar políticas de segurança de controle de acesso granulares para aplicativos com base em atributos como identidade do usuário, local, status de segurança do dispositivo e endereço IP. Recomendamos que você use o Acesso baseado no contexto para restringir o acesso ao console Cloud de Confiance (https://console.cloud.google.com/) e ao Google Admin Console (https://admin.cloud.google.com).

Produtos aplicáveis
  • Cloud Identity
  • Acesso baseado no contexto
Controles relacionados do NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Bloquear a recuperação de conta para superadministradores

ID de controle do Google CI-CO-6.3
Implementação Opcional
Descrição
Um invasor pode usar o processo de autorecuperação para redefinir senhas de superadministradores. Para reduzir os riscos de segurança associados a ataques do Sistema de Sinalização 7 (SS7), de troca de chip ou outros ataques de phishing, recomendamos que você desative esse recurso. Para desativar o recurso, acesse as configurações de recuperação de conta no Google Admin Console.
Produtos aplicáveis
  • Cloud Identity
  • Google Workspace
Controles relacionados do NIST-800-53
  • IA-2
  • IA-4
  • IA-5
Controles relacionados ao perfil da CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informações relacionadas

Desativar serviços do Google não utilizados

ID de controle do Google CI-CO-6.6
Implementação Opcional
Descrição
Em geral, recomendamos desativar os serviços que você não vai usar.
Produtos aplicáveis

Cloud Identity

Caminho http://admin.google.com > Apps > Additional Google Services
Operador Configuração
Valor

False

Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil da CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Organização

Esta seção inclui as práticas recomendadas e diretrizes para o serviço de política da organização e o Resource Manager ao executar cargas de trabalho no Cloud de Confiance by S3NS.

Restringir as versões do TLS compatíveis com as APIs do Google

ID de controle do Google COM-CO-1.1
Implementação Obrigatório
Descrição

OCloud de Confiance é compatível com várias versões do protocolo TLS. Para atender aos requisitos de compliance, talvez seja necessário negar solicitações de handshake de clientes que usam versões mais antigas do TLS.

Para configurar esse controle, use a restrição da política da organização Restringir versões TLS (gcp.restrictTLSVersion). É possível aplicar essa restrição a organizações, pastas ou projetos na hierarquia de recursos. A restrição Restringir versões do TLS usa uma lista de bloqueio, que nega valores explícitos e permite todos os outros. Um erro vai ocorrer se você tentar usar uma lista de permissão.

Devido ao comportamento da avaliação da hierarquia de políticas da organização, a restrição de versão do TLS se aplica ao nó de recurso especificado e a todas as pastas e projetos (filhos) dele. Por exemplo, se você negar o TLS 1.0 para uma organização, ele também será negado para todos os filhos que descendem dela.

É possível substituir a restrição de versão do TLS herdada atualizando a política da organização em um recurso filho. Por exemplo, se a política da organização negar o TLS 1.0 no nível da organização, você poderá remover a restrição de uma pasta filha definindo uma política separada nessa pasta. Se a pasta tiver filhos, a política dela também será aplicada a cada recurso filho devido à herança de política.

Para restringir ainda mais a versão do TLS apenas ao TLS 1.3, defina essa política para também restringir a versão 1.2 do TLS. É preciso implementar esse controle em aplicativos hospedados no Cloud de Confiance by S3NS. Por exemplo, no nível da organização, defina:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Produtos aplicáveis

Todas; gerenciadas pelo Serviço de política da organização

Caminho gcp.restrictTLSVersion
Operador ==
Valor
  • TLS_VERSION_1
  • TLS_VERSION_1.1
Tipo String
ID do controle do Compliance Manager RESTRICT_LEGACY_TLS_VERSIONS
Controles relacionados do NIST-800-53
  • SC-8
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informações relacionadas

Restringir principais autorizados

ID de controle do Google COM-CO-4.1
Implementação Obrigatório
Descrição

Verifique se apenas as identidades da sua organização são permitidas no ambiente Cloud de Confiance by S3NS . Use a restrição de política da organização Compartilhamento restrito de domínio (iam.allowedPolicyMemberDomains) ou iam.managed.allowedPolicyMembers para definir um ou mais IDs de cliente do Cloud Identity ou do Google Workspace com principais que podem ser adicionados às políticas do Identity and Access Management (IAM).

Essas restrições ajudam a impedir que os funcionários concedam acesso a contas externas fora do controle da organização que não seguem as políticas de segurança para autenticação multifator (MFA) ou gerenciamento de senhas. Esse controle é fundamental para evitar o acesso não autorizado e garantir que apenas identidades corporativas gerenciadas e confiáveis possam ser usadas.

