Gestire i framework in Assured Workloads
I framework di Assured Workloads sono costituiti da controlli cloud che ti aiutano a soddisfare i requisiti di sicurezza e normativi per una cartella o un progetto nei tuoi ambienti cloud. Assured Workloads fornisce molti framework integrati, come i confini dei dati, ma puoi anche modificare i framework esistenti o crearne di tuoi. Per creare il tuo framework, inizia identificando o creando i controlli cloud in linea con gli obblighi di sicurezza e conformità della tua attività. Quindi, implementa un framework che includa questi controlli cloud nella cartella o nel progetto selezionato.
Questa pagina ti aiuta a completare i seguenti passaggi:
Valuta quale framework integrato è più in linea con i tuoi requisiti normativi e di sicurezza. Puoi creare un framework personalizzato, ma ti consigliamo di iniziare con uno integrato.
Determina quali controlli cloud integrati corrispondono ai requisiti della tua attività. Se necessario, puoi creare controlli cloud personalizzati.
Determina la cartella o il progetto in cui eseguire il deployment del framework. Puoi eseguire il deployment dei framework nei seguenti modi:
- Una singola risorsa, che sia una cartella o un progetto, può avere un solo framework preventivo integrato, ad esempio un perimetro dei dati di cui è stato eseguito il deployment.
- Una singola risorsa, che sia una cartella o un progetto, può avere più framework di rilevamento di cui è stato eseguito il deployment.
- A più risorse può essere applicato lo stesso framework preventivo o di rilevamento. Ad esempio, una cartella principale può avere lo stesso framework preventivo o investigativo implementato dei suoi progetti secondari.
Copia un framework esistente e modificalo in base ai tuoi requisiti. Se necessario, puoi creare un framework personalizzato.
Esegui il deployment del framework nella cartella o nel progetto selezionato.
Prima di iniziare
-
Per ottenere le autorizzazioni necessarie per applicare i framework, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione o nel tuo progetto:
- Amministratore Compliance Manager (
roles/cloudsecuritycompliance.admin) -
Per eseguire il deployment di framework che includono controlli cloud basati su policy dell'organizzazione, uno dei seguenti:
- Amministratore delle policy dell'organizzazione (
roles/orgpolicy.policyAdmin) - Amministratore di Assured Workloads (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Amministratore delle policy dell'organizzazione (
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
- Amministratore Compliance Manager (
Visualizzare i framework
Completa i passaggi riportati di seguito per visualizzare la configurazione dei framework integrati o di altri framework che hai già creato.
Nella console Google Cloud , vai alla pagina Framework.
Se richiesto, seleziona la tua organizzazione.
La dashboard mostra i framework disponibili, una breve descrizione, le piattaforme e i livelli supportati e le risorse a cui è stato assegnato il framework.
Per visualizzare i dettagli di un framework specifico, fai clic sul nome del framework.
Crea un framework
Dopo aver determinato quali controlli cloud si applicano alle risorse all'interno della tua organizzazione o di una cartella o un progetto specifico, puoi creare un framework. Puoi creare un framework personalizzato o copiare un framework esistente e modificarlo. Quando copi un framework, vengono incluse le versioni più recenti di tutti i controlli cloud integrati.
Nella console Google Cloud , vai alla pagina Framework.
Se richiesto, seleziona la tua organizzazione.
Fai clic su Crea framework personalizzato.
Completa una delle seguenti operazioni:
Per utilizzare un framework esistente, completa i seguenti passaggi:
Seleziona Inizia da un framework esistente.
Seleziona il framework che vuoi copiare.
Per creare un framework personalizzato, seleziona Inizia nuovo.
Inserisci un nome, un identificatore univoco e una descrizione per il framework. Fai clic su Continua.
Nel passaggio per Impostare una località per il framework, seleziona una regione specifica o più regioni. Per ulteriori informazioni sulle regioni disponibili, vedi Località di Assured Workloads. Fai clic su Continua.
Se stai copiando un framework esistente, viene visualizzato l'elenco dei controlli cloud che facevano parte del framework esistente.
Per aggiungere i controlli cloud che ti servono:
Per aggiungere un controllo cloud esistente, fai clic su Aggiungi controlli cloud. Seleziona tutti i controlli cloud che ti servono e poi fai clic su Aggiungi.
