Frameworks in Assured Workloads verwalten
Assured Workloads-Frameworks bestehen aus Cloud-Kontrollen, mit denen Sie die Sicherheits- und Complianceanforderungen für einen Ordner oder ein Projekt in Ihren Cloud-Umgebungen erfüllen können. Assured Workloads bietet viele integrierte Frameworks wie Datenbegrenzungen. Sie können aber auch vorhandene Frameworks ändern oder eigene erstellen. Wenn Sie ein eigenes Framework erstellen möchten, müssen Sie zuerst die Cloud-Kontrollen identifizieren oder erstellen, die den Sicherheits- und Complianceverpflichtungen Ihres Unternehmens entsprechen. Anschließend stellen Sie ein Framework mit diesen Cloud-Kontrollen für den ausgewählten Ordner oder das ausgewählte Projekt bereit.
Auf dieser Seite erfahren Sie, wie Sie die folgenden Schritte ausführen:
Bewerten Sie, welches integrierte Framework am besten zu Ihren gesetzlichen und Sicherheitsanforderungen passt. Sie können ein eigenes benutzerdefiniertes Framework erstellen, wir empfehlen jedoch, mit einem integrierten Framework zu beginnen.
Bestimmen Sie, welche integrierten Cloud-Kontrollen Ihren geschäftlichen Anforderungen entsprechen. Bei Bedarf können Sie benutzerdefinierte Cloud-Kontrollen erstellen.
Bestimmen Sie, für welchen Ordner oder welches Projekt das Framework bereitgestellt werden soll. Sie können Frameworks auf folgende Arten bereitstellen:
- Für eine einzelne Ressource – einen Ordner oder ein Projekt – kann nur ein integriertes präventives Framework wie eine Datenbegrenzung bereitgestellt werden.
- Für eine einzelne Ressource – einen Ordner oder ein Projekt – können mehrere detektive Frameworks bereitgestellt werden.
- Für mehrere Ressourcen kann dasselbe präventive oder detektive Framework bereitgestellt werden. Für einen übergeordneten Ordner kann beispielsweise dasselbe präventive oder detektive Framework bereitgestellt werden wie für die untergeordneten Projekte.
Kopieren Sie ein vorhandenes Framework und ändern Sie es nach Bedarf. Bei Bedarf können Sie ein benutzerdefiniertes Framework erstellen.
Stellen Sie das Framework für den ausgewählten Ordner oder das ausgewählte Projekt bereit.
Hinweis
-
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation oder Ihr Projekt zuzuweisen, damit Sie die Berechtigungen zum Anwenden von Frameworks erhalten:
- Compliance Manager-Administrator (
roles/cloudsecuritycompliance.admin) -
Für die Bereitstellung von Frameworks mit Cloud-Kontrollen, die auf Organisationsrichtlinien basieren, eine der folgenden Rollen:
- Administrator für Unternehmensrichtlinien (
roles/orgpolicy.policyAdmin) - Assured Workloads-Administrator (
roles/assuredworkloads.admin) - Assured Workloads-Bearbeiter (
roles/assuredworkloads.editor)
- Administrator für Unternehmensrichtlinien (
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
- Compliance Manager-Administrator (
Frameworks ansehen
Führen Sie die folgenden Schritte aus, um die Konfiguration für integrierte Frameworks oder andere Frameworks anzusehen, die Sie bereits erstellt haben.
Rufen Sie in der Google Cloud Console die Frameworks Seite auf.
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Im Dashboard werden die verfügbaren Frameworks, eine kurze Beschreibung, unterstützte Plattformen und Stufen sowie die Ressourcen angezeigt, denen das Framework zugewiesen wurde.
Klicken Sie auf den Namen eines Frameworks, um Details dazu aufzurufen.
