Surveiller un dossier Assured Workloads pour détecter les violations
Assured Workloads surveille activement vos dossiers Assured Workloads pour détecter les cas de non-conformité en comparant les exigences du package de contrôles d'un dossier avec les informations suivantes :
- Règle d'administration : chaque dossier Assured Workloads est configuré avec des paramètres de contrainte de règle d'administration spécifiques qui permettent d'assurer la conformité. Toute modification non conforme de ces paramètres constitue un cas de non-respect. Pour en savoir plus, consultez la section Non-respect des règles d'administration surveillé.
- Ressources : en fonction des paramètres de règle d'administration de votre dossier Assured Workloads, les ressources situées sous le dossier peuvent être limitées, par exemple leur type et leur emplacement. Pour en savoir plus, consultez la section Non-respect des règles concernant les ressources surveillées. Si des ressources ne sont pas conformes, un cas de non-respect est signalé.
En cas de non-respect des règles, vous pouvez résoudre les problèmes ou créer des exceptions, le cas échéant. Une violation des règles peut avoir l'un des trois états suivants :
- Non résolu : le non-respect n'a pas été résolu ou une exception avait été accordée avant que des modifications non conformes aient été apportées au dossier ou à la ressource.
- Résolu : le problème a été résolu en suivant les étapes pour résoudre le problème.
- Exception : la violation a fait l'objet d'une exception et une justification de l'entreprise a été fournie.
La surveillance Assured Workloads est automatiquement activée lorsque vous créez un dossier Assured Workloads.
Avant de commencer
Rôles et autorisations IAM requis
Pour afficher les cas de non-respect des règles d'administration ou les cas de non-conformité de ressources, vous devez disposer d'un rôle IAM dans le dossier Assured Workloads qui inclut les autorisations suivantes :
assuredworkloads.violations.getassuredworkloads.violations.list
Ces autorisations sont incluses dans les rôles IAM Assured Workloads suivants :
- Administrateur Assured Workloads (
roles/assuredworkloads.admin) - Éditeur Assured Workloads (
roles/assuredworkloads.editor) - Lecteur Assured Workloads (
roles/assuredworkloads.reader)
Pour activer la surveillance des cas de non-respect des ressources, vous devez disposer d'un rôle IAM dans le dossier Assured Workloads contenant les autorisations suivantes :
assuredworkloads.workload.update: cette autorisation est incluse dans les rôles suivants :- Administrateur Assured Workloads (
roles/assuredworkloads.admin) - Éditeur Assured Workloads (
roles/assuredworkloads.editor)
- Administrateur Assured Workloads (
resourcemanager.folders.setIamPolicy: cette autorisation est incluse dans les rôles d'administrateur, tels que les suivants :- Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin) - Administrateur de sécurité (
roles/iam.securityAdmin)
- Administrateur de l'organisation (
Pour fournir des exceptions en cas de non-respect de la conformité, vous devez disposer d'un rôle IAM sur le dossier Assured Workloads contenant l'autorisation suivante :
assuredworkloads.violations.update: cette autorisation est incluse dans les rôles suivants :- Administrateur Assured Workloads (
roles/assuredworkloads.admin) - Éditeur Assured Workloads (
roles/assuredworkloads.editor)
- Administrateur Assured Workloads (
De plus, pour résoudre les cas de non-respect des règles d'administration et pour afficher les journaux d'audit, les rôles IAM suivants doivent être attribués :
- Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin) - Lecteur de journaux (
roles/logging.viewer)
Configurer les notifications par e-mail pour violation des règles
Lorsqu'une violation de conformité se produit ou est résolue au niveau de l'organisation, ou lorsqu'une exception est générée, les membres de la catégorie Mentions légales dans les Contacts essentiels reçoivent un e-mail par défaut. Ce comportement est nécessaire, car votre équipe juridique doit être tenue informée de tout problème de conformité réglementaire.
L'équipe chargée de gérer les cas de non-respect (équipe de sécurité ou autre) doit également être ajoutée à la catégorie "Juridique" en tant que contact. Ainsi, elle reçoit des notifications par e-mail à mesure que des modifications sont apportées.
Activer ou désactiver les notifications
Pour activer ou désactiver les notifications pour un dossier Assured Workloads spécifique :
Accédez à la page Assured Workloads dans la console Google Cloud :
Dans la colonne Nom, cliquez sur le nom du dossier Assured Workloads dont vous souhaitez modifier les paramètres de notification.
