מעקב אחרי מסגרות Assured Workloads

ב-Assured Workloads מתבצע מעקב פעיל אחרי פריסות של מסגרות כדי לזהות הפרות של דרישות התאימות. המערכת משווה בין הדרישות של גבולות הנתונים שנפרסו לבין התיקייה או הפרויקט שאליהם הם משויכים. כשתיקייה או פרויקט חורגים מאחת או יותר מהדרישות של אמצעי הבקרה בענן של גבול הנתונים, מתרחשת הפרה. סוגי ההפרות כוללים את ההפרות הבאות:

  • מיקום: אם משאב צאצא בתיקייה או בפרויקט שהוקצו לו כללים נפרסים במיקום שלא עומד בדרישות, מתרחשת הפרה. ההפרה הזו יכולה להתרחש אם משנים את ערך ברירת המחדל של אמצעי הבקרה בענן Restrict Resource Locations (הגבלת מיקומי משאבים) עבור מסגרת נתונה, שממופה לאילוץ של מדיניות הארגון gcp.resourceLocations.
  • שימוש בשירות: אם נקודת קצה של שירות שלא עומדת בדרישות (למשל compute.googleapis.com) מופעלת בתיקייה או בפרויקט שהוקצו, תתרחש הפרה. ההפרה הזו יכולה להתרחש אם משנים את ערך ברירת המחדל של אמצעי הבקרה בענן Restrict Service Usage (הגבלת השימוש בשירות) עבור מסגרת נתונה, שממופה לאילוץ של מדיניות הארגון gcp.restrictServiceUsage.
  • הצפנה: בחלק מגבולות הנתונים נדרשת הגדרה של מפתחות הצפנה בניהול הלקוח עבור קבוצה ספציפית של נקודות קצה של שירותים. כדי לאכוף את הדרישה הזו, מוחל אמצעי הבקרה בענן Enforce CMEK for Supported Services (אכיפת CMEK בשירותים נתמכים). אם מוסיפים שירותים שלא עומדים בדרישות או מסירים שירותים קיימים או נדרשים מהבקרה הזו בענן, תתרחש הפרה. ההפרה הזו ממופה לאילוץ מדיניות הארגון gcp.restrictNonCmekServices.
  • גישה: חלק מהגבולות של הנתונים דורשים אישור גישה או Access Transparency, שביחד עוזרים לכם לאשר בקשות של צוות Google לגשת לנתוני הלקוח ולקבוע מתי ולמה בוצעה גישה לנתונים כאלה. כשמשנים את אמצעי הבקרה האלה בענן, למשל על ידי שינוי ערכי ברירת המחדל של אמצעי הבקרה בענן הפעלת Access Transparency, יכולה להתרחש הפרה.
  • הגדרה: שינוי של ערך של אמצעי בקרה בענן לערך שלא עומד בדרישות יכול לגרום להפרה.

כשמתרחשת הפרה, אתם יכולים לפתור אותה או ליצור חריגים במקרים המתאימים. להפרה יכול להיות אחד משלושת הסטטוסים הבאים:

  • לא נפתרה: לא טופלה ההפרה, או שבעבר ניתנה לה חריגה לפני שבוצעו שינויים בתיקייה או במשאב שלא עומדים בדרישות.
  • הבעיה נפתרה: בוצעו השלבים לפתרון הבעיה.
  • חריג: אושר חריג להפרה, וסופקה הצדקה עסקית.

המעקב מופעל באופן אוטומטי כשמחילים מסגרת של Assured Workloads על משאב.

הצגת הפרות בארגון

כדי לראות הפרות ספציפיות של תאימות ואת הפרטים שלהן:

  1. נכנסים לדף Monitoring במסוף Google Cloud .

    מעבר למעקב

  2. אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.

  3. לוחצים על הכרטיסייה Assured Workloads Violations (הפרות של עומסי עבודה מאובטחים). מוצגות שתי כרטיסיות: הפרות של מדיניות הארגון והפרות של משאבים. אם יש יותר מהפרה אחת שלא נפתרה, הסמל פעיל בכרטיסייה.

    הכרטיסייה הפרות מדיניות של הארגון מסומנת כברירת מחדל. בכרטיסייה הזו מוצגות כל ההפרות של מדיניות הארגון שלא נפתרו בתיקיות או בפרויקטים של מסגרות Assured Workloads בארגון.

    בכרטיסייה Resource Violations מוצגות כל ההפרות שלא נפתרו שמשויכות למשאב בכל התיקיות או הפרויקטים של מסגרות Assured Workloads בארגון.

  4. בכל אחת מהכרטיסיות, אפשר להשתמש באפשרויות של מסננים מהירים כדי לסנן לפי סטטוס ההפרה, סוג ההפרה, ההקצאה, המסגרות המושפעות, אמצעי הבקרה של מדיניות הארגון או סוגי משאבים ספציפיים.

  5. בכל אחת מהכרטיסיות, אם יש הפרות קיימות, לוחצים על מזהה ההפרה כדי לראות מידע מפורט יותר.

