Gérer les frameworks dans Assured Workloads

Les frameworks Assured Workloads se composent de contrôles cloud qui vous aident à répondre aux exigences de sécurité et réglementaires pour un dossier ou un projet dans vos environnements cloud. Assured Workloads fournit de nombreux frameworks intégrés, tels que les limites de données, mais vous pouvez également modifier les frameworks existants ou créer les vôtres. Pour créer votre propre framework, commencez par identifier ou créer les contrôles cloud qui correspondent aux obligations de sécurité et de conformité de votre entreprise. Ensuite, vous déployez un framework qui inclut ces contrôles cloud dans le dossier ou le projet sélectionné.

Cette page vous aide à effectuer les étapes suivantes :

  1. Évaluez le framework intégré qui correspond le mieux à vos exigences réglementaires et de sécurité. Vous pouvez créer votre propre framework personnalisé, mais nous vous recommandons de commencer par un framework intégré.

  2. Déterminez les contrôles cloud intégrés qui correspondent à vos besoins commerciaux. Si nécessaire, vous pouvez créer des contrôles cloud personnalisés.

  3. Déterminez le dossier ou le projet dans lequel déployer le framework. Vous pouvez déployer des frameworks de différentes manières :

    • Une seule ressource (dossier ou projet) ne peut être associée qu'à un seul framework préventif intégré, tel qu'une limite de données.
    • Une seule ressource (dossier ou projet) peut avoir plusieurs frameworks de détection déployés.
    • Plusieurs ressources peuvent avoir le même framework préventif ou de détection déployé. Par exemple, un dossier parent peut avoir le même framework préventif ou de détection que ses projets enfants.
  4. Copiez un framework existant et modifiez-le pour qu'il corresponde à vos besoins. Si nécessaire, vous pouvez créer un framework personnalisé.

  5. Déployez le framework dans le dossier ou le projet sélectionné.

Avant de commencer

Afficher les frameworks

Pour afficher la configuration des frameworks intégrés ou d'autres frameworks que vous avez déjà créés, procédez comme suit.

  1. Dans la console Google Cloud , accédez à la page Frameworks.

    Accéder à "Frameworks"

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. Le tableau de bord affiche les frameworks disponibles, une brève description, les plates-formes et niveaux compatibles, ainsi que les ressources auxquelles le framework a été attribué.

  4. Pour afficher des informations détaillées sur un framework spécifique, cliquez sur son nom.

Créer un framework

Une fois que vous avez déterminé les contrôles cloud qui s'appliquent aux ressources de votre organisation, ou d'un dossier ou projet spécifique, vous pouvez créer un framework. Vous pouvez créer un framework personnalisé ou copier un framework existant et le modifier. Lorsque vous copiez un framework, il inclut les dernières versions des contrôles cloud intégrés.

  1. Dans la console Google Cloud , accédez à la page Frameworks.

    Accéder à "Frameworks"

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. Cliquez sur Créer un framework personnalisé.

  4. Effectuez l'une des actions suivantes :

    • Pour utiliser un framework existant, procédez comme suit :

      1. Sélectionnez Démarrer à partir d'un framework existant.

      2. Sélectionnez le framework que vous souhaitez copier.

    • Pour créer un framework personnalisé, sélectionnez Commencer.

  5. Saisissez un nom, un identifiant unique et une description pour votre framework. Cliquez sur Continuer.

  6. À l'étape Définir un emplacement pour votre framework, sélectionnez une région spécifique ou une région multiple. Pour en savoir plus sur les régions disponibles, consultez Emplacements Assured Workloads. Cliquez sur Continuer.

    Si vous copiez un framework existant, la liste des contrôles cloud qui en faisaient partie s'affiche.

  7. Pour ajouter les contrôles cloud dont vous avez besoin, procédez comme suit :

    • Pour ajouter un contrôle cloud existant, cliquez sur Ajouter des contrôles cloud. Sélectionnez tous les contrôles cloud dont vous avez besoin, puis cliquez sur Ajouter.

      Lorsque vous ajoutez un contrôle, vérifiez son type (détection, prévention ou audit). N'incluez pas de contrôles d'audit uniquement dans un framework que vous souhaitez utiliser pour surveiller votre environnement et détecter les cas de non-respect. Vous ne pouvez pas déployer de frameworks qui incluent des contrôles d'audit uniquement.

