Administra frameworks en Assured Workloads
Los frameworks de Assured Workloads constan de controles de la nube que te ayudan a cumplir con los requisitos de seguridad y reglamentarios de una carpeta o un proyecto en tus entornos de nube. Assured Workloads proporciona muchos frameworks integrados, como los límites de datos, pero también puedes modificar los frameworks existentes o crear los tuyos. Para crear tu propio framework, comienza por identificar o crear los controles de la nube que se alineen con las obligaciones de seguridad y cumplimiento de tu empresa. Luego, implementa un framework que incluya esos controles de la nube en la carpeta o el proyecto seleccionados.
En esta página, se te ayudará a completar los siguientes pasos:
Evalúa qué framework integrado se alinea mejor con tus requisitos reglamentarios y de seguridad. Puedes crear tu propio framework personalizado, pero te recomendamos que comiences con un framework integrado.
Determina qué controles de la nube integrados se asignan a los requisitos de tu empresa. Puedes crear controles de la nube personalizados si es necesario.
Determina en qué carpeta o proyecto implementar el framework. Puedes implementar frameworks de las siguientes maneras:
- Un solo recurso, ya sea una carpeta o un proyecto, solo puede tener un framework preventivo integrado, como un límite de datos implementado en él.
- Un solo recurso, ya sea una carpeta o un proyecto, puede tener varios frameworks de detección implementados en él.
- Varios recursos pueden tener el mismo framework preventivo o de detección implementado en ellos. Por ejemplo, una carpeta superior puede tener el mismo framework preventivo o de detección implementado en ella que sus proyectos secundarios.
Copia un framework existente y modifícalo para que coincida con tus requisitos. Si es necesario, puedes crear un framework personalizado.
Implementa el framework en la carpeta o el proyecto seleccionados.
Antes de comenzar
-
Para obtener los permisos que necesitas para aplicar frameworks, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización o proyecto:
- Administrador de cumplimiento (
roles/cloudsecuritycompliance.admin) -
Para implementar frameworks que incluyan controles de la nube basados en políticas de la organización, uno de los siguientes:
- Administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) - Administrador de Assured Workloads (
roles/assuredworkloads.admin) - Editor de Assured Workloads (
roles/assuredworkloads.editor)
- Administrador de políticas de la organización (
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
- Administrador de cumplimiento (
Cómo ver frameworks
Completa los siguientes pasos para ver la configuración de los frameworks integrados o de otros frameworks que ya creaste.
En la Google Cloud consola de, ve a la página Frameworks.
Si se te solicita, selecciona tu organización.
El panel muestra los frameworks disponibles, una breve descripción, las plataformas y los niveles admitidos, y los recursos a los que se asignó el framework.
Para ver los detalles de un framework específico, haz clic en el nombre del framework.
Cómo crear un framework
Después de determinar qué controles de la nube se aplican a los recursos de tu organización o a una carpeta o un proyecto específicos, puedes crear un framework. Puedes crear un framework personalizado o copiar uno existente y modificarlo. Cuando copias un framework, incluye las versiones más recientes de los controles de la nube integrados.
En la Google Cloud consola de, ve a la página Frameworks.
Si se te solicita, selecciona tu organización.
Haz clic en Crear framework personalizado.
Realiza una de las siguientes acciones:
Para usar un framework existente, haz lo siguiente:
Selecciona Comenzar con un framework existente.
Selecciona el framework que deseas copiar.
Para crear un framework personalizado, selecciona Comenzar de nuevo.
Ingresa un nombre, un identificador único y una descripción para tu framework. Haz clic en Continuar.
En el paso para Establecer una ubicación para tu framework, selecciona una región específica o una multirregión. Para obtener más información sobre las regiones disponibles, consulta Ubicaciones de Assured Workloads. Haz clic en Continuar.
Si copias un framework existente, se mostrará la lista de controles de la nube que formaban parte de él.
Para agregar los controles de la nube que necesitas, haz lo siguiente:
Para agregar un control de la nube existente, haz clic en Agregar controles de la nube. Selecciona todos los controles de la nube que necesitas y, luego, haz clic en Agregar.