בדף פרטי ההפרה אפשר לבצע את המשימות הבאות:

  • מעתיקים את מזהה ההפרה.

  • לראות את המשאב של מסגרת Assured Workloads שבו התרחשה ההפרה, ומתי היא התרחשה לראשונה.

  • צפייה ביומן הביקורת, שכולל את הפרטים הבאים:

    • מתי ההפרה התרחשה.

    • איזו מדיניות שונתה וגרמה להפרה, ואיזה משתמש ביצע את השינוי הזה.

    • אם אושרה חריגה, מי המשתמש שאשר אותה.

    • במקרים הרלוונטיים, אפשר לראות את המשאב הספציפי שבו התרחשה ההפרה.

  • צפייה במדיניות הארגון שהושפעה.

  • צפייה בחריגים להפרות של דרישות התאימות והוספה של חריגים. מוצגות חריגות קודמות לגבי המשאב. החריגים האלה כוללים את המשתמש שהעניק את החריג, את ההצדקה שסופקה על ידי המשתמש ואת השעה שבה החריג הוענק.

  • פועלים לפי השלבים לפתרון הבעיה כדי לפתור את החריגה.

במקרה של הפרות של מדיניות הארגון, אפשר לראות גם את הפרטים הבאים:

  • מדיניות הארגון שהושפעה: כדי לראות את המדיניות שמשויכת להפרת התאימות, לוחצים על הצגת המדיניות.
  • הפרות במשאבי צאצא: הפרות של מדיניות הארגון שמבוססת על משאבים עלולות לגרום להפרות במשאבי צאצא. כדי לראות או לפתור הפרות של משאבי ילדים, לוחצים על מזהה ההפרה.

במקרה של הפרות שקשורות למשאבים, אפשר לראות גם את הפרטים הבאים:

  • הפרות של מדיניות הארגון ברמת ההורה: אם הפרות של מדיניות הארגון ברמת ההורה הן הגורם להפרה של משאב צאצא, צריך לטפל בהן קודם ברמת הצאצא. אחרי שפותרים את ההפרה של מדיניות הארגון במשאב הצאצא, פותרים את ההפרה של מדיניות הארגון במשאב ההורה. כדי לראות את פרטי ההפרה, לוחצים על הצגת ההפרה.
  • בנוסף, מוצגות הפרות אחרות במשאב הספציפי שגורמות להפרה של המשאב.

פתרון בעיות שקשורות להפרות

כדי לפתור הפרה, מבצעים את השלבים הבאים:

  1. נכנסים לדף Monitoring במסוף Google Cloud .

    מעבר למעקב

  2. אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.

  3. לוחצים על הכרטיסייה Assured Workloads Violations (הפרות של עומסי עבודה מאובטחים). מוצגות שתי כרטיסיות: הפרות של מדיניות הארגון והפרות של משאבים. אם יש יותר מהפרה אחת שלא נפתרה, הסמל פעיל בכרטיסייה. לוחצים על הכרטיסייה שרוצים לראות את ההפרות שלה.

  4. לוחצים על מזהה ההפרה כדי לראות מידע מפורט יותר.

  5. בקטע פתרון, פועלים לפי ההוראות כדי לטפל בבעיה.

הוספת חריגים להפרות

לפעמים הפרה מסוימת עשויה להיות תקפה במצב מסוים. כדי להוסיף חריגה אחת או יותר להפרה, פועלים לפי השלבים הבאים.

  1. נכנסים לדף Monitoring במסוף Google Cloud .

    מעבר למעקב

  2. אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.

  3. לוחצים על הכרטיסייה Assured Workloads Violations (הפרות של עומסי עבודה מאובטחים). מוצגות שתי כרטיסיות: הפרות של מדיניות הארגון והפרות של משאבים. אם יש יותר מהפרה אחת שלא נפתרה, הסמל פעיל בכרטיסייה.

    הכרטיסייה הפרות מדיניות של הארגון מסומנת כברירת מחדל. בכרטיסייה הזו מוצגות כל ההפרות של מדיניות הארגון שלא נפתרו בתיקיות או בפרויקטים של מסגרות Assured Workloads בארגון.

    בכרטיסייה Resource Violations מוצגות כל ההפרות שלא נפתרו שמשויכות למשאב בכל התיקיות או הפרויקטים של מסגרות Assured Workloads בארגון.

    לוחצים על הכרטיסייה שרוצים לראות את ההפרות שלה.

  4. בעמודה מספר הפרה, לוחצים על ההפרה שרוצים להוסיף לה את החריג.

  5. בקטע חריגים, לוחצים על הוספת חריג חדש.

  6. מזינים הצדקה עסקית לחריגה. אם רוצים שהחריגה תחול על כל משאבי הצאצא, מסמנים את התיבה החלת החריגה על כל ההפרות הקיימות של משאבי צאצא ולוחצים על שליחה.

  7. כדי להוסיף עוד חריגים, חוזרים על השלבים האלה.

סטטוס ההפרה משתנה לחריגה.

המאמרים הבאים