Supervisa una carpeta de Assured Workloads para detectar incumplimientos
Assured Workloads supervisa de forma activa tus carpetas de Assured Workloads para detectar incumplimientos de cumplimiento comparando los requisitos del paquete de controles de una carpeta con los siguientes detalles:
- Política de la organización: Cada carpeta de Assured Workloads se configura con parámetros de configuración específicos de restricciones de políticas de la organización que ayudan a garantizar el cumplimiento. Cuando estos parámetros de configuración se cambian de forma no conforme, se produce un incumplimiento. Consulta la sección Infracciones supervisadas de la política de la organización para obtener más información.
- Recursos: Según la configuración de la política de la organización de tu carpeta de Assured Workloads, es posible que los recursos que se encuentran debajo de la carpeta estén restringidos, como su tipo y ubicación. Consulta la sección Infracciones de recursos supervisados para obtener más información. Si algún recurso no cumple con los requisitos, se produce un incumplimiento.
Cuando se produce un incumplimiento, puedes resolverlo o crear excepciones para él cuando corresponda. Un incumplimiento puede tener uno de tres estados:
- Sin resolver: No se abordó el incumplimiento o se había otorgado una excepción antes de que se realizaran cambios que no cumplen con las políticas en la carpeta o el recurso.
- Resuelto: El incumplimiento se abordó y se siguieron pasos para solucionar el problema.
- Excepción: Se otorgó una excepción al incumplimiento y se proporcionó una justificación de la empresa.
La supervisión de Assured Workloads se habilita automáticamente cuando creas una carpeta de Assured Workloads.
Antes de comenzar
Roles y permisos de IAM obligatorios
Para ver los incumplimientos de las políticas de la organización o los incumplimientos de los recursos, debes tener un rol de IAM en la carpeta de Assured Workloads que contenga los siguientes permisos:
assuredworkloads.violations.getassuredworkloads.violations.list
Estos permisos se incluyen en las siguientes funciones de IAM de Assured Workloads:
- Administrador de Assured Workloads (
roles/assuredworkloads.admin) - Editor de Assured Workloads (
roles/assuredworkloads.editor) - Lector de Assured Workloads (
roles/assuredworkloads.reader)
Para habilitar la supervisión de incumplimientos de recursos, debes tener un rol de IAM en la carpeta de Assured Workloads que contenga los siguientes permisos:
assuredworkloads.workload.update: Este permiso se incluye en los siguientes roles:- Administrador de Assured Workloads (
roles/assuredworkloads.admin) - Editor de Assured Workloads (
roles/assuredworkloads.editor)
- Administrador de Assured Workloads (
resourcemanager.folders.setIamPolicy: Este permiso se incluye en los roles administrativos, como los siguientes:- Administrador de la organización (
roles/resourcemanager.organizationAdmin) - Administrador de seguridad (
roles/iam.securityAdmin)
- Administrador de la organización (
Para proporcionar excepciones por incumplimientos de cumplimiento, debes tener un rol de IAM en la carpeta de Assured Workloads que contenga el siguiente permiso:
assuredworkloads.violations.update: Este permiso se incluye en los siguientes roles:- Administrador de Assured Workloads (
roles/assuredworkloads.admin) - Editor de Assured Workloads (
roles/assuredworkloads.editor)
- Administrador de Assured Workloads (
Además, para resolver los incumplimientos de políticas de la organización y ver los registros de auditoría, se deben otorgar los siguientes roles de IAM:
- Administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) - Visor de registros (
roles/logging.viewer)
Configura las notificaciones de incumplimiento por correo electrónico
Cuando se produce o se resuelve un incumplimiento de las políticas de la organización, o cuando se hace una excepción, se envía un correo electrónico de forma predeterminada a los miembros de la categoría Legal en Contactos esenciales. Este comportamiento es necesario porque tu equipo legal debe mantenerse al día con cualquier problema de cumplimiento de normas.
El equipo que administra los incumplimientos, ya sea un equipo de seguridad u otro, también debe agregarse a la categoría Legal como contactos. Esto garantiza que reciban notificaciones por correo electrónico a medida que se producen cambios.
Cómo habilitar o inhabilitar las notificaciones
Para habilitar o inhabilitar las notificaciones de una carpeta específica de Assured Workloads, haz lo siguiente:
Ve a la página Assured Workloads en la consola de Google Cloud :
En la columna Nombre, haz clic en el nombre de la carpeta de Assured Workloads cuya configuración de notificaciones deseas cambiar.
