Assured Workloads でフレームワークを管理する
Assured Workloads フレームワークは、 クラウド コントロールで構成されており、 クラウド環境のフォルダまたはプロジェクトのセキュリティ要件と規制要件を満たすのに役立ちます。Assured Workloads には、データ境界など、多くの組み込みフレームワークが用意されていますが、既存のフレームワークを変更したり、独自のフレームワークを作成したりすることもできます。独自のフレームワークを作成するには、まず、ビジネスのセキュリティとコンプライアンスの義務に沿ったクラウド コントロールを特定または作成します。次に、これらのクラウド コントロールを含むフレームワークを選択したフォルダまたはプロジェクトにデプロイします。
このページでは、次の手順について説明します。
どの組み込みフレームワークが規制とセキュリティの要件に最も適しているかを評価します。独自のカスタム フレームワークを作成できますが、組み込みのフレームワークから始めることをおすすめします。
ビジネス要件にマッピングされる組み込みのクラウド コントロールを特定します。 必要に応じて、カスタム クラウド コントロールを作成できます。
フレームワークをデプロイするフォルダまたはプロジェクトを決定します。フレームワークは次の方法でデプロイできます。
- フォルダまたはプロジェクトのいずれであっても、1 つのリソースにデプロイできる組み込みの予防フレームワーク(データ境界など)は 1 つだけです。
- フォルダまたはプロジェクトのいずれであっても、1 つのリソースに複数の検出フレームワークをデプロイできます。
- 複数のリソースに同じ予防フレームワークまたは検出フレームワークをデプロイできます。たとえば、親フォルダには、子プロジェクトと同じ予防フレームワークまたは検出フレームワークをデプロイできます。
既存のフレームワークをコピーして、要件に合わせて変更します。必要に応じて、カスタム フレームワークを作成できます。
選択したフォルダまたはプロジェクトにフレームワークをデプロイします。
始める前に
-
フレームワークの適用に必要な権限を取得するには、組織またはプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。
- コンプライアンス マネージャー 管理者 (
roles/cloudsecuritycompliance.admin) -
組織のポリシーに基づくクラウド コントロールを含むフレームワークをデプロイするには、次のいずれかが必要です。
- 組織のポリシー管理者 (
roles/orgpolicy.policyAdmin) - Assured Workloads 管理者 (
roles/assuredworkloads.admin) - Assured Workloads 編集者 (
roles/assuredworkloads.editor)
- 組織のポリシー管理者 (
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
- コンプライアンス マネージャー 管理者 (
フレームワークを表示する
組み込みフレームワークまたは作成済みの他のフレームワークの構成を表示する手順は次のとおりです。
コンソールで、[**フレームワーク**] ページに移動します。 Google Cloud
表示された指示に従って組織を選択します。
ダッシュボードには、利用可能なフレームワーク、簡単な説明、サポートされているプラットフォームと階層、フレームワークが割り当てられたリソースが表示されます。
特定のフレームワークの詳細を表示するには、フレームワーク名をクリックします。
フレームワークを作成する
組織内、特定のフォルダ内、またはプロジェクト内のリソースに適用されるクラウド コントロールを特定したら、フレームワークを作成できます。カスタム フレームワークを作成するか、既存のフレームワークをコピーして変更できます。 フレームワークをコピーすると、組み込みのクラウド コントロールの最新リリースが含まれます。
コンソールで、[**フレームワーク**] ページに移動します。 Google Cloud
表示された指示に従って組織を選択します。
[カスタム フレームワークを作成] をクリックします。
次のいずれかを行います。
既存のフレームワークを使用するには、次の操作を行います。
[既存のフレームワークから始める] を選択します。
コピーするフレームワークを選択します。
カスタム フレームワークを作成するには、[新規作成] を選択します。
フレームワークの名前、固有識別子、説明を入力します。[続行] をクリックします。
[フレームワークのロケーションを設定] の手順で、特定の リージョンまたはマルチリージョンを選択します。使用可能なリージョンの詳細については、 Assured Workloads のロケーションをご覧ください。 [続行] をクリックします。
