Security Command Center (SCC) Premium 簡介
對於 專業雲端安全工程師 (Professional Cloud Security Engineer, PSE) 而言,Security Command Center (SCC) 是 Google Cloud 的主要安全管理和數據風險平台。雖然標準版 (Standard) 提供基本的資產探索和一些威脅檢測,但 進階版 (Premium) 對於企業級安全至關重要,它提供持續監控、配置錯誤檢測和高級威脅搜查。
SCC Premium 提供了一個集中式儀表板,可以查看整個組織中的資產和發現 (Findings),使其成為 GCP 安全狀態的「單一窗格 (Single Pane of Glass)」。
白話文解釋
1. 建築檢查員 (Security Health Analytics)
將 SHA 想像成一位不斷在您的摩天大樓(GCP 組織)中巡邏的建築檢查員。他們會檢查防火出口是否被堵塞(公開的存儲桶)、電線是否符合規範(防火牆規則)以及門是否鎖好(服務帳戶的 MFA)。如果他們發現問題,就會提交一份報告(發現)。
2. 智能庫存系統 (Asset Inventory)
想像一個擁有自動庫存系統的大型倉庫。每當有一個新箱子(VM、存儲桶、SQL 實例)被帶入或移動時,系統都會記錄其位置、內容和所有者。您不需要手動清點物品;系統始終知道您擁有什麼以及它在哪裡。
3. 抗噪耳機 (靜音發現)
如果您在建築工地工作,那裡會有持續的噪音。有些噪音很重要(警報器),而有些只是背景音(卡車怠速)。在 SCC 中 靜音 (Muting) 發現就像使用抗噪耳機過濾掉「卡車怠速」(預期配置),以便您可以專注於「警報器」(關鍵風險)。
資產庫存與探索 (Asset Inventory and Discovery)
SCC 會自動探索整個組織、資料夾和專案中的資產。
- 持續探索: SCC 每隔幾分鐘就會掃描您的環境,查找資源變更。
- 資產歷史記錄: 您可以查看資產在任何時間點(最多 30 天)的狀態,以了解其配置或 IAM 政策如何變化。
- 探索範圍: SCC 可以在 組織層級(建議用於全面可見性)或 專案層級 運行。
SCC 中的 資產 (Assets) 是指 SCC 監控的 Google Cloud 資源(VM、存儲桶、數據集等)和 IAM 政策。
Security Health Analytics (SHA)
SHA 是 SCC 內部的「託管掃描器」,用於識別常見的配置錯誤。
- 內置檢測器: SHA 擁有 100 多個檢測器,對應 CIS 和 PCI DSS 等行業標準。
- 檢測類別:
PUBLIC_BUCKET_ACL: Cloud Storage 存儲桶可公開訪問。NON_ORG_IAM_MEMBER: 組織外部的用戶被授予了訪問權限。OPEN_FIREWALL: 防火牆規則允許所有端口的流量。
自定義 SHA 規則
對於特殊需求,您可以創建 自定義 Security Health Analytics 規則。這些規則允許您使用 CEL (Common Expression Language) 定義自己的安全邏輯。
- 範例: 創建一個規則,如果 GCE 實例具有特定標籤且未附加特定的服務帳戶,則觸發發現。
管理 SCC 儀表板與發現
發現 (Finding) 是潛在安全問題或威脅的記錄。
按嚴重程度排序
發現按嚴重程度分類:
- 關鍵 (Critical): 需要立即採取行動(例如:活動中的惡意軟體)。
- 高 (High): 被利用的風險很高(例如:可公開訪問的敏感數據庫)。
- 中 (Medium): 顯著的安全漏洞(例如:生產資源禁用了日誌記錄)。
- 低 (Low): 輕微問題或最佳實踐建議。
按攻擊風險評分排序
SCC Premium 使用 攻擊風險評分 (Attack Exposure Scores) 來幫助您確定優先順序。它會計算資源從互聯網的可達性,以及如果被攻破可能造成的損害。對於具有高風險評分的資源上的「關鍵」發現,應優先修復。
發現修復後 不會 自動刪除。它們會從 活動 (Active) 狀態轉換為 非活動 (Inactive) 狀態。
當 PSE 情境題問如何在數千個發現中決定優先順序時,正確答案是 Severity 搭配 Attack Exposure Score,而不是只看嚴重程度。位於可從網際網路存取資源上的 Medium 發現,往往應排在隔離 dev VM 上的 Critical 發現之前,因為 Attack Exposure Score 會把網際網路可達性與沿著 Attack Paths 擴散的影響範圍納入計算。
靜音發現與管理雜訊
