Gerenciar frameworks no Assured Workloads

Os frameworks do Assured Workloads consistem em controles de nuvem que ajudam você a atender aos requisitos regulamentares e de segurança de uma pasta ou projeto nos ambientes de nuvem. O Assured Workloads oferece muitos frameworks integrados, como limites de dados, mas também é possível modificar os frameworks atuais ou criar seus próprios. Para criar seu próprio framework, comece identificando ou criando os controles de nuvem que se alinham às obrigações de segurança e compliance da sua empresa. Em seguida, implante um framework que inclua esses controles de nuvem na pasta ou projeto selecionado.

Esta página ajuda você a seguir estas etapas:

  1. Avalie qual framework integrado melhor se alinha aos seus requisitos regulamentares e de segurança. É possível criar seu próprio framework personalizado, mas recomendamos começar com um framework integrado.

  2. Determine quais controles de nuvem integrados correspondem aos requisitos da sua empresa. É possível criar controles de nuvem personalizados , se necessário.

  3. Determine em qual pasta ou projeto implantar o framework. É possível implantar frameworks das seguintes maneiras:

    • Um único recurso, seja uma pasta ou um projeto, só pode ter um framework preventivo integrado, como um limite de dados, implantado nele.
    • Um único recurso, seja uma pasta ou um projeto, pode ter vários frameworks de detecção implantados nele.
    • Vários recursos podem ter o mesmo framework preventivo ou de detecção implantado. Por exemplo, uma pasta mãe pode ter o mesmo framework preventivo ou de detecção implantado que os projetos filhos.
  4. Copie um framework e modifique-o para atender aos seus requisitos. Se necessário, crie um framework personalizado.

  5. Implante o framework na pasta ou projeto selecionado.

Antes de começar

Ver frameworks

Siga estas etapas para conferir a configuração de frameworks integrados ou outros frameworks que você já criou.

  1. No Google Cloud console, acesse a página Frameworks.

    Acessar frameworks

  2. Se solicitado, selecione a organização.

  3. O painel mostra os frameworks disponíveis, uma breve descrição, plataformas e níveis compatíveis e os recursos a que o framework foi atribuído.

  4. Para ver detalhes sobre um framework específico, clique no nome dele.

Criar um framework

Depois de determinar quais controles de nuvem se aplicam aos recursos na sua organização ou em uma pasta ou projeto específico, crie um framework. É possível criar um framework personalizado ou copiar e modificar um framework existente. Ao copiar um framework, ele inclui as versões mais recentes de todos os controles integrados da nuvem.

  1. No Google Cloud console, acesse a página Frameworks.

    Acessar frameworks

  2. Se solicitado, selecione a organização.

  3. Clique em Criar framework personalizado.

  4. Siga uma das etapas a seguir:

    • Para usar um framework atual, faça o seguinte:

      1. Selecione Começar com um framework atual.

      2. Selecione o framework que você quer copiar.

    • Para criar um framework personalizado, selecione Começar do zero.

  5. Insira um nome, um identificador exclusivo e uma descrição para o framework. Clique em Continue.

  6. Na etapa Definir um local para o framework, selecione uma região específica ou uma multirregião. Para mais informações sobre as regiões disponíveis, consulte Locais do Assured Workloads. Clique em Continue.

    Se você estiver copiando um framework, a lista de controles de nuvem que faziam parte dele vai aparecer.

  7. Para adicionar os controles de nuvem necessários, faça o seguinte:

    • Para adicionar um controle de nuvem, clique em Adicionar controles de nuvem. Selecione todos os controles de nuvem necessários e clique em Adicionar.

      Ao adicionar um controle, verifique o tipo dele (detetive, preventivo ou de auditoria). Não inclua controles somente de auditoria em um framework que você quer usar para monitorar seu ambiente e detectar violações. Não é possível implantar frameworks que incluem controles somente de auditoria.

    • Para criar um controle de nuvem personalizado, clique em Criar controle de nuvem personalizado. Para instruções, consulte Criar Cloud Control personalizado.

  8. Clique em Continue.

  9. Adicione outros parâmetros exigidos pelos controles de nuvem.

    Por exemplo, é possível definir os locais de armazenamento do Cloud Logging, os locais de recursos e modificar os endpoints de serviço permitidos.

  10. Clique em Criar.

Implantar um framework

Implante um framework em uma pasta ou projeto para controlar e monitorar esses recursos usando os controles de nuvem do framework. É possível implantar frameworks das seguintes maneiras:

  • Um único recurso, seja uma pasta ou um projeto, só pode ter um framework preventivo integrado, como um limite de dados, implantado nele.
  • Um único recurso, seja uma pasta ou um projeto, pode ter vários frameworks de detecção implantados nele.
  • Vários recursos podem ter o mesmo framework preventivo ou de detecção implantado. Por exemplo, uma pasta mãe pode ter o mesmo framework preventivo ou de detecção implantado que os projetos filhos.

As pastas e os projetos herdam frameworks pela Google Cloud hierarquia de recursos. Portanto, se você implantar frameworks no nível da pasta e do projeto, todos os controles de nuvem nos dois frameworks serão aplicados aos recursos no projeto. Se houver diferenças nas definições de controle de nuvem, o controle de nuvem de nível inferior será usado pelos recursos no projeto. Por exemplo, se uma regra de controle de nuvem estiver definida como "Permitir" no nível da pasta e "Negar" para envolvidos no projeto, a configuração "Negar" para envolvidos no projeto será aplicada aos recursos no projeto.