Dans la fiche Surveillance Assured Workloads, décochez la case Activer les notifications pour désactiver les notifications ou cochez-la pour les activer pour le dossier.
Sur la page Dossiers Assured Workloads, les dossiers pour lesquels les notifications sont désactivées affichent Notifications par e-mail pour la surveillance désactivées.
Afficher les cas de violation des règles dans votre organisation
Vous pouvez afficher les violations dans votre organisation à la fois dans la consoleGoogle Cloud et dans gcloud CLI.
Console
Vous pouvez consulter le nombre de violations dans votre organisation sur la page Assured Workloads de la section Conformité de la consoleGoogle Cloud ou sur la page Surveillance de la section Conformité.
Page Assured Workloads
Accédez à la page Assured Workloads pour afficher les cas de non-respect en un coup d'œil :
En haut de la page, un récapitulatif des cas de non-respect des règles d'administration et des ressources s'affiche. Cliquez sur le lien Afficher pour accéder à la page Monitoring.
Pour chaque dossier Assured Workloads de la liste, les éventuels cas de non-respect sont indiqués dans les colonnes Cas de non-respect des règles d'administration et Non-conformité des ressources. L'icône est active pour les cas de non-respect non résolus, et l'icône est active pour les exceptions. Vous pouvez sélectionner un cas de non-respect ou une exception pour en savoir plus.
Si la surveillance des cas de non-conformité des ressources n'est pas activée pour un dossier, l'icône est active dans la colonne Mises à jour et le lien Activer la surveillance des cas de non-conformité des ressources s'affiche. Cliquez sur le lien pour activer la fonctionnalité. Vous pouvez également l'activer en cliquant sur le bouton Activer sur la page d'informations du dossier Assured Workloads.
Page de surveillance
Accédez à la page Monitoring pour afficher plus en détail les cas de non-respect :
Deux onglets s'affichent : Non-respect des règles d'administration et Non-conformité des ressources. Si plusieurs cas de non-respect non résolus existent, l'icône est active dans l'onglet.
Dans les deux onglets, les cas de non-respect non résolus s'affichent par défaut. Pour en savoir plus, consultez la section Afficher les détails de l'infraction ci-dessous.
CLI gcloud
Pour répertorier les violations de conformité actuels dans votre organisation, exécutez la commande suivante :
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Où :
LOCATION correspond à l'emplacement du dossier Assured Workloads.
ORGANIZATION_ID est l'ID d'organisation à interroger.
WORKLOAD_ID correspond à l'ID de la charge de travail parente, que vous pouvez trouver en listant vos charges de travail.
La réponse inclut les informations suivantes pour chaque cas de violation :
- Lien vers le journal d'audit pour le cas de non-respect.
- La première fois que le non-respect s'est produit.
- Le type de violation.
- Une description de l'infraction présumée
- Nom de la violation, qui peut être utilisé pour obtenir plus d'informations.
- La règle d'administration concernée et la contrainte associée.
- État actuel du non-respect. Les valeurs valides sont "non résolu", "résolu" ou "exception".
Pour les indicateurs facultatifs, consultez la documentation du SDK Cloud.
Voir les détails des infractions
Pour afficher les violations de conformité spécifiques et leurs détails, procédez comme suit :
Console
Dans la console Google Cloud , accédez à la page Monitoring.
Sur la page Surveillance, l'onglet Non-respect des règles d'administration est sélectionné par défaut. Cet onglet affiche toutes les violations non résolues des règles d'administration dans les dossiers Assured Workloads de l'organisation.
L'onglet Non-conformités des ressources affiche toutes les non-conformités non résolues associées à la ressource dans tous les dossiers Assured Workloads de l'organisation.
Dans les deux onglets, utilisez les options de filtres rapides pour filtrer les données par état de non-respect, type de non-respect, type de package de contrôles, type de non-respect, dossiers spécifiques, contraintes spécifiques des règles de l'organisation ou types de ressources spécifiques.
Dans l'un ou l'autre onglet, si des cas de non-respect existent, cliquez sur un ID de non-respect pour afficher des informations plus détaillées.
Sur la page Détails des violations, vous pouvez effectuer les tâches suivantes :
Copiez l'ID de violation des règles.
Affichez le dossier Assured Workloads dans lequel le non-respect a eu lieu et l'heure à laquelle il s'est produit pour la première fois.
