Audit Manager הוא פתרון לביקורת תאימות שעוזר לפשט את תהליך ביקורת התאימות ב- Google Cloud. בעזרת Audit Manager אפשר להריץ ביקורות מול מסגרות מובנות ומסגרות מותאמות אישית שאתם מגדירים באמצעות Compliance Manager או מסגרות של Assured Workloads (גרסת Preview).
ל-Audit Manager יש את היכולות הבאות:
- מטריצה של חלוקת אחריות שמציגה הפרדה בין תפקידים והמלצות לניהול האחריות.
- מסמכי תאימות עבור Google Cloud
- הערכות אוטומטיות של תאימות כדי להעריך את אמצעי הבקרה של התאימות בעומסי עבודה, וכך להבין את מצב התאימות שלהם.
- איסוף הוכחות לביקורות תאימות.
- זיהוי פערים כדי לעזור בתיקון ההפרות שנוצרו.
ב-Audit Manager אפשר לקבל הערכות לכל Google Cloud פרויקט או תיקייה.
frameworks נתמכים
בעזרת Audit Manager אפשר להעריך את המשאבים שלכם בהשוואה לאמצעי הבקרה של הענן ולאמצעי הבקרה של המסגרות המובנות הבאות:
אם רוכשים מינוי ל-Security Command Center Premium או Enterprise או מפעילים את Assured Workloads, מתרחשים הדברים הבאים:
כל מסגרת שיוצרים באמצעות Compliance Manager או Assured Workloads frameworks (בגרסת Preview).
מסגרות העבודה המובנות הבאות:
- המלצות של Google לשימוש ב-AI – Gemini Enterprise Agent Platform
- CIS GCP Foundations Benchmark v3.0
- CIS GKE 1.7
- CIS Critical Security Controls v8
- CSA Cloud Controls Matrix v4.0.11
- ISO 27001:2022
- Qatar National Information Assurance Standard v2.1
- NIST 800-53 Revision 5
- אמצעי בקרה על הפרטיות של NIST AI 600-1
- NIST Cybersecurity Framework 1.1
- PCI DSS v4.0.1
המסגרת המובנית הבאה, שזמינה רק במסגרות של Assured Workloads (בגרסת Preview):
- DORA (תצוגה מקדימה)
העברה מ-frameworks ישנים יותר
אם הפעלתם ביקורת לפני 30 ביוני 2026, השתמשתם במסגרות שונות. המסגרות האלה כבר לא זמינות להרצת ביקורות. בטבלה הבאה ממופים המסגרות הישנות למסגרות שאפשר לפרוס באמצעות Compliance Manager או מסגרות Assured Workloads (בגרסת Preview).
| מסגרת ישנה יותר | מסגרת מקבילה ב-Audit Manager | מסגרת מקבילה ב-Compliance Manager | (תצוגה מקדימה) מסגרות מקבילות של Assured Workloads |
|---|---|---|---|
| NIST 800-53 גרסה 4 | — | NIST 800-53 גרסה 5 | NIST 800-53 גרסה 5 |
| אמצעי בקרה מומלצים ל-AI מבית Google | — | —[1] | —[1] |
| SOC2 2017 | SOC2 2017 | SOC2 2017 | SOC2 2017 |
| CIS Controls v8 | — | CIS Critical Security Controls v8 | CIS Critical Security Controls v8 |
| PCI DSS 4.0 | — | PCI DSS v4.0.1 | PCI DSS v4.0.1 |
| Cloud Controls Matrix 4.0 | — | מטריצת בקרת הענן של CSA, גרסה 4.0.11 | מטריצת בקרת הענן של CSA, גרסה 4.0.11 |
| NIST CSF v1 | — | NIST Cybersecurity Framework 1.1 | NIST Cybersecurity Framework 1.1 |
| CIS Google Cloud Foundation Benchmark 2.0 | — | CIS GCP Foundations Benchmark v3.0 | CIS GCP Foundations Benchmark v3.0 |
| ISO 27001 2022 | — | ISO 27001:2022 | ISO 27001:2022 |
אם הפעלתם ביקורות באמצעות המסגרות הישנות, תוכלו להמשיך לצפות בדוחות הביקורת בדף הצגת הערכות ובקטגוריות של Cloud Storage שבהן שמרתם את הדוחות.
1 גם Compliance Manager וגם מסגרות Assured Workloads (Preview) כוללות את המסגרת המובנית Google Recommended AI Essentials – Gemini Enterprise Agent Platform. אתם יכולים להשתמש במסגרת הזו במקום במסגרת הישנה יותר של אמצעי בקרה מבוססי-AI שמומלצת על ידי Google, למרות שהיא משתמשת באמצעי בקרה שונים כדי להעריך את הסביבה שלכם.
מסגרות בהתאמה אישית
לפני 30 ביוני 2026, ב-Audit Manager הייתה תכונת תצוגה מקדימה שאפשרה ליצור מסגרות בהתאמה אישית. אם יצרתם מסגרת בהתאמה אישית באמצעות תכונת התצוגה המקדימה הזו, תוכלו להמשיך להריץ ביקורות על המסגרת בהתאמה אישית ולצפות בדוחות שיצרתם. עם זאת, אי אפשר להציג או לערוך את מסגרת ההתאמה האישית.
אם אף אחת ממסגרות העבודה המובנות ב-Audit Manager לא רלוונטית לסביבה שלכם, תוכלו להשתמש באפשרויות הבאות:
יצירת מסגרת מותאמת אישית במרכז התאימות. Compliance Manager כולל ספרייה של אמצעי בקרה מובנים בענן, ואפשר גם ליצור אמצעי בקרה מותאמים אישית בענן, אם צריך. אחרי שיוצרים את המסגרת הזו, אפשר להשתמש ב-Audit Manager או ב-Compliance Manager כדי להריץ ביקורות בסביבה שלכם.