Produtos aplicáveis
  • Serviço de política da organização
  • IAM
Caminho constraints/iam.allowedPolicyMemberDomains
Operador É
Valor

CUSTOMER_ID,ORG_ID

Tipo Lista
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Restringir o uso do serviço de recursos

ID de controle do Google RM-CO-4.1
Implementação Obrigatório
Descrição

A restrição gcp.restrictServiceUsage garante que apenas os serviços aprovados Cloud de Confiance by S3NS sejam usados nos lugares certos. Por exemplo, uma pasta de produção ou altamente sensível tem uma pequena lista de serviços Cloud de Confiance aprovados para armazenar dados. Uma pasta de sandbox pode ter uma lista maior de serviços e controles de segurança de dados para ajudar a evitar a exfiltração de dados. O valor é específico para seus sistemas e corresponde à sua lista aprovada de serviços e dependências para pastas e projetos específicos.

Com essa restrição, sua organização pode criar uma lista de permissões de serviços aprovados, o que ajuda a impedir que os funcionários usem serviços não testados.

Produtos aplicáveis
  • Serviço de política da organização
  • Resource Manager
Caminho constraints/gcp.restrictServiceUsage
Operador É
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Restringir locais de recursos

ID de controle do Google RM-CO-4.2
Implementação Obrigatório
Descrição

A restrição de local do recurso (gcp.resourceLocations) garante que apenas as regiões Cloud de Confiance by S3NS aprovadas sejam usadas para armazenar dados. O valor é específico para seus sistemas e corresponde à lista aprovada de regiões da sua organização para residência de dados.

Com essa restrição, sua organização pode garantir que os recursos e dados sejam criados e salvos apenas em regiões geográficas específicas e aprovadas.

Produtos aplicáveis
  • Serviço de política da organização
  • Resource Manager
Caminho constraints/gcp.resourceLocations
Operador É
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Rede

Esta seção inclui as práticas recomendadas e diretrizes para nuvem privada virtual (VPC) e Cloud DNS ao executar cargas de trabalho no Cloud de Confiance by S3NS.

Bloquear a criação de rede padrão

ID de controle do Google VPC-CO-6.1
Implementação Obrigatório
Descrição

A restrição booleana compute.skipDefaultNetworkCreation pula a criação da rede padrão e dos recursos relacionados ao criar projetos Cloud de Confiance by S3NS .

A rede padrão é uma rede de nuvem privada virtual (VPC) de modo automático com regras de firewall IPv4 já preenchidas para permitir caminhos de comunicação internos. Em geral, essa configuração não é uma postura de segurança recomendada para ambientes de produção.

Produtos aplicáveis
  • Serviço de política da organização
  • Nuvem privada virtual (VPC)
Caminho constraints/compute.skipDefaultNetworkCreation
Valor

True

Tipo Booleano
Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil da CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Ativar extensões de segurança de DNS

ID de controle do Google DNS-CO-6.1
Implementação Obrigatório
Descrição

As extensões de segurança do Sistema de Nomes de Domínio (DNSSEC) são um recurso do Sistema de Nome de Domínio (DNS) que autentica respostas a pesquisas de nome de domínio. Ela não fornece proteções de privacidade para as pesquisas, mas impede que invasores manipulem ou envenenem as respostas a solicitações de DNS.

No Cloud DNS, ative o DNSSEC nos seguintes locais:

  • Zona de DNS
  • Domínio de nível superior (TLD)
  • Resolução DNS
Produtos aplicáveis

Cloud DNS

Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil da CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Ativar o Acesso privado do Google

ID de controle do Google GCVE-CO-1.5
Implementação Obrigatório
Descrição

Ative o Acesso privado do Google em todas as sub-redes.

Ao ativar o Acesso privado do Google, os serviços podem acessar serviços Cloud de Confiance by S3NS que não têm endereços IP externo. Por padrão, o Acesso privado do Google não está ativado em novos recursos e exige etapas adicionais para ser ativado explicitamente.

Produtos aplicáveis

Nuvem privada virtual (VPC)

Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
Informações relacionadas

Ativar o acesso a serviços privados para produtores de serviços

ID de controle do Google GCVE-CO-1.6
Implementação Obrigatório
Descrição

Ative o acesso a serviços particulares para criar uma rede particular entre serviços do Cloud de Confiance by S3NS , como redes legadas do Google Cloud VMware Engine e produtores de serviços, como o Cloud SQL. O acesso a serviços particulares ajuda a evitar a exposição desnecessária das conexões de rede de carga de trabalho à Internet.

Produtos aplicáveis

Nuvem privada virtual (VPC)

Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
Informações relacionadas

Desative o IPv6, a menos que seja necessário

Implementação Obrigatório
Descrição

Desative a criação de sub-redes externas IPv6, a menos que seja especificamente necessário. Para reduzir a superfície de ataque, desative o IPv6 em sistemas e redes em que ele não é gerenciado ou necessário. Muitas organizações têm controles de segurança e monitoramento avançados para IPv4, mas as ferramentas e políticas podem não se estender totalmente ao IPv6, o que pode criar um ponto cego significativo para ameaças. Executar uma rede de pilha dupla também introduz complexidade operacional, exigindo configurações e experiência específicas para gerenciar e solucionar problemas de maneira eficaz. Portanto, se você não tiver um direcionador de negócios claro para o IPv6, desativá-lo poderá simplificar seu ambiente e garantir que todo o tráfego seja filtrado de forma consistente pela sua postura de segurança IPv4 estabelecida.