Consultez le journal d'audit, qui inclut :
Le moment auquel la violation s'est produite.
La règle qui a été modifiée et l'utilisateur qui a effectué cette modification.
Si une exception a été accordée, l'utilisateur qui l'a accordée.
Le cas échéant, affichez la ressource spécifique sur laquelle la violation s'est produite.
Affichez la règle d'administration concernée.
Affichez et ajoutez des exceptions de non-respect de la conformité. Une liste des exceptions précédentes pour le dossier ou la ressource s'affiche, y compris l'utilisateur qui a accordé l'exception et le motif invoqué par l'utilisateur.
- Suivez la procédure de résolution pour résoudre l'exception.
En cas de non-respect des règles d'administration, vous pouvez également voir les informations suivantes :
- Règle d'administration concernée : pour afficher la règle spécifique associée au non-respect de la conformité, cliquez sur Afficher la règle.
- Cas de non-conformité des ressources enfants : les cas de non-conformité des règles d'administration basées sur les ressources peuvent entraîner des cas de non-conformité des ressources enfants. Pour afficher ou résoudre les cas de non-respect des ressources enfants, cliquez sur l'ID de la violation.
En cas de non-respect des règles concernant les ressources, vous pouvez également voir les informations suivantes :
- Non-respect des règles d'administration parentes : lorsque le non-respect des règles d'administration parentes est à l'origine d'un cas de non-conformité d'une ressource enfant, il doit être résolu au niveau du parent. Pour afficher les détails de la violation parente, cliquez sur Afficher la violation.
- Tous les autres cas de non-conformité liés à la ressource spécifique qui en est la cause sont également visibles.
CLI gcloud
Pour afficher les détails d'une violation de conformité, exécutez la commande suivante :
gcloud assured workloads violations describe VIOLATION_PATH
Où VIOLATION_PATH est au format suivant :
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Le VIOLATION_PATH est renvoyé dans le champ name de la réponse list pour chaque violation.
La réponse inclut les informations suivantes :
Lien vers le journal d'audit pour le cas de non-respect.
La première fois que le non-respect s'est produit.
Le type de violation.
Une description de l'infraction présumée.
La règle d'administration concernée et la contrainte associée.
Procédure de résolution pour résoudre la violation.
État actuel du non-respect. Les valeurs valides sont
unresolved,resolvedouexception.
Pour les indicateurs facultatifs, consultez la documentation du SDK Cloud.
Résoudre les cas de violation
Pour résoudre un problème de violation, procédez comme suit :
Console
Dans la console Google Cloud , accédez à la page Monitoring.
Cliquez sur l'ID de violation pour afficher des informations plus détaillées.
Dans la section correction, suivez les instructions de la console ou de la CLIGoogle Cloud pour résoudre le problème.
CLI gcloud
Afficher les détails de l'infraction à l'aide de la gcloud CLI
Suivez les étapes de résolution dans la réponse pour résoudre la violation.
Ajouter des exceptions de violation
Il arrive qu'un cas de non-respect soit valable dans une situation particulière. Pour ajouter une ou plusieurs exceptions pour une violation, procédez comme suit.
Console
Dans la console Google Cloud , accédez à la page Monitoring.
Dans la colonne ID de la non-conformité, cliquez sur la non-conformité à laquelle vous souhaitez ajouter l'exception.
Dans la section Exceptions, cliquez sur Ajouter.
Saisissez une justification métier pour l'exception. Si vous souhaitez que l'exception s'applique à toutes les ressources enfants, cochez la case Appliquer à tous les cas de non-conformité des ressources enfants, puis cliquez sur Envoyer.
Vous pouvez ajouter d'autres exceptions si nécessaire en répétant ces étapes et en cliquant sur Ajouter.
L'état de violation est désormais Exception.
CLI gcloud
Pour ajouter une exception pour une violation, exécutez la commande suivante :
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Où BUSINESS_JUSTIFICATION correspond à la raison de l'exception et VIOLATION_PATH est au format suivant :
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Le VIOLATION_PATH est renvoyé dans le champ name de la réponse list pour chaque violation.
Une fois la commande envoyée, l'état de violation est défini sur Exception.
