Assured Workloads-Ordner auf Verstöße prüfen
Assured Workloads überwacht Ihre Assured Workloads-Ordner aktiv auf Compliance-Verstöße. Dazu werden die Anforderungen des Kontrollpakets eines Ordners mit den folgenden Details verglichen:
- Organisationsrichtlinie: Jeder Assured Workloads-Ordner wird mit bestimmten Einschränkungseinstellungen für Organisationsrichtlinien konfiguriert, die zur Einhaltung der Compliance beitragen. Wenn diese Einstellungen auf nicht konforme Weise geändert werden, liegt ein Verstoß vor. Weitere Informationen finden Sie im Abschnitt Verstöße gegen Organisationsrichtlinien, die überwacht werden.
- Ressourcen: Je nach den Einstellungen der Organisationsrichtlinie Ihres Assured Workloads-Ordners können die Ressourcen unter dem Ordner eingeschränkt sein, z. B. in Bezug auf Typ und Standort. Weitere Informationen finden Sie im Abschnitt Verstöße bei überwachten Ressourcen. Wenn Ressourcen nicht den Richtlinien entsprechen, liegt ein Verstoß vor.
Wenn ein Verstoß auftritt, können Sie ihn beheben oder gegebenenfalls Ausnahmen erstellen. Ein Verstoß kann einen von drei Status haben:
- Nicht behoben:Der Verstoß wurde nicht behoben oder es wurde zuvor eine Ausnahme gewährt, bevor nicht konforme Änderungen am Ordner oder an der Ressource vorgenommen wurden.
- Behoben: Der Verstoß wurde durch die folgenden Schritte zur Behebung des Problems behoben.
- Ausnahme: Dem Verstoß wurde eine Ausnahme gewährt und eine geschäftliche Begründung wurde angegeben.
Das Assured Workloads-Monitoring wird automatisch aktiviert, wenn Sie einen Assured Workloads-Ordner erstellen.
Hinweis
Erforderliche IAM-Rollen und ‑Berechtigungen
Um Verstöße gegen Organisationsrichtlinien oder Ressourcenverstöße aufzurufen, muss Ihnen eine IAM-Rolle für den Assured Workloads-Ordner zugewiesen werden, die die folgenden Berechtigungen enthält:
assuredworkloads.violations.getassuredworkloads.violations.list
Diese Berechtigungen sind in den folgenden IAM-Rollen für Assured Workloads enthalten:
- Assured Workloads-Administrator (
roles/assuredworkloads.admin) - Assured Workloads-Bearbeiter (
roles/assuredworkloads.editor) - Leser von Assured Workloads (
roles/assuredworkloads.reader)
Damit Sie die Überwachung von Ressourcenverstößen aktivieren können, muss Ihnen eine IAM-Rolle für den Assured Workloads-Ordner zugewiesen werden, die die folgenden Berechtigungen enthält:
assuredworkloads.workload.update: Diese Berechtigung ist in den folgenden Rollen enthalten:- Assured Workloads-Administrator (
roles/assuredworkloads.admin) - Assured Workloads-Bearbeiter (
roles/assuredworkloads.editor)
- Assured Workloads-Administrator (
resourcemanager.folders.setIamPolicy: Diese Berechtigung ist in Administratorrollen enthalten, z. B. in den folgenden:- Administrator der Organisation (
roles/resourcemanager.organizationAdmin) - Sicherheitsadministrator (
roles/iam.securityAdmin)
- Administrator der Organisation (
Wenn Sie Ausnahmen für Compliance-Verstöße gewähren möchten, muss Ihnen eine IAM-Rolle für den Assured Workloads-Ordner zugewiesen werden, die die folgende Berechtigung enthält:
assuredworkloads.violations.update: Diese Berechtigung ist in den folgenden Rollen enthalten:- Assured Workloads-Administrator (
roles/assuredworkloads.admin) - Assured Workloads-Bearbeiter (
roles/assuredworkloads.editor)
- Assured Workloads-Administrator (
Außerdem müssen die folgenden IAM-Rollen zugewiesen werden, um Verstöße gegen Organisationsrichtlinien zu beheben und Audit-Logs aufzurufen:
- Administrator für Unternehmensrichtlinien (
roles/orgpolicy.policyAdmin) - Logs Viewer (
roles/logging.viewer)
E-Mail-Benachrichtigungen zu Verstößen einrichten
Wenn ein Compliance-Verstoß in einer Organisation auftritt, behoben wird oder eine Ausnahme auftritt, werden Mitglieder der Kategorie Rechtliche Hinweise in Wichtige Kontakte standardmäßig per E‑Mail benachrichtigt. Dieses Verhalten ist erforderlich, da Ihre Rechtsabteilung bei Problemen mit der Einhaltung regulatorischer Anforderungen immer auf dem neuesten Stand sein muss.