Produtos aplicáveis

Compute Engine

Caminho constraints/compute.disableVpcExternalIpv6
Operador É
Valor

True

Tipo Booleano
Controles relacionados do NIST-800-53
  • CM-7
Controles relacionados ao perfil da CRI
  • PR.PT-3.1
Informações relacionadas

Restringir o tráfego de saída

Implementação Obrigatório
Descrição

Limite o acesso a fontes externas porque, por padrão, todo o acesso é permitido. Defina regras de firewall específicas para padrões de tráfego de saída pretendidos.

Por padrão, os sistemas geralmente podem fazer conexões de saída com a Internet, o que pode ser considerado um risco de segurança. Uma política de negação por padrão bloqueia o tráfego de saída e exige a criação de regras específicas apenas para os destinos conhecidos e necessários.

Produtos aplicáveis

Cloud Next Generation Firewall

Caminho cloudasset.assets/assetType
Operador ==
Valor

compute.googleapis.com/Firewall

Tipo String
Controles relacionados do NIST-800-53
  • SC-7
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
Informações relacionadas

Limitar o acesso de entrada às portas SSH e RDP

Implementação Obrigatório
Descrição

Sempre que possível, restrinja o acesso de entrada apenas a recursos e intervalos de recursos específicos. Se o Identity-Aware Proxy (IAP) estiver configurado, defina as regras de firewall de entrada do SSH e do Remote Desktop Protocol (RDP) como intervalos de IP do IAP como fontes.

Regras de firewall permissivas de SSH e RDP permitem ataques de força bruta. Em vez disso, use proxies com reconhecimento de identidade Cloud de Confiance by S3NS (como o IAP) para SSH e RDP.

Produtos aplicáveis

IAP

Caminho cloudasset.assets/assetType
Operador ==
Valor

compute.googleapis.com/Firewall

Tipo String
Controles relacionados do NIST-800-53
  • SC-7
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
Informações relacionadas

Ativar o VPC Service Controls

Implementação Obrigatório
Descrição

Ative o VPC Service Controls como uma camada extra de proteção para evitar a perda de dados.

O VPC Service Controls ajuda a evitar a exfiltração de dados criando perímetros de isolamento em torno dos recursos da nuvem, dos dados sensíveis e das redes.

O perímetro de serviço limita a utilidade das credenciais comprometidas porque bloqueia as solicitações para serviços restritos originadas de endpoints controlados por invasores que estão fora do seu ambiente.

Produtos aplicáveis

VPC Service Controls

Caminho accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
Operador ==
Valor

PERIMETER_TYPE_REGULAR

Tipo String
Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
Informações relacionadas

Usar políticas do Cloud Armor

Implementação Obrigatório
Descrição

Para aplicativos expostos por trás do Cloud Load Balancing, use as políticas padrão do Google Cloud Armor ou configure suas próprias políticas para adicionar proteção de rede da camada 3 à camada 7 para aplicativos ou serviços externos. As políticas de segurança do Cloud Armor ajudam a proteger seu aplicativo fornecendo filtragem da camada 7. Essas políticas também analisam solicitações recebidas para ataques comuns da Web ou outros atributos da Camada 7 para bloquear o tráfego antes que ele alcance os serviços ou buckets de back-end com carga balanceada. Cada política de segurança consiste em um conjunto de regras que incluem atributos da camada 3 à camada 7.

Produtos aplicáveis

Cloud Armor

Caminho compute.backendServices/securityPolicy
Operador Está definido
Tipo String
Controles relacionados do NIST-800-53
  • SC-7
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
Informações relacionadas

Ativar a restrição de escopo de serviço nas políticas de acesso do Access Context Manager

ID de controle do Google COM-CO-8.1
Implementação Recomendado para IA generativa em casos de uso
Descrição

Para cada perímetro de serviço, confirme no console Cloud de Confiance se o tipo de perímetro está definido como "regular".

Produtos aplicáveis
  • Access Context Manager
  • VPC Service Controls
Caminho accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
Operador ==
Valor

PERIMETER_TYPE_REGULAR

Tipo String
Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil da CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Restringir APIs em perímetros de serviço do VPC Service Controls

ID de controle do Google COM-CO-8.2
Implementação Recomendado para IA generativa em casos de uso
Descrição

Para cada perímetro de serviço, use o Access Context Manager para confirmar se ele está protegendo a API.

Produtos aplicáveis
  • VPC Service Controls
  • Access Context Manager
Caminho accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices
Operador Anyof
Valor
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • cloudasset.googleapis.com
  • cloudbuild.googleapis.com
  • cloudfunctions.googleapis.com
  • cloudresourcemanager.googleapis.com
  • containeranalysis.googleapis.com
  • discoveryengine.googleapis.com
  • dns.googleapis.com
  • notebooks.googleapis.com
  • ondemandscanning.googleapis.com
  • orgpolicy.googleapis.com
  • pubsub.googleapis.com
  • secretmanager.googleapis.com
  • storage.googleapis.com
  • visionai.googleapis.com
Tipo String
Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil da CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Usar DNS zonal

ID de controle do Google DNS-CO-4.1
Implementação Opcional
Descrição

A restrição booleana compute.setNewProjectDefaultToZonalDNSOnly permite definir a configuração de DNS interno para que novos projetos usem apenas o DNS zonal. Use o DNS zonal porque ele oferece mais confiabilidade em comparação com zonas individuais, já que isola falhas no registro de DNS .