既存のフレームワークをコピーする場合は、既存のフレームワークに含まれていたクラウド コントロールのリストが表示されます。
必要なクラウド コントロールを追加する手順は次のとおりです。
既存のクラウド コントロールを追加するには、[クラウド コントロールを追加] をクリックします。必要なクラウド コントロールをすべて選択し、[追加] をクリックします。
コントロールを追加するときは、コントロールのタイプ(検出、予防、監査)を確認します。環境のモニタリングと違反の検出に使用するフレームワークに、監査専用のコントロールを含めないでください。 監査専用の コントロールを含むフレームワークをデプロイすることはできません。
カスタム クラウド コントロールを作成するには、[カスタム クラウド コントロールを作成] をクリックします。 手順については、 カスタム クラウド コントロールを作成するをご覧ください。
[続行] をクリックします。
クラウド コントロールに必要な追加のパラメータを追加します。
たとえば、Cloud Logging のストレージ ロケーション、リソース ロケーションを設定し、許可されるサービス エンドポイントを変更できます。
[作成] をクリックします。
フレームワークをデプロイする
フレームワークをフォルダまたはプロジェクトにデプロイして、フレームワークのクラウド コントロールを使用してリソースを制御およびモニタリングできるようにします。フレームワークは次の方法でデプロイできます。
- フォルダまたはプロジェクトのいずれであっても、1 つのリソースにデプロイできる組み込みの予防フレームワーク(データ境界など)は 1 つだけです。
- フォルダまたはプロジェクトのいずれであっても、1 つのリソースに複数の検出フレームワークをデプロイできます。
- 複数のリソースに同じ予防フレームワークまたは検出フレームワークをデプロイできます。たとえば、親フォルダには、子プロジェクトと同じ予防フレームワークまたは検出フレームワークをデプロイできます。
フォルダとプロジェクトは、リソース階層を介してフレームワークを継承します。 Google Cloudしたがって、フォルダレベルとプロジェクト レベルでフレームワークをデプロイすると、両方のフレームワーク内のすべてのクラウド コントロールがプロジェクト内のリソースに適用されます。クラウド コントロールの定義に違いがある場合、プロジェクト内のリソースでは下位レベルのクラウド コントロールが使用されます。たとえば、クラウド コントロール ルールがフォルダレベルで許可に設定され、プロジェクト レベルで拒否に設定されている場合、プロジェクト レベルの拒否設定がプロジェクト内のリソースに適用されます。
ベスト プラクティスとして、すべてのプロジェクトに適用できるクラウド コントロールを含むフレームワークをフォルダレベルでデプロイすることをおすすめします。 必要に応じて、より厳格なフレームワークを個々のプロジェクトにデプロイできます。
フレームワークのデプロイをネストする場合(たとえば、1 つのフレームワークを親フォルダにデプロイし、別のフレームワークを子プロジェクトにデプロイする場合)、親リソースと子リソースで発生する可能性のあるコンプライアンス違反を解決するのはユーザーの責任です。
コンソールで、[**フレームワーク**] ページに移動します。 Google Cloud
表示された指示に従って組織を選択します。
デプロイするフレームワークで、 [その他の操作] > [リソースに適用] をクリックします。
次のいずれかのオプションを選択します。
ドリフトのみをモニタリングするには、[モニタリング] を選択します。
ドリフトをモニタリングして違反を積極的に防止するには、[モニタリングと防止] を選択します。
フレームワークをデプロイするリソースを選択します。既存のフォルダまたはプロジェクトを選択できます。違反を積極的に防止することを選択した場合は、新しいフォルダまたはプロジェクトを作成して、フレームワークをデプロイできます。フレームワークに追加の詳細情報(CMEK プロジェクトやその他の構成の詳細など)が必要な場合は、それらの情報を提供する必要があります。
次のいずれかを行います。
[モニタリング] を選択した場合は、次の操作を行います。
- 情報を確認します。
- [Monitor] をクリックします。
[モニタリングと防止] を選択した場合は、次の操作を行います。
- [次へ] をクリックします。クラウド コントロールとモードを確認します。
- [続行] をクリックします。
- 表示された場合は、一部のクラウド コントロールに必要な追加情報を検証します。
- [次へ] をクリックします。
- 選択内容を確認し、[適用] をクリックします。
