Panoramica di Audit Manager

Audit Manager è una soluzione di audit della conformità che ti aiuta a semplificare il processo di audit della conformità su Google Cloud. Audit Manager ti consente di eseguire audit in base a framework integrati e personalizzati che definisci utilizzando i framework di Compliance Manager o Assured Workloads (anteprima).

Audit Manager offre le seguenti funzionalità:

  • Una matrice di responsabilità condivise che mostra la separazione dei compiti e i consigli per gestire le tue responsabilità.
  • Documenti di conformità per Google Cloud
  • Valutazioni di conformità automatizzate per valutare i controlli di conformità sui carichi di lavoro per comprenderne lo stato di conformità.
  • Raccolta delle prove per i controlli di conformità.
  • Identificazione delle lacune per contribuire a correggere le violazioni generate.

Audit Manager può fornire valutazioni per qualsiasi Google Cloud progetto o cartella.

Framework supportati

Audit Manager può valutare le tue risorse in base ai controlli cloud e ai controlli per i seguenti framework integrati:

Se acquisti abbonamenti a Security Command Center Premium o Enterprise o attivi Assured Workloads, si verifica quanto segue:

Migrazione da framework precedenti

Se hai eseguito un controllo prima del 30 giugno 2026, hai utilizzato framework diversi. Questi framework non sono più disponibili per l'esecuzione di audit. La tabella seguente mappa i framework precedenti con quelli che puoi implementare utilizzando Compliance Manager o i framework Assured Workloads (anteprima).

Framework precedente Framework Audit Manager equivalente Framework Compliance Manager equivalente (Anteprima) Framework equivalenti di Assured Workloads
NIST 800-53 Revision 4 NIST 800-53 Revision 5 NIST 800-53 Revision 5
Controlli AI consigliati da Google [1] [1]
SOC2 2017 SOC2 2017 SOC2 2017 SOC2 2017
CIS Controls v8 CIS Critical Security Controls v8 CIS Critical Security Controls v8
PCI-DSS 4.0 PCI DSS v4.0.1 PCI DSS v4.0.1
Cloud Controls Matrix 4.0 CSA Cloud Controls Matrix v4.0.11 CSA Cloud Controls Matrix v4.0.11
NIST CSF v1 NIST Cybersecurity Framework 1.1 NIST Cybersecurity Framework 1.1
CIS Google Cloud Foundation Benchmark 2.0 CIS GCP Foundations Benchmark v3.0 CIS GCP Foundations Benchmark v3.0
ISO 27001 2022 ISO 27001:2022 ISO 27001:2022

Se hai eseguito controlli utilizzando i framework precedenti, puoi continuare a visualizzare i report di controllo nella pagina Visualizza valutazioni e nei bucket Cloud Storage in cui hai archiviato i report.

1 Sia i framework di Compliance Manager che di Assured Workloads (anteprima) includono il framework integrato Elementi essenziali dell'AI Google consigliati - Gemini Enterprise Agent Platform. Puoi utilizzare questo framework al posto di quello precedente consigliato da Google per i controlli dell'AI, anche se utilizza controlli diversi per valutare il tuo ambiente.

Framework personalizzati

Prima del 30 giugno 2026, Audit Manager includeva una funzionalità di anteprima che consentiva di creare framework personalizzati. Se hai creato un framework personalizzato utilizzando questa funzionalità di anteprima, puoi continuare a eseguire audit in base al framework personalizzato e visualizzare i report che hai creato. Tuttavia, non puoi visualizzare o modificare il tuo framework personalizzato.

Se nessuno dei framework integrati in Audit Manager si applica al tuo ambiente, puoi utilizzare le seguenti opzioni:

Controlli e controlli cloud

Audit Manager include controlli e controlli cloud all'interno dei suoi framework. Considera quanto segue:

  • I controlli sono obiettivi generali che ti consentono di valutare la protezione delle risorse, la mitigazione dei rischi e gli obiettivi normativi aziendali. I controlli possono essere composti da controlli cloud tecnici e non tecnici.

  • I controlli cloud sono controlli software-defined che verificano configurazioni specifiche nel tuo ambiente Google Cloud . La maggior parte dei controlli cloud sono tecnici. Ad esempio, un controllo è un requisito normativo per controllare il tuo ambiente, mentre un controllo cloud è il meccanismo specifico per assicurarsi che Cloud Audit Logs sia abilitato per varie API.

  • I framework sono raccolte di controlli e controlli cloud che ti aiutano a soddisfare un particolare standard normativo. Ad esempio, Audit Manager include un framework per ISO 27001 2022. I controlli cloud e quelli tecnici includono una o più regole che Audit Manager può controllare durante un audit e per cui può raccogliere prove.

Come vengono controllati i controlli e i controlli cloud

Il modo in cui Audit Manager esegue l'audit di un controllo o di un controllo cloud dipende dal fatto che Audit Manager possa valutare tecnicamente il controllo o il controllo cloud. Considera quanto segue:

  • Alcuni controlli o controlli cloud richiedono revisioni manuali perché non esistono chiamate API che Audit Manager può effettuare per convalidarli. Ad esempio, un controllo potrebbe richiedere di esaminare i sistemi di accesso che non si trovano in Google Cloud. Se un controllo o un controllo cloud richiede una revisione manuale, Audit Manager crea un'osservazione che ti comunica che devi completare la revisione personalmente. Potrebbero essere generate prove tecniche. Lo stato del controllo o del controllo cloud è Facoltativo: è necessaria una revisione manuale.

  • Alcuni controlli o controlli cloud si applicano direttamente a un valore specifico in Google Cloud. Ad esempio, un controllo cloud può richiedere l'attivazione di CMEK per i bucket Cloud Storage. In questo scenario, Audit Manager può effettuare una chiamata API per controllare una determinata impostazione. Il valore restituito è la prova. Audit Manager può quindi valutare se le prove soddisfano o meno le regole previste. Audit Manager crea un'osservazione che include le prove e la valutazione. Lo stato di un controllo o di un controllo cloud può essere uno dei seguenti:

    • Se Audit Manager valuta la prova come conforme alla regola, lo stato del controllo o del controllo cloud è Conforme.

    • Se Audit Manager valuta la prova come non conforme alla regola, lo stato del controllo o del controllo cloud è failed. Per i controlli o i controlli cloud che includono più regole, se una regola non viene rispettata, lo stato è Violazione.

    • Se Audit Manager rileva un errore di qualsiasi tipo durante questo processo (ad esempio, una chiamata API è scaduta), lo stato del controllo o del controllo cloud è Ignorato.

Flusso di lavoro di Audit Manager

Il flusso di lavoro di alto livello di Audit Manager prevede la configurazione dell'accesso ad Audit Manager e la gestione dei controlli.

  1. Per configurare l'accesso ad Audit Manager, devi essere un amministratore di Audit Manager (roles/auditmanager.admin) e registrare le risorse per il controllo.
  2. Per gestire gli audit, puoi essere un amministratore o un revisore ed eseguire le seguenti operazioni:
    1. Esegui audit.
    2. Ottieni lo stato dell'audit.
    3. Visualizza report dettagliati di Audit Manager.

Passaggi successivi