Monitorare una cartella Assured Workloads per rilevare violazioni
Assured Workloads monitora attivamente le tue cartelle Assured Workloads per rilevare violazioni della conformità confrontando i requisiti di un pacchetto di controlli di una cartella con i seguenti dettagli:
- Policy dell'organizzazione: ogni cartella Assured Workloads è configurata con impostazioni specifiche dei vincoli delle policy dell'organizzazione che contribuiscono a garantire la conformità. Quando queste impostazioni vengono modificate in modo non conforme, si verifica una violazione. Per saperne di più, consulta la sezione Violazioni delle policy dell'organizzazione monitorate.
- Risorse: a seconda delle impostazioni dei criteri dell'organizzazione della cartella Assured Workloads, le risorse sottostanti la cartella potrebbero essere limitate, ad esempio il tipo e la posizione. Per saperne di più, consulta la sezione Violazioni delle risorse monitorate. Se una risorsa non è conforme, si verifica una violazione.
Quando si verifica una violazione, puoi risolverla o creare eccezioni ove opportuno. Una violazione può avere uno dei tre seguenti stati:
- Non risolta: la violazione non è stata risolta o è stata precedentemente concessa un'eccezione prima che venissero apportate modifiche non conformi alla cartella o alla risorsa.
- Risolto:la violazione è stata risolta seguendo i passaggi per risolvere il problema.
- Eccezione:alla violazione è stata concessa un'eccezione ed è stata fornita una giustificazione aziendale.
Il monitoraggio di Assured Workloads viene attivato automaticamente quando crei una cartella Assured Workloads.
Prima di iniziare
Ruoli e autorizzazioni IAM richiesti
Per visualizzare le violazioni delle norme dell'organizzazione o le violazioni delle risorse, devi disporre di un ruolo IAM nella cartella Assured Workloads che contenga le seguenti autorizzazioni:
assuredworkloads.violations.getassuredworkloads.violations.list
Queste autorizzazioni sono incluse nei seguenti ruoli IAM di Assured Workloads:
- Amministratore di Assured Workloads (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor) - Lettore di Assured Workloads (
roles/assuredworkloads.reader)
Per attivare il monitoraggio delle violazioni delle risorse, devi disporre di un ruolo IAM nella cartella Assured Workloads che contenga le seguenti autorizzazioni:
assuredworkloads.workload.update: questa autorizzazione è inclusa nei seguenti ruoli:- Amministratore di Assured Workloads (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Amministratore di Assured Workloads (
resourcemanager.folders.setIamPolicy: questa autorizzazione è inclusa nei ruoli amministrativi, ad esempio:- Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin) - Security Admin (
roles/iam.securityAdmin)
- Amministratore dell'organizzazione (
Per fornire eccezioni per le violazioni della conformità, devi disporre di un ruolo IAM nella cartella Assured Workloads che contenga la seguente autorizzazione:
assuredworkloads.violations.update: questa autorizzazione è inclusa nei seguenti ruoli:- Amministratore di Assured Workloads (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Amministratore di Assured Workloads (
Inoltre, per risolvere le violazioni delle policy dell'organizzazione e visualizzare gli audit log, devono essere concessi i seguenti ruoli IAM:
- Amministratore delle policy dell'organizzazione (
roles/orgpolicy.policyAdmin) - Visualizzatore log (
roles/logging.viewer)
Configurare le notifiche via email per le violazioni
Quando si verifica o viene risolta una violazione della conformità dell'organizzazione o quando viene concessa un'eccezione, i membri della categoria Legale in Contatti fondamentali vengono avvisati via email per impostazione predefinita. Questo comportamento è necessario perché il tuo team legale deve essere aggiornato su eventuali problemi di conformità legale.
Il tuo team che gestisce le violazioni, che si tratti di un team di sicurezza o altro, deve anche essere aggiunto alla categoria Legale come contatti. In questo modo, riceveranno notifiche via email man mano che vengono apportate modifiche.
