Surveiller les frameworks Assured Workloads

Assured Workloads surveille activement vos déploiements de frameworks pour détecter les cas de non-respect de la conformité en comparant les exigences d'une limite de données déployée au dossier ou au projet auquel elle est attribuée. Une infraction est constatée lorsque votre dossier ou projet s'éloigne d'une ou de plusieurs exigences de contrôle cloud des limites de données. Voici quelques exemples de types de non-respect :

  • Emplacement : une infraction se produit lorsqu'une ressource enfant d'un dossier ou d'un projet attribué est déployée dans un emplacement non conforme. Cette violation peut se produire en modifiant une valeur par défaut pour le contrôle cloud Restreindre les emplacements des ressources d'un framework donné, qui est mappé à la contrainte de règle d'administration gcp.resourceLocations.
  • Utilisation du service : une utilisation non conforme du service se produit lorsqu'un point de terminaison de service non conforme (tel que compute.googleapis.com) est activé dans un dossier ou un projet attribué. Cette violation peut se produire si vous modifiez la valeur par défaut du contrôle cloud Restreindre l'utilisation du service pour un framework donné, qui est mappé à la contrainte de règle d'administration gcp.restrictServiceUsage.
  • Chiffrement : certaines limites de données nécessitent que les clés de chiffrement gérées par le client soient définies sur un ensemble spécifique de points de terminaison de service. Pour appliquer cette exigence, le contrôle cloud Appliquer CMEK pour les services compatibles est appliqué. Si vous ajoutez des services non conformes ou supprimez des services existants ou requis de ce contrôle cloud, cela constitue un non-respect. Ce non-respect est associé à la contrainte de règle d'administration gcp.restrictNonCmekServices.
  • Accès : certaines limites de données nécessitent Access Approval ou Access Transparency. Ces deux fonctionnalités vous aident à autoriser les demandes d'accès aux données client envoyées par le personnel Google et à déterminer quand et pourquoi ces données ont été consultées. Lorsque vous modifiez ces contrôles cloud, par exemple en changeant les valeurs par défaut du contrôle cloud Activer Access Transparency, vous pouvez entraîner une infraction.
  • Configuration : si vous modifiez la valeur d'un contrôle cloud en lui attribuant une valeur non conforme, cela peut entraîner une violation.

En cas de non-respect des règles, vous pouvez résoudre le problème ou créer des exceptions, le cas échéant. Une violation des règles peut avoir l'un des trois états suivants :

  • Non résolu : le non-respect n'a pas été corrigé ou une exception avait été accordée avant que des modifications non conformes soient apportées au dossier ou à la ressource.
  • Résolu : le problème a été résolu en suivant les étapes pour résoudre le problème.
  • Exception : la violation a fait l'objet d'une exception et une justification de l'entreprise a été fournie.

La surveillance est automatiquement activée lorsque vous appliquez un framework Assured Workloads à une ressource.

Afficher les cas de violation des règles dans votre organisation

Pour afficher les violations de conformité spécifiques et leurs détails, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Monitoring.

    Accéder à Monitoring

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. Cliquez sur l'onglet Infractions liées à Assured Workloads. Deux onglets s'affichent : Non-respect des règles d'administration et Non-conformité des ressources. Si plusieurs cas de non-respect non résolus existent, l'icône  est active dans l'onglet.

    L'onglet Non-respect des règles d'administration est sélectionné par défaut. Cet onglet affiche toutes les violations non résolues des règles de l'organisation dans les dossiers ou projets des frameworks Assured Workloads de l'organisation.

    L'onglet Non-respect des règles concernant les ressources affiche toutes les non-conformités non résolues associées à la ressource dans tous les dossiers ou projets de frameworks Assured Workloads de l'organisation.

  4. Dans les deux onglets, utilisez les options Filtres rapides pour filtrer les données par état de non-respect, type de non-respect, attribution, frameworks concernés, contrôle des règles de l'organisation ou types de ressources spécifiques.

  5. Dans l'un ou l'autre des onglets, si des cas de non-respect existent, cliquez sur un ID de non-respect pour afficher des informations plus détaillées.

Sur la page Détails des violations, vous pouvez effectuer les tâches suivantes :

  • Copiez l'ID de violation des règles.

  • Affichez la ressource du framework Assured Workloads où le non-respect s'est produit et la date de la première occurrence.

