Monitorar violações nas pastas do Assured Workloads
O Assured Workloads monitora ativamente as pastas do Assured Workloads para detectar violações de compliance. Para isso, ele compara os requisitos de um pacote de controle de uma pasta com os seguintes detalhes:
- Política da organização: cada pasta do Assured Workloads é configurada com configurações específicas de restrição da política da organização que ajudam a garantir a conformidade. Quando essas configurações são alteradas de maneira não compatível, ocorre uma violação. Consulte a seção Violações monitoradas da política da organização para mais informações.
- Recursos: dependendo das configurações da política da organização da pasta do Assured Workloads, os recursos abaixo da pasta podem ser restritos, como tipo e local. Consulte a seção Violações de recursos monitorados para mais informações. Se algum recurso não estiver em conformidade, uma violação vai ocorrer.
Quando uma violação ocorre, você pode resolver ou criar exceções para ela quando apropriado. Uma violação pode ter um dos três status a seguir:
- Não resolvida:a violação não foi corrigida ou recebeu uma exceção antes de serem feitas mudanças não conformes na pasta ou no recurso.
- Resolvida: a violação foi resolvida seguindo as etapas para corrigir o problema.
- Exceção: uma exceção foi concedida à violação, e uma justificativa comercial foi informada.
O monitoramento do Assured Workloads é ativado automaticamente quando você cria uma pasta do Assured Workloads.
Antes de começar
Permissões e papéis do IAM necessários
Para visualizar violações de política da organização ou de recursos, você precisa receber um papel do IAM na pasta do Assured Workloads que contenha as seguintes permissões:
assuredworkloads.violations.getassuredworkloads.violations.list
Essas permissões estão incluídas nos seguintes papéis do IAM do Assured Workloads:
- Administrador do Assured Workloads (
roles/assuredworkloads.admin) - Editor do Assured Workloads (
roles/assuredworkloads.editor) - Leitor do Assured Workloads (
roles/assuredworkloads.reader)
Para ativar o monitoramento de violação de recursos, você precisa receber um papel do IAM na pasta do Assured Workloads que contenha as seguintes permissões:
assuredworkloads.workload.update: essa permissão está incluída nos seguintes papéis:- Administrador do Assured Workloads (
roles/assuredworkloads.admin) - Editor do Assured Workloads (
roles/assuredworkloads.editor)
- Administrador do Assured Workloads (
resourcemanager.folders.setIamPolicy: essa permissão está incluída em papéis administrativos, como os seguintes:- Administrador da organização (
roles/resourcemanager.organizationAdmin) - Administrador de segurança (
roles/iam.securityAdmin)
- Administrador da organização (
Para fornecer exceções de violações de compliance, você precisa receber um papel do IAM na pasta do Assured Workloads que contenha a seguinte permissão:
assuredworkloads.violations.update: essa permissão está incluída nos seguintes papéis:- Administrador do Assured Workloads (
roles/assuredworkloads.admin) - Editor do Assured Workloads (
roles/assuredworkloads.editor)
- Administrador do Assured Workloads (
Além disso, para resolver violações da política da organização e acessar os registros de auditoria, é necessário conceder os seguintes papéis do IAM:
- Administrador de políticas da organização (
roles/orgpolicy.policyAdmin) - Visualizador de registros (
roles/logging.viewer)
Configurar notificações por e-mail de violação
Quando ocorre ou é resolvida uma violação de compliance da organização ou quando uma exceção é feita, os membros da categoria Jurídica nos Contatos essenciais recebem um e-mail por padrão. Isso é necessário porque o departamento jurídico precisa estar atualizado sobre problemas de compliance regulatórios.
Sua equipe que gerencia as violações, seja uma equipe de segurança ou outra, também precisa ser adicionada à categoria Jurídica como contato. Isso garante que eles recebam notificações por e-mail à medida que as mudanças ocorrem.
Ativar ou desativar as notificações
Para ativar ou desativar as notificações de uma pasta específica do Assured Workloads:
Acesse a página Assured Workloads no console Google Cloud :
Na coluna Nome, clique no nome da pasta do Assured Workloads cujas configurações de notificação você quer mudar.