Attivare o disattivare le notifiche
Per attivare o disattivare le notifiche per una cartella Assured Workloads specifica:
Vai alla pagina Assured Workloads nella console Google Cloud :
Nella colonna Nome, fai clic sul nome della cartella Assured Workloads di cui vuoi modificare le impostazioni di notifica.
Nella scheda Monitoraggio di Assured Workloads, deseleziona la casella di controllo Attiva notifiche per disabilitare le notifiche o selezionala per abilitare le notifiche per la cartella.
Nella pagina Cartelle Assured Workloads, le cartelle per cui le notifiche sono disattivate mostrano Notifiche email di monitoraggio disattivate.
Visualizzare le violazioni nella tua organizzazione
Puoi visualizzare le violazioni in tutta l'organizzazione sia nella consoleGoogle Cloud sia in gcloud CLI.
Console
Puoi visualizzare il numero di violazioni nella tua organizzazione nella pagina Assured Workloads della sezione Conformità della consoleGoogle Cloud o nella pagina Monitoraggio della sezione Conformità.
Pagina Assured Workloads
Vai alla pagina Assured Workloads per visualizzare rapidamente le violazioni:
Nella parte superiore della pagina viene visualizzato un riepilogo delle violazioni delle policy dell'organizzazione e delle risorse. Fai clic sul link Visualizza per andare alla pagina Monitoring.
Per ogni cartella Assured Workloads nell'elenco, le eventuali violazioni vengono mostrate nelle colonne Violazioni delle norme dell'organizzazione e Violazioni delle risorse. Le violazioni irrisolte hanno l'icona attiva, mentre le eccezioni hanno l'icona attiva. Puoi selezionare una violazione o un'eccezione per visualizzare maggiori dettagli.
Se il monitoraggio della violazione delle risorse non è abilitato in una cartella, l'icona è attiva nella colonna Aggiornamenti con un link Abilita il monitoraggio della violazione delle risorse. Fai clic sul link per attivare la funzionalità. Puoi anche attivarlo facendo clic sul pulsante Attiva nella pagina dei dettagli della cartella Assured Workloads.
Pagina di Monitoring
Vai alla pagina Monitoring per visualizzare le violazioni in modo più dettagliato:
Vengono visualizzate due schede: Violazioni delle policy dell'organizzazione e Violazioni delle risorse. Se esistono più di una violazione non risolta, l'icona è attiva nella scheda.
In entrambe le schede, le violazioni non risolte vengono visualizzate per impostazione predefinita. Per maggiori informazioni, consulta la sezione Visualizza i dettagli della violazione di seguito.
gcloud CLI
Per elencare le violazioni della conformità correnti nella tua organizzazione, esegui il seguente comando:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Dove:
LOCATION è la posizione della cartella Assured Workloads.
ORGANIZATION_ID è l'ID organizzazione su cui eseguire la query.
WORKLOAD_ID è l'ID del workload principale, che puoi trovare elencando i tuoi workload.
La risposta include le seguenti informazioni per ogni violazione:
- Un link al log di controllo per la violazione.
- La prima volta in cui si è verificata la violazione.
- Il tipo di violazione.
- Una descrizione della violazione.
- Il nome della violazione, che può essere utilizzato per recuperare ulteriori dettagli.
- La policy dell'organizzazione interessata e il vincolo della policy correlato.
- Lo stato attuale della violazione. I valori validi sono unresolved, resolved o exception.
Per i flag facoltativi, consulta la documentazione di Cloud SDK.
Visualizza i dettagli della violazione
Per visualizzare violazioni specifiche della conformità e i relativi dettagli, completa i seguenti passaggi:
Console
Nella console Google Cloud , vai alla pagina Monitoring.
Nella pagina Monitoraggio, la scheda Violazioni delle policy dell'organizzazione è selezionata per impostazione predefinita. Questa scheda mostra tutte le violazioni dei criteri dell'organizzazione non risolte nelle cartelle Assured Workloads dell'organizzazione.
La scheda Violazioni delle risorse mostra tutte le violazioni non risolte associate alla risorsa in tutte le cartelle Assured Workloads dell'organizzazione.