Produtos aplicáveis

Política da organização

Caminho constraints/compute.setNewProjectDefaultToZonalDNSOnly
Operador =
Valor

True

Tipo Booleano
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Geração de registros, monitoramento e alertas

Esta seção inclui as práticas recomendadas e as diretrizes para serviços de geração de registros e auditoria em Cloud de Confiance by S3NS e para configurar alertas de serviços como o Cloud Billing.

Compartilhar registros de auditoria do Cloud Identity

ID de controle do Google CI-CO-6.5
Implementação Obrigatório
Descrição

Se você usa o Cloud Identity, compartilhe os registros de auditoria do Cloud Identity com Cloud de Confiance by S3NS.

Os registros de auditoria de atividade de administrador do Google Workspace ou do Cloud Identity geralmente são gerenciados e visualizados no Google Admin Console, separadamente dos registros no seu ambiente Cloud de Confiance . Esses registros contêm informações relevantes para seu ambiente do Cloud de Confiance , como eventos de login do usuário.

Recomendamos que você compartilhe os registros de auditoria do Cloud Identity com seu ambiente Cloud de Confiance para gerenciar de maneira centralizada registros de todas as fontes.

Produtos aplicáveis
  • Google Workspace
  • Cloud Logging
  • Cloud Identity
Controles relacionados do NIST-800-53
  • AC-2
  • AC-3
  • AC-8
  • AC-9
Controles relacionados ao perfil da CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
Informações relacionadas

Usar registros de auditoria

ID de controle do Google COM-CO-7.3
Implementação Obrigatório
Descrição

Os serviços doCloud de Confiance gravam entradas de registro de auditoria para responder quem fez o quê, onde e quando com os recursos do Cloud de Confiance .

Ative os registros de auditoria no nível da organização. É possível configurar o registro em log usando o pipeline que você usa para configurar a organização Cloud de Confiance .

Produtos aplicáveis

Registros de auditoria do Cloud

Controles relacionados do NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controles relacionados ao perfil da CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informações relacionadas

Ativar VPC Flow Logs

ID de controle do Google COM-CO-7.4
Implementação Obrigatório
Descrição

Os registros de fluxo de VPC registram uma amostra de fluxos de rede enviados e recebidos por instâncias de VM, incluindo aquelas usadas como nós do Google Kubernetes Engine (GKE). A amostra geralmente é de 50% ou menos dos fluxos de rede VPC.

Quando ativados, os registros funcionam em todas as VMs de uma sub-rede. No entanto, é possível reduzir a quantidade de informações gravadas na geração de registros.

Ative os registros de fluxo de VPC para cada sub-rede de VPC. É possível configurar o registro em registros usando um pipeline que você usa para criar um projeto.

Produtos aplicáveis

Nuvem privada virtual

Controles relacionados do NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controles relacionados ao perfil da CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informações relacionadas

Ativar a geração de registros de regras de firewall

ID de controle do Google COM-CO-7.5
Implementação Obrigatório
Descrição

Por padrão, as regras de firewall não gravam registros automaticamente.A geração de registros de regras de firewall permite auditar, verificar e analisar os efeitos das suas regras de firewall. Por exemplo, é possível determinar se uma regra de firewall criada para negar tráfego está funcionando conforme o esperado. A geração de registros também é útil quando é preciso determinar quantas conexões são afetadas por uma determinada regra de firewall.

Ative a geração de registros para cada regra de firewall. É possível configurar a geração de registros usando um pipeline que você usa para criar um firewall.

Produtos aplicáveis

Nuvem privada virtual

Controles relacionados do NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controles relacionados ao perfil da CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informações relacionadas

Ativar a auditoria da atividade do administrador

ID de controle do Google COM-CO-7.1
Implementação Obrigatório
Descrição

Por padrão,o Cloud de Confiance ativa e não permite que ninguém desative a auditoria da atividade principal do administrador para contas privilegiadas.

Os registros de auditoria da atividade do administrador contêm entradas de registros para chamadas de API ou de outras ações que modificam a configuração ou os metadados de recursos. Por exemplo, esses registros são gravados quando os usuários criam instâncias de VM ou mudam permissões do IAM.

Os registros de auditoria de atividade do administrador contêm entradas de registro para criar, modificar e excluir restrições de política da organização em nível de organização, pasta e projeto.

Os registros de auditoria da atividade do administrador são sempre gravados. Não é possível configurá-los, exclui-los ou desativá-los. Mesmo que você desative a API Cloud Logging, os registros de auditoria da atividade do administrador ainda serão gerados.

Recomendamos que sua organização configure políticas e procedimentos para monitorar esses alertas e gerar ações ou alertas de acordo com as políticas de acesso empresarial para monitorar as atividades do administrador.