Cuando agregues un control, verifica el tipo de control (de detección, preventivo o de auditoría). No incluyas controles solo de auditoría en un framework que quieras usar para supervisar tu entorno y detectar incumplimientos. No puedes implementar frameworks que incluyan controles solo de auditoría.
Para crear un control de la nube personalizado, haz clic en Crear control de la nube personalizado. Para obtener instrucciones, consulta Cómo crear un control de la nube personalizado.
Haz clic en Continuar.
Agrega los parámetros adicionales que requieran los controles de la nube.
Por ejemplo, puedes establecer tus ubicaciones para las ubicaciones de almacenamiento de Cloud Logging, las ubicaciones de recursos y modificar los extremos de servicio permitidos.
Haz clic en Crear.
Cómo implementar un framework
Implementa un framework en una carpeta o un proyecto para que puedas controlar y supervisar esos recursos con los controles de la nube del framework. Puedes implementar frameworks de las siguientes maneras:
- Un solo recurso, ya sea una carpeta o un proyecto, solo puede tener un framework preventivo integrado, como un límite de datos implementado en él.
- Un solo recurso, ya sea una carpeta o un proyecto, puede tener varios frameworks de detección implementados en él.
- Varios recursos pueden tener el mismo framework preventivo o de detección implementado en ellos. Por ejemplo, una carpeta superior puede tener el mismo framework preventivo o de detección implementado en ella que sus proyectos secundarios.
Las carpetas y los proyectos heredan frameworks a través de la Google Cloud jerarquía de recursos. Por lo tanto, si implementas frameworks a nivel de la carpeta y del proyecto, todos los controles de la nube de ambos frameworks se aplicarán a los recursos del proyecto. Si hay diferencias en las definiciones de los controles de la nube, los recursos del proyecto usarán el control de la nube de nivel inferior. Por ejemplo, si una regla de control de la nube se establece en Permitir a nivel de la carpeta y en Denegar a nivel del proyecto, la configuración de Denegar a nivel del proyecto se aplica a los recursos del proyecto.
Como práctica recomendada, te sugerimos que implementes un framework a nivel de la carpeta que incluya los controles de la nube que se puedan aplicar a todos sus proyectos. Luego, puedes implementar frameworks más estrictos en proyectos individuales que los requieran.
Si eliges anidar las implementaciones de tu framework, por ejemplo, implementando un framework en una carpeta superior y, luego, frameworks diferentes en sus proyectos secundarios, es tu responsabilidad resolver cualquier incumplimiento que pueda ocurrir en los recursos superiores y secundarios.
En la Google Cloud consola de, ve a la página Frameworks.
Si se te solicita, selecciona tu organización.
Para el framework que deseas implementar, haz clic en Más acciones > Aplicar a los recursos.
Elige una de las siguientes opciones:
Para supervisar solo la desviación, elige Supervisar.
Para supervisar la desviación y evitar activamente los incumplimientos, elige Supervisar y evitar.
Selecciona el recurso en el que deseas implementar el framework. Puedes elegir una carpeta o un proyecto existentes. Si elegiste evitar incumplimientos de forma activa, puedes crear una carpeta o un proyecto nuevos y, luego, implementar el framework en ellos. Si el framework requiere detalles adicionales, como un proyecto de CMEK o detalles de configuración, debes proporcionarlos.
Realiza una de las siguientes acciones:
Si seleccionaste Supervisar, haz lo siguiente:
- Verifica la información.
- Haz clic en Supervisar.
Si seleccionaste Supervisar y evitar, haz lo siguiente:
- Haz clic en Siguiente. Revisa los controles y los modos de la nube.
- Haz clic en Continuar.
- Si se muestra, verifica la información adicional que se requiere para algunos controles de la nube.
- Haz clic en Siguiente.
- Revisa tus selecciones y, luego, haz clic en Aplicar.