No card Monitoramento do Assured Workloads, desmarque a caixa de seleção Ativar notificações para desativar as notificações ou marque-a para ativar as notificações da pasta.
Na página Pastas do Assured Workloads, as pastas com notificações desativadas mostram Notificações por e-mail do monitoramento desativadas.
Acessar violações na sua organização
É possível acessar violações em toda a organização no consoleGoogle Cloud e na CLI gcloud.
Console
É possível acessar quantas violações há em toda a organização na página Assured Workloads na seção Conformidade do console doGoogle Cloud ou na página Monitoring na seção Conformidade.
Página do Assured Workloads
Acesse a página Assured Workloads para conferir as violações rapidamente:
Na parte de cima da página, um resumo das violações de políticas da organização e de recursos é mostrado. Clique no link Ver para acessar a página Monitoring.
Para cada pasta do Assured Workloads na lista, as violações são mostradas nas colunas Violações da política da organização e Violações de recursos. As violações não resolvidas têm o ícone ativo, e as exceções têm o ícone ativo. Selecione uma violação ou exceção para conferir mais detalhes.
Se o monitoramento de violação de recursos não estiver ativado em uma pasta, o ícone vai estar ativo na coluna Atualizações com um link Ativar monitoramento de violação de recursos. Clique no link para ativar o recurso. Você também pode clicar no botão Ativar na página de detalhes da pasta do Assured Workloads.
Página de monitoramento
Acesse a página Monitoring para ver mais detalhes sobre as violações:
Duas guias são mostradas: Violações da política da organização e Violações de recursos. Se houver mais de uma violação não resolvida, o ícone vai estar ativo na guia.
Em qualquer uma das guias, as violações não resolvidas são mostradas por padrão. Consulte a seção Ver detalhes da violação abaixo para mais informações.
CLI da gcloud
Para listar as violações de compliance atuais na sua organização, execute o seguinte comando:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Em que:
LOCATION é o local da pasta do Assured Workloads.
ORGANIZATION_ID é o ID da organização a ser consultado.
WORKLOAD_ID é o ID da carga de trabalho mãe, que pode ser encontrado listando suas cargas de trabalho.
A resposta inclui as seguintes informações para cada violação:
- Um link de registro de auditoria para a violação.
- A primeira vez que ocorreu a violação.
- O tipo de violação.
- Uma descrição da violação.
- Nome da violação, que pode ser usado para recuperar mais detalhes.
- A política da organização afetada e a restrição relacionada.
- O estado atual da violação. Os valores válidos são não resolvidos, resolvidos ou exceções.
Para acessar flags opcionais, consulte a documentação do SDK Cloud.
Mostrar detalhes da violação
Para acessar violações de compliance específicas e os detalhes delas, siga estas etapas:
Console
No console do Google Cloud , acesse a página Monitoring.
Na página Monitoramento, a guia Violações da política da organização é selecionada por padrão. Essa guia mostra todas as violações não resolvidas de políticas da organização nas pastas do Assured Workloads na organização.
A guia Violações de recursos mostra todas as violações não resolvidas associadas ao recurso em todas as pastas do Assured Workloads na organização.
Em qualquer uma das guias, use as opções de Filtros rápidos para filtrar por status da violação, tipo de violação, tipo de pacote de controle, tipo de violação, pastas específicas, restrições específicas da política da organização ou tipos de recursos específicos.
Em qualquer uma das guias, se houver violações, clique em um ID para acessar informações mais detalhadas.
Na página Detalhes da violação, é possível realizar as seguintes tarefas:
Copie o ID da violação.
Confira a pasta do Assured Workloads em que a violação ocorreu e a hora em que ela aconteceu.
Confira o registro de auditoria, que inclui:
Quando ocorreu a violação.
Qual política foi modificada para causar a violação e qual usuário fez essa modificação.
Se uma exceção foi concedida, qual usuário a concedeu.
Quando aplicável, confira o recurso específico em que a violação ocorreu.
Confira a política da organização afetada.