    • Pour créer un contrôle cloud personnalisé, cliquez sur Créer un contrôle cloud personnalisé. Pour obtenir des instructions, consultez Créer un contrôle cloud personnalisé.

  8. Cliquez sur Continuer.

  9. Ajoutez les paramètres supplémentaires requis par les contrôles cloud.

    Par exemple, vous pouvez définir vos emplacements pour les emplacements de stockage Cloud Logging et les emplacements de ressources, et modifier les points de terminaison de service autorisés.

  10. Cliquez sur Créer.

Déployer un framework

Déployez un framework dans un dossier ou un projet pour pouvoir contrôler et surveiller ces ressources à l'aide des contrôles cloud du framework. Vous pouvez déployer des frameworks de différentes manières :

  • Une seule ressource (dossier ou projet) ne peut être associée qu'à un seul framework préventif intégré, tel qu'une limite de données.
  • Une même ressource (dossier ou projet) peut être associée à plusieurs frameworks de détection.
  • Plusieurs ressources peuvent avoir le même framework préventif ou de détection déployé. Par exemple, un dossier parent peut avoir le même framework préventif ou de détection que ses projets enfants.

Les dossiers et les projets héritent des frameworks via la Google Cloud hiérarchie des ressources. Par conséquent, si vous déployez des frameworks au niveau du dossier et au niveau du projet, tous les contrôles cloud des deux frameworks s'appliquent aux ressources du projet. En cas de différences dans les définitions des contrôles cloud, le contrôle cloud de niveau inférieur est utilisé par les ressources du projet. Par exemple, si une règle de contrôle du cloud est définie sur "Autoriser" au niveau du dossier et sur "Refuser" au niveau du projet, le paramètre "Refuser" au niveau du projet est appliqué aux ressources du projet.

Nous vous recommandons de déployer un framework au niveau du dossier qui inclut les contrôles cloud pouvant s'appliquer à tous ses projets. Vous pouvez ensuite déployer des frameworks plus stricts pour les projets individuels qui en ont besoin.

Si vous choisissez d'imbriquer vos déploiements de frameworks, par exemple en déployant un framework dans un dossier parent, puis différents frameworks dans ses projets enfants, il vous incombe de résoudre tout problème de non-respect de la conformité qui pourrait survenir sur les ressources parent et enfant.

  1. Dans la console Google Cloud , accédez à la page Frameworks.

    Accéder à "Frameworks"

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. Pour le framework que vous souhaitez déployer, cliquez sur Autres actions > Appliquer aux ressources.

  4. Choisissez l'une des options suivantes :

    • Pour surveiller uniquement la dérive, sélectionnez Surveiller.

    • Pour surveiller la dérive et prévenir activement les cas de non-respect, sélectionnez Surveiller et prévenir.

  5. Sélectionnez la ressource sur laquelle vous souhaitez déployer le framework. Vous pouvez choisir un dossier ou un projet existant. Si vous avez choisi d'empêcher activement les cas de non-respect, vous pouvez créer un dossier ou un projet, puis y déployer le framework. Si le framework nécessite des informations supplémentaires, telles qu'un projet CMEK ou d'autres détails de configuration, vous devez les fournir.

  6. Effectuez l'une des actions suivantes :

    • Si vous avez sélectionné Surveiller, procédez comme suit :

      1. Vérifiez les informations.
      2. Cliquez sur Monitor (Surveiller).
    • Si vous avez sélectionné Surveiller et empêcher, procédez comme suit :

      1. Cliquez sur Suivant. Examinez les modes et les contrôles cloud.
      2. Cliquez sur Continuer.
      3. Si des informations supplémentaires sont requises pour certains contrôles cloud, vérifiez-les.
      4. Cliquez sur Suivant.
      5. Vérifiez votre sélection, puis cliquez sur Appliquer.

Une fois le framework déployé, vous pouvez surveiller votre environnement pour détecter toute dérive par rapport aux contrôles cloud que vous avez définis. La surveillance Assured Workloads signale les cas de dérive comme des cas de non-respect que vous pouvez examiner, filtrer et résoudre. Il peut s'écouler environ six heures après le déploiement d'un framework avant que les éventuels cas de non-respect ne s'affichent.

