Monitorar frameworks do Assured Workloads
O Assured Workloads monitora ativamente as implantações de framework para detectar violações de conformidade. Para isso, ele compara os requisitos de um limite de dados implantado com a pasta ou o projeto a que ele está atribuído. Quando sua pasta ou projeto se desvia de um ou mais requisitos de controle na nuvem do limite de dados, ocorre uma violação. Os tipos de violação incluem:
- Local: quando um recurso filho em uma pasta ou projeto atribuído é
implantado em um local não compatível, ocorre uma violação. Essa violação pode ocorrer ao modificar um valor padrão para o controle de nuvem Restringir locais de recursos de uma determinada estrutura, que é mapeada para a restrição de política da organização
gcp.resourceLocations. - Uso do serviço: quando um endpoint de serviço não compatível (como
compute.googleapis.com) é ativado em uma pasta ou projeto atribuído, ocorre uma violação. Essa violação pode ocorrer se você modificar o valor padrão do controle de nuvem Restringir o uso do serviço para uma determinada estrutura, que é mapeada para a restrição de política da organizaçãogcp.restrictServiceUsage. - Criptografia: algumas fronteiras de dados exigem chaves de criptografia gerenciadas pelo cliente definidas para um conjunto específico de endpoints de serviço. Para aplicar esse requisito, o controle na nuvem Aplicar CMEK para serviços compatíveis é usado. Se você adicionar serviços não compatíveis ou remover serviços atuais ou necessários desse controle na nuvem, uma violação vai ocorrer. Essa violação é mapeada para a restrição de política da organização
gcp.restrictNonCmekServices. - Acesso: algumas fronteiras de dados exigem aprovação de acesso ou transparência no acesso, que juntas ajudam você a autorizar solicitações da equipe do Google para acessar os dados do cliente e determinar quando e por que esses dados foram acessados. Ao modificar esses controles de nuvem, por exemplo, mudando os valores padrão do controle de nuvem Ativar a transparência no acesso, você pode causar uma violação.
- Configuração: mudar um valor de controle da nuvem para um valor não compatível pode causar uma violação.
Quando uma violação ocorre, você pode resolver ou criar exceções para ela quando apropriado. Uma violação pode ter um dos três status a seguir:
- Não resolvida:a violação não foi abordada ou recebeu uma exceção antes de serem feitas mudanças não conformes na pasta ou no recurso.
- Resolvida: a violação foi resolvida seguindo as etapas para corrigir o problema.
- Exceção: uma exceção foi concedida à violação, e uma justificativa comercial foi informada.
O monitoramento é ativado automaticamente quando você aplica uma estrutura do Assured Workloads a um recurso.
Acessar violações na sua organização
Para acessar violações de compliance específicas e os detalhes delas, siga estas etapas:
No console do Google Cloud , acesse a página Monitoring.
Se solicitado, selecione a organização.
Clique na guia Violações do Assured Workloads. Duas guias são mostradas: Violações da política da organização e Violações de recursos. Se houver mais de uma violação não resolvida, o ícone vai estar ativo na guia.
A guia Violações da política da organização é selecionada por padrão. Essa guia mostra todas as violações não resolvidas da política da organização em pastas ou projetos de frameworks do Assured Workloads na organização.
A guia Violações de recursos mostra todas as violações não resolvidas associadas ao recurso em todas as pastas ou projetos de frameworks do Assured Workloads na organização.
Em qualquer uma das guias, use as opções de Filtros rápidos para filtrar por status da violação, tipo de violação, atribuição, frameworks afetados, controle da política da organização ou tipos de recursos específicos.
Em qualquer uma das guias, se houver violações, clique em um ID para acessar informações mais detalhadas.
Na página Detalhes da violação, é possível realizar as seguintes tarefas:
Copie o ID da violação.
Confira o recurso da estrutura do Assured Workloads em que a violação ocorreu e quando ela aconteceu pela primeira vez.
Confira o registro de auditoria, que inclui o seguinte:
Quando ocorreu a violação.
Qual política foi modificada para causar a violação e qual usuário fez essa modificação.
Se uma exceção foi concedida, qual usuário a concedeu.
Quando aplicável, confira o recurso específico em que a violação ocorreu.
Confira a política da organização afetada.
Ver e adicionar exceções de violação de compliance. As exceções anteriores do recurso são listadas. Essas exceções incluem o usuário que concedeu a exceção, a justificativa fornecida pelo usuário e o momento em que ela foi concedida.
Siga as etapas de correção para resolver a exceção.
Para violações da política da organização, você também pode conferir o seguinte:
- Política da organização afetada: para conferir a política associada à violação de conformidade, clique em Ver política.
- Violações de recursos filhos: violações de políticas da organização baseadas em recursos podem causar violações de recursos filhos. Para ver ou resolver violações de recursos filhos, clique no ID da violação.
Para violações de recursos, você também pode conferir o seguinte:
- Violações de política da organização mãe: quando as violações de política da organização mãe são a causa de uma violação de recurso filho, elas precisam ser resolvidas primeiro no nível filho. Depois que a violação do recurso filho for resolvida, resolva a violação da política da organização mãe. Para ver os detalhes da violação, clique em Ver violação.
- Outras violações no recurso específico que está causando a violação também ficam visíveis.
Resolver violações
Para corrigir uma violação, siga estas etapas:
No console do Google Cloud , acesse a página Monitoring.
Se solicitado, selecione a organização.
Clique na guia Violações do Assured Workloads. Duas guias são mostradas: Violações da política da organização e Violações de recursos. Se houver mais de uma violação não resolvida, o ícone vai estar ativo na guia. Clique na guia em que você quer ver as violações.
Clique no ID da violação para acessar informações mais detalhadas.
Na seção Correção, siga as instruções para resolver o problema.
Adicionar exceções de violação
Às vezes, uma violação é válida para uma situação específica. É possível adicionar uma ou mais exceções a uma violação seguindo estas etapas.
No console do Google Cloud , acesse a página Monitoring.
Se solicitado, selecione a organização.
Clique na guia Violações do Assured Workloads. Duas guias são mostradas: Violações da política da organização e Violações de recursos. Se houver mais de uma violação não resolvida, o ícone vai estar ativo na guia.
A guia Violações da política da organização é selecionada por padrão. Essa guia mostra todas as violações não resolvidas da política da organização em pastas ou projetos de frameworks do Assured Workloads na organização.
A guia Violações de recursos mostra todas as violações não resolvidas associadas ao recurso em todas as pastas ou projetos de frameworks do Assured Workloads na organização.
Clique na guia em que você quer ver as violações.
Na coluna ID da violação, clique na violação a que você quer adicionar a exceção.
Na seção Exceções, clique em Adicionar nova.
Insira uma justificativa comercial para a exceção. Se você quiser que a exceção se aplique a todos os recursos filhos, marque a caixa de seleção Aplicar a todas as violações de recursos filhos atuais e clique em Enviar.
Para adicionar mais exceções, repita essas etapas.
Agora o status da violação está definido como Exceção.
A seguir
- Entenda os frameworks e limites de dados disponíveis para o Assured Workloads.
- Saiba quais produtos são compatíveis com cada limite de dados.