Mengelola framework di Assured Workloads

Framework Assured Workloads terdiri dari kontrol cloud yang membantu Anda memenuhi persyaratan keamanan dan peraturan untuk folder atau project di lingkungan cloud Anda. Assured Workloads menyediakan banyak framework bawaan, seperti batas data, tetapi Anda juga dapat mengubah framework yang ada atau membuat framework Anda sendiri. Untuk membuat framework Anda sendiri, Anda mulai dengan mengidentifikasi atau membuat kontrol cloud yang selaras dengan kewajiban keamanan dan kepatuhan bisnis Anda. Kemudian, Anda men-deploy framework yang menyertakan kontrol cloud tersebut ke folder atau project yang dipilih.

Halaman ini membantu Anda menyelesaikan langkah-langkah berikut:

  1. Menilai framework bawaan mana yang paling sesuai dengan persyaratan peraturan dan keamanan Anda. Anda dapat membuat framework kustom Anda sendiri, tetapi sebaiknya mulai dengan framework bawaan.

  2. Menentukan kontrol cloud bawaan mana yang sesuai dengan persyaratan bisnis Anda. Anda dapat membuat kontrol cloud kustom jika diperlukan.

  3. Menentukan folder atau project tempat framework akan di-deploy. Anda dapat men-deploy framework dengan cara berikut:

    • Satu resource—baik folder maupun project—hanya dapat memiliki satu framework pencegahan bawaan seperti batas data yang di-deploy ke resource tersebut.
    • Satu resource—baik folder maupun project—dapat memiliki beberapa framework detektif yang di-deploy ke resource tersebut.
    • Beberapa resource dapat memiliki framework pencegahan atau detektif yang sama yang di-deploy ke resource tersebut. Misalnya, folder induk dapat memiliki framework pencegahan atau detektif yang sama yang di-deploy ke folder tersebut seperti project turunannya.
  4. Menyalin framework yang ada dan mengubahnya agar sesuai dengan persyaratan Anda. Jika diperlukan, Anda dapat membuat framework kustom.

  5. Men-deploy framework di folder atau project yang dipilih.

Sebelum memulai

Melihat framework

Selesaikan langkah-langkah berikut untuk melihat konfigurasi framework bawaan atau framework lain yang telah Anda buat.

  1. Di Google Cloud konsol, buka halaman Frameworks.

    Buka Frameworks

  2. Jika diminta, pilih organisasi Anda.

  3. Dasbor menampilkan framework yang tersedia, deskripsi singkat, platform dan paket yang didukung, serta resource yang telah ditetapkan ke framework.

  4. Untuk melihat detail tentang framework tertentu, klik nama framework.

Membuat framework

Setelah menentukan kontrol cloud mana yang berlaku untuk resource dalam organisasi Anda atau folder atau project tertentu, Anda dapat membuat framework. Anda dapat membuat framework kustom atau menyalin framework yang ada dan mengubahnya. Saat Anda menyalin framework, framework tersebut akan menyertakan rilis terbaru dari kontrol cloud bawaan.

  1. Di Google Cloud konsol, buka halaman Frameworks.

    Buka Frameworks

  2. Jika diminta, pilih organisasi Anda.

  3. Klik Create custom framework.

  4. Selesaikan salah satu langkah berikut:

    • Untuk menggunakan framework yang ada, lakukan hal berikut:

      1. Pilih Start from an existing framework.

      2. Pilih framework yang ingin Anda salin.

    • Untuk membuat framework kustom, pilih Start new.

  5. Masukkan nama, ID unik, dan deskripsi untuk framework Anda. Klik Continue.

  6. Pada langkah Set a location for your framework, pilih region tertentu atau multi-region. Untuk mengetahui informasi selengkapnya tentang region yang tersedia, lihat Lokasi Assured Workloads. Klik Continue.

    Jika Anda menyalin framework yang ada, daftar kontrol cloud yang merupakan bagian dari framework yang ada akan ditampilkan.

  7. Untuk menambahkan kontrol cloud yang Anda perlukan, lakukan hal berikut:

    • Untuk menambahkan kontrol cloud yang ada, klik Add Cloud Controls. Pilih semua kontrol cloud yang Anda perlukan, lalu klik Add.