Modifier un framework personnalisé

Une fois que vous avez créé un framework, vous pouvez modifier son nom et sa description, ajouter ou supprimer des contrôles cloud, et mettre à jour les paramètres. Vous ne pouvez modifier que les frameworks que vous créez. Vous ne pouvez pas modifier les frameworks intégrés.

  1. Dans la console Google Cloud , accédez à la page Frameworks.

    Accéder à "Frameworks"

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. Cliquez sur le framework que vous souhaitez modifier.

  4. Sur la page Informations sur le framework, vérifiez que le framework n'est pas attribué à une ressource. Si nécessaire, supprimez les devoirs.

  5. Cliquez sur Actions > Modifier.

  6. Sur la page Mettre à jour les détails du framework, modifiez le nom et la description si nécessaire. Cliquez sur Continuer.

  7. Pour modifier les contrôles cloud inclus dans le framework, procédez comme suit :

    • Pour ajouter un contrôle cloud existant, cliquez sur Ajouter des contrôles cloud. Sélectionnez tous les contrôles cloud dont vous avez besoin, puis cliquez sur Ajouter.

    • Pour créer un contrôle cloud personnalisé, cliquez sur Créer un contrôle cloud personnalisé. Pour obtenir des instructions, consultez Créer un contrôle cloud personnalisé.

    • Pour supprimer un contrôle cloud, sélectionnez-le et cliquez sur Supprimer.

  8. Cliquez sur Continuer.

  9. Ajoutez les paramètres supplémentaires requis par les contrôles cloud.

  10. Cliquez sur Enregistrer.

Supprimer des ressources d'un framework déployé

Vous pouvez supprimer les dossiers ou projets que vous avez attribués à un framework déployé. Supprimer des ressources signifie que le framework ne génère plus de cas de non-respect pour ce nœud de la hiérarchie de vos ressources.

  1. Dans la console Google Cloud , accédez à la page Frameworks.

    Accéder à "Frameworks"

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. Cliquez sur le framework dont vous souhaitez annuler l'attribution des ressources.

  4. Sur la page Détails du framework, cliquez sur Actions > Gérer les attributions de ressources.

  5. Dans le tableau Ressources attribuées, recherchez la ressource que vous souhaitez supprimer, puis cliquez sur Supprimer.

  6. Lisez le message de confirmation, puis cliquez sur Annuler l'attribution.

Mettre à jour un framework vers une version plus récente

Google publie régulièrement des mises à jour de ses frameworks intégrés lorsque les services déploient de nouvelles fonctionnalités ou lorsque de nouvelles bonnes pratiques émergent. Vous pouvez afficher les versions des frameworks intégrés dans le tableau de bord des frameworks de l'onglet Configurer ou sur la page d'informations sur le framework.

Google vous informe dans la console et les notes de version lorsque les mises à jour suivantes ont lieu :

  • Ajouter ou supprimer des contrôles cloud intégrés à un framework
  • Mise à jour des contrôles cloud intégrés

Pour mettre à jour un framework, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Frameworks.

    Accéder à "Frameworks"

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. Cliquez sur le framework que vous souhaitez modifier.

  4. Sur la page Détails du framework, dans le tableau Ressources attribuées, vérifiez l'état de la mise à jour pour les devoirs identifiés comme Mise à jour disponible.

  5. Pour appliquer les modifications, procédez comme suit :

    1. Supprimez l'attribution de la ressource.

    2. Redéployez le framework sur votre ressource afin que les frameworks Assured Workloads puissent reprendre la surveillance de la ressource et la création d'infractions.

Supprimer un framework personnalisé

Supprimez un framework lorsqu'il n'est plus nécessaire. Vous ne pouvez supprimer que les frameworks que vous créez. Vous ne pouvez pas supprimer les frameworks intégrés.

  1. Dans la console Google Cloud , accédez à la page Frameworks.

    Accéder à "Frameworks"

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. Cliquez sur le framework dont vous souhaitez annuler l'attribution des ressources.

  4. Sur la page Informations sur le framework, vérifiez que le framework n'est pas attribué à une ressource. Si nécessaire, supprimez les devoirs.

  5. Cliquez sur Actions > Supprimer.

  6. Dans la fenêtre Supprimer, lisez le message. Saisissez Delete, puis cliquez sur Confirmer.

Étapes suivantes