Produtos aplicáveis

Registros de auditoria do Cloud

Controles relacionados do NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controles relacionados ao perfil da CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informações relacionadas

Inscrever-se para receber boletins de segurança

ID de controle do Google GKE-CO-1.8
Implementação Obrigatório
Descrição

Inscreva-se nas notificações do boletim de segurança dos serviços do Cloud de Confiance by S3NS para receber alertas sobre vulnerabilidades e medidas de mitigação.

Quando os boletins de segurança estão disponíveis e são relevantes para o serviço Cloud de Confiance by S3NS (como o GKE), o serviço pode publicar notificações sobre esses eventos como mensagens para tópicos do Pub/Sub que você configura. Você pode receber essas notificações em uma assinatura do Pub/Sub, fazer a integração com serviços de terceiros e filtrar os tipos de notificação que quer receber.

Produtos aplicáveis

Todos

Controles relacionados do NIST-800-53
  • SI-5
Controles relacionados ao perfil da CRI
  • PR.IP-1.4
Informações relacionadas

Configurar grupos de contatos essenciais

Implementação Obrigatório
Descrição

Configure os Contatos essenciais para garantir que um alias ou uma lista de e-mails de grupo monitorado receba notificações importantes.

O Google envia alertas críticos de segurança (como uma possível violação de conta) para os endereços de e-mail listados como contatos essenciais. Se o e-mail de uma pessoa for usado para essa finalidade, o alerta será perdido se ela não estiver disponível ou tiver saído da empresa.

Usar um endereço de e-mail de grupo monitorado ajuda a garantir que esses alertas urgentes sejam entregues a uma equipe ativa que possa responder rapidamente.

Produtos aplicáveis

Resource Manager

Caminho essentialcontacts.googleapis.com/Contact
Operador Está definido
Tipo String
Controles relacionados do NIST-800-53
  • IR-4
Controles relacionados ao perfil da CRI
  • PR.IP-1.4
Informações relacionadas

Monitorar anomalias de faturamento

Implementação Obrigatório
Descrição

Use o recurso de anomalia de faturamento no Cloud Billing para rastrear picos ou desvios nos gastos esperados.

Um aumento repentino e inesperado em uma fatura da nuvem é um indicador principal de uma violação de segurança. Às vezes, picos inesperados de faturamento são causados por invasores que ganharam acesso e estão usando recursos para atividades não autorizadas.

Ativar a detecção de anomalias de faturamento oferece um sistema essencial de alerta antecipado para que você possa sinalizar automaticamente essa atividade suspeita.

Produtos aplicáveis

Cloud Billing

Controles relacionados do NIST-800-53
  • AU-6
Controles relacionados ao perfil da CRI
  • DE.AE-1.1
Informações relacionadas

Exportar registros para um coletor de registros para armazenamento de longo prazo

Implementação Obrigatório
Descrição

Crie um coletor de registros para exportar registros da sua solução de monitoramento de segurança e defina o período de armazenamento de acordo com seus requisitos.

Os períodos padrão de retenção de registros geralmente não são longos o suficiente para atender aos requisitos de 1 a 7 anos exigidos por regulamentações de compliance como PCI ou HIPAA.

Criar um coletor de registros para exportar registros para um local de armazenamento de longo prazo é essencial para atender a determinadas obrigações legais e regulatórias. Os coletores de registros também permitem enviar registros a um sistema centralizado de monitoramento de segurança para detecção avançada de ameaças.

Produtos aplicáveis

Cloud Logging

Caminho logging.googleapis.com/LogSink/disabled
Operador É
Valor

False

Tipo Booleano
Controles relacionados do NIST-800-53
  • AU-9
Controles relacionados ao perfil da CRI
  • PR.DS-4.1
Informações relacionadas

Ativar registros de auditoria de acesso a dados

ID de controle do Google COM-CO-7.2
Implementação Recomendado para determinados casos de uso
Descrição

Para rastrear quem acessou dados no seu ambiente Cloud de Confiance by S3NS , ative os registros de auditoria de acesso a dados. Esses registros gravam chamadas de API que leem, criam ou modificam dados do usuário, bem como chamadas de API que leem configurações de recursos.

Recomendamos ativar os registros de auditoria de acesso a dados para modelos de IA generativa e dados sensíveis para garantir que você possa auditar quem leu as informações. Para usar os registros de auditoria de acesso a dados, configure sua própria lógica de detecção personalizada para atividades específicas, como logins de superadministrador.

O volume de registros de auditoria de acesso a dados pode ser grande. Ativar os registros de acesso a dados pode resultar em uma cobrança no projeto Cloud de Confiance referente ao uso de registros adicionais.

Produtos aplicáveis

Registros de auditoria do Cloud

Controles relacionados do NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controles relacionados ao perfil da CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informações relacionadas

Configurar alertas de faturamento

ID de controle do Google CB-CO-6.1
Implementação Recomendado
Descrição

Evite surpresas na sua fatura criando orçamentos do Cloud Billing para monitorar todas as suas Cloud de Confiance by S3NS cobranças em um só lugar. Depois de definir um valor de orçamento, defina regras de limite de alerta de orçamento por projeto para acionar notificações por e-mail. Essas notificações ajudam você a acompanhar os gastos em relação ao orçamento. Também é possível usar os orçamentos do Cloud Billing para automatizar as respostas de controle de custos.