      Saat Anda menambahkan kontrol, verifikasi jenis kontrol (detektif, pencegahan, atau audit) dari kontrol tersebut. Jangan sertakan kontrol khusus audit dalam framework yang ingin Anda gunakan untuk memantau lingkungan dan mendeteksi pelanggaran. Anda tidak dapat men-deploy framework yang menyertakan kontrol khusus audit.

    • Untuk membuat kontrol cloud kustom, klik Create custom cloud control. Untuk mengetahui petunjuknya, lihat Membuat kontrol cloud kustom.

  8. Klik Continue.

  9. Tambahkan parameter tambahan yang diperlukan oleh kontrol cloud.

    Misalnya, Anda dapat menetapkan lokasi untuk lokasi penyimpanan Cloud Logging, lokasi resource, dan mengubah endpoint layanan yang diizinkan.

  10. Klik Create.

Men-deploy framework

Deploy framework ke folder atau project sehingga Anda dapat mengontrol dan memantau resource tersebut menggunakan kontrol cloud framework. Anda dapat men-deploy framework dengan cara berikut:

  • Satu resource—baik folder maupun project—hanya dapat memiliki satu framework pencegahan bawaan seperti batas data yang di-deploy ke resource tersebut.
  • Satu resource—baik folder maupun project—dapat memiliki beberapa framework detektif yang di-deploy ke resource tersebut.
  • Beberapa resource dapat memiliki framework pencegahan atau detektif yang sama yang di-deploy ke resource tersebut. Misalnya, folder induk dapat memiliki framework pencegahan atau detektif yang sama yang di-deploy ke folder tersebut seperti project turunannya.

Folder dan project mewarisi framework melalui the Google Cloud hierarki resource. Oleh karena itu, jika Anda men-deploy framework di tingkat folder dan di tingkat project, semua kontrol cloud dalam kedua framework akan berlaku untuk resource dalam project. Jika ada perbedaan dalam definisi kontrol cloud, kontrol cloud tingkat yang lebih rendah akan digunakan oleh resource dalam project. Misalnya, jika aturan kontrol cloud ditetapkan ke Izinkan di tingkat folder dan ke Tolak di tingkat project, setelan Tolak tingkat project akan diterapkan ke resource dalam project.

Sebagai praktik terbaik, sebaiknya deploy framework di tingkat folder yang menyertakan kontrol cloud yang dapat diterapkan ke semua project-nya. Kemudian, Anda dapat men-deploy framework yang lebih ketat ke project individual yang memerlukannya.

Jika Anda memilih untuk menyusun deployment framework, seperti dengan men-deploy satu framework ke folder induk, lalu framework yang berbeda ke project turunannya, Anda bertanggung jawab untuk menyelesaikan pelanggaran kepatuhan apa pun yang mungkin terjadi pada resource induk dan turunan.

  1. Di Google Cloud konsol, buka halaman Frameworks.

    Buka Frameworks

  2. Jika diminta, pilih organisasi Anda.

  3. Untuk framework yang ingin Anda deploy, klik More Actions > Apply to resources.

  4. Pilih salah satu opsi berikut:

    • Untuk hanya memantau penyimpangan, pilih Monitor.

    • Untuk memantau penyimpangan dan secara aktif mencegah pelanggaran, pilih Monitor and prevent.

  5. Pilih resource tempat Anda ingin men-deploy framework. Anda dapat memilih folder atau project yang ada. Jika Anda memilih untuk secara aktif mencegah pelanggaran, Anda dapat membuat folder atau project baru dan men-deploy framework ke folder atau project tersebut. Jika framework memerlukan detail tambahan, seperti project CMEK atau detail konfigurasi lainnya, Anda harus menyediakannya.

  6. Selesaikan salah satu langkah berikut:

    • Jika Anda memilih Monitor, lakukan hal berikut:

      1. Verifikasi informasi.
      2. Klik Monitor.
    • Jika Anda memilih Monitor and prevent, lakukan hal berikut:

      1. Klik Next. Tinjau kontrol dan mode cloud.
      2. Klik Continue.
      3. Jika ditampilkan, verifikasi informasi tambahan yang diperlukan untuk beberapa kontrol cloud.
      4. Klik Next.
      5. Tinjau pilihan Anda, lalu klik Enforce.