Framework erstellen
Nachdem Sie festgelegt haben, welche Cloud-Kontrollen für Ressourcen in Ihrer Organisation oder in einem bestimmten Ordner oder Projekt gelten, können Sie ein Framework erstellen. Sie können ein benutzerdefiniertes Framework erstellen oder ein vorhandenes Framework kopieren und ändern. Wenn Sie ein Framework kopieren, enthält es die neuesten Versionen aller integrierten Cloud-Kontrollen.
Rufen Sie in der Google Cloud Console die Frameworks Seite auf.
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie auf Benutzerdefiniertes Framework erstellen.
Führen Sie einen dieser Schritte aus:
So verwenden Sie ein vorhandenes Framework:
Wählen Sie Mit einem vorhandenen Framework beginnen aus.
Wählen Sie das Framework aus, das Sie kopieren möchten.
Wenn Sie ein benutzerdefiniertes Framework erstellen möchten, wählen Sie Neu beginnen aus.
Geben Sie einen Namen, eine eindeutige ID und eine Beschreibung für Ihr Framework ein. Klicken Sie auf Weiter.
Wählen Sie im Schritt Standort für Ihr Framework festlegen eine bestimmte Region oder eine Multiregion aus. Weitere Informationen zu den verfügbaren Regionen finden Sie unter Assured Workloads-Standorte. Klicken Sie auf Weiter.
Wenn Sie ein vorhandenes Framework kopieren, wird die Liste der Cloud-Kontrollen angezeigt, die Teil des vorhandenen Frameworks waren.
So fügen Sie die erforderlichen Cloud-Kontrollen hinzu:
Wenn Sie eine vorhandene Cloud-Kontrolle hinzufügen möchten, klicken Sie auf Cloud-Kontrollen hinzufügen. Wählen Sie alle erforderlichen Cloud-Kontrollen aus und klicken Sie dann auf Hinzufügen.
Prüfen Sie beim Hinzufügen einer Kontrolle den Kontrolltyp (detektiv, präventiv oder Audit). Fügen Sie keine reinen Audit-Kontrollen in ein Framework ein, mit dem Sie Ihre Umgebung überwachen und Verstöße erkennen möchten. Frameworks mit reinen Audit-Kontrollen können nicht bereitgestellt werden.
Wenn Sie eine benutzerdefinierte Cloud-Kontrolle erstellen möchten, klicken Sie auf Benutzerdefinierte Cloud-Kontrolle erstellen. Eine Anleitung finden Sie unter Benutzerdefinierte Cloud-Kontrolle erstellen.
Klicken Sie auf Weiter.
Fügen Sie alle zusätzlichen Parameter hinzu, die für die Cloud-Kontrollen erforderlich sind.
Sie können beispielsweise die Standorte für Cloud Logging-Speicherorte und Ressourcenstandorte festlegen und zulässige Dienstendpunkte ändern.
Klicken Sie auf Erstellen.
Framework bereitstellen
Stellen Sie ein Framework für einen Ordner oder ein Projekt bereit, damit Sie diese Ressourcen mit den Cloud-Kontrollen des Frameworks steuern und überwachen können. Sie können Frameworks auf folgende Arten bereitstellen:
- Für eine einzelne Ressource – einen Ordner oder ein Projekt – kann nur ein integriertes präventives Framework wie eine Datenbegrenzung bereitgestellt werden.
- Für eine einzelne Ressource – einen Ordner oder ein Projekt – können mehrere detektive Frameworks bereitgestellt werden.
- Für mehrere Ressourcen kann dasselbe präventive oder detektive Framework bereitgestellt werden. Für einen übergeordneten Ordner kann beispielsweise dasselbe präventive oder detektive Framework bereitgestellt werden wie für die untergeordneten Projekte.
Ordner und Projekte übernehmen Frameworks über die Google Cloud Ressourcenhierarchie. Wenn Sie Frameworks auf Ordner- und Projektebene bereitstellen, gelten daher alle Cloud-Kontrollen in beiden Frameworks für die Ressourcen im Projekt. Wenn es Unterschiede in den Definitionen der Cloud-Kontrollen gibt, wird die Cloud-Kontrolle der niedrigeren Ebene von den Ressourcen im Projekt verwendet. Wenn beispielsweise eine Cloud-Kontrollregel auf Ordnerebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt ist, wird die Einstellung „Ablehnen“ auf Projektebene auf die Ressourcen im Projekt angewendet.