Produtos aplicáveis

Cloud Billing

Controles relacionados do NIST-800-53
  • SI-4
  • SI-5
Controles relacionados ao perfil da CRI
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
Informações relacionadas

Ativar os registros da Transparência no acesso

ID de controle do Google COM-CO-7.7
Implementação Opcional
Descrição

Os registros padrão mostram o que os usuários da sua organização estão fazendo, mas os registros de Transparência no acesso mostram o que a equipe de suporte do Google faz ao acessar a conta. Esse acesso geralmente só acontece em resposta a uma solicitação de suporte. Os registros da Transparência no acesso fornecem uma trilha de auditoria completa e verificável de todos os acessos, o que é essencial para atender a requisitos rigorosos de compliance e governança de dados.

É possível ativar a Transparência no acesso no nível da organização.

Produtos aplicáveis

Transparência no acesso

Controles relacionados do NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controles relacionados ao perfil da CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informações relacionadas

Exportar dados de faturamento para análise detalhada

ID de controle do Google CB-CO-6.2
Implementação Opcional
Descrição

Para mais análises de faturamento, exporte Cloud de Confiance by S3NS dados de faturamento para o BigQuery ou um arquivo JSON. Por exemplo, você pode exportar automaticamente dados detalhados, como uso, estimativas de custo e preços, ao longo do dia para um conjunto de dados do BigQuery especificado. Em seguida, é possível acessar os dados do Cloud Billing pelo BigQuery para análise detalhada ou usar uma ferramenta como o Data Studio para visualizar seus dados.

Produtos aplicáveis
  • Serviço de transferência de dados do BigQuery
  • BigQuery
  • Cloud Billing
Controles relacionados do NIST-800-53
  • SI-4
  • SI-5
Controles relacionados ao perfil da CRI
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
Informações relacionadas

Gerenciamento de chaves e secrets

Esta seção inclui as práticas recomendadas e diretrizes do Cloud Key Management Service e do Secret Manager ao executar cargas de trabalho noCloud de Confiance by S3NS.

Criptografar dados em repouso em Cloud de Confiance

ID de controle do Google COM-CO-2.1
Implementação Obrigatório (padrão)
Descrição

Todos os dados no Cloud de Confiance são criptografados em repouso por padrão usando algoritmos aprovados pelo NIST.

Produtos aplicáveis

Cloud de Confiance padrão

Controles relacionados do NIST-800-53
  • SC-28
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
  • PR.DS-1.2
Informações relacionadas

Use algoritmos aprovados pelo NIST para criptografia e descriptografia

ID de controle do Google COM-CO-2.4
Implementação Obrigatório
Descrição

Verifique se o Cloud Key Management Service (Cloud KMS) usa apenas algoritmos aprovados pelo NIST para armazenar chaves sensíveis no ambiente. Esse controle garante o uso seguro de chaves apenas por algoritmos e segurança aprovados pelo NIST. O campo CryptoKeyVersionAlgorithm é uma lista de permissões fornecida.

Remova algoritmos que não estejam em conformidade com as políticas da sua organização.

Produtos aplicáveis

Cloud KMS

Caminho cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm
Operador em
Valor
  • RSA_SIGN_PSS_2048_SHA256
  • RSA_SIGN_PSS_3072_SHA256
  • RSA_SIGN_PSS_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA256
  • RSA_DECRYPT_OAEP_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA1
  • RSA_DECRYPT_OAEP_4096_SHA1
Tipo String
Controles relacionados do NIST-800-53
  • SC-12
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informações relacionadas

Definir a finalidade das chaves do Cloud KMS

ID de controle do Google COM-CO-2.5
Implementação Obrigatório
Descrição

Defina a finalidade das chaves do Cloud KMS como ENCRYPT_DECRYPT para que elas sejam usadas apenas para criptografar e descriptografar dados. Esse controle bloqueia outras funções, como a assinatura, e garante que as chaves sejam usadas apenas para a finalidade pretendida. Se você usa chaves para outras funções, valide esses casos de uso e considere criar chaves adicionais.

