A Google apresentou o Security Command Center em 2018 como o ponto central de gestão de segurança para o Google Cloud Platform. O produto, integrado sem custo adicional no nível Standard, agrega findings de desconfigurações, vulnerabilidades e ameaças ativas numa consola única que se tornou peça fundamental da estratégia de cloud security da empresa de Mountain View. A versão Enterprise, lançada em 2023, elevou a aposta com gestão de postura multicloud e deteção de ameaças baseada no Mandiant.

Pontos-chave

  • Plataforma nativa do Google Cloud que centraliza findings de segurança de todos os projetos.
  • Versão Standard gratuita; Premium e Enterprise pagas, com descobertas avançadas.
  • Integra mandiant threat intelligence desde a aquisição da Mandiant em 2022 (5,4 mil milhões de dólares).
  • Combina CSPM (Cloud Security Posture Management), vulnerability scanning e threat detection.
  • Concorre com AWS Security Hub, Microsoft Defender for Cloud e Wiz.

O que é o Cloud SCC

O Security Command Center é o serviço nativo do Google Cloud que reúne, num único local, alertas sobre desconfigurações de infraestrutura, software vulnerável e ameaças ativas em máquinas virtuais, contentores e armazenamento. A sua arquitetura parte do princípio de que a cloud provider detém a visibilidade que ferramentas externas nunca alcançam — conhecendo a configuração de cada recurso, o tráfego entre zonas e o estado dos serviços geridos.

A ferramenta organiza-se em três pilares: Security Health Analytics analisa configurações contra benchmarks do CIS e do NIST; Web Security Scanner varre aplicações App Engine, Compute Engine e GKE em busca de falhas OWASP Top 10; e Event Threat Detection examina logs do Cloud Logging à procura de comportamentos maliciosos em tempo real.

Funcionalidades principais

O módulo de posture management compara continuamente a configuração do ambiente contra frameworks regulatórios — PCI-DSS, HIPAA, ISO 27001, CIS Google Cloud Foundation Benchmark. Cada não-conformidade gera um finding com severidade atribuída e instrução de remediação, exportável para sistemas de tickting como o Jira ou ServiceNow.

O vulnerability scanning Enterprise combina duas abordagens: uma agentless, que inspeciona imagens de VM e configurações de clusters; outra com agentes leves instalados em instâncias, equivalente à que plataformas de EDR como o Carbon Black da Broadcom oferecem. Os resultados aparecem num inventário único de ativos com os seus respetivos níveis de risco.

A componente de threat detection incorpora assinaturas do Mandiant, empresa que a Google adquiriu em setembro de 2022. A integração permite correlacionar eventos suspeitos dentro do Google Cloud com indicators de comprometimento de campanhas monitorizadas pelo Mandiant em incidentes reais — incluindo técnicas associadas a ferramentas como o Cobalt Strike.

Casos de uso reais

Organizações que migram workloads para o Google Cloud ativam o SCC Standard como passo de configuração mínimo. O primeiro finding típico são buckets do Cloud Storage expostos publicamente — uma causa recorrente de fugas de dados documentada em relatórios da Verizon DBIR. A plataforma identifica estes buckets, sugere remediação e monitoriza a reversão.

Equipas de SOC usam o SCC em conjunto com ferramentas de intelligence externa como a Censys: enquanto a Censys mostra a exposição externa, o SCC revela o que acontece dentro do perímetro. A combinação cobre a totalidade da superfície de ataque de uma organização.

No cenário de resposta a incidente, o SCC Enterprise permite retraçar a linha temporal dum comprometimento: identificar a VM de entrada, os recursos acedidos lateralmente, as credenciais roubadas e os dados exfiltrados — através da integração com o Google Cloud Logging e o Chronicle SIEM.

Mercado de CSPM cloud

O segmento de Cloud-Native Application Protection Platforms (CNAPP), que integra CSPM, CWPP e deteção de ameaças, movimentou 7,2 mil milhões de dólares em 2023, segundo a Gartner. A Wiz, startup israelita fundada em 2020, atingiu valuation de 12 mil milhões de dólares em maio de 2024 — tornando-se a principal ameaça competitiva ao SCC Enterprise, à Orca Security e à Lacework.

A estratégia do Google Cloud de integrar a Mandiant no SCC Enterprise, sem custo adicional para clientes Premium, posiciona o produto como a alternativa nativa com inteligência de ameaças incorporada. Em julho de 2024, a Google anunciou a integração das capacidades do SCC na sua oferta Gemini for Google Cloud, com análise assistida por inteligência artificial.

Considerações para adoção

O nível Standard do SCC cobre apenas um subconjunto das verificações do Security Health Analytics. Funcionalidades como deteção de ameaças em tempo real, varredura de vulnerabilidades em imagens de contentor e gestão de postura multicloud requerem Premium ou Enterprise — níveis pagos faturados por ativo monitorizado, com preços a partir de 15 dólares por VM por mês.

A dependência do Google Cloud como fonte única de dados de segurança é o principal ponto de crítica em análises da Forrester e da IDC. Organizações com infraestrutura híbrida em AWS e Azure precisam de ferramentas adicionais para cobertura equivalente — daí o crescimento de plataformas independentes como a Wiz.

A documentação técnica do produto está em cloud.google.com/security/products/security-command-center, com listagem completa de detectors, integrações e o roadmap público trimestral.