Assured Workloads 框架概览

Assured Workloads 框架为数据驻留、访问权限和人员提供新的等效云控制措施,类似于 Assured Workloads 文件夹中的控制措施。

您可以使用 Assured Workloads 框架,通过以下方式满足文件夹和项目的安全和监管要求:

  • 选择预定义的数据边界,以强制执行和监控 Google Cloud 环境的合规性
  • 为您的 Google Cloud环境定义您自己的合规且安全的配置
  • 查看信息中心,了解您的环境是否符合合规性和安全性要求
  • 审核云环境,包括收集证据和生成报告

Assured Workloads 框架使用软件定义的控件,让您能够在Google Cloud 文件夹或项目内评估对多个合规计划和安全要求的支持情况。

Assured Workloads 框架组件

下表介绍了 Assured Workloads 框架的组成部分:

规则 云控制措施中的一个技术项,可让您满足合规性、安全性或隐私保护要求。规则可以是组织政策、IAM 政策、云设置以及基于通用表达式语言 (CEL) 的检测逻辑。
云控制措施

一组规则和关联的元数据,可用于定义文件夹或项目的安全或合规意图。Assured Workloads 框架包含一个内置云控制措施库,并允许您定义自己的云控制措施。

云控制措施中的元数据包括修复说明和发现结果严重程度。

云控制措施具有以下模式:

  • 侦测:Assured Workloads 框架会将云控制措施应用于定义的资源,以便进行监控。系统会检测所有违规行为并生成发现结果。系统不会自动采取任何预防措施。
  • 预防性:Assured Workloads 框架会将云控制措施应用于定义的资源,并主动强制执行规则。任何违反云控制措施的资源活动都将被屏蔽。

    某些云控制措施需要您提供额外信息才能正常运作。例如,如果您想使用一种云控制措施来检查工作负载和资源是否在特定区域中运行,则必须在创建该云控制措施时指定允许的区域。

框架

云控制措施和监管控制措施的集合,代表安全最佳实践或行业定义的标准。框架可以包含云控制措施与监管控制措施(例如 FedRAMP Moderate 或 IL2 等数据边界)之间的映射。

Assured Workloads 包含一个内置框架库。您可以自定义这些框架,也可以创建自己的框架。

框架部署 部署框架时,特定框架与文件夹或项目之间的绑定。

支持的框架

Assured Workloads 支持 Google Cloud的内置框架,例如 Assured Workloads 数据边界。您可以按原样部署这些框架,也可以根据需要对其进行自定义。

支持的 Assured Workloads 数据边界

以下 Assured Workloads 数据边界框架可供使用:

支持的 Compliance Manager 框架

如果您订阅了 Security Command Center 高级层级或 Enterprise 层级,则可以在 Assured Workloads 框架中使用以下合规性管理器框架:

后续步骤