Setelah men-deploy framework, Anda dapat memantau lingkungan Anda untuk mengetahui penyimpangan dari kontrol cloud yang Anda tentukan. Laporan Pemantauan Assured Workloads menampilkan instance penyimpangan sebagai pelanggaran yang dapat Anda tinjau, filter, dan selesaikan. Mungkin perlu waktu sekitar enam jam setelah Anda men-deploy framework agar pelanggaran muncul.

Mengedit framework kustom

Setelah membuat framework, Anda dapat mengubah nama dan deskripsinya, menambahkan atau menghapus kontrol cloud, dan memperbarui parameter apa pun. Anda hanya dapat mengedit framework yang Anda buat; Anda tidak dapat mengedit framework bawaan.

  1. Di Google Cloud konsol, buka halaman Frameworks.

    Buka Frameworks

  2. Jika diminta, pilih organisasi Anda.

  3. Klik framework yang ingin Anda edit.

  4. Di halaman Framework details, pastikan framework tidak ditetapkan ke resource. Jika diperlukan, hapus penetapan.

  5. Klik Actions > Edit.

  6. Di halaman Update framework details, ubah nama dan deskripsi sesuai kebutuhan. Klik Continue.

  7. Untuk mengubah kontrol cloud yang disertakan dalam framework, lakukan hal berikut:

    • Untuk menambahkan kontrol cloud yang ada, klik Add Cloud Controls. Pilih semua kontrol cloud yang Anda perlukan, lalu klik Add.

    • Untuk membuat kontrol cloud kustom, klik Create custom cloud control. Untuk mengetahui petunjuknya, lihat Membuat kontrol cloud kustom.

    • Untuk menghapus kontrol cloud, pilih kontrol cloud, lalu klik Remove.

  8. Klik Continue.

  9. Tambahkan parameter tambahan yang diperlukan oleh kontrol cloud.

  10. Klik Save.

Menghapus resource dari framework yang di-deploy

Anda dapat menghapus folder atau project yang Anda tetapkan ke framework yang di-deploy. Menghapus resource berarti framework tidak lagi membuat pelanggaran untuk node hierarki resource tersebut.

  1. Di Google Cloud konsol, buka halaman Frameworks.

    Buka Frameworks

  2. Jika diminta, pilih organisasi Anda.

  3. Klik framework yang ingin Anda batalkan penetapan resource-nya.

  4. Di halaman Framework details, klik Actions > Manage resource assignments.

  5. Di tabel Assigned resources , temukan resource yang ingin Anda hapus, lalu klik Delete.

  6. Tinjau pesan konfirmasi, lalu klik Unassign.

Memperbarui framework ke rilis yang lebih baru

Google memublikasikan update rutin untuk framework bawaannya saat layanan men-deploy fitur baru atau saat praktik terbaik baru muncul. Anda dapat melihat rilis framework bawaan di dasbor framework di tab Configure atau di halaman detail framework.

Google akan memberi tahu Anda di konsol dan catatan rilis saat update berikut terjadi:

  • Kontrol cloud bawaan ditambahkan atau dihapus dari framework
  • Kontrol cloud bawaan diperbarui

Untuk memperbarui framework, lakukan hal berikut:

  1. Di Google Cloud konsol, buka halaman Frameworks.

    Buka Frameworks

  2. Jika diminta, pilih organisasi Anda.

  3. Klik framework yang ingin Anda perbarui.

  4. Di halaman Framework details, di tabel Assigned resources , tinjau Update status untuk penetapan apa pun yang diidentifikasi sebagai Update available.

  5. Untuk menerapkan perubahan, lakukan hal berikut:

    1. Hapus penetapan resource.

    2. Deploy ulang framework ke resource Anda sehingga framework Assured Workloads dapat melanjutkan pemantauan resource dan membuat pelanggaran.

Menghapus framework kustom

Hapus framework jika tidak diperlukan lagi. Anda hanya dapat menghapus framework yang Anda buat; Anda tidak dapat menghapus framework bawaan.

  1. Di Google Cloud konsol, buka halaman Frameworks.

    Buka Frameworks

  2. Jika diminta, pilih organisasi Anda.

  3. Klik framework yang ingin Anda batalkan penetapan resource-nya.

  4. Di halaman Framework details, pastikan framework tidak ditetapkan ke resource. Jika diperlukan, hapus penetapan.

  5. Klik Actions > Delete.

  6. Di jendela Delete, tinjau pesan. Ketik Delete, lalu klik Confirm.

Langkah berikutnya