Después de implementar el framework, puedes supervisar tu entorno para detectar cualquier desviación de los controles de la nube definidos. Assured Workloads Monitoring informa las instancias de desviación como incumplimientos que puedes revisar, filtrar y resolver. Pueden pasar aproximadamente seis horas después de implementar un framework para que aparezcan los incumplimientos.
Cómo editar un framework personalizado
Después de crear un framework, puedes cambiar su nombre y descripción, agregar o quitar controles de la nube y actualizar los parámetros. Solo puedes editar los frameworks que creas; no puedes editar los frameworks integrados.
En la Google Cloud consola de, ve a la página Frameworks.
Si se te solicita, selecciona tu organización.
Haz clic en el framework que deseas editar.
En la página Detalles del framework, verifica que el framework no esté asignado a un recurso. Si es necesario, quita las asignaciones.
Haz clic en Acciones > Editar.
En la página Actualizar detalles del framework, cambia el nombre y la descripción según sea necesario. Haz clic en Continuar.
Para cambiar los controles de la nube que se incluyen en el framework, haz lo siguiente:
Para agregar un control de la nube existente, haz clic en Agregar controles de la nube. Selecciona todos los controles de la nube que necesitas y, luego, haz clic en Agregar.
Para crear un control de la nube personalizado, haz clic en Crear control de la nube personalizado. Para obtener instrucciones, consulta Cómo crear un control de la nube personalizado.
Para quitar un control de la nube, selecciónalo y haz clic en Quitar.
Haz clic en Continuar.
Agrega los parámetros adicionales que requieran los controles de la nube.
Haz clic en Guardar.
Cómo quitar recursos de un framework implementado
Puedes quitar las carpetas o los proyectos que asignaste a un framework implementado. Quitar recursos significa que el framework ya no genera incumplimientos para ese nodo de tu jerarquía de recursos.
En la Google Cloud consola de, ve a la página Frameworks.
Si se te solicita, selecciona tu organización.
Haz clic en el framework del que deseas anular la asignación de recursos.
En la página Detalles del framework, haz clic en Acciones > Administrar asignaciones de recursos.
En la tabla Recursos asignados, busca el recurso que deseas quitar y haz clic en Borrar.
Revisa el mensaje de confirmación y haz clic en Anular asignación.
Cómo actualizar un framework a una versión más reciente
Google publica actualizaciones periódicas de sus frameworks integrados a medida que los servicios implementan funciones nuevas o surgen prácticas recomendadas nuevas. Puedes ver las versiones de los frameworks integrados en el panel de frameworks de la pestaña Configurar o en la página de detalles del framework.
Google te notifica en la consola y en las notas de la versión cuando se producen las siguientes actualizaciones:
- Se agregan o quitan controles de la nube integrados de un framework.
- Se actualizan los controles de la nube integrados.
Para actualizar un framework, haz lo siguiente:
En la Google Cloud consola de, ve a la página Frameworks.
Si se te solicita, selecciona tu organización.
Haz clic en el framework que deseas actualizar.
En la página Detalles del framework, en la tabla Recursos asignados , revisa el Estado de actualización de las asignaciones que se identifican como Actualización disponible.
Para aplicar los cambios, haz lo siguiente:
Vuelve a implementar el framework en tu recurso para que los frameworks de Assured Workloads puedan reanudar la supervisión del recurso y la creación de incumplimientos.
Cómo borrar un framework personalizado
Borra un framework cuando ya no sea necesario. Solo puedes borrar los frameworks que creas; no puedes borrar los frameworks integrados.
En la Google Cloud consola de, ve a la página Frameworks.
Si se te solicita, selecciona tu organización.
Haz clic en el framework del que deseas anular la asignación de recursos.
En la página Detalles del framework, verifica que el framework no esté asignado a un recurso. Si es necesario, quita las asignaciones.
Haz clic en Acciones > Borrar.
En la ventana Borrar, revisa el mensaje. Escribe
Deletey haz clic en Confirmar.
¿Qué sigue?
- Obtén más información sobre los frameworks de Assured Workloads.
- Obtén información para administrar los controles de la nube.