Als Best Practice empfehlen wir, ein Framework auf Ordnerebene bereitzustellen, das die Cloud-Kontrollen enthält, die für alle Projekte gelten können. Anschließend können Sie strengere Frameworks für einzelne Projekte bereitstellen, die sie benötigen.
Wenn Sie Ihre Frameworkbereitstellungen verschachteln, z. B. indem Sie ein Framework für einen übergeordneten Ordner und dann verschiedene Frameworks für die untergeordneten Projekte bereitstellen, sind Sie dafür verantwortlich, alle Complianceverstöße zu beheben, die bei den übergeordneten und untergeordneten Ressourcen auftreten können.
Rufen Sie in der Google Cloud Console die Frameworks Seite auf.
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie für das Framework, das Sie bereitstellen möchten, auf Weitere Aktionen > Auf Ressourcen anwenden.
Wählen Sie eine der folgenden Optionen aus:
Wenn Sie nur auf Abweichungen prüfen möchten, wählen Sie Überwachen aus.
Wenn Sie auf Abweichungen prüfen und Verstöße aktiv verhindern möchten, wählen Sie Überwachen und verhindern aus.
Wählen Sie die Ressource aus, für die Sie das Framework bereitstellen möchten. Sie können einen vorhandenen Ordner oder ein vorhandenes Projekt auswählen. Wenn Sie Verstöße aktiv verhindern möchten, können Sie einen neuen Ordner oder ein neues Projekt erstellen und das Framework dafür bereitstellen. Wenn für das Framework zusätzliche Details erforderlich sind, z. B. ein CMEK-Projekt oder andere Konfigurationsdetails, müssen Sie diese angeben.
Führen Sie einen dieser Schritte aus:
Wenn Sie Überwachen ausgewählt haben, gehen Sie so vor:
- Prüfen Sie die Informationen.
- Klicken Sie auf Überwachen.
Wenn Sie Überwachen und verhindern ausgewählt haben, gehen Sie so vor:
- Klicken Sie auf Weiter. Prüfen Sie die Cloud-Kontrollen und -Modi.
- Klicken Sie auf Weiter.
- Prüfen Sie gegebenenfalls die zusätzlichen Informationen, die für einige Cloud-Kontrollen erforderlich sind.
- Klicken Sie auf Weiter.
- Prüfen Sie Ihre Auswahl und klicken Sie dann auf Erzwingen.
Nachdem Sie das Framework bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von den definierten Cloud-Kontrollen prüfen. In Assured Workloads-Monitoring werden Abweichungen als Verstöße gemeldet, die Sie prüfen, filtern und beheben können. Es kann etwa sechs Stunden dauern, bis nach der Bereitstellung eines Frameworks Verstöße angezeigt werden.
Benutzerdefiniertes Framework bearbeiten
Nachdem Sie ein Framework erstellt haben, können Sie den Namen und die Beschreibung ändern, Cloud-Kontrollen hinzufügen oder entfernen und Parameter aktualisieren. Sie können nur Frameworks bearbeiten, die Sie selbst erstellt haben. Integrierte Frameworks können nicht bearbeitet werden.
Rufen Sie in der Google Cloud Console die Frameworks Seite auf.
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie auf das Framework, das Sie bearbeiten möchten.
Prüfen Sie auf der Seite Frameworkdetails, ob das Framework einer Ressource zugewiesen ist. Entfernen Sie gegebenenfalls die Zuweisungen.
Klicken Sie auf Aktionen > Bearbeiten.
Ändern Sie auf der Seite Frameworkdetails aktualisieren den Namen und die Beschreibung nach Bedarf. Klicken Sie auf Weiter.