En la tarjeta Assured Workloads Monitoring, desmarca la casilla de verificación Habilitar notificaciones para inhabilitar las notificaciones o selecciónala para habilitarlas en la carpeta.
En la página Carpetas de Assured Workloads, las carpetas que tienen inhabilitadas las notificaciones muestran Se inhabilitaron las notificaciones por correo electrónico de supervisión.
Visualiza los incumplimientos en tu organización
Puedes ver los incumplimientos en toda tu organización en la consola deGoogle Cloud y en gcloud CLI.
Console
Puedes ver la cantidad de incumplimientos que hay en tu organización en la página Assured Workloads de la sección Cumplimiento de la consola deGoogle Cloud o en la página Supervisión de la sección Cumplimiento.
Página de Assured Workloads
Ve a la página Assured Workloads para ver los incumplimientos de un vistazo:
En la parte superior de la página, se muestra un resumen de los incumplimientos de las políticas de la organización y de los recursos. Haz clic en el vínculo Ver para ir a la página Monitoring.
En cada carpeta de Assured Workloads de la lista, los incumplimientos se muestran en las columnas Incumplimientos de políticas de la organización y Incumplimientos de recursos. Los incumplimientos sin resolver tienen el ícono activo, y las excepciones tienen el ícono activo. Puedes seleccionar un incumplimiento o una excepción para ver más detalles.
Si la supervisión de incumplimientos de recursos no está habilitada en una carpeta, el ícono estará activo en la columna Actualizaciones con un vínculo Habilitar la supervisión de incumplimientos de recursos. Haz clic en el vínculo para habilitar la función. También puedes habilitarlo haciendo clic en el botón Habilitar en la página de detalles de la carpeta de Assured Workloads.
Página de supervisión
Ve a la página Monitoring para ver los incumplimientos con más detalle:
Se muestran dos pestañas: Incumplimientos de las políticas de la organización y Violaciones de recursos. Si existe más de un incumplimiento sin resolver, el ícono estará activo en la pestaña.
En cualquiera de las pestañas, los incumplimientos no resueltos se muestran de forma predeterminada. Consulta la sección Cómo ver los detalles del incumplimiento a continuación para obtener más información.
gcloud CLI
Para mostrar una lista de las infracciones de cumplimientos actuales en tu organización, ejecuta el siguiente comando:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Aquí:
LOCATION es la ubicación de la carpeta de Assured Workloads.
ORGANIZATION_ID es el ID de la organización que se consulta.
WORKLOAD_ID es el ID de la carga de trabajo superior, que se puede encontrar mediante la enumeración de tus cargas de trabajo.
En la respuesta, se incluye la siguiente información para cada incumplimiento:
- Un vínculo del registro de auditoría del incumplimiento.
- La primera vez que ocurrió el incumplimiento.
- El tipo de incumplimiento.
- Una descripción del incumplimiento.
- El nombre del incumplimiento, que se puede usar para recuperar más detalles.
- La política de la organización afectada y la restricción de política relacionada.
- El estado actual del incumplimiento. Los valores válidos son sin resolver, resuelto o con excepción.
Para obtener marcas opcionales, consulta la documentación del SDK de Cloud.
Ver detalles de los incumplimientos
Para ver incumplimientos específicos y sus detalles, completa los siguientes pasos:
Console
En la consola de Google Cloud , dirígete a la página Monitoring.
En la página Supervisión, la pestaña Infracciones de la política de la organización está seleccionada de forma predeterminada. En esta pestaña, se muestran todos los incumplimientos no resueltos de las políticas de la organización en las carpetas de Assured Workloads de la organización.
En la pestaña Resource Violations, se muestran todos los incumplimientos no resueltos asociados con el recurso en todas las carpetas de Assured Workloads de la organización.
En cualquiera de las pestañas, usa las opciones de Filtros rápidos para filtrar por estado de incumplimiento, tipo de incumplimiento, tipo de paquete de controles, tipo de incumplimiento, carpetas específicas, restricciones específicas de la política de la organización o tipos de recursos específicos.
En cualquiera de las pestañas, si hay incumplimientos existentes, haz clic en el ID de incumplimiento para ver información más detallada.
En la página Detalles del incumplimiento, puedes realizar las siguientes tareas:
Copiar el ID del incumplimiento.
Ver la carpeta de Assured Workloads en la que se produjo el incumplimiento y a qué hora ocurrió por primera vez
Ver el registro de auditoría, que incluye lo siguiente:
Cuándo ocurrió el incumplimiento.
Qué política se modificó que causó el incumplimiento y qué usuario realizó esa modificación.
