Monitorare i framework di Assured Workloads
Assured Workloads monitora attivamente i deployment dei framework per rilevare violazioni della conformità confrontando i requisiti di un limite dei dati di cui è stato eseguito il deployment con la cartella o il progetto a cui è assegnato. Quando la cartella o il progetto si discosta da uno o più requisiti di controllo cloud del limite dei dati, si verifica una violazione. I tipi di violazione includono:
- Località: si verifica una violazione quando una risorsa secondaria in una cartella o un progetto assegnato viene
sottoposta a deployment in una località non conforme. Questa violazione può
verificarsi modificando un valore predefinito per il controllo cloud Limitare le località delle risorse
per un determinato framework, che viene mappato al
gcp.resourceLocationsvincolo della policy dell'organizzazione. - Utilizzo del servizio: si verifica una violazione quando un endpoint di servizio non conforme
(ad esempio
compute.googleapis.com) viene abilitato in una cartella o un progetto assegnato. Questa violazione può verificarsi se modifichi il valore predefinito per il controllo cloud Limitare l'utilizzo del servizio per un determinato framework, che viene mappato algcp.restrictServiceUsagevincolo della policy dell'organizzazione. - Crittografia: alcuni limiti dei dati richiedono che le
chiavi di crittografia gestite dal cliente siano impostate su un insieme specifico di
endpoint di servizio. Per applicare questo requisito, viene applicato il controllo cloud Applicare CMEK per i servizi supportati. Se aggiungi servizi non conformi o rimuovi servizi esistenti o obbligatori da questo controllo cloud, si verifica una violazione. Questa violazione viene mappata al
gcp.restrictNonCmekServicesvincolo della policy dell'organizzazione. - Accesso: alcuni limiti dei dati richiedono Access Approval o Access Transparency, che insieme ti aiutano ad autorizzare le richieste del personale Google di accedere ai dati dei clienti e a determinare quando e perché è stato eseguito l'accesso a questi dati. Quando modifichi questi controlli cloud, ad esempio modificando i valori predefiniti per il controllo cloud Abilitare Access Transparency, puoi causare una violazione.
- Configurazione: la modifica del valore di un controllo cloud a un valore non conforme può causare una violazione.
Quando si verifica una violazione, puoi risolverla o creare eccezioni, se necessario. Una violazione può avere uno dei tre stati seguenti:
- Non risolta: la violazione non è stata risolta o è stata concessa un'eccezione prima che venissero apportate modifiche non conformi alla cartella o alla risorsa.
- Risolta: la violazione è stata risolta seguendo i passaggi per risolvere il problema.
- Eccezione: alla violazione è stata concessa un'eccezione ed è stata fornita una giustificazione aziendale.
Il monitoraggio viene abilitato automaticamente quando applichi un framework di Assured Workloads a una risorsa.
Visualizzare le violazioni nella tua organizzazione
Per visualizzare violazioni della conformità specifiche e i relativi dettagli:
Nella Google Cloud console, vai alla pagina Monitoring.
Se ti viene richiesto, seleziona la tua organizzazione.
Fai clic sulla scheda Violazioni di Assured Workloads. Vengono visualizzate due schede: Violazioni delle policy dell'organizzazione e Violazioni delle risorse. Se esiste più di una violazione non risolta, l' icona è attiva nella scheda.
Per impostazione predefinita, è selezionata la scheda Violazioni delle policy dell'organizzazione. Questa scheda mostra tutte le violazioni delle policy dell'organizzazione non risolte nelle cartelle o nei progetti dei framework di Assured Workloads dell'organizzazione.
La scheda Violazioni delle risorse mostra tutte le violazioni non risolte associate alla risorsa in tutte le cartelle o i progetti dei framework di Assured Workloads dell'organizzazione.
Per entrambe le schede, utilizza le opzioni Filtri rapidi per filtrare in base a stato della violazione, tipo di violazione, assegnazione, framework interessati, controllo delle policy dell'organizzazione o tipi di risorse specifici.
Per entrambe le schede, se esistono violazioni, fai clic su un ID violazione per visualizzare informazioni più dettagliate.
Nella pagina Dettagli violazione puoi eseguire le seguenti attività:
Copia l'ID violazione.
