סקירה כללית על Audit Manager

‫Audit Manager הוא פתרון לביקורת תאימות שעוזר לפשט את תהליך ביקורת התאימות ב- Google Cloud. בעזרת Audit Manager אפשר להריץ ביקורות על מסגרות מובנות ועל מסגרות מותאמות אישית שאתם מגדירים באמצעות מסגרות של Compliance Manager או של Assured Workloads (גרסת Preview).

ל-Audit Manager יש את היכולות הבאות:

  • מטריצה של חלוקת אחריות שמציגה את הפרדת התפקידים והמלצות לניהול האחריות.
  • מסמכי תאימות עבור Google Cloud
  • הערכות אוטומטיות של תאימות כדי להעריך את אמצעי הבקרה של התאימות בעומסי עבודה, וכך להבין את מצב התאימות שלהם.
  • איסוף הוכחות לביקורות תאימות.
  • זיהוי פערים כדי לעזור בתיקון ההפרות שנוצרו.
  • אפשר לתזמן ביקורות כך שיפעלו במרווחי זמן קבועים (תצוגה מקדימה).

כלי לניהול ביקורות יכול לספק הערכות לכל Google Cloudארגון (בגרסת טרום-השקה (Preview)), תיקייה או פרויקט.

frameworks נתמכים

בעזרת כלי לניהול ביקורות אפשר להעריך את המשאבים שלכם בהשוואה לאמצעי הבקרה של הענן ולאמצעי הבקרה של המסגרות המובנות הבאות:

אם רוכשים מינוי ל-Security Command Center Premium או Enterprise או מפעילים את Assured Workloads, מתרחשים הדברים הבאים:

העברה מ-frameworks ישנים יותר

אם הפעלתם ביקורת לפני 30 ביוני 2026, השתמשתם במסגרות שונות. המסגרות האלה כבר לא זמינות להרצת ביקורות. בטבלה הבאה ממופים המסגרות הישנות למסגרות שאפשר לפרוס באמצעות Compliance Manager או מסגרות Assured Workloads (בגרסת Preview).

מסגרת ישנה יותר מסגרת מקבילה בכלי לניהול ביקורות מסגרת מקבילה ב-Compliance Manager (תצוגה מקדימה) מסגרת שוות ערך של Assured Workloads
‫NIST 800-53 גרסה 4 ‫NIST 800-53 גרסה 5 ‫NIST 800-53 גרסה 5
אמצעי בקרה מומלצים ל-AI מבית Google [1] [1]
SOC2 2017 SOC2 2017 SOC2 2017 SOC2 2017
CIS Controls v8 CIS Critical Security Controls v8 CIS Critical Security Controls v8
PCI DSS 4.0 PCI DSS v4.0.1 PCI DSS v4.0.1
Cloud Controls Matrix 4.0 מטריצת בקרת הענן של CSA, גרסה 4.0.11 מטריצת בקרת הענן של CSA, גרסה 4.0.11
NIST CSF v1 NIST Cybersecurity Framework 1.1 NIST Cybersecurity Framework 1.1
‫CIS Google Cloud Foundation Benchmark 2.0 ‫CIS GCP Foundations Benchmark v3.0 ‫CIS GCP Foundations Benchmark v3.0
ISO 27001 2022 ISO 27001:2022 ISO 27001:2022

אם הפעלתם ביקורות באמצעות המסגרות הישנות, תוכלו להמשיך לצפות בדוחות הביקורת בדף הצגת הערכות ובקטגוריות של Cloud Storage שבהן שמרתם את הדוחות.

1 גם Compliance Manager וגם מסגרות Assured Workloads ‏ (Preview) כוללות את המסגרת המובנית Google Recommended AI Essentials – Gemini Enterprise Agent Platform. אתם יכולים להשתמש במסגרת הזו במקום במסגרת הישנה יותר של אמצעי בקרה מבוססי-AI שמומלצת על ידי Google, למרות שהיא משתמשת באמצעי בקרה שונים כדי להעריך את הסביבה שלכם.

מסגרות בהתאמה אישית

לפני 30 ביוני 2026, כלי לניהול ביקורות כלל תכונה בגרסת טרום-השקה (Preview) שאפשרה ליצור מסגרות בהתאמה אישית. אם יצרתם מסגרת בהתאמה אישית באמצעות תכונת התצוגה המקדימה הזו, תוכלו להמשיך להריץ ביקורות על המסגרת בהתאמה אישית ולצפות בדוחות שיצרתם. עם זאת, אי אפשר להציג או לערוך את מסגרת ההתאמה האישית.