Acessar e adicionar exceções de violação de compliance. Uma lista de exceções anteriores para a pasta ou o recurso é mostrada, incluindo o usuário que concedeu a exceção e a justificativa fornecida por ele.
- Siga as etapas de correção para resolver a exceção.
Em caso de violações da política da organização, você também pode conferir o seguinte:
- Política da organização afetada: para conferir a política específica associada à violação de compliance, clique em Ver política.
- Violações de recursos filhos: violações de políticas da organização baseadas em recursos podem causar violações de recursos filhos. Para ver ou resolver violações de recursos filhos, clique no ID da violação.
Para violações de recursos, você também pode conferir o seguinte:
- Violações de política da organização mãe: quando as violações de política da organização mãe são a causa de uma violação de recurso filho, elas precisam ser resolvidas no nível da organização mãe. Para conferir os detalhes da violação principal, clique em Ver violação.
- Outras violações no recurso específico que está causando a violação também ficam visíveis.
CLI da gcloud
Para acessar os detalhes de uma violação de compliance, execute o seguinte comando:
gcloud assured workloads violations describe VIOLATION_PATH
Em que VIOLATION_PATH está no seguinte formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
O VIOLATION_PATH é retornado no campo name da resposta da lista para cada violação.
A resposta inclui as seguintes informações:
Um link de registro de auditoria para a violação.
A primeira vez que ocorreu a violação.
O tipo de violação.
Uma descrição da violação.
A política da organização afetada e a restrição relacionada.
Etapas de correção para resolver a violação.
O estado atual da violação. Os valores válidos são
unresolved,resolvedouexception.
Para acessar sinalizações opcionais, consulte a documentação do SDK do Cloud.
Resolver violações
Para corrigir uma violação, siga estas etapas:
Console
No console do Google Cloud , acesse a página Monitoring.
Clique no ID da violação para acessar informações mais detalhadas.
Na seção Correção, siga as instruções do console ou da CLI doGoogle Cloud para resolver o problema.
CLI da gcloud
Siga as etapas de correção na resposta para resolver a violação.
Adicionar exceções de violação
Às vezes, uma violação é válida para uma situação específica. Siga estas etapas para adicionar uma ou mais exceções a uma violação.
Console
No console do Google Cloud , acesse a página Monitoring.
Na coluna ID da violação, clique na violação a que você quer adicionar a exceção.
Na seção Exceções, clique em Adicionar nova.
Insira uma justificativa comercial para a exceção. Se você quiser que a exceção se aplique a todos os recursos filhos, marque a caixa de seleção Aplicar a todas as violações de recursos filhos atuais e clique em Enviar.
Você pode adicionar outras exceções conforme necessário repetindo essas etapas e clicando em Adicionar novo.
Agora o status da violação está definido como Exceção.
CLI da gcloud
Para adicionar uma exceção a uma violação, execute o seguinte comando:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Em que BUSINESS_JUSTIFICATION é o motivo da exceção e VIOLATION_PATH está no seguinte formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
O VIOLATION_PATH é retornado no campo name da resposta da lista para cada violação.
Depois de enviar o comando, o status da violação é definido como Exceção.
Violações monitoradas da política da organização
O Assured Workloads monitora diferentes violações de restrição da política da organização, dependendo do pacote de controle aplicado à pasta do Assured Workloads. Use a lista a seguir para filtrar violações pelo pacote de controle afetado.
