Audit Manager è una soluzione di audit della conformità che ti aiuta a semplificare il processo di audit della conformità su Google Cloud. Audit Manager ti consente di eseguire audit in base a framework integrati e personalizzati che definisci utilizzando i framework di Compliance Manager o Assured Workloads (anteprima).
Audit Manager offre le seguenti funzionalità:
- Una matrice di responsabilità condivise che mostra la separazione dei compiti e i consigli per gestire le tue responsabilità.
- Documenti di conformità per Google Cloud
- Valutazioni di conformità automatizzate per valutare i controlli di conformità sui carichi di lavoro per comprenderne lo stato di conformità.
- Raccolta delle prove per i controlli di conformità.
- Identificazione delle lacune per contribuire a correggere le violazioni generate.
Audit Manager può fornire valutazioni per qualsiasi Google Cloud progetto o cartella.
Framework supportati
Audit Manager può valutare le tue risorse in base ai controlli cloud e ai controlli per i seguenti framework integrati:
Se acquisti abbonamenti a Security Command Center Premium o Enterprise o attivi Assured Workloads, si verifica quanto segue:
Qualsiasi framework creato utilizzando Compliance Manager o i framework Assured Workloads (anteprima).
I seguenti framework integrati:
- Elementi essenziali dell'AI Google consigliati - Gemini Enterprise Agent Platform
- CIS GCP Foundations Benchmark v3.0
- CIS GKE 1.7
- CIS Critical Security Controls v8
- CSA Cloud Controls Matrix v4.0.11
- ISO 27001:2022
- Qatar National Information Assurance Standard v2.1
- NIST 800-53 Revision 5
- NIST AI 600-1 Privacy Controls
- NIST Cybersecurity Framework 1.1
- PCI DSS v4.0.1
Il seguente framework integrato, disponibile solo nei framework di Assured Workloads (anteprima):
Migrazione da framework precedenti
Se hai eseguito un controllo prima del 30 giugno 2026, hai utilizzato framework diversi. Questi framework non sono più disponibili per l'esecuzione di audit. La tabella seguente mappa i framework precedenti con quelli che puoi implementare utilizzando Compliance Manager o i framework Assured Workloads (anteprima).
| Framework precedente | Framework Audit Manager equivalente | Framework Compliance Manager equivalente | (Anteprima) Framework equivalenti di Assured Workloads |
|---|---|---|---|
| NIST 800-53 Revision 4 | — | NIST 800-53 Revision 5 | NIST 800-53 Revision 5 |
| Controlli AI consigliati da Google | — | —[1] | —[1] |
| SOC2 2017 | SOC2 2017 | SOC2 2017 | SOC2 2017 |
| CIS Controls v8 | — | CIS Critical Security Controls v8 | CIS Critical Security Controls v8 |
| PCI-DSS 4.0 | — | PCI DSS v4.0.1 | PCI DSS v4.0.1 |
| Cloud Controls Matrix 4.0 | — | CSA Cloud Controls Matrix v4.0.11 | CSA Cloud Controls Matrix v4.0.11 |
| NIST CSF v1 | — | NIST Cybersecurity Framework 1.1 | NIST Cybersecurity Framework 1.1 |
| CIS Google Cloud Foundation Benchmark 2.0 | — | CIS GCP Foundations Benchmark v3.0 | CIS GCP Foundations Benchmark v3.0 |
| ISO 27001 2022 | — | ISO 27001:2022 | ISO 27001:2022 |
Se hai eseguito controlli utilizzando i framework precedenti, puoi continuare a visualizzare i report di controllo nella pagina Visualizza valutazioni e nei bucket Cloud Storage in cui hai archiviato i report.
1 Sia i framework di Compliance Manager che di Assured Workloads (anteprima) includono il framework integrato Elementi essenziali dell'AI Google consigliati - Gemini Enterprise Agent Platform. Puoi utilizzare questo framework al posto di quello precedente consigliato da Google per i controlli dell'AI, anche se utilizza controlli diversi per valutare il tuo ambiente.
Framework personalizzati
Prima del 30 giugno 2026, Audit Manager includeva una funzionalità di anteprima che consentiva di creare framework personalizzati. Se hai creato un framework personalizzato utilizzando questa funzionalità di anteprima, puoi continuare a eseguire audit in base al framework personalizzato e visualizzare i report che hai creato. Tuttavia, non puoi visualizzare o modificare il tuo framework personalizzato.