  • Consultez le journal d'audit, qui inclut les éléments suivants :

    • Le moment auquel la violation s'est produite.

    • La règle qui a été modifiée et qui a entraîné le non-respect, ainsi que l'utilisateur qui a effectué cette modification.

    • Si une exception a été accordée, l'utilisateur qui l'a accordée.

    • Le cas échéant, affichez la ressource spécifique sur laquelle la violation s'est produite.

  • Affichez la règle d'administration concernée.

  • Affichez et ajoutez des exceptions de non-respect de la conformité. Les exceptions précédentes pour la ressource sont listées. Ces exceptions incluent l'utilisateur qui a accordé l'exception, le motif invoqué par l'utilisateur et l'heure à laquelle elle a été accordée.

  • Suivez la procédure de résolution pour résoudre l'exception.

En cas de non-respect des règles d'administration, vous pouvez également voir les informations suivantes :

  • Règle d'administration concernée : pour afficher la règle associée au non-respect de la conformité, cliquez sur Afficher la règle.
  • Cas de non-conformité des ressources enfants : les cas de non-conformité des règles d'administration basées sur les ressources peuvent entraîner des cas de non-conformité des ressources enfants. Pour afficher ou résoudre les cas de non-respect des ressources enfants, cliquez sur l'ID du cas de non-respect.

En cas de non-respect des règles concernant les ressources, vous pouvez également voir les informations suivantes :

  • Non-respect des règles d'administration parentes : lorsque le non-respect des règles d'administration parentes est à l'origine d'un cas de non-conformité d'une ressource enfant, vous devez d'abord résoudre le problème au niveau de l'enfant. Une fois le cas de non-respect des règles concernant la ressource enfant résolu, résolvez celui concernant la règle d'administration parente. Pour afficher les détails de l'infraction, cliquez sur Afficher l'infraction.
  • Tous les autres cas de non-conformité liés à la ressource spécifique qui est à l'origine de la non-conformité de la ressource sont également visibles.

Résoudre les cas de non-respect

Pour résoudre un problème de violation, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Monitoring.

    Accéder à Monitoring

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. Cliquez sur l'onglet Infractions liées à Assured Workloads. Deux onglets s'affichent : Non-respect des règles d'administration et Non-conformité des ressources. Si plusieurs cas de non-respect non résolus existent, l'icône  est active dans l'onglet. Cliquez sur l'onglet pour lequel vous souhaitez afficher les cas de non-respect.

  4. Cliquez sur l'ID de la violation pour afficher des informations plus détaillées.

  5. Dans la section Solution, suivez les instructions pour résoudre le problème.

Ajouter des exceptions de violation

Il arrive qu'un cas de non-respect soit valable dans une situation particulière. Pour ajouter une ou plusieurs exceptions pour une violation, procédez comme suit.

  1. Dans la console Google Cloud , accédez à la page Monitoring.

    Accéder à Monitoring

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. Cliquez sur l'onglet Infractions liées à Assured Workloads. Deux onglets s'affichent : Non-respect des règles d'administration et Non-conformité des ressources. Si plusieurs cas de non-respect non résolus existent, l'icône  est active dans l'onglet.

    L'onglet Non-respect des règles d'administration est sélectionné par défaut. Cet onglet affiche toutes les violations non résolues des règles de l'organisation dans les dossiers ou projets des frameworks Assured Workloads de l'organisation.

    L'onglet Non-respect des règles concernant les ressources affiche toutes les non-conformités non résolues associées à la ressource dans tous les dossiers ou projets de frameworks Assured Workloads de l'organisation.

    Cliquez sur l'onglet pour lequel vous souhaitez afficher les cas de non-respect.

  4. Dans la colonne ID de la non-conformité, cliquez sur la non-conformité pour laquelle vous souhaitez ajouter une exception.

  5. Dans la section Exceptions, cliquez sur Ajouter.

  6. Saisissez une justification métier pour l'exception. Si vous souhaitez que l'exception s'applique à toutes les ressources enfants, cochez la case Appliquer à tous les cas de non-conformité des ressources enfants, puis cliquez sur Envoyer.

  7. Pour ajouter d'autres exceptions, répétez ces étapes.

L'état de violation est désormais Exception.

Étapes suivantes