並非每個發現都是「錯誤」。有時配置是刻意為之。
- 靜態靜音: 手動靜音特定的發現。
- 靜音規則: 根據標準自動靜音發現(例如:「靜音 Sandbox 專案中所有的 Open Firewall 發現」)。
- 工作流程: 靜音會將發現從默認視圖中移除,但會將其保留在數據庫中以供審計。
合規性報告 (Compliance Reporting)
SCC Premium 將發現直接映射到合規性框架:
- CIS Google Cloud Computing Foundations Benchmark
- PCI DSS
- NIST 800-53
- ISO 27001
使用 SCC 儀表板中的 合規性 (Compliance) 標籤查看您的「合規性分數」,並識別整個組織中哪些特定控制項失敗。
Mute Rule 並不會讓 SHA 停止產生該發現,它只是把發現從預設視圖中隱藏。發現仍然會消耗偵測週期,並保留在資料庫中供稽核。考生常把「Mute Rule」當作「停用某個吵雜偵測器」的方法;真正要停止產生發現,正確做法是在組織或資料夾層級 停用該 SHA detector module。Mute 是雜訊過濾,不是偵測器開關。
SCC 資產歷史記錄會保留變更狀態 最多 30 天,持續探索會每隔 幾分鐘 重新掃描。對自動修復 pipeline 而言,可考的固定模式是:SHA Finding → Pub/Sub export → Cloud Functions → gcloud/API 修復(例如撤銷公開的 bucket ACL)。背熟這個四步驟鏈條,在 PSE 自動修復情境題會原封不動出現。
攻擊路徑可視化 (Visualizing Attack Paths)
SCC Premium 最強大的功能之一是 攻擊路徑 (Attack Path) 可視化。
- 它使用基於圖形的引擎顯示攻擊者如何從面向大眾的入口點(如易受攻擊的 VM)移動到高價值目標(如包含 PII 的 BigQuery 數據集)。
- 這有助於 PSE 了解 橫向移動 (Lateral Movement) 風險。
集成第三方來源
SCC 是一個開放平台。您可以集成以下來源的發現:
- Google 服務: Cloud DLP, Forseti, Binary Authorization。
- 第三方工具: CrowdStrike, Palo Alto Networks, Qualys。
- 自定義來源: 使用 SCC API 從您內部的安全掃描器上傳發現。
SCC 的 CLI 命令
列出發現
gcloud scc findings list 1234567890 \
--filter="state=\"ACTIVE\" AND severity=\"CRITICAL\""
靜音發現
gcloud scc findings update-markers 1234567890 \
--finding=projects/my-project/sources/123/findings/abc \
--set-mute=MUTE
PSE 安全最佳實踐
- 在組織層級啟用 SCC: 專案層級的 SCC 缺乏實現真正安全狀態管理所需的全局可見性。
- 自動化修復: 使用 Cloud Pub/Sub 將 SCC 發現導出到 Cloud Functions 以進行自動修復(例如:自動移除存儲桶的公開訪問權限)。
- 定期審查靜音規則: 確保靜音規則沒有過期,或者沒有隱藏真正的風險。
- 專注於攻擊路徑: 不要只修復單個發現;修復攻擊路徑中的「關鍵節點」,以保護多個資源。
PSE 考試場景
場景 1:管理多專案環境中的雜訊
「一個安全團隊被數千個『Open Firewall』發現所淹沒。其中大部分位於開發環境,根據政策允許廣泛訪問。PSE 應該如何在 SCC 中處理這個問題?」
解答: 在 SCC 中創建一個 靜音規則,針對 OPEN_FIREWALL 類別,並過濾 Development 資料夾中的專案。這可以消除開發環境中的雜訊,同時保持生產環境的發現可見。
場景 2:為審計員提供合規性報告
「審計員需要一份報告,顯示目前有多少資源違反了 PCI DSS 要求 1.3(防火牆配置)。SCC 可以如何提供幫助?」
解答: 使用 SCC 中的 合規性 (Compliance) 儀表板。按 PCI DSS 框架過濾並深入查看特定要求。然後,您可以將發現導出為 CSV 或 PDF 供審計員使用。
總結清單
- 了解 SCC 標準版與進階版的區別。
- 解釋 Security Health Analytics 如何識別配置錯誤。
- 定義「攻擊風險評分」及其與嚴重程度的區別。
- 描述攻擊路徑可視化的好處。
- 了解如何使用 Pub/Sub 自動導出發現。