| Restrição da política da organização | Tipo de violação | Descrição | Pacotes de controle afetados | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Acesso sem compliance aos dados do Cloud SQL | Acesso |
Isso ocorre quando o acesso sem compliance a dados de diagnóstico do Cloud SQL que não estão em compliance é permitido. Essa violação é causada pela mudança do valor em conformidade
do pacote de controle para a restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Acesso sem compliance aos dados do Compute Engine | Acesso |
Isso ocorre quando o acesso sem compliance aos dados da instância do Compute Engine é permitido. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle para a restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Tipos de autenticação do Cloud Storage não compatíveis | Acesso |
Isso ocorre quando tipos de autenticação não compatíveis são permitidos para uso com o Cloud Storage. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle da restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Acesso sem compliance aos buckets do Cloud Storage | Acesso |
Isso ocorre quando o acesso no nível do bucket não uniforme e sem compliance ao Cloud Storage é permitido. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle para a restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Acesso sem compliance aos dados do GKE | Acesso |
Isso ocorre quando o acesso sem compliance a dados de diagnóstico do GKE é permitido. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle para a restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Recursos de diagnóstico do Compute Engine não compatíveis | Configuração |
Isso ocorre quando os recursos de diagnóstico do Compute Engine sem compliance estão ativados. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle para a restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Configuração de balanceamento de carga global do Compute Engine sem compliance | Configuração |
Isso ocorre quando um valor que não está em compliance é definido para a configuração global de balanceamento de carga no Compute Engine. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle para a restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Configuração do FIPS do Compute Engine sem compliance | Configuração |
Isso ocorre quando um valor que não está em compliance é definido para a configuração do FIPS no Compute Engine. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle da restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Configuração de SSL do Compute Engine sem compliance | Configuração |
Isso ocorre quando um valor que não está em compliance é definido para certificados autogerenciados globais. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle para a restrição
|
|
||||||||||||||||||||||||||||||||||||||
| SSH do Compute Engine sem compliance na configuração do navegador | Configuração |
Isso ocorre quando um valor que não está em compliance é definido para o recurso de SSH no navegador no Compute Engine. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle da restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Criação de recursos do Cloud SQL sem compliance | Configuração |
Isso ocorre quando a criação de recursos do Cloud SQL que não está em compliance é permitida. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle para a restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Restrição de chave do Cloud KMS ausente | Criptografia |
Isso ocorre quando nenhum projeto é especificado para fornecer chaves de criptografia de CMEK . Essa violação é causada pela mudança do valor em conformidade do pacote de controle para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Serviço de CMEK não ativado sem compliance | Criptografia |
Isso ocorre quando um serviço que não é compatível com CMEK está ativado para a carga de trabalho. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle da restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Níveis de proteção do Cloud KMS sem compliance | Criptografia |
Ocorre quando os níveis de proteção sem compliance são especificados para uso com o Cloud Key Management Service (Cloud KMS). Consulte a referência do Cloud KMS para mais informações. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle da restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Locais dos recursos que não estão em conformidade | Local do recurso |
Isso ocorre quando os recursos de serviços com suporte de um determinado pacote de controle do Assured Workloads são criados fora da região permitida para a carga de trabalho ou movidos de um local permitido para um não permitido.
Essa violação é causada pela mudança do valor em conformidade
do pacote de controle da
restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Serviços que não estão em compliance | Service Usage |
Isso ocorre quando um usuário ativa um serviço que está indisponível para um determinado pacote de controle do Assured Workloads em uma pasta do Assured Workloads. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle da restrição
|
|
Violações de recursos monitorados
O Assured Workloads monitora diferentes violações de recursos, dependendo do pacote de controle aplicado à pasta do Assured Workloads. Para saber quais tipos de recursos são monitorados, consulte Tipos de recursos compatíveis na documentação do Inventário de recursos do Cloud. Use a lista a seguir para filtrar violações pelo pacote de controle afetado:
| Restrição da política da organização | Descrição | Pacotes de controle afetados | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Local do recurso sem compliance |
Ocorre quando o local de um recurso está em uma região que não está em compliance. Essa violação é causada pela restrição
|
|
|||||||||||||||||||||||||||||||||||||
| Recursos sem compliance na pasta |
Isso ocorre quando um recurso de um serviço sem suporte é criado na pasta do Assured Workloads. Essa violação é causada pela restrição
|
|
|||||||||||||||||||||||||||||||||||||
| Recursos não criptografados (sem CMEK) |
Isso ocorre quando um recurso é criado sem criptografia CMEK para um serviço que exige criptografia CMEK. Essa violação é causada pela restrição
|
|
A seguir
- Entenda os pacotes de controle do Assured Workloads.
- Saiba quais produtos são compatíveis com cada pacote de controle.