Se nessuno dei framework integrati in Audit Manager si applica al tuo ambiente, puoi utilizzare le seguenti opzioni:
Crea un framework personalizzato in Compliance Manager. Compliance Manager include una libreria di controlli cloud integrati e puoi creare controlli cloud personalizzati, se necessario. Dopo aver creato questo framework, puoi utilizzare Audit Manager o Compliance Manager per eseguire audit nel tuo ambiente.
Crea un framework personalizzato nei framework Assured Workloads (anteprima). I controlli cloud integrati per i framework Assured Workloads includono la libreria di controlli cloud di Compliance Manager e una libreria di controlli cloud preventivi specifici per i workload normativi. Se necessario, puoi anche utilizzare i framework di Assured Workloads per creare controlli cloud personalizzati. Se crei un framework che include controlli preventivi, puoi utilizzare Audit Manager solo per eseguire audit nel tuo ambiente.
Controlli e controlli cloud
Audit Manager include controlli e controlli cloud all'interno dei suoi framework. Considera quanto segue:
I controlli sono obiettivi generali che ti consentono di valutare la protezione delle risorse, la mitigazione dei rischi e gli obiettivi normativi aziendali. I controlli possono essere composti da controlli cloud tecnici e non tecnici.
I controlli cloud sono controlli software-defined che verificano configurazioni specifiche nel tuo ambiente Google Cloud . La maggior parte dei controlli cloud sono tecnici. Ad esempio, un controllo è un requisito normativo per controllare il tuo ambiente, mentre un controllo cloud è il meccanismo specifico per assicurarsi che Cloud Audit Logs sia abilitato per varie API.
I framework sono raccolte di controlli e controlli cloud che ti aiutano a soddisfare un particolare standard normativo. Ad esempio, Audit Manager include un framework per ISO 27001 2022. I controlli cloud e quelli tecnici includono una o più regole che Audit Manager può controllare durante un audit e per cui può raccogliere prove.
Come vengono controllati i controlli e i controlli cloud
Il modo in cui Audit Manager esegue l'audit di un controllo o di un controllo cloud dipende dal fatto che Audit Manager possa valutare tecnicamente il controllo o il controllo cloud. Considera quanto segue:
Alcuni controlli o controlli cloud richiedono revisioni manuali perché non esistono chiamate API che Audit Manager può effettuare per convalidarli. Ad esempio, un controllo potrebbe richiedere di esaminare i sistemi di accesso che non si trovano in Google Cloud. Se un controllo o un controllo cloud richiede una revisione manuale, Audit Manager crea un'osservazione che ti comunica che devi completare la revisione personalmente. Potrebbero essere generate prove tecniche. Lo stato del controllo o del controllo cloud è Facoltativo: è necessaria una revisione manuale.
Alcuni controlli o controlli cloud si applicano direttamente a un valore specifico in Google Cloud. Ad esempio, un controllo cloud può richiedere l'attivazione di CMEK per i bucket Cloud Storage. In questo scenario, Audit Manager può effettuare una chiamata API per controllare una determinata impostazione. Il valore restituito è la prova. Audit Manager può quindi valutare se le prove soddisfano o meno le regole previste. Audit Manager crea un'osservazione che include le prove e la valutazione. Lo stato di un controllo o di un controllo cloud può essere uno dei seguenti:
Se Audit Manager valuta la prova come conforme alla regola, lo stato del controllo o del controllo cloud è Conforme.
Se Audit Manager valuta la prova come non conforme alla regola, lo stato del controllo o del controllo cloud è failed. Per i controlli o i controlli cloud che includono più regole, se una regola non viene rispettata, lo stato è Violazione.
Se Audit Manager rileva un errore di qualsiasi tipo durante questo processo (ad esempio, una chiamata API è scaduta), lo stato del controllo o del controllo cloud è Ignorato.
Flusso di lavoro di Audit Manager
Il flusso di lavoro di alto livello di Audit Manager prevede la configurazione dell'accesso ad Audit Manager e la gestione dei controlli.
- Per configurare l'accesso ad Audit Manager, devi essere un amministratore di Audit Manager
(
roles/auditmanager.admin) e registrare le risorse per il controllo. - Per gestire gli audit, puoi essere un amministratore o un revisore ed eseguire le
seguenti operazioni:
- Esegui audit.
- Ottieni lo stato dell'audit.
- Visualizza report dettagliati di Audit Manager.