Audit Manager ist eine Lösung für Compliance-Audits, mit der Sie den Compliance-Auditprozess auf Google Cloudvereinfachen können. Mit Audit Manager können Sie Audits anhand von integrierten Frameworks und benutzerdefinierten Frameworks durchführen, die Sie mit Compliance Manager oder Assured Workloads-Frameworks (Vorabversion) definieren.
Audit Manager bietet die folgenden Funktionen:
- Eine Matrix der geteilten Verantwortung, die die Aufteilung der Aufgaben und Empfehlungen zur Verwaltung Ihrer Verantwortlichkeiten zeigt.
- Compliance-Dokumente für Google Cloud
- Automatisierte Compliance-Bewertungen, um Compliance-Kontrollen für Arbeitslasten zu bewerten und den Compliance-Status