Produtos aplicáveis

Cloud KMS

Caminho cloudkms.projects.locations.keyRings.cryptoKeys/purpose
Operador ==
Valor

ENCRYPT_DECRYPT

Tipo String
Controles relacionados do NIST-800-53
  • SC-12
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informações relacionadas

Verifique se as configurações da CMEK são adequadas para data warehouses seguros do BigQuery

ID de controle do Google COM-CO-2.6
Implementação Obrigatório
Descrição

O nível de proteção indica como as operações criptográficas são realizadas. Depois de criar uma chave de criptografia gerenciada pelo cliente (CMEK), não é possível mudar o nível de proteção. Os níveis de proteção compatíveis são os seguintes:

  • SOFTWARE:as operações criptográficas são realizadas em software.
  • HSM:as operações criptográficas são realizadas em um módulo de segurança de hardware (HSM).
  • EXTERNO:as operações criptográficas são realizadas com uma chave armazenada em um gerenciador de chaves externo conectado ao Cloud de Confiance pela Internet. Limitado à criptografia simétrica e à assinatura assimétrica.
  • EXTERNAL_VPC::as operações criptográficas são realizadas com uma chave armazenada em um gerenciador de chaves externo conectado a Cloud de Confiance por uma rede de nuvem privada virtual (VPC). Limitado à criptografia simétrica e à assinatura assimétrica.
Produtos aplicáveis
  • Cloud KMS
  • BigQuery
Caminho cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel
Operador em
Valor

[]

Tipo String
Controles relacionados do NIST-800-53
  • SC-12
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informações relacionadas

Alternar a chave de criptografia a cada 90 dias

ID de controle do Google COM-CO-2.7
Implementação Obrigatório
Descrição

Verifique se o período de rotação das chaves do Cloud KMS está definido como 90 dias. Uma prática recomendada geral é alternar as chaves de segurança em intervalos regulares. Esse controle exige a rotação de chaves criadas com serviços de HSM.

Ao criar esse período de rotação, também crie políticas e procedimentos adequados para lidar com segurança com a criação, exclusão e modificação de material de chaves. Assim, você ajuda a proteger suas informações e garante a disponibilidade. Verifique se esse período obedece às políticas corporativas de rotação de chaves.

Produtos aplicáveis

Cloud KMS

Caminho cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod
Operador <=
Valor

90

Tipo int32
Controles relacionados do NIST-800-53
  • SC-12
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informações relacionadas

Configurar a rotação automática de secrets

ID de controle do Google SM-CO-6.2
Implementação Obrigatório
Descrição
Faça a rotação dos secrets automaticamente e tenha procedimentos de rotação de emergência disponíveis em caso de comprometimento.
Produtos aplicáveis

Secret Manager

Controles relacionados do NIST-800-53
  • SC-12
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informações relacionadas

Criar uma estratégia de criptografia gerenciada

Implementação Obrigatório
Descrição

Crie uma estratégia de gerenciamento de criptografia usando o Cloud Key Management Service (Cloud KMS) com o Autokey, o Cloud External Key Manager (Cloud EKM) ou ambos. Com essa estratégia, sua organização pode usar e gerenciar as próprias chaves de criptografia para atender aos requisitos específicos. Usar suas próprias chaves de criptografia oferece controle granular e auditável sobre o acesso aos dados, incluindo a capacidade de bloquear imediatamente o acesso aos dados desativando a chave.

Produtos aplicáveis
  • Cloud KMS
  • Cloud EKM
Controles relacionados do NIST-800-53
  • SC-12
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
Informações relacionadas

Usar a CMEK para mensagens do Pub/Sub

ID de controle do Google PS-CO-6.1
Implementação Recomendado
Descrição
Ao ativar as chaves de criptografia gerenciadas pelo cliente (CMEK) para o Pub/Sub, você tem mais controle sobre as chaves de criptografia que o Pub/Sub usa para proteger suas mensagens. Na camada do aplicativo, o Pub/Sub criptografa individualmente as mensagens recebidas quando as recebe. Antes de o Pub/Sub publicar mensagens em uma assinatura, ele as criptografa usando a chave de criptografia de dados (DEK) mais recente gerada para o tópico. O Pub/Sub descriptografa as mensagens pouco antes de elas serem entregues aos assinantes. O Pub/Sub usa uma conta de serviço Cloud de Confiance by S3NS para acessar o Cloud Key Management Service. A conta de serviço é mantida internamente pelo Pub/Sub para cada projeto e não fica visível na sua lista de contas de serviço.
Produtos aplicáveis
  • Cloud KMS
  • Pub/Sub
Controles relacionados do NIST-800-53
  • SC-12
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informações relacionadas

Restringir o local das chaves de criptografia gerenciadas pelo cliente

ID de controle do Google COM-CO-2.2
Implementação Recomendado
Descrição

Use a restrição da política da organização Restringir quais projetos podem fornecer CryptoKeys do KMS para CMEK (gcp.restrictCmekCryptoKeyProjects) para definir quais projetos podem armazenar chaves de criptografia gerenciadas pelo cliente (CMEKs). Com essa restrição, é possível centralizar a governança e o gerenciamento das chaves de criptografia. Quando uma chave selecionada não atende a essa restrição, a criação do recurso falha.

Para modificar essa restrição, os administradores precisam do papel do IAM de Administrador da política da organização (roles/orgpolicy.policyAdmin).

Se você quiser adicionar uma segunda camada de proteção, como trazer sua própria chave, mude essa restrição para representar os nomes das chaves da CMEK ativada.