Ihr Team, das die Verstöße verwaltet, egal ob es sich um ein Sicherheitsteam oder anderweitig handelt, sollte ebenfalls als Kontakt in der Rechtskategorie hinzugefügt werden. So erhalten sie E‑Mail-Benachrichtigungen, wenn Änderungen auftreten.
Benachrichtigungen aktivieren oder deaktivieren
So aktivieren oder deaktivieren Sie Benachrichtigungen für einen bestimmten Assured Workloads-Ordner:
Rufen Sie in der Google Cloud -Console die Seite Assured Workloads auf:
Klicken Sie in der Spalte Name auf den Namen des Assured Workloads-Ordners, dessen Benachrichtigungseinstellungen Sie ändern möchten.
Heben Sie auf der Karte Assured Workloads-Monitoring die Markierung des Kästchens Benachrichtigungen aktivieren auf, um Benachrichtigungen zu deaktivieren, oder markieren Sie es, um Benachrichtigungen für den Ordner zu aktivieren.
Auf der Seite Assured Workloads-Ordner wird für Ordner, für die Benachrichtigungen deaktiviert sind, E‑Mail-Benachrichtigungen von Assured Workloads-Monitoring deaktiviert angezeigt.
Verstöße gegen die Organisation aufrufen
Sie können Verstöße in Ihrer Organisation sowohl in derGoogle Cloud Console als auch in der gcloud CLI aufrufen.
Console
Auf der Seite Assured Workloads im Bereich Compliance derGoogle Cloud Console oder auf der Seite Monitoring im Bereich Compliance können Sie sich die Anzahl der Verstöße in Ihrer Organisation ansehen.
Seite „Assured Workloads“
Rufen Sie die Seite Assured Workloads auf, um Verstöße auf einen Blick zu sehen:
Oben auf der Seite wird eine Zusammenfassung der Verstöße gegen Organisationsrichtlinien und Ressourcen angezeigt. Klicken Sie auf den Link Ansehen, um die Seite Monitoring aufzurufen.
Für jeden Assured Workloads-Ordner in der Liste werden alle Verstöße in den Spalten Verstöße gegen Organisationsrichtlinien und Ressourcenverstöße angezeigt. Bei nicht behobenen Verstößen ist das Symbol aktiv und bei Ausnahmen das Symbol . Sie können eine Richtlinienverletzung oder Ausnahme auswählen, um weitere Details aufzurufen.
Wenn das Monitoring von Ressourcenverstößen für einen Ordner nicht aktiviert ist, ist das Symbol in der Spalte Updates aktiv und enthält den Link Monitoring von Ressourcenverstößen aktivieren. Klicken Sie auf den Link, um das Feature zu aktivieren. Sie können die Funktion auch aktivieren, indem Sie auf der Detailseite des Assured Workloads-Ordners auf die Schaltfläche Aktivieren klicken.
Monitoringseite
Rufen Sie die Seite Monitoring auf, um weitere Informationen zu Verstößen zu sehen:
Es werden zwei Tabs angezeigt: Verstöße gegen Organisationsrichtlinien und Ressourcenverstöße. Wenn mehrere nicht behobene Verstöße vorliegen, ist das Symbol auf dem Tab aktiv.
Auf beiden Tabs werden standardmäßig nicht behobene Verstöße angezeigt. Weitere Informationen finden Sie unten im Abschnitt Details zu Verstößen ansehen.
gcloud-CLI
Führen Sie den folgenden Befehl aus, um die aktuellen Compliance-Verstöße in Ihrer Organisation aufzulisten:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Wobei:
LOCATION ist der Standort des Assured Workloads-Ordners.
ORGANIZATION_ID ist die Organisations-ID, die abgefragt werden soll.
WORKLOAD_ID ist die ID der übergeordneten Arbeitslast, die Sie durch Auflisten Ihrer Arbeitslasten ermitteln können.
In der Antwort sind für jeden Verstoß die folgenden Informationen enthalten:
- Ein Audit-Log-Link für den Verstoß.
- Gibt an, wann der Verstoß das erste Mal aufgetreten ist.