Visualizza la risorsa del framework di Assured Workloads in cui si è verificata la violazione e quando si è verificata per la prima volta.
Visualizza l'audit log, che include:
Quando si è verificata la violazione.
Quale policy è stata modificata per causare la violazione e quale utente ha apportato la modifica.
Se è stata concessa un'eccezione, quale utente l'ha concessa.
Se applicabile, visualizza la risorsa specifica in cui si è verificata la violazione.
Visualizza la policy dell'organizzazione interessata.
Visualizza e aggiungi eccezioni per le violazioni della conformità. Vengono elencate le eccezioni precedenti per la risorsa. Queste eccezioni includono l'utente che ha concesso l'eccezione, la giustificazione fornita dall'utente e l'ora in cui è stata concessa.
Segui i passaggi di correzione per risolvere l'eccezione.
Per le violazioni delle policy dell'organizzazione, puoi anche visualizzare quanto segue:
- Policy dell'organizzazione interessata: per visualizzare la policy associata alla violazione della conformità, fai clic su Visualizza policy.
- Violazioni delle risorse secondarie: le violazioni delle policy dell'organizzazione basate sulle risorse possono causare violazioni delle risorse secondarie. Per visualizzare o risolvere le violazioni delle risorse secondarie, fai clic su ID violazione.
Per le violazioni delle risorse, puoi anche visualizzare quanto segue:
- Violazioni delle policy dell'organizzazione principale: quando le violazioni delle policy dell'organizzazione principale sono la causa di una violazione delle risorse secondarie, devono essere risolte prima a livello secondario. Una volta risolta la violazione delle risorse secondarie, risolvi la violazione delle policy dell'organizzazione principale. Per visualizzare i dettagli della violazione, fai clic su Visualizza violazione.
- Sono visibili anche altre violazioni della risorsa specifica che causa la violazione della risorsa.
Risolvere le violazioni
Per correggere una violazione:
Nella Google Cloud console, vai alla pagina Monitoring.
Se ti viene richiesto, seleziona la tua organizzazione.
Fai clic sulla scheda Violazioni di Assured Workloads. Vengono visualizzate due schede: Violazioni delle policy dell'organizzazione e Violazioni delle risorse. Se esiste più di una violazione non risolta, l' icona è attiva nella scheda. Fai clic sulla scheda per cui vuoi visualizzare le violazioni.
Fai clic su ID violazione per visualizzare informazioni più dettagliate.
Nella sezione Correzione, segui le istruzioni per risolvere il problema.
Aggiungere eccezioni per le violazioni
A volte una violazione potrebbe essere valida per una situazione particolare. Puoi aggiungere una o più eccezioni per una violazione seguendo questi passaggi.
Nella Google Cloud console, vai alla pagina Monitoring.
Se ti viene richiesto, seleziona la tua organizzazione.
Fai clic sulla scheda Violazioni di Assured Workloads. Vengono visualizzate due schede: Violazioni delle policy dell'organizzazione e Violazioni delle risorse. Se esiste più di una violazione non risolta, l' icona è attiva nella scheda.
Per impostazione predefinita, è selezionata la scheda Violazioni delle policy dell'organizzazione. Questa scheda mostra tutte le violazioni delle policy dell'organizzazione non risolte nelle cartelle o nei progetti dei framework di Assured Workloads dell'organizzazione.
La scheda Violazioni delle risorse mostra tutte le violazioni non risolte associate alla risorsa in tutte le cartelle o i progetti dei framework di Assured Workloads dell'organizzazione.
Fai clic sulla scheda per cui vuoi visualizzare le violazioni.
Nella colonna ID violazione, fai clic sulla violazione a cui vuoi aggiungere l'eccezione.
Nella sezione Eccezioni, fai clic su Aggiungi nuova.
Inserisci una giustificazione aziendale per l'eccezione. Se vuoi che l'eccezione si applichi a tutte le risorse secondarie, seleziona la casella di controllo Applica a tutte le violazioni delle risorse secondarie esistenti e fai clic su Invia.
Per aggiungere altre eccezioni, ripeti questi passaggi.
Lo stato della violazione è ora impostato su Eccezione.
Passaggi successivi
- Scopri i framework e i limiti dei dati disponibili per Assured Workloads.
- Scopri quali prodotti sono supportati per ogni limite dei dati.