Como prática recomendada, implante um framework no nível da pasta que inclua os controles de nuvem aplicáveis a todos os projetos. Em seguida, implante frameworks mais rigorosos em projetos individuais que os exigem.

Se você optar por aninhar as implantações de framework, como implantar um framework em uma pasta mãe e, em seguida, frameworks diferentes nos projetos filhos, será sua responsabilidade resolver as violações de compliance que possam ocorrer nos recursos pai e filho.

  1. No Google Cloud console, acesse a página Frameworks.

    Acessar frameworks

  2. Se solicitado, selecione a organização.

  3. Para o framework que você quer implantar, clique em Mais ações > Aplicar aos recursos.

  4. Escolha uma das seguintes opções:

    • Para monitorar apenas o deslocamento, escolha Monitorar.

    • Para monitorar o deslocamento e impedir violações ativamente, escolha Monitorar e impedir.

  5. Selecione o recurso em que você quer implantar o framework. É possível escolher uma pasta ou um projeto atual. Se você escolheu evitar ativamente as violações, crie uma pasta ou um projeto para implante o framework. Se o framework exigir mais detalhes, como um projeto CMEK ou outros detalhes de configuração, forneça-os.

  6. Siga uma das etapas a seguir:

    • Se você selecionou Monitorar:

      1. Verifique as informações.
      2. Clique em Monitor.
    • Se você selecionou Monitorar e impedir:

      1. Clique em Próxima. Revise os controles e modos de nuvem.
      2. Clique em Continuar.
      3. Se aparecerem, verifique as informações adicionais necessárias para alguns controles de nuvem.
      4. Clique em Próxima.
      5. Revise suas seleções e clique em Aplicar.

Depois de implantar o framework, você pode monitorar o ambiente para detectar qualquer deslocamento dos controles de nuvem definidos. O monitoramento do Assured Workloads informa instâncias de deslocamento como violações que podem ser revisadas, filtradas e resolvidas. Pode levar aproximadamente seis horas após a implantação de um framework para que as violações apareçam.

Editar um framework personalizado

Depois de criar um framework, você pode mudar o nome e a descrição dele, adicionar ou remover controles de nuvem e atualizar qualquer parâmetro. Só é possível editar frameworks que você criar, não os integrados.

  1. No Google Cloud console, acesse a página Frameworks.

    Acessar frameworks

  2. Se solicitado, selecione a organização.

  3. Clique no framework que você quer editar.

  4. Na página Detalhes do framework, verifique se ele não está atribuído a um recurso. Se necessário, remova as atribuições.

  5. Clique em Ações > Editar.

  6. Na página Atualizar detalhes do framework, mude o nome e a descrição conforme necessário. Clique em Continuar.

  7. Para mudar os controles de nuvem incluídos no framework:

    • Para adicionar um controle de nuvem, clique em Adicionar controles de nuvem. Selecione todos os controles de nuvem necessários e clique em Adicionar.

    • Para criar um controle de nuvem personalizado, clique em Criar controle de nuvem personalizado. Para instruções, consulte Criar Cloud Control personalizado.

    • Para remover um controle de nuvem, selecione-o e clique em Remover.

  8. Clique em Continuar.

  9. Adicione outros parâmetros exigidos pelos controles de nuvem.

  10. Clique em Salvar.

Remover recursos de um framework implantado

É possível remover as pastas ou projetos atribuídos a um framework implantado. Remover recursos significa que o framework não vai mais gerar violações para esse nó da sua hierarquia de recursos.

  1. No Google Cloud console, acesse a página Frameworks.

    Acessar frameworks

  2. Se solicitado, selecione a organização.

  3. Clique no framework do qual você quer remover a atribuição de recursos.

  4. Na página Detalhes do framework, clique em Ações > Gerenciar atribuições de recursos.

  5. Na tabela Recursos atribuídos, encontre o recurso que você quer remover e clique em Excluir.

  6. Revise a mensagem de confirmação e clique em Cancelar atribuição.

Atualizar um framework para uma versão mais recente

O Google publica atualizações regulares nos frameworks integrados à medida que os serviços implantam novos recursos ou novas práticas recomendadas surgem. É possível conferir as versões dos frameworks integrados no painel de frameworks na guia Configurar ou na página de detalhes do framework.

O Google notifica você no console e nas notas da versão quando as seguintes atualizações ocorrem:

  • Os controles de nuvem integrados são adicionados ou removidos de um framework
  • Os controles de nuvem integrados são atualizados

Para atualizar um framework, faça o seguinte:

  1. No Google Cloud console, acesse a página Frameworks.

    Acessar frameworks

  2. Se solicitado, selecione a organização.

  3. Clique no framework que você quer atualizar.

  4. Na página Detalhes do framework, na tabela Recursos atribuídos , revise o Status da atualização de todas as atribuições identificadas como Atualização disponível.

  5. Para aplicar as mudanças, faça o seguinte:

    1. Remova a atribuição de recurso.

    2. Implante novamente o framework no recurso para que os frameworks do Assured Workloads possam retomar o monitoramento do recurso e criar violações.

Excluir um framework personalizado

Exclua um framework quando ele não for mais necessário. Só é possível excluir frameworks que você criar. Não é possível excluir frameworks integrados.

  1. No Google Cloud console, acesse a página Frameworks.

    Acessar frameworks

  2. Se solicitado, selecione a organização.

  3. Clique no framework do qual você quer remover a atribuição de recursos.

  4. Na página Detalhes do framework, verifique se ele não está atribuído a um recurso. Se necessário, remova as atribuições.

  5. Clique em Ações > Excluir.

  6. Na janela Excluir, revise a mensagem. Digite Delete e clique em Confirmar.

A seguir