在 Assured Workloads 中管理架構

Assured Workloads 架構包含雲端控管機制,可協助您在雲端環境中,滿足資料夾或專案的安全性和法規要求。Assured Workloads 提供許多內建架構,例如資料邊界,但您也可以修改現有架構或建立自己的架構。如要建立自己的架構,請先找出或建立符合貴商家安全和法規遵循義務的雲端控管機制。然後,將包含這些雲端控制項的架構部署至所選資料夾或專案。

本頁面可協助您完成下列步驟:

  1. 評估哪一個內建架構最符合您的法規和安全需求。您可以建立自己的自訂架構,但建議先從內建架構著手。

  2. 判斷哪些內建雲端控制項符合您的業務需求。您可以視需要建立自訂雲端控管機制

  3. 決定要將架構部署到哪個資料夾或專案。您可以透過下列方式部署架構:

    • 單一資源 (無論是資料夾或專案) 只能有一個內建的預防性架構,例如部署至該資源的資料邊界。
    • 單一資源 (資料夾或專案) 可部署多個偵測架構。
    • 多個資源可以部署相同的預防或偵測架構。舉例來說,父項資料夾可部署與子項專案相同的預防或偵測架構。
  4. 複製現有框架,並根據需求進行修改。如有需要,您可以建立自訂架構。

  5. 在所選資料夾或專案中部署架構。

事前準備

查看架構

如要查看內建架構或您已建立的其他架構的設定,請完成下列步驟。

  1. 前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。

    前往「架構」

  2. 如果系統提示,請選取您的機構。

  3. 資訊主頁會顯示可用的架構、簡短說明、支援的平台和層級,以及架構已指派的資源。

  4. 如要查看特定架構的詳細資料,請按一下架構名稱。

建立架構

決定哪些雲端控制項適用於機構或特定資料夾/專案中的資源後,即可建立架構。您可以建立自訂架構,也可以複製現有架構並加以修改。複製架構時,系統會一併複製所有內建雲端控制項的最新版本。

  1. 前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。

    前往「架構」

  2. 如果系統提示,請選取您的機構。

  3. 按一下「建立自訂架構」

  4. 完成下列任一操作:

    • 如要使用現有框架,請完成下列步驟:

      1. 選取「依據現有架構開始建立」

      2. 選取要複製的架構。

    • 如要建立自訂架構,請選取「開始新架構」

  5. 輸入架構的名稱、專屬 ID 和說明。按一下「Continue」(繼續)

  6. 在「為架構設定位置」步驟中,選取特定區域或多區域。如要進一步瞭解可用區域,請參閱「Assured Workloads 區域」。然後點按「繼續」

    如果您要複製現有架構,系統會顯示現有架構中的雲端控管機制清單。

  7. 如要新增所需雲端控管機制,請完成下列步驟:

    • 如要新增現有的雲端控管措施,請按一下「新增雲端控管措施」。選取所有需要的雲端控管機制,然後按一下「新增」

      新增控制項時,請確認控制項類型 (偵測、預防或稽核)。如果您想使用架構監控環境並偵測違規行為,請勿在架構中加入僅限稽核的控管措施。您無法部署僅限稽核的控管機制。

    • 如要建立自訂雲端控管機制,請按一下「建立自訂雲端控管機制」。 如需操作說明,請參閱「建立自訂雲端控管機制」。

  8. 按一下「繼續」

  9. 新增雲端控管機制要求的其他參數。

    舉例來說,您可以設定 Cloud Logging 儲存位置、資源位置,以及修改允許的服務端點。

  10. 點選「建立」

部署架構

將框架部署至資料夾或專案,即可使用框架的雲端控管機制控管及監控這些資源。您可以透過下列方式部署架構:

  • 單一資源 (無論是資料夾或專案) 只能有一個內建的預防性架構,例如部署至該資源的資料邊界。
  • 單一資源 (資料夾或專案) 可以部署多個偵探架構。
  • 多個資源可以部署相同的預防或偵測架構。舉例來說,父項資料夾可部署與子項專案相同的預防或偵測架構。

資料夾和專案會透過 Google Cloud 資源階層繼承架構。因此,如果您在資料夾層級和專案層級部署架構,這兩個架構中的所有雲端控制項都會套用至專案中的資源。如果雲端控制項定義有任何差異,專案中的資源會使用較低層級的雲端控制項。舉例來說,如果雲端控管規則在資料夾層級設為「允許」,在專案層級設為「拒絕」,則專案層級的「拒絕」設定會套用至專案中的資源。

