评估和报告是否符合安全标准

您可以使用 Security Command Center 根据各种监管框架评估您的 Google Cloud 环境。

Security Command Center 会监控您是否符合各种安全标准的控制项所对应的检测器。

对于每项受支持的安全标准，Security Command Center 会检查其中的一部分控制项。对于已检查的控制项，Security Command Center 会显示通过的控制项数量。对于未通过的控制，Security Command Center 会显示一列发现结果，其中描述了控制失败情况。

CIS 已审核并认证了 Security Command Center 检测器与 CIS Google Cloud Foundations Benchmark 的各个受支持版本的映射。 其他合规性映射仅供参考。

Security Command Center 会定期添加对新的基准版本和标准的支持。旧版本仍然受支持，但最终会被弃用。我们建议您使用当前受支持的最新基准或标准。

借助安全状况服务，您可以将组织政策和 Security Health Analytics 检测器映射到适用于您业务的标准和控制措施。创建安全状况后，您可以监控环境的任何更改，以确保不会影响贵组织的合规性。

借助 Compliance Manager（预览版），您可以部署将监管控制措施映射到云控制措施的框架。创建框架后，您可以监控对环境所做的任何更改，以确保不会影响您的业务合规性，并审核您的环境。

支持的安全标准

Google Cloud

Security Command Center 将 Google Cloud 的检测器映射到以下一个或多个合规性标准：

• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
• CIS Kubernetes 基准 v1.5.1
• Cloud Controls Matrix (CCM) 4
• 健康保险流通与责任法案 (HIPAA)
• 国际标准化组织 (ISO) 27001、2022 和 2013
• 美国国家标准与技术研究院 (NIST) 800-53 R5 和 R4
• 美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF) 1.0
• 开放式 Web 应用安全项目 (OWASP) 十大风险，2021 年和 2017 年
• 支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
• 系统和组织控制 (SOC) 2 2017 年信任服务标准 (TSC)

AWS

Security Command Center 将 Amazon Web Services (AWS) 的检测器映射到以下一个或多个合规性标准：

• CIS Amazon Web Services Foundations 2.0.0
• CIS 关键安全控制措施版本 8.0
• Cloud Controls Matrix (CCM) 4
• 健康保险流通与责任法案 (HIPAA)
• 国际标准化组织 (ISO) 27001，2022
• 美国国家标准与技术研究院 (NIST) 800-53 R5
• 美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF) 1.0
• 支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
• 系统和组织控制 (SOC) 2 2017 年可信服务标准 (TSC)

检测器和发现结果作为合规性控制措施

Security Command Center 检测服务（例如 Security Health Analytics 和 Web Security Scanner）使用检测模块（检测器）来检查云环境中的漏洞和配置错误。

发现漏洞时，检测器会生成发现结果。发现结果是关于漏洞或其他安全问题的记录，其中包含以下信息：

• 漏洞说明

• 建议解决漏洞，以使控制措施符合合规性要求

• 与相应发现结果对应的控制措施的数字 ID

• 修复漏洞的建议步骤

并非标准中的所有控制措施都可以映射到 Security Command Center 发现结果，这通常是因为某些控制措施无法自动化，但也可能是出于其他原因。因此，Security Command Center 检查的控制措施总数通常少于标准定义的控制措施总数。

CIS 已审核并认证了 Security Command Center 检测器与 CIS Google Cloud Foundations Benchmark 的各个受支持版本的映射。其他合规性映射仅供参考。

如需详细了解 Security Health Analytics 和 Web Security Scanner 发现结果以及支持的检测器与合规性标准之间的映射，请参阅漏洞发现结果。

评估整个云环境的合规性

您可以在以下位置一目了然地了解您的云环境是否符合给定的安全标准：

• Google Cloud 控制台中的合规性页面。
• Security Operations 控制台中的风险 > 概览页面。此页面会简要显示您的云环境中发现的主要风险，包括合规性风险。

每个安全标准都会显示在选定范围内（无论是在组织级、文件夹级还是项目级）有多少组成控制措施获得及格评分的百分比。

Security Command Center 的激活位置会影响显示的内容：

• 在项目级：您只能查看已激活项目的合规性统计信息。如果您在 Google Cloud 控制台中切换到项目所属的文件夹或组织，则合规性页面不会显示。

• 在组织级：如果您在 Google Cloud 控制台中切换到已激活的组织，合规性页面会显示整个组织（包括其文件夹和项目）的合规性统计信息。

  如需查看该组织中各个文件夹和项目的合规性统计信息，请在 Google Cloud 控制台中切换到相应资源级。

合规性报告每天生成一次。报告可能会滞后 24 小时，如果报告未能生成，则可能会缺失。

在 Google Cloud 控制台中评估合规性

1. 前往 Google Cloud 控制台中的合规性页面。

   转至“合规性”

2. 选择您要查看其合规性的项目、文件夹或组织。

3. 点击其中一个标准卡片中的查看详细信息，以打开其合规性详细信息页面。

您可以在此页面执行以下操作：

• 查看特定日期的所选标准合规性情况。

• 切换您要查看其详细信息的合规性标准。

• 将合规性详细信息报告导出为 CSV 文件。

• 使用趋势图跟踪合规性进度。

• 展开安全标准控制措施以查看其组成规则和规则严重程度。

• 点击规则以查看不合规资源的发现结果，并根据需要修复问题。如需了解如何修复发现结果，请参阅修复 Security Health Analytics 发现结果和修复 Web Security Scanner 发现结果。