Especificações do produto:

  • Na Gemini Enterprise Agent Platform, você armazena as chaves no projeto KEY PROJECTS.
Produtos aplicáveis
  • Cloud KMS
  • Política da organização
Caminho constraints/gcp.restrictCmekCryptoKeyProjects
Operador notexists
Valor

KEY PROJECTS

Tipo String
Controles relacionados do NIST-800-53
  • SC-12
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informações relacionadas

Usar a CMEK para serviços do Cloud de Confiance

ID de controle do Google COM-CO-2.3
Implementação Recomendado
Descrição

Se você precisar de mais controle sobre as operações de chaves do que o permitido por Google Cloud-powered encryption keys , use as chaves de criptografia gerenciadas pelo cliente (CMEKs). Essas chaves são criadas e gerenciadas usando o Cloud KMS. Armazene as chaves como chaves de software, em um cluster do HSM ou em um sistema externo de gerenciamento de chaves.

As taxas de criptografia e descriptografia do Cloud KMS estão sujeitas a cotas.

Especificidades do Cloud Storage

No Cloud Storage, use CMEKs em objetos individuais ou configure os buckets do Cloud Storage para usar uma CMEK por padrão em todos os novos objetos adicionados a um bucket. Ao usar uma CMEK, um objeto é criptografado com a chave pelo Cloud Storage no momento em que é armazenado em um bucket, e o objeto é descriptografado automaticamente pelo Cloud Storage quando o objeto é veiculado aos solicitantes.

As seguintes restrições se aplicam ao usar CMEKs com o Cloud Storage:

  • Não é possível atualizar os metadados de um objeto com uma CMEK. Inclua a chave como parte da regravação do objeto.
  • O Cloud Storage usa o comando de atualização de objetos para definir chaves de criptografia em objetos, mas o comando reescreve o objeto como parte da solicitação.
  • Você precisa criar o keyring do Cloud KMS no mesmo local dos dados que pretende criptografar. Por exemplo, se o bucket estiver localizado em us-east1, qualquer keyring usado para criptografar objetos nesse bucket também precisará ser criado em us-east1.
  • Para a maioria das birregiões, você precisa criar o keyring do Cloud KMS na multirregião associada. Por exemplo, se o bucket estiver localizado no par us-east1, us-west1, qualquer keyring usado para criptografar objetos nesse bucket precisará ser criado na multirregião dos EUA.
  • Para as regiões birregionais predefinidas asia1, eur4 e nam4, é necessário criar o keyring na mesma região dupla predefinida.
  • A soma de verificação CRC32C e o hash MD5 de objetos criptografados com CMEKs não são retornados ao listar objetos com a API JSON.
  • Usar ferramentas como o Cloud Storage para realizar solicitações GET de metadados adicionais em cada objeto de criptografia para recuperar as informações CRC32C e MD5 pode reduzir bastante a listagem. O Cloud Storage não pode usar a parte de descriptografia de chaves assimétricas armazenadas no Cloud KMS para descriptografar automaticamente objetos relevantes da mesma maneira que as CMEKs.
Produtos aplicáveis
  • Cloud KMS
  • Política da organização
  • Cloud Storage
Caminho constraints/gcp.restrictNonCmekServices
Operador ==
Valor
  • bigquery.googleapis.com
  • storage.googleapis.com
  • aiplatform.googleapis.com
Tipo String
Controles relacionados do NIST-800-53
  • SC-12
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informações relacionadas

Replicar secrets automaticamente

ID de controle do Google SM-CO-6.1
Implementação Recomendado
Descrição
Escolha a política de replicação automática para replicar seus secrets, a menos que a carga de trabalho tenha requisitos de local específicos. A política automática atende às necessidades de disponibilidade e desempenho da maioria das cargas de trabalho. Se a carga de trabalho tiver requisitos de local específicos, use a API para selecionar os locais da política de replicação ao criar o secret.
Produtos aplicáveis

Secret Manager

Controles relacionados do NIST-800-53
  • SC-12
  • SC-13
Controles relacionados ao perfil da CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informações relacionadas

Postura e análise de segurança

Este documento inclui as práticas recomendadas e diretrizes do Security Command Center ao executar cargas de trabalho no Cloud de Confiance by S3NS.

Ativar o Security Command Center no nível da organização

ID de controle do Google SCC-CO-6.1
Implementação Obrigatório
Descrição
Ative o Security Command Center no nível da organização para evitar configurações adicionais. Se você não quiser usar o Security Command Center, ative outra solução de gerenciamento de postura.
Produtos aplicáveis

Security Command Center

Controles relacionados do NIST-800-53
  • SI-4
  • SI-5
Controles relacionados ao perfil da CRI
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
Informações relacionadas

Configurar alertas do Security Command Center

ID de controle do Google SCC-CO-7.1
Implementação Recomendado
Descrição
Os alertas do Security Command Center oferecem visibilidade da sua organização e notificam sobre problemas com os serviços do Cloud de Confiance by S3NS para que você possa tomar as medidas adequadas. É possível configurar alertas no Cloud Logging para receber notificações sobre erros relacionados ao agente de serviço do Security Command Center (service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com).
Produtos aplicáveis
  • Security Command Center
  • Logging
Controles relacionados do NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Controles relacionados ao perfil da CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informações relacionadas

A seguir