- Die Art des Verstoßes.
- Eine Beschreibung der Urheberrechtsverletzung
- Der Name des Verstoßes, mit dem weitere Details abgerufen werden können.
- Die betroffene Organisationsrichtlinie und die zugehörige Richtlinieneinschränkung.
- Der aktuelle Status des Verstoßes. Gültige Werte sind „unresolved“, „resolved“ oder „exception“.
Optionale Flags finden Sie in der Cloud SDK-Dokumentation.
Details zum Verstoß / zu den Verstößen anzeigen
Führen Sie die folgenden Schritte aus, um bestimmte Compliance-Verstöße und ihre Details aufzurufen:
Console
Rufen Sie in der Google Cloud Console die Seite Monitoring auf.
Auf der Seite Monitoring ist standardmäßig der Tab Verstöße gegen Organisationsrichtlinien ausgewählt. Auf diesem Tab werden alle nicht behobenen Verstöße gegen Organisationsrichtlinien in Assured Workloads-Ordnern in der Organisation angezeigt.
Auf dem Tab Ressourcenverstöße werden alle nicht behobenen Verstöße angezeigt, die der Ressource in allen Assured Workloads-Ordnern in der Organisation zugeordnet sind.
Verwenden Sie auf beiden Tabs die Optionen unter Schnellfilter, um nach Status des Verstoßes, Verstoßtyp, Kontrollpakettyp, bestimmten Ordnern, bestimmten Einschränkungen der Organisationsrichtlinie oder bestimmten Ressourcentypen zu filtern.
Wenn auf einem der beiden Tabs Verstöße vorhanden sind, klicken Sie auf eine Verstoß-ID, um weitere Informationen zu erhalten.
Auf der Seite Details zu Verstößen können Sie die folgenden Aufgaben ausführen:
Kopieren Sie die ID des Verstoßes.
Sehen Sie sich den Assured Workloads-Ordner an, in dem der Verstoß aufgetreten ist, und wann er zum ersten Mal aufgetreten ist.
Prüfen Sie das Audit-Log, das Folgendes enthält:
Zeitpunkt des Verstoßes
Welche Richtlinie geändert wurde, um den Verstoß zu verursachen, und welcher Nutzer die Änderung vorgenommen hat
Wenn eine Ausnahme gewährt wurde, welcher Nutzer sie erteilt hat.
Sehen Sie sich gegebenenfalls die Ressource an, auf der der Verstoß aufgetreten ist.
Rufen Sie die betroffene Organisationsrichtlinie auf.
Ausnahmen für Complianceverstöße ansehen und hinzufügen Es wird eine Liste der vorherigen Ausnahmen für den Ordner oder die Ressource angezeigt, einschließlich des Nutzers, der die Ausnahme gewährt hat, und der vom Nutzer angegebenen Begründung.
- Folgen Sie den Schritten, um die Ausnahme zu beheben.
Bei Verstößen gegen Organisationsrichtlinien sehen Sie auch Folgendes:
- Betroffene Organisationsrichtlinie: Klicken Sie auf Richtlinie ansehen, um die spezifische Richtlinie aufzurufen, die mit dem Compliance-Verstoß verknüpft ist.
- Verstöße bei untergeordneten Ressourcen: Verstöße gegen ressourcenbasierte Organisationsrichtlinien können zu Verstößen bei untergeordneten Ressourcen führen. Klicken Sie auf die Verstoß-ID, um Verstöße bei untergeordneten Ressourcen aufzurufen oder zu beheben.
Bei Ressourcenverstößen sehen Sie außerdem Folgendes:
- Verstöße gegen die Richtlinie der übergeordneten Organisation: Wenn Verstöße gegen die Richtlinie der übergeordneten Organisation die Ursache für einen Verstoß bei einer untergeordneten Ressource sind, müssen sie auf der übergeordneten Ebene behoben werden. Wenn Sie die Details des übergeordneten Verstoßes aufrufen möchten, klicken Sie auf Verstoß ansehen.
- Alle anderen Verstöße gegen die spezifische Ressource, die den Ressourcenverstoß verursacht, sind ebenfalls sichtbar.
gcloud-CLI
Führen Sie den folgenden Befehl aus, um die Details eines Complianceverstoßes aufzurufen:
gcloud assured workloads violations describe VIOLATION_PATH
Dabei hat VIOLATION_PATH das folgende Format:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Der VIOLATION_PATH-Wert wird in der Antwort list für jeden Verstoß im Feld name zurückgegeben.