Quando aggiungi un controllo, verifica il tipo di controllo (di rilevamento, preventivo o di audit). Non includere controlli solo di audit in un framework che vuoi utilizzare per monitorare il tuo ambiente e rilevare violazioni. Non puoi implementare framework che includono controlli di solo audit.
Per creare un controllo cloud personalizzato, fai clic su Crea un controllo cloud personalizzato. Per le istruzioni, vedi Crea un controllo cloud personalizzato.
Fai clic su Continua.
Aggiungi eventuali parametri aggiuntivi richiesti dai controlli cloud.
Ad esempio, puoi impostare le località per l'archiviazione di Cloud Logging, le località delle risorse e modificare gli endpoint di servizio consentiti.
Fai clic su Crea.
Esegui il deployment di un framework
Esegui il deployment di un framework in una cartella o un progetto per controllare e monitorare queste risorse utilizzando i controlli cloud del framework. Puoi eseguire il deployment dei framework nei seguenti modi:
- Una singola risorsa, che sia una cartella o un progetto, può avere un solo framework preventivo integrato, ad esempio un perimetro dei dati di cui è stato eseguito il deployment.
- A una singola risorsa, che si tratti di una cartella o di un progetto, possono essere implementati più framework investigativi.
- A più risorse può essere applicato lo stesso framework preventivo o di rilevamento. Ad esempio, una cartella principale può avere lo stesso framework preventivo o investigativo dei suoi progetti secondari.
Cartelle e progetti ereditano i framework tramite la Google Cloud gerarchia delle risorse. Pertanto, se implementi framework a livello di cartella e di progetto, tutti i controlli cloud all'interno di entrambi i framework si applicano alle risorse del progetto. Se ci sono differenze nelle definizioni dei controlli cloud, le risorse nel progetto utilizzano il controllo cloud di livello inferiore. Ad esempio, se una regola di controllo cloud è impostata su Consenti a livello di cartella e su Nega a livello di progetto, l'impostazione Nega a livello di progetto viene applicata alle risorse del progetto.
Come best practice, ti consigliamo di implementare un framework a livello di cartella che includa i controlli cloud che possono essere applicati a tutti i suoi progetti. Puoi quindi implementare framework più rigorosi per i singoli progetti che lo richiedono.
Se scegli di nidificare i deployment del framework, ad esempio eseguendo il deployment di un framework in una cartella principale e poi di framework diversi nei relativi progetti secondari, è tua responsabilità risolvere eventuali violazioni della conformità che potrebbero verificarsi nelle risorse padre e figlio.
Nella console Google Cloud , vai alla pagina Framework.
Se richiesto, seleziona la tua organizzazione.
Per il framework che vuoi implementare, fai clic su Altre azioni > Applica alle risorse.
Scegli una delle seguenti opzioni:
Per monitorare solo la deriva, scegli Monitora.
Per monitorare la deriva e prevenire attivamente le violazioni, scegli Monitora e previeni.
Seleziona la risorsa in cui vuoi eseguire il deployment del framework. Puoi scegliere una cartella o un progetto esistente. Se hai scelto di prevenire attivamente le violazioni, puoi creare una nuova cartella o un nuovo progetto e implementare il framework. Se il framework richiede ulteriori dettagli, come un progetto CMEK o altri dettagli di configurazione, devi fornirli.
Completa una delle seguenti operazioni:
Se hai selezionato Monitoraggio, completa i seguenti passaggi:
- Verifica le informazioni.
- Fai clic su Monitora.
Se hai selezionato Monitora e previeni, completa i seguenti passaggi:
- Fai clic su Avanti. Esamina i controlli cloud e le modalità.
- Fai clic su Continua.
- Se visualizzate, verifica le informazioni aggiuntive richieste per alcuni controlli cloud.
- Fai clic su Avanti.
- Controlla le selezioni e poi fai clic su Applica.
Dopo aver eseguito il deployment del framework, puoi monitorare il tuo ambiente per rilevare eventuali deviazioni dai controlli cloud definiti. I report di monitoraggio di Assured Workloads segnalano le istanze di deriva come violazioni che puoi esaminare, filtrare e risolvere. Potrebbero essere necessarie circa sei ore dopo il deployment di un framework prima che vengano visualizzate eventuali violazioni.