Si se otorgó una excepción, qué usuario la otorgó.
Cuando corresponda, ver el recurso específico en el que se produjo el incumplimiento.
Consultar la política de la organización afectada.
Ver y agregar excepciones de incumplimiento Se muestra una lista de las excepciones anteriores para la carpeta o el recurso, incluido el usuario que otorgó la excepción y la justificación que proporcionó el usuario.
- Sigue los pasos de corrección para resolver la excepción.
En el caso de los incumplimientos de la política de la organización, también puedes ver lo siguiente:
- Política de la organización afectada: Para ver la política específica asociada con el incumplimiento, haz clic en Ver política.
- Incumplimientos de recursos secundarios: Los incumplimientos de políticas de la organización basados en recursos pueden provocar incumplimientos de recursos secundarios. Para ver o resolver los incumplimientos de recursos secundarios, haz clic en el ID del incumplimiento.
En el caso de los incumplimientos relacionados con los recursos, también puedes ver lo siguiente:
- Incumplimientos de la política de la organización principal: Cuando los incumplimientos de la política de la organización principal son la causa de un incumplimiento del recurso secundario, deben abordarse a nivel de la organización principal. Para ver los detalles del incumplimiento principal, haz clic en Ver incumplimiento.
- También se pueden ver otros incumplimientos en el recurso específico que está causando el incumplimiento del recurso.
gcloud CLI
Para ver los detalles de un incumplimiento, ejecuta el siguiente comando:
gcloud assured workloads violations describe VIOLATION_PATH
En el ejemplo anterior, VIOLATION_PATH está en el siguiente formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Se muestra el VIOLATION_PATH en el campo name de la respuesta de la lista para cada incumplimiento.
La respuesta incluye la siguiente información:
Un vínculo del registro de auditoría del incumplimiento.
La primera vez que ocurrió el incumplimiento.
El tipo de incumplimiento.
Una descripción del incumplimiento.
La política de la organización afectada y la restricción de política relacionada.
Pasos de corrección para resolver el incumplimiento.
El estado actual del incumplimiento. Los valores válidos son
unresolved,resolvedoexception.
Para obtener marcas opcionales, consulta la documentación del SDK de Cloud.
Resuelve incumplimientos
Para corregir un incumplimiento, sigue estos pasos:
Console
En la consola de Google Cloud , dirígete a la página Monitoring.
Haz clic en el ID del incumplimiento para ver información más detallada.
En la sección Corrección, sigue las instrucciones de la consola o la CLI deGoogle Cloud para abordar el problema.
gcloud CLI
Consulta los detalles del incumplimiento con la CLI de gcloud.
Sigue los pasos de corrección en la respuesta para resolver el incumplimiento.
Agrega excepciones de incumplimiento
A veces, un incumplimiento puede ser válido para un caso en particular. Para agregar una o más excepciones a un incumplimiento, completa los siguientes pasos.
Console
En la consola de Google Cloud , dirígete a la página Monitoring.
En la columna ID de incumplimiento, haz clic en el incumplimiento al que deseas agregar la excepción.
En la sección Excepciones, haz clic en Agregar nuevo.
Ingresa una justificación comercial para la excepción. Si quieres que la excepción se aplique a todos los recursos secundarios, selecciona la casilla de verificación Aplicar a todas las infracciones de recursos secundarios existentes y haz clic en Enviar.
Puedes agregar excepciones adicionales según sea necesario. Para ello, repite estos pasos y haz clic en Agregar nuevo.
El estado de incumplimiento ahora está configurado como Excepción.
CLI de gcloud
Para agregar una excepción a un incumplimiento, ejecuta el siguiente comando:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
En el ejemplo anterior, BUSINESS_JUSTIFICATION es el motivo de la excepción, y VIOLATION_PATH está en el siguiente formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Se muestra el VIOLATION_PATH en el campo name de la respuesta de la lista para cada incumplimiento.
Después de enviar el comando correctamente, el estado del incumplimiento se establece como Excepción.