אם אף אחת ממסגרות העבודה המובנות ב-Audit Manager לא רלוונטית לסביבה שלכם, תוכלו להשתמש באפשרויות הבאות:

אמצעי בקרה ואמצעי בקרה בענן

כלי לניהול ביקורות כולל אמצעי בקרה ואמצעי בקרה בענן במסגרות שלו. כמה נקודות שכדאי לחשוב עליהן:

  • אמצעי בקרה הם יעדים כלליים שמאפשרים להעריך את ההגנה על הנכסים, את צמצום הסיכונים ואת היעדים העסקיים הרגולטוריים. אמצעי הבקרה יכולים לכלול אמצעי בקרה טכניים ולא טכניים בענן.

  • אמצעי בקרה בענן הם אמצעי בקרה מוגדרים בתוכנה שבודקים הגדרות מסוימות בסביבת Google Cloud . רוב אמצעי הבקרה בענן הם טכניים. לדוגמה, אמצעי בקרה הוא דרישה רגולטורית לביקורת של הסביבה, ואמצעי בקרה בענן הוא המנגנון הספציפי שנועד לוודא שיומני הביקורת של Cloud מופעלים עבור ממשקי API שונים.

  • מסגרות הן אוספים של אמצעי בקרה ואמצעי בקרה בענן שעוזרים לכם לעמוד בתקן רגולטורי מסוים. לדוגמה, ב-Audit Manager יש מסגרת ל-ISO 27001 2022. אמצעי בקרה ב-Cloud ואמצעי בקרה טכניים כוללים כלל אחד או יותר שכלי לניהול ביקורות יכול לבדוק במהלך ביקורת ולאסוף לגביהם ראיות.

איך מתבצעת ביקורת על אמצעי בקרה ואמצעי בקרה בענן

האופן שבו כלי לניהול ביקורות מבצע ביקורת על אמצעי בקרה או על אמצעי בקרה בענן תלוי בשאלה אם כלי לניהול ביקורות יכול לבצע הערכה טכנית של אמצעי הבקרה או של אמצעי הבקרה בענן. כמה נקודות שכדאי לחשוב עליהן:

  • חלק מהאמצעים או אמצעי הבקרה בענן דורשים בדיקות ידניות כי אין קריאות API ש-כלי לניהול ביקורות יכול לבצע כדי לאמת אותם. לדוגמה, יכול להיות שיהיה צורך לבדוק מערכות גישה שלא נמצאות ב-Google Cloud. אם אמצעי בקרה או אמצעי בקרה בענן דורשים בדיקה ידנית, Audit Manager יוצר תצפית שמודיעה לכם שאתם צריכים להשלים את הבדיקה בעצמכם. יכול להיות שיופקו ראיות טכניות. המצב של אמצעי הבקרה או אמצעי הבקרה בענן הוא אופציונלי: נדרשת בדיקה ידנית.

  • חלק מהאמצעים או אמצעי הבקרה בענן חלים ישירות על ערך מסוים ב-Google Cloud. לדוגמה, אמצעי בקרה בענן יכול לדרוש הפעלה של CMEK בקטגוריות של Cloud Storage. בתרחיש הזה, כלי לניהול ביקורות יכול לבצע קריאה ל-API כדי לבדוק הגדרה מסוימת. הערך שמוחזר הוא evidence. לאחר מכן, כלי לניהול ביקורות יכול להעריך אם הראיות עומדות בכללים הצפויים או לא. ‫Audit Manager יוצר תצפית שכוללת את הראיות וההערכה. הסטטוס של אמצעי בקרה או אמצעי בקרה בענן יכול להיות אחד מהבאים:

    • אם כלי לניהול ביקורות מעריך שהראיות עומדות בדרישות הכלל, המצב של אמצעי הבקרה או אמצעי הבקרה בענן הוא תאימות.

    • אם Audit Manager מעריך שהראיות לא עומדות בדרישות הכלל, המצב של אמצעי הבקרה או אמצעי הבקרה בענן הוא Violation (הפרה). אם אמצעי בקרה או אמצעי בקרה בענן כוללים כמה כללים, והבדיקה של אחד מהכללים נכשלת, המצב הוא נכשל.

    • אם כלי לניהול ביקורות נתקל בשגיאה כלשהי במהלך התהליך הזה (לדוגמה, אם חלף הזמן הקצוב לתגובה לקריאה ל-API), המצב של אמצעי הבקרה או של אמצעי הבקרה בענן הוא Skipped (דילוג).

תהליך העבודה בכלי לניהול ביקורות

זרימת העבודה ברמה גבוהה ב-Audit Manager כוללת הגדרת גישה ל-Audit Manager וניהול ביקורות.

  1. כדי להגדיר גישה לכלי לניהול ביקורות, אתם צריכים להיות אדמינים בכלי לניהול ביקורות ‏(roles/auditmanager.admin) ולרשום משאבים לביקורת.
  2. כדי לנהל ביקורות, אתם יכולים להיות אדמינים או מבקרים ולבצע את הפעולות הבאות:
    1. מריצים ביקורות.
    2. קבלת סטטוס הביקורת.
    3. צפייה בדוחות מפורטים של Audit Manager.

המאמרים הבאים