Modificare un framework personalizzato
Dopo aver creato un framework, puoi modificarne il nome e la descrizione, aggiungere o rimuovere i controlli cloud e aggiornare i parametri. Puoi modificare solo i framework che crei; non puoi modificare quelli integrati.
Nella console Google Cloud , vai alla pagina Framework.
Se richiesto, seleziona la tua organizzazione.
Fai clic sul framework che vuoi modificare.
Nella pagina Dettagli framework, verifica che il framework non sia assegnato a una risorsa. Se necessario, rimuovi le assegnazioni.
Fai clic su Azioni > Modifica.
Nella pagina Aggiorna dettagli framework, modifica il nome e la descrizione in base alle tue esigenze. Fai clic su Continua.
Per modificare i controlli cloud inclusi nel framework, completa i seguenti passaggi:
Per aggiungere un controllo cloud esistente, fai clic su Aggiungi controlli cloud. Seleziona tutti i controlli cloud che ti servono e poi fai clic su Aggiungi.
Per creare un controllo cloud personalizzato, fai clic su Crea un controllo cloud personalizzato. Per le istruzioni, vedi Crea un controllo cloud personalizzato.
Per rimuovere un controllo cloud, selezionalo e fai clic su Rimuovi.
Fai clic su Continua.
Aggiungi eventuali parametri aggiuntivi richiesti dai controlli cloud.
Fai clic su Salva.
Rimuovere risorse da un framework di cui è stato eseguito il deployment
Puoi rimuovere le cartelle o i progetti che hai assegnato a un framework di cui è stato eseguito il deployment. La rimozione delle risorse significa che il framework non genera più violazioni per quel nodo della gerarchia delle risorse.
Nella console Google Cloud , vai alla pagina Framework.
Se richiesto, seleziona la tua organizzazione.
Fai clic sul framework da cui vuoi annullare l'assegnazione delle risorse.
Nella pagina Dettagli framework, fai clic su Azioni > Gestisci assegnazioni risorse.
Nella tabella Risorse assegnate, individua la risorsa che vuoi rimuovere e fai clic su Elimina.
Esamina il messaggio di conferma e fai clic su Annulla assegnazione.
Aggiornare un framework a una release più recente
Google pubblica aggiornamenti regolari dei suoi framework integrati man mano che i servizi implementano nuove funzionalità o emergono nuove best practice. Puoi visualizzare le release dei framework integrati nella dashboard dei framework nella scheda Configura o nella pagina dei dettagli del framework.
Google ti informa nella console e nelle note di rilascio quando si verificano i seguenti aggiornamenti:
- I controlli cloud integrati vengono aggiunti o rimossi da un framework
- I controlli cloud integrati sono stati aggiornati
Per aggiornare un framework:
Nella console Google Cloud , vai alla pagina Framework.
Se richiesto, seleziona la tua organizzazione.
Fai clic sul framework che vuoi aggiornare.
Nella pagina Dettagli framework, nella tabella Risorse assegnate, controlla lo Stato aggiornamento per gli incarichi identificati come Aggiornamento disponibile.
Per applicare le modifiche, completa i seguenti passaggi:
Esegui di nuovo il deployment del framework nella risorsa in modo che i framework Assured Workloads possano riprendere a monitorare la risorsa e a creare violazioni.
Eliminare un framework personalizzato
Elimina un framework quando non è più necessario. Puoi eliminare solo i framework che crei; non puoi eliminare i framework integrati.
Nella console Google Cloud , vai alla pagina Framework.
Se richiesto, seleziona la tua organizzazione.
Fai clic sul framework da cui vuoi annullare l'assegnazione delle risorse.
Nella pagina Dettagli framework, verifica che il framework non sia assegnato a una risorsa. Se necessario, rimuovi le assegnazioni.
Fai clic su Azioni > Elimina.
Nella finestra Elimina, controlla il messaggio. Digita
Deletee fai clic su Conferma.
Passaggi successivi
- Scopri di più sui framework di Assured Workloads.
- Scopri come gestire i controlli cloud.