Per entrambe le schede, utilizza le opzioni Filtri rapidi per filtrare in base a stato della violazione, tipo di violazione, tipo di pacchetto di controllo, tipo di violazione, cartelle specifiche, vincoli specifici delle policy dell'organizzazione o tipi di risorse specifici.
Per entrambe le schede, se sono presenti violazioni, fai clic su un ID violazione per visualizzare informazioni più dettagliate.
Nella pagina Dettagli violazione, puoi eseguire le seguenti operazioni:
Copia l'ID violazione.
Visualizza la cartella Assured Workloads in cui si è verificata la violazione e l'ora in cui si è verificata per la prima volta.
Visualizza l'audit log, che include:
Quando si è verificata la violazione.
Quale criterio è stato modificato per causare la violazione e quale utente ha apportato la modifica.
Se è stata concessa un'eccezione, l'utente che l'ha concessa.
Se applicabile, visualizza la risorsa specifica su cui si è verificata la violazione.
Visualizza la policy dell'organizzazione interessata.
Visualizza e aggiungi eccezioni per le violazioni della conformità. Viene visualizzato un elenco di eccezioni precedenti per la cartella o la risorsa, inclusi l'utente che ha concesso l'eccezione e la motivazione fornita dall'utente.
- Segui i passaggi di correzione per risolvere l'eccezione.
Per le violazioni delle policy dell'organizzazione, puoi visualizzare anche:
- Criterio dell'organizzazione interessato: per visualizzare il criterio specifico associato alla violazione della conformità, fai clic su Visualizza criterio.
- Violazioni delle risorse secondarie: le violazioni delle policy dell'organizzazione basate sulle risorse possono causare violazioni delle risorse secondarie. Per visualizzare o risolvere le violazioni delle risorse secondarie, fai clic sull'ID violazione.
Per le violazioni delle risorse, puoi anche visualizzare quanto segue:
- Violazioni delle policy dell'organizzazione principale: quando le violazioni delle policy dell'organizzazione principale sono la causa di una violazione delle risorse secondarie, devono essere risolte a livello principale. Per visualizzare i dettagli della violazione principale, fai clic su Visualizza violazione.
- Sono visibili anche altre violazioni della risorsa specifica che causa la violazione della risorsa.
gcloud CLI
Per visualizzare i dettagli di una violazione della conformità, esegui questo comando:
gcloud assured workloads violations describe VIOLATION_PATH
Dove VIOLATION_PATH ha il seguente formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Il VIOLATION_PATH viene restituito nel campo name della risposta list per ogni violazione.
La risposta include le seguenti informazioni:
Un link al log di controllo per la violazione.
La prima volta in cui si è verificata la violazione.
Il tipo di violazione.
Una descrizione della violazione.
La policy dell'organizzazione interessata e il vincolo della policy correlato.
Passaggi di correzione per risolvere la violazione.
Lo stato attuale della violazione. I valori validi sono
unresolved,resolvedoexception.
Per i flag facoltativi, consulta la documentazione di Cloud SDK.
Risolvi le violazioni
Per risolvere una violazione, completa i seguenti passaggi:
Console
Nella console Google Cloud , vai alla pagina Monitoring.
Fai clic sull'ID violazione per visualizzare informazioni più dettagliate.
Nella sezione Correzione, segui le istruzioni per la consoleGoogle Cloud o l'interfaccia a riga di comando per risolvere il problema.
gcloud CLI
Visualizza i dettagli della violazione utilizzando gcloud CLI.
Segui i passaggi di correzione indicati nella risposta per risolvere la violazione.
Aggiungere eccezioni per violazioni
A volte una violazione potrebbe essere valida per una situazione particolare. Per aggiungere una o più eccezioni per una violazione, segui questi passaggi.
Console
Nella console Google Cloud , vai alla pagina Monitoring.
Nella colonna ID violazione, fai clic sulla violazione a cui vuoi aggiungere l'eccezione.