So ändern Sie die Cloud-Kontrollen, die im Framework enthalten sind:
Wenn Sie eine vorhandene Cloud-Kontrolle hinzufügen möchten, klicken Sie auf Cloud-Kontrollen hinzufügen. Wählen Sie alle erforderlichen Cloud-Kontrollen aus und klicken Sie dann auf Hinzufügen.
Wenn Sie eine benutzerdefinierte Cloud-Kontrolle erstellen möchten, klicken Sie auf Benutzerdefinierte Cloud-Kontrolle erstellen. Eine Anleitung finden Sie unter Benutzerdefinierte Cloud-Kontrolle erstellen.
Wenn Sie eine Cloud-Kontrolle entfernen möchten, wählen Sie sie aus und klicken Sie auf Entfernen.
Klicken Sie auf Weiter.
Fügen Sie alle zusätzlichen Parameter hinzu, die für die Cloud-Kontrollen erforderlich sind.
Klicken Sie auf Speichern.
Ressourcen aus einem bereitgestellten Framework entfernen
Sie können die Ordner oder Projekte entfernen, die Sie einem bereitgestellten Framework zugewiesen haben. Wenn Sie Ressourcen entfernen, werden für diesen Knoten Ihrer Ressourcenhierarchie keine Verstöße mehr durch das Framework generiert.
Rufen Sie in der Google Cloud Console die Frameworks Seite auf.
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie auf das Framework, dessen Zuweisung Sie für Ressourcen aufheben möchten.
Klicken Sie auf der Seite Frameworkdetails auf Aktionen > Ressourcenzuweisungen verwalten.
Suchen Sie in der Tabelle Zugewiesene Ressourcen die Ressource, die Sie entfernen möchten, und klicken Sie auf Löschen.
Lesen Sie die Bestätigungsmeldung und klicken Sie auf Zuweisung aufheben.
Framework auf eine neuere Version aktualisieren
Google veröffentlicht regelmäßig Updates für die integrierten Frameworks, wenn neue Funktionen bereitgestellt werden oder neue Best Practices entstehen. Sie können die Releases der integrierten Frameworks im Framework-Dashboard auf dem Tab Konfigurieren oder auf der Framework-Detailseite ansehen.
Google benachrichtigt Sie in der Console und in den Versionshinweisen, wenn die folgenden Updates erfolgen:
- Integrierte Cloud-Kontrollen werden einem Framework hinzugefügt oder daraus entfernt.
- Integrierte Cloud-Kontrollen werden aktualisiert.
So aktualisieren Sie ein Framework:
Rufen Sie in der Google Cloud Console die Frameworks Seite auf.
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie auf das Framework, das Sie aktualisieren möchten.
Prüfen Sie auf der Seite Frameworkdetails in der Tabelle Zugewiesene Ressourcen den Aktualisierungsstatus für alle Zuweisungen, die als Update verfügbar gekennzeichnet sind.
So übernehmen Sie die Änderungen:
Stellen Sie das Framework noch einmal bereit für Ihre Ressource, damit die Assured Workloads-Frameworks die Ressource wieder überwachen und Verstöße erstellen können.
Benutzerdefiniertes Framework löschen
Löschen Sie ein Framework, wenn es nicht mehr benötigt wird. Sie können nur Frameworks löschen, die Sie selbst erstellt haben. Integrierte Frameworks können nicht gelöscht werden.
Rufen Sie in der Google Cloud Console die Frameworks Seite auf.
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie auf das Framework, dessen Zuweisung Sie für Ressourcen aufheben möchten.
Prüfen Sie auf der Seite Frameworkdetails, ob das Framework einer Ressource zugewiesen ist. Entfernen Sie gegebenenfalls die Zuweisungen.
Klicken Sie auf Aktionen > Löschen.
Lesen Sie die Meldung im Fenster Löschen. Geben Sie
Deleteein und klicken Sie Sie bestätigen.
Nächste Schritte
- Weitere Informationen zu Assured Workloads-Frameworks.
- Informationen zum Verwalten von Cloud-Kontrollen .