Die Antwort enthält die folgenden Informationen:
Ein Audit-Log-Link für den Verstoß.
Gibt an, wann der Verstoß das erste Mal aufgetreten ist.
Die Art des Verstoßes.
Eine Beschreibung der Urheberrechtsverletzung
Die betroffene Organisationsrichtlinie und die zugehörige Richtlinieneinschränkung.
Schritte zur Behebung des Verstoßes
Der aktuelle Status des Verstoßes. Gültige Werte sind
unresolved,resolvedoderexception.
Optionale Flags finden Sie in der Cloud SDK-Dokumentation.
Verstöße beheben
Führen Sie folgende Schritte aus, um einen Verstoß zu beheben:
Console
Rufen Sie in der Google Cloud Console die Seite Monitoring auf.
Klicken Sie auf die ID des Verstoßes, um weitere Informationen zu erhalten.
Folgen Sie im Abschnitt Korrektur der Anleitung für dieGoogle Cloud -Konsole oder ‑Befehlszeile, um das Problem zu beheben.
gcloud-CLI
Sehen Sie sich die Details zum Verstoß mithilfe der gcloud-CLI an.
Folgen Sie den Schritten in der Antwort, um den Verstoß zu beheben.
Ausnahmen für Verstöße hinzufügen
Manchmal ist ein Verstoß für eine bestimmte Situation gültig. Sie können eine oder mehrere Ausnahmen für einen Verstoß hinzufügen. Führen Sie dazu die folgenden Schritte aus.
Console
Rufen Sie in der Google Cloud Console die Seite Monitoring auf.
Klicken Sie in der Spalte Verstoß-ID auf den Verstoß, dem Sie die Ausnahme hinzufügen möchten.
Klicken Sie im Bereich Ausnahmen auf Neue hinzufügen.
Geben Sie eine geschäftliche Begründung für die Ausnahme ein. Wenn die Ausnahme für alle untergeordneten Ressourcen gelten soll, setzen Sie ein Häkchen bei Auf alle vorhandenen untergeordneten Ressourcenverstöße anwenden und klicken Sie auf Senden.
Sie können nach Bedarf weitere Ausnahmen hinzufügen, indem Sie diese Schritte wiederholen und auf Neu hinzufügen klicken.
Der Status des Verstoßes ist jetzt Ausnahme.
gcloud-CLI
Führen Sie folgenden Befehl aus, um eine Ausnahme für einen Verstoß hinzuzufügen:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Dabei ist BUSINESS_JUSTIFICATION der Grund für die Ausnahme und VIOLATION_PATH hat das folgende Format:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Der VIOLATION_PATH-Wert wird in der Antwort list für jeden Verstoß im Feld name zurückgegeben.
Nachdem der Befehl erfolgreich gesendet wurde, wird der Verstoßstatus auf Ausnahme gesetzt.
Überwachte Verstöße gegen Organisationsrichtlinien
Assured Workloads überwacht verschiedene Verstöße gegen Einschränkungsrichtlinien für Organisationen, je nach dem für Ihren Assured Workloads-Ordner angewendeten Kontrollpaket. Anhand der folgenden Liste können Sie Verstöße nach dem betroffenen Kontrollpaket filtern.