יצירת מסגרת בהתאמה אישית במסגרות של Assured Workloads (גרסת Preview). אמצעי הבקרה המובנים בענן עבור מסגרות Assured Workloads כוללים את ספריית אמצעי הבקרה בענן של Compliance Manager וספרייה של אמצעי בקרה מונעים בענן שספציפיים לעומסי עבודה רגולטוריים. אפשר גם להשתמש במסגרות של Assured Workloads כדי ליצור אמצעי בקרה מותאמים אישית בענן, אם נדרש. אם יוצרים מסגרת שכוללת אמצעי בקרה מונעים, אפשר להשתמש ב-Audit Manager רק כדי להריץ ביקורות בסביבה שלכם.
אמצעי בקרה ואמצעי בקרה בענן
ב-Audit Manager יש אמצעי בקרה ואמצעי בקרה בענן במסגרות שלו. כמה נקודות שכדאי לחשוב עליהן:
אמצעי בקרה הם יעדים כלליים שמאפשרים להעריך את ההגנה על הנכסים, את צמצום הסיכונים ואת היעדים העסקיים הרגולטוריים. אמצעי הבקרה יכולים להיות מורכבים מאמצעי בקרה טכניים ולא טכניים בענן.
אמצעי בקרה בענן הם אמצעי בקרה מוגדרים בתוכנה שבודקים הגדרות מסוימות בסביבת Google Cloud . רוב אמצעי הבקרה בענן הם טכניים. לדוגמה, אמצעי בקרה הוא דרישה רגולטורית לביצוע ביקורת בסביבה שלכם, ואמצעי בקרה בענן הוא המנגנון הספציפי שנועד לוודא שיומני הביקורת של Cloud מופעלים עבור ממשקי API שונים.
מסגרות הן אוספים של אמצעי בקרה ואמצעי בקרה בענן שעוזרים לכם לעמוד בתקן רגולטורי מסוים. לדוגמה, ב-Audit Manager יש מסגרת ל-ISO 27001 2022. אמצעי בקרה ב-Cloud ואמצעי בקרה טכניים כוללים כלל אחד או יותר ש-Audit Manager יכול לבדוק במהלך ביקורת ולאסוף לגביהם ראיות.
איך מתבצעת ביקורת על אמצעי בקרה ואמצעי בקרה בענן
האופן שבו Audit Manager מבצע ביקורת על אמצעי בקרה או על אמצעי בקרה בענן תלוי בשאלה אם Audit Manager יכול לבצע הערכה טכנית של אמצעי הבקרה או של אמצעי הבקרה בענן. כמה נקודות שכדאי לחשוב עליהן:
חלק מהאמצעים או אמצעי הבקרה בענן דורשים בדיקות ידניות כי אין קריאות API ש-Audit Manager יכול לבצע כדי לאמת אותם. לדוגמה, יכול להיות שיהיה צורך לבדוק מערכות גישה שלא נמצאות ב-Google Cloud. אם אמצעי בקרה או אמצעי בקרה בענן דורשים בדיקה ידנית, Audit Manager יוצר תצפית שמציינת שאתם צריכים להשלים את הבדיקה בעצמכם. יכול להיות שיופקו ראיות טכניות. המצב של אמצעי הבקרה או אמצעי הבקרה בענן הוא אופציונלי: נדרשת בדיקה ידנית.
חלק מהאמצעים או אמצעי הבקרה בענן חלים ישירות על ערך מסוים ב-Google Cloud. לדוגמה, אמצעי בקרה בענן יכול לדרוש הפעלה של CMEK בקטגוריות של Cloud Storage. בתרחיש הזה, Audit Manager יכול לבצע קריאה ל-API כדי לבדוק הגדרה מסוימת. הערך שמוחזר הוא evidence. לאחר מכן, Audit Manager יכול להעריך אם הראיות עומדות בכללים הצפויים או לא. Audit Manager יוצר תצפית שכוללת את הראיות וההערכה. הסטטוס של אמצעי בקרה או אמצעי בקרה בענן יכול להיות אחד מהבאים:
אם Audit Manager מעריך שהראיות עומדות בדרישות הכלל, המצב של אמצעי הבקרה או אמצעי הבקרה בענן הוא תואם.
אם Audit Manager מעריך שהראיות לא עומדות בדרישות הכלל, המצב של אמצעי הבקרה או אמצעי הבקרה בענן הוא Violation (הפרה). אם אמצעי בקרה או אמצעי בקרה בענן כוללים כמה כללים, וההערכה של אחד מהכללים נכשלת, המצב הוא הפרה.
אם מערכת Audit Manager נתקלת בשגיאה כלשהי במהלך התהליך הזה (לדוגמה, אם חלף הזמן הקצוב לתגובה לקריאה ל-API), המצב של אמצעי הבקרה או של אמצעי הבקרה בענן הוא Skipped (דילוג).
תהליך העבודה ב-Audit Manager
זרימת העבודה ברמה הגבוהה של Audit Manager כוללת הגדרת גישה ל-Audit Manager וניהול ביקורות.
- כדי להגדיר גישה ל-Audit Manager, אתם צריכים להיות אדמינים ב-Audit Manager (
roles/auditmanager.admin) ולרשום משאבים לביקורת. - כדי לנהל ביקורות, אתם יכולים להיות אדמינים או מבקרים ולבצע את הפעולות הבאות:
- הרצת בדיקות.
- קבלת סטטוס הביקורת.
- צפייה בדוחות מפורטים של Audit Manager.