フレームワークをデプロイすると、環境で、定義したクラウド コントロールからのずれの有無をモニタリングできます。Assured Workloads のモニタリングは、ドリフトのインスタンスを検出結果として報告します。この検出結果は、確認、フィルタ、解決できます。 違反が表示されるまでに、フレームワークのデプロイ後約 6 時間かかることがあります。
カスタム フレームワークを編集する
フレームワークを作成した後、名前と説明の変更、クラウド コントロールの追加または削除、パラメータの更新を行うことができます。作成したフレームワークのみを編集できます。組み込みのフレームワークは編集できません。
コンソールで、[**フレームワーク**] ページに移動します。 Google Cloud
表示された指示に従って組織を選択します。
編集するフレームワークをクリックします。
[フレームワークの詳細] ページで、フレームワークがリソースに割り当てられていないことを確認します。必要に応じて、 割り当てを削除します。
[アクション] > [編集] をクリックします。
[フレームワークの詳細を更新] ページで、必要に応じて名前と説明を変更します。[続行] をクリックします。
フレームワークに含まれるクラウド コントロールを変更する手順は次のとおりです。
既存のクラウド コントロールを追加するには、[クラウド コントロールを追加] をクリックします。必要なクラウド コントロールをすべて選択し、[追加] をクリックします。
カスタム クラウド コントロールを作成するには、[カスタム クラウド コントロールを作成] をクリックします。 手順については、 カスタム クラウド コントロールを作成するをご覧ください。
クラウド コントロールを削除するには、クラウド コントロールを選択して [削除] をクリックします。
[続行] をクリックします。
クラウド コントロールに必要な追加のパラメータを追加します。
[保存] をクリックします。
デプロイされたフレームワークからリソースを削除する
デプロイされたフレームワークに割り当てたフォルダまたはプロジェクトを削除できます。リソースを削除すると、フレームワークはそのリソース階層のノードに関する違反を生成しなくなります。
コンソールで、[**フレームワーク**] ページに移動します。 Google Cloud
表示された指示に従って組織を選択します。
リソースの割り当てを解除するフレームワークをクリックします。
[フレームワークの詳細] ページで、[アクション] > [リソース割り当ての管理] をクリックします。
[割り当てられたリソース] テーブルで、削除するリソースを見つけて、[ 削除] をクリックします。
確認メッセージが表示されたら、[割り当て解除] をクリックします。
フレームワークを新しいリリースに更新する
Google は、サービスで新しい機能がデプロイされたときや、新しいベスト プラクティスが導入されたときに、組み込みフレームワークの定期的な更新を公開します。組み込みフレームワークのリリースは、[構成] タブのフレームワーク ダッシュボードまたはフレームワークの詳細ページで確認できます。
次の更新が行われると、コンソールとリリースノートで通知されます。
- 組み込みのクラウド コントロールがフレームワークに追加または削除される
- 組み込みのクラウド コントロールが更新される
フレームワークを更新する手順は次のとおりです。
コンソールで、[**フレームワーク**] ページに移動します。 Google Cloud
表示された指示に従って組織を選択します。
更新するフレームワークをクリックします。
[フレームワークの詳細] ページの [割り当てられたリソース] テーブルで、[更新可能] と識別された割り当ての [更新ステータス] を確認します。
変更を適用するには、次の操作を行います。
フレームワークをリソースに再デプロイして、 Assured Workloads フレームワークがリソースのモニタリングと 違反の作成を再開できるようにします。
カスタム フレームワークを削除する
フレームワークが不要になったら削除します。削除できるのは、自分で作成したフレームワークのみです。組み込みのフレームワークは削除できません。
コンソールで、[**フレームワーク**] ページに移動します。 Google Cloud
表示された指示に従って組織を選択します。
リソースの割り当てを解除するフレームワークをクリックします。
[フレームワークの詳細] ページで、フレームワークがリソースに割り当てられていないことを確認します。必要に応じて、 割り当てを削除します。
[アクション] > [削除] をクリックします。
[削除] ウィンドウで、メッセージを確認します。「
Delete」と入力して、[確定] をクリックします。
次のステップ
- Assured Workloads フレームワークの詳細を確認する 。
- クラウド コントロールを管理する方法を 確認する。