| Organisationsrichtlinie-Beschränkung | Art des Verstoßes | Beschreibung | Betroffene Kontrollpakete | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Nicht konformer Zugriff auf Cloud SQL-Daten | Zugriff |
Tritt auf, wenn der nicht konforme Zugriff auf nicht konforme Cloud SQL-Diagnosedaten zulässig ist. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung
|
|
||||||||||||||||||||||||||||||||||||||
| Nicht konformer Zugriff auf Compute Engine-Daten | Zugriff |
Tritt auf, wenn der nicht konforme Zugriff auf Compute Engine-Instanzdaten zulässig ist. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konforme Cloud Storage-Authentifizierungstypen | Zugriff |
Tritt auf, wenn nicht konforme Authentifizierungstypen zur Verwendung mit Cloud Storage zulässig sind. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konformer Zugriff auf Cloud Storage-Buckets | Zugriff |
Tritt auf, wenn ein nicht konformer, nicht einheitlicher Zugriff auf Cloud Storage auf Bucket-Ebene zulässig ist. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konformer Zugriff auf GKE-Daten | Zugriff |
Tritt auf, wenn der nicht konforme Zugriff auf GKE-Diagnosedaten zulässig ist. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konforme Compute Engine-Diagnosefunktionen | Konfiguration |
Tritt auf, wenn nicht konforme Compute Engine-Diagnosefunktionen aktiviert wurden. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konforme globale Load-Balancing-Einstellung für Compute Engine | Konfiguration |
Tritt auf, wenn ein nicht konformer Wert für die globale Load-Balancing-Einstellung in Compute Engine festgelegt wurde. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konforme Compute Engine-FIPS-Einstellung | Konfiguration |
Tritt auf, wenn ein nicht konformer Wert für die FIPS-Einstellung in Compute Engine festgelegt wurde. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konforme Compute Engine-SSL-Einstellung | Konfiguration |
Tritt auf, wenn ein nicht konformer Wert für globale selbstverwaltete Zertifikate festgelegt wurde. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konforme Compute Engine-SSH in Browser-Einstellungen | Konfiguration |
Tritt auf, wenn ein nicht konformer Wert für die SSH-Funktion im Browser in Compute Engine festgelegt wurde. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konforme Cloud SQL-Ressourcenerstellung | Konfiguration |
Tritt auf, wenn die Erstellung nicht konformer Cloud SQL-Ressourcen zulässig ist. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Fehlende Einschränkung für Cloud KMS-Schlüssel | Verschlüsselung |
Tritt auf, wenn keine Projekte angegeben sind, um Verschlüsselungsschlüssel für CMEK bereitzustellen. Dieser Verstoß wird dadurch verursacht, dass Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konformer, nicht CMEK-fähiger Dienst | Verschlüsselung |
Tritt auf, wenn ein Dienst, der CMEK nicht unterstützt, für die Arbeitslast aktiviert ist. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konforme Cloud KMS-Schutzniveaus | Verschlüsselung |
Tritt auf, wenn nicht konforme Schutzniveaus für die Verwendung mit dem Cloud Key Management Service (Cloud KMS) angegeben sind. Weitere Informationen finden Sie in der Cloud KMS-Referenz . Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
||||||||||||||||||||||||||||||||||||||
| Nicht konforme Ressourcenstandorte | Ressourcenstandort |
Tritt auf, wenn Ressourcen unterstützter Dienste für ein bestimmtes Assured Workloads-Kontrollpaket entweder außerhalb der für die Arbeitslast zulässigen Region erstellt oder von einem zulässigen Standort an einen nicht zulässigen Standort verschoben werden.
Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung
|
|
||||||||||||||||||||||||||||||||||||||
| Nicht konforme Dienste | Service Usage |
Tritt auf, wenn ein Nutzer einen Dienst aktiviert, der nicht von einem bestimmten Assured Workloads-Kontrollpaket in einem Assured Workloads-Ordner unterstützt wird. Dieser Verstoß wird durch das Ändern des konformen Werts des Kontrollpakets für die Einschränkung |
|
Verstöße bei überwachten Ressourcen
Assured Workloads überwacht verschiedene Ressourcenverstöße, je nach dem auf Ihren Assured Workloads-Ordner angewendeten Kontrollpaket. Welche Ressourcentypen überwacht werden, erfahren Sie in der Cloud Asset Inventory-Dokumentation unter Unterstützte Ressourcentypen. Verwenden Sie die folgende Liste, um Verstöße nach dem betroffenen Kontrollpaket zu filtern:
| Organisationsrichtlinie-Beschränkung | Beschreibung | Betroffene Kontrollpakete | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Nicht konformer Ressourcenstandort |
Tritt auf, wenn sich der Standort einer Ressource in einer nicht konformen Region befindet. Dieser Verstoß wird durch die Einschränkung
|
|
|||||||||||||||||||||||||||||||||||||
| Nicht konforme Ressourcen im Ordner |
Tritt auf, wenn eine Ressource für einen nicht unterstützten Dienst im Assured Workloads-Ordner erstellt wird. Dieser Verstoß wird durch die Einschränkung
|
|
|||||||||||||||||||||||||||||||||||||
| Unverschlüsselte (nicht CMEK-verschlüsselte) Ressourcen |
Tritt auf, wenn eine Ressource ohne CMEK-Verschlüsselung für einen Dienst erstellt wird, für den CMEK-Verschlüsselung erforderlich ist. Dieser Verstoß wird durch die Einschränkung
|
|
Nächste Schritte
- Informationen zu den Kontrollpaketen für Assured Workloads.
- Unterstützte Produkte nach Kontrollpaket