Nella sezione Eccezioni, fai clic su Aggiungi nuovo.
Inserisci una giustificazione aziendale per l'eccezione. Se vuoi che l'eccezione venga applicata a tutte le risorse secondarie, seleziona la casella di controllo Applica a tutte le violazioni delle risorse secondarie esistenti e fai clic su Invia.
Puoi aggiungere altre eccezioni in base alle necessità ripetendo questi passaggi e facendo clic su Aggiungi nuovo.
Lo stato della violazione è ora impostato su Eccezione.
gcloud CLI
Per aggiungere un'eccezione per una violazione, esegui questo comando:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Dove BUSINESS_JUSTIFICATION è il motivo dell'eccezione e VIOLATION_PATH ha il seguente formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Il VIOLATION_PATH viene restituito nel campo name della risposta list per ogni violazione.
Dopo l'invio del comando, lo stato della violazione viene impostato su Eccezione.
Violazioni delle policy dell'organizzazione monitorate
Assured Workloads monitora diverse violazioni dei vincoli dei criteri dell'organizzazione, a seconda del pacchetto di controllo applicato alla cartella Assured Workloads. Utilizza il seguente elenco per filtrare le violazioni in base al pacchetto di controlli interessato.
| Vincolo delle policy dell'organizzazione | Tipo di violazione | Descrizione | Pacchetti di controllo interessati | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Accesso non conforme ai dati Cloud SQL | Accesso |
Si verifica quando è consentito l'accesso non conforme ai dati diagnostici Cloud SQL non conformi. Questa violazione è causata dalla modifica del valore
conforme del pacchetto di controlli per il vincolo
|
|
||||||||||||||||||||||||||||||||||||||
| Accesso non conforme ai dati di Compute Engine | Accesso |
Si verifica quando è consentito l'accesso non conforme ai dati dell'istanza Compute Engine. Questa violazione è causata dalla modifica del valore
<x0A> conforme del pacchetto di controlli per il vincolo
<x0A> |
|
||||||||||||||||||||||||||||||||||||||
| Tipi di autenticazione Cloud Storage non conformi | Accesso |
Si verifica quando sono consentiti tipi di autenticazione non conformi con Cloud Storage. Questa violazione è causata dalla modifica del valore
conforme del pacchetto di controlli per il vincolo
|
|
||||||||||||||||||||||||||||||||||||||
| Accesso non conforme ai bucket Cloud Storage | Accesso |
Si verifica quando è consentito l'accesso non uniforme a livello di bucket non conforme a Cloud Storage. Questa violazione è causata dalla modifica del valore
<x0A> conforme del pacchetto di controlli per il vincolo
<x0A> |
|
||||||||||||||||||||||||||||||||||||||
| Accesso non conforme ai dati GKE | Accesso |
Si verifica quando è consentito l'accesso non conforme ai dati diagnostici di GKE. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controlli per il vincolo |
|
||||||||||||||||||||||||||||||||||||||
| Funzionalità di diagnostica di Compute Engine non conformi | Configurazione |
Si verifica quando sono state abilitate funzionalità di diagnostica di Compute Engine non conformi. Questa violazione è causata dalla modifica del valore
<x0A> conforme del pacchetto di controlli per il vincolo
<x0A> |
|
||||||||||||||||||||||||||||||||||||||
| Impostazione del bilanciamento del carico globale di Compute Engine non conforme | Configurazione |
Si verifica quando è stato impostato un valore non conforme per l'impostazione del bilanciamento del carico globale in Compute Engine. Questa violazione è causata dalla modifica del valore
<x0A> conforme del pacchetto di controlli per il vincolo
<x0A> |
|
||||||||||||||||||||||||||||||||||||||
| Impostazione FIPS di Compute Engine non conforme | Configurazione |
Si verifica quando è stato impostato un valore non conforme per l'impostazione FIPS in Compute Engine. Questa violazione è causata dalla modifica del valore
conforme del pacchetto di controlli per il vincolo
|
|
||||||||||||||||||||||||||||||||||||||
| Impostazione SSL di Compute Engine non conforme | Configurazione |