最佳做法是,在資料夾層級部署框架,其中包含可套用至所有專案的雲端控制項。然後再將更嚴格的架構部署到需要這些架構的個別專案。

如果您選擇巢狀部署架構 (例如將一個架構部署至父項資料夾,然後將不同架構部署至子項專案),您有責任解決父項和子項資源可能發生的任何法規遵循違規問題。

  1. 前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。

    前往「架構」

  2. 如果系統提示,請選取您的機構。

  3. 針對要部署的架構,依序點選 「More Actions」(更多動作)>「Apply to resources」(套用至資源)

  4. 您可以選擇下列其中一個選項:

    • 如要只監控偏移情形,請選擇「監控」

    • 如要監控變異情形並主動防止違規,請選擇「監控並防止」

  5. 選取要部署架構的資源。您可以選擇現有資料夾或專案。如果您選擇主動防範違規行為,可以建立新的資料夾或專案,並將架構部署至其中。如果架構需要其他詳細資料,例如 CMEK 專案或其他設定詳細資料,您必須提供這些資訊。

  6. 完成下列任一操作:

    • 如果選取「Monitor」(監控),請完成下列步驟:

      1. 驗證資訊。
      2. 按一下「監控」
    • 如果您選取「監控及防範」,請完成下列步驟:

      1. 點選「下一步」。查看雲端控制選項和模式。
      2. 按一下「繼續」
      3. 如果顯示,請驗證部分雲端控管機制所需的額外資訊。
      4. 點選「下一步」
      5. 檢查所選項目,然後按一下「強制執行」

部署架構後,您可以監控環境,瞭解是否與定義的雲端控制項有任何差異。Assured Workloads 的監控功能會將漂移情況回報為違規事項,供您查看、篩選及解決。部署架構後,違規事項大約需要六小時才會顯示。

編輯自訂架構

建立框架後,您可以變更名稱和說明、新增或移除雲端控制項,以及更新任何參數。您只能編輯自己建立的架構,無法編輯內建架構。

  1. 前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。

    前往「架構」

  2. 如果系統提示,請選取您的機構。

  3. 按一下要編輯的架構。

  4. 在「架構詳細資料」頁面中,確認架構未指派給資源。視需要移除指派作業

  5. 依序點選「動作」>「編輯」

  6. 在「更新架構詳細資料」頁面中,視需要變更名稱和說明。按一下「Continue」(繼續)

  7. 如要變更架構中包含的雲端控制項,請完成下列步驟:

    • 如要新增現有的雲端控管措施,請按一下「新增雲端控管措施」。選取所有需要的雲端控管機制,然後按一下「新增」

    • 如要建立自訂雲端控管機制,請按一下「建立自訂雲端控管機制」。 如需操作說明,請參閱「建立自訂雲端控管機制」。

    • 如要移除雲端控管機制,請選取該機制,然後按一下「移除」

  8. 按一下「繼續」

  9. 新增雲端控管機制要求的其他參數。

  10. 按一下 [儲存]

從已部署的架構中移除資源

您可以移除指派給已部署架構的資料夾或專案。移除資源後,架構就不會再針對資源階層的該節點產生違規事項。

  1. 前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。

    前往「架構」

  2. 如果系統提示,請選取您的機構。

  3. 按一下要取消指派資源的架構。

  4. 在「架構詳細資料」頁面中,依序點選「動作」>「管理資源指派項目」

  5. 在「已指派的資源」表格中,找出要移除的資源,然後按一下「刪除」圖示

  6. 詳閱確認訊息,然後按一下「取消指派」

將架構更新為新版

當服務部署新功能或出現新的最佳做法時,Google 會定期更新內建架構。您可以在「設定」分頁的架構資訊主頁,或架構詳細資料頁面中,查看內建架構的版本。

發生下列更新時,Google 會在控制台和版本資訊中通知您:

  • 在架構中新增或移除內建雲端控管機制
  • 內建雲端控制選項已更新

如要更新架構,請完成下列步驟:

  1. 前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。

    前往「架構」

  2. 如果系統提示,請選取您的機構。

  3. 按一下要更新的架構。

  4. 在「架構詳細資料」頁面的「已指派的資源」表格中,查看所有標示為「有可用更新」的指派項目「更新狀態」

  5. 如要套用變更,請完成下列步驟:

    1. 移除資源指派作業

    2. 重新將架構部署至資源,Assured Workloads 架構即可繼續監控資源並建立違規事項。

刪除自訂架構

不再需要架構時,請刪除該架構。您只能刪除自己建立的架構,無法刪除內建架構。

  1. 前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。

    前往「架構」

  2. 如果系統提示,請選取您的機構。

  3. 按一下要取消指派資源的架構。

  4. 在「架構詳細資料」頁面中,確認架構未指派給資源。視需要移除指派作業

  5. 依序點選「動作」>「刪除」

  6. 在「刪除」視窗中,查看訊息。輸入 Delete,然後按一下「確認」

後續步驟