Non-respect des règles d'administration surveillé
Assured Workloads surveille différentes violations des contraintes de règles d'administration, en fonction du package de contrôles appliqué à votre dossier Assured Workloads. Utilisez la liste suivante pour filtrer les cas de non-respect par package de contrôles concerné.
| Contrainte liée aux règles d'administration | Type de violation | Description | Packages de contrôle concernés | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Accès non conforme aux données Cloud SQL | Accès |
Se produit lorsqu'un accès non conforme à des données de diagnostic Cloud SQL non conformes est autorisé. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte
|
|
||||||||||||||||||||||||||||||||||||||
| Accès non conforme aux données Compute Engine | Accès |
Se produit lorsqu'un accès non conforme aux données de l'instance Compute Engine est autorisé. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Types d'authentification Cloud Storage non conformes | Accès |
Se produit lorsque des types d'authentification non conformes sont autorisés pour une utilisation avec Cloud Storage. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Accès non conforme aux buckets Cloud Storage | Accès |
Se produit lorsqu'un accès non uniforme non conforme au niveau du bucket à Cloud Storage est autorisé. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Accès non conforme aux données GKE | Accès |
Se produit lorsqu'un accès non conforme aux données de diagnostic GKE est autorisé. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Fonctionnalités de diagnostic Compute Engine non conformes | Configuration |
Se produit lorsque des fonctionnalités de diagnostic Compute Engine non conformes ont été activées. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Paramètre d'équilibrage de charge global Compute Engine non conforme | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour le paramètre d'équilibrage de charge global dans Compute Engine. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Paramètre FIPS de Compute Engine non conforme | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour le paramètre FIPS dans Compute Engine. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Paramètre SSL Compute Engine non conforme | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour les certificats autogérés mondiaux. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Paramètre SSH de Compute Engine non conforme dans les paramètres du navigateur | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour la fonctionnalité SSH dans le navigateur dans Compute Engine. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Création de ressources Cloud SQL non conformes | Configuration |
Se produit lorsque la création de ressources Cloud SQL non conformes est autorisée. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Restriction de clé Cloud KMS manquante | Chiffrement |
Se produit lorsqu'aucun projet n'est spécifié pour fournir des clés de chiffrement pour CMEK . Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Service non CMEK non conforme | Chiffrement |
Se produit lorsqu'un service non compatible avec CMEK est activé pour la charge de travail. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Niveaux de protection Cloud KMS non conformes | Chiffrement |
Se produit lorsque des niveaux de protection non conformes sont spécifiés pour être utilisés avec Cloud Key Management Service (Cloud KMS). Pour en savoir plus, consultez la référence Cloud KMS . Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Emplacements de ressources non conformes | Emplacement de la ressource |
Se produit lorsque des ressources de services compatibles pour un package de contrôles Assured Workloads donné sont créées en dehors de la région autorisée pour la charge de travail ou sont déplacées d'un emplacement autorisé vers un emplacement non autorisé.
Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte
|
|
||||||||||||||||||||||||||||||||||||||
| Services non conformes | Utilisation du service |
Se produit lorsqu'un utilisateur active un service non compatible avec un package de contrôle Assured Workloads donné dans un dossier Assured Workloads. Cette violation est due à la modification de la valeur compliant du package de contrôles pour la contrainte |
|
Cas de non-conformité des ressources surveillées
Assured Workloads surveille différents cas de non-respect des ressources, en fonction du package de contrôle appliqué à votre dossier Assured Workloads. Pour savoir quels types de ressources sont surveillés, consultez Types de ressources compatibles dans la documentation inventaire des éléments cloud. Utilisez la liste suivante pour filtrer les cas de non-respect par package de contrôles concerné :
| Contrainte liée aux règles d'administration | Description | Packages de contrôle concernés | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Emplacement de ressource non conforme |
Se produit lorsque l'emplacement d'une ressource se trouve dans une région non conforme. Ce non-respect est dû à la contrainte
|
|
|||||||||||||||||||||||||||||||||||||
| Ressources non conformes dans le dossier |
Se produit lorsqu'une ressource pour un service non compatible est créée dans le dossier Assured Workloads. Ce non-respect est dû à la contrainte
|
|
|||||||||||||||||||||||||||||||||||||
| Ressources non chiffrées (non CMEK) |
Se produit lorsqu'une ressource est créée sans chiffrement CMEK pour un service qui nécessite ce type de chiffrement. Ce non-respect est dû à la contrainte
|
|
Étapes suivantes
- Comprendre les packages de contrôles pour Assured Workloads.
- Découvrez les produits compatibles avec chaque package de contrôles.