Si verifica quando è stato impostato un valore non conforme per i certificati autogestiti globali. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controlli per il vincolo |
|
||||||||||||||||||||||||||||||||||||||
| Impostazione SSH in browser di Compute Engine non conforme | Configurazione |
Si verifica quando è stato impostato un valore non conforme per la funzionalità SSH nel browser in Compute Engine. Questa violazione è causata dalla modifica del valore
conforme del pacchetto di controlli per il vincolo
|
|
||||||||||||||||||||||||||||||||||||||
| Creazione di risorse Cloud SQL non conformi | Configurazione |
Si verifica quando è consentita la creazione di risorse Cloud SQL non conformi. Questa violazione è causata dalla modifica del valore
<x0A> conforme del pacchetto di controlli per il vincolo
<x0A> |
|
||||||||||||||||||||||||||||||||||||||
| Limitazione della chiave Cloud KMS mancante | Crittografia |
Si verifica quando non vengono specificati progetti per fornire chiavi di crittografia per CMEK . Questa violazione è causata dalla modifica del valore conforme del pacchetto di controlli per il vincolo |
|
||||||||||||||||||||||||||||||||||||||
| Servizio non conforme non abilitato a CMEK | Crittografia |
Si verifica quando un servizio che non supporta CMEK è abilitato per il workload. Questa violazione è causata dalla modifica del valore
conforme del pacchetto di controlli per il vincolo
|
|
||||||||||||||||||||||||||||||||||||||
| Livelli di protezione Cloud KMS non conformi | Crittografia |
Si verifica quando vengono specificati livelli di protezione non conformi per l'utilizzo con Cloud Key Management Service (Cloud KMS). Per ulteriori informazioni, consulta il riferimento di Cloud KMS . Questa violazione è causata dalla modifica del valore
conforme del pacchetto di controlli per il vincolo
|
|
||||||||||||||||||||||||||||||||||||||
| Posizioni delle risorse non conformi | Località della risorsa |
Si verifica quando le risorse dei servizi supportati per un determinato pacchetto di controllo Assured Workloads vengono create al di fuori della regione consentita per il workload o spostate da una posizione consentita a una non consentita.
Questa violazione è causata dalla modifica del valore
conforme del pacchetto di controlli per il vincolo
|
|
||||||||||||||||||||||||||||||||||||||
| Servizi non conformi | Utilizzo dei servizi |
Si verifica quando un utente attiva un servizio non supportato da un determinato pacchetto di controlli Assured Workloads in una cartella Assured Workloads. Questa violazione è causata dalla modifica del valore
conforme del pacchetto di controlli per il vincolo
|
|
Violazioni delle risorse monitorate
Assured Workloads monitora diverse violazioni delle risorse, a seconda del pacchetto di controllo applicato alla cartella Assured Workloads. Per vedere quali tipi di risorse vengono monitorati, consulta Tipi di risorse supportati nella documentazione di Cloud Asset Inventory. Utilizza il seguente elenco per filtrare le violazioni in base al pacchetto di controlli interessato:
| Vincolo delle policy dell'organizzazione | Descrizione | Pacchetti di controllo interessati | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Posizione della risorsa non conforme |
Si verifica quando la posizione di una risorsa si trova in una regione non conforme. Questa violazione è causata dal vincolo
|
|
|||||||||||||||||||||||||||||||||||||
| Risorse non conformi nella cartella |
Si verifica quando viene creata una risorsa per un servizio non supportato nella cartella Assured Workloads. Questa violazione è causata dal vincolo
|
|
|||||||||||||||||||||||||||||||||||||
| Risorse non criptate (non CMEK) |
Si verifica quando una risorsa viene creata senza crittografia CMEK per un servizio che richiede la crittografia CMEK. Questa violazione è causata dal vincolo
|
|
Passaggi successivi
- Scopri i pacchetti di controlli per Assured Workloads.
- Scopri quali prodotti sono supportati per ogni pacchetto di controlli.