Incumplimientos supervisados de las políticas de la organización
Assured Workloads supervisa los diferentes incumplimientos de las restricciones de las políticas de la organización, según el paquete de controles aplicado a la carpeta de Assured Workloads. Usa la siguiente lista para filtrar los incumplimientos según el paquete de control afectado.
| Restricción de las políticas de la organización | Tipo de incumplimiento | Descripción | Paquetes de control afectados | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Acceso a los datos de Cloud SQL que no cumple con las normas | Acceso |
Ocurre cuando se permite el acceso que no cumple con las normas a los datos de diagnóstico de Cloud SQL. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción
|
|
||||||||||||||||||||||||||||||||||||||
| Acceso que no cumple con las normas a datos de Compute Engine | Acceso |
Ocurre cuando se permite el acceso que no cumple con las normas a los datos de la instancia de Compute Engine. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Tipos de autenticación de Cloud Storage que no cumplen con las normas | Acceso |
Ocurre cuando se permiten los tipos de autenticación que no cumplen con las normas para su uso con Cloud Storage. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Acceso no compatible a los buckets de Cloud Storage | Acceso |
Ocurre cuando se permite el acceso no uniforme que no cumple con las normas a nivel de bucket a Cloud Storage. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Acceso a los datos de GKE que no cumple con las normas | Acceso |
Ocurre cuando se permite el acceso que no cumple con las normas a los datos de diagnóstico de GKE. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Características del diagnóstico de Compute Engine que no cumple con las normas | Configuración |
Ocurre cuando se habilitan las funciones de diagnóstico de Compute Engine que no cumplen con las normas. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Configuración de balanceo de cargas global de Compute Engine que no cumple con las normas | Configuración |
Ocurre cuando se establece un valor que no cumple con las normas para el parámetro de configuración del balanceo de cargas global en Compute Engine. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Configuración de FIPS de Compute Engine que no cumple con las normas | Configuración |
Ocurre cuando se establece un valor que no cumple con las normas para el parámetro de configuración de FIPS en Compute Engine. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Configuración de SSL de Compute Engine que no cumple con las normas | Configuración |
Ocurre cuando se establece un valor que no cumple con las normas para los certificados autoadministrados globales. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Conexión SSH de Compute Engine que no cumple con las normas en la configuración del navegador | Configuración |
Ocurre cuando se establece un valor que no cumple con las normas para la función de conexión SSH en el navegador de Compute Engine. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Creación de recursos de Cloud SQL que no cumplen con las normas | Configuración |
Ocurre cuando se permite la creación de recursos de Cloud SQL que no cumplen con las normas. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Falta la restricción de clave de Cloud KMS | Encriptación |
Ocurre cuando no se especifica ningún proyecto que proporcione claves de encriptación para CMEK . Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Servicio sin CMEK habilitada y que no cumple con las normas | Encriptación |
Ocurre cuando un servicio que no admite CMEK está habilitado para la carga de trabajo. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Niveles de protección de Cloud KMS que no cumplen con las normas | Encriptación |
Ocurre cuando se especifican niveles de protección que no cumplen con las normas para el uso de Cloud Key Management Service (Cloud KMS). Consulta la referencia de Cloud KMS para obtener más información. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Ubicaciones de recursos que no cumplen con las normas | Ubicación del recurso |
Ocurre cuando los recursos de servicios compatibles para un paquete de controles de Assured Workloads determinado se crean fuera de la región permitida para la carga de trabajo o se mueven de una ubicación permitida a una ubicación no permitida.
Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción
|
|
||||||||||||||||||||||||||||||||||||||
| Servicios que no cumplen con las normas | Uso del servicio |
Ocurre cuando un usuario habilita un servicio que no es compatible con un paquete de controles de Assured Workloads determinado en una carpeta de Assured Workloads. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
Incumplimientos de recursos supervisados
Assured Workloads supervisa diferentes incumplimientos de recursos, según el paquete de controles aplicado a tu carpeta de Assured Workloads. Para ver qué tipos de recursos se supervisan, consulta Tipos de recursos admitidos en la documentación de Cloud Asset Inventory. Usa la siguiente lista para filtrar los incumplimientos según el paquete de controles afectado:
| Restricción de las políticas de la organización | Descripción | Paquetes de control afectados | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Ubicación de recurso que no cumple con las normas |
Ocurre cuando la ubicación de un recurso se encuentra en una región que no cumple con las políticas. Este incumplimiento se debe a la restricción
|
|
|||||||||||||||||||||||||||||||||||||
| Recursos en incumplimiento en la carpeta |
Ocurre cuando se crea un recurso para un servicio no compatible en la carpeta de Assured Workloads. Este incumplimiento se produce debido a la restricción
|
|
|||||||||||||||||||||||||||||||||||||
| Recursos sin encriptar (sin CMEK) |
Ocurre cuando se crea un recurso sin encriptación con CMEK para un servicio que requiere encriptación con CMEK. Este incumplimiento se debe a la restricción
|
|
¿Qué sigue?
- Comprende los paquetes de controles para Assured Workloads.
- Obtén más información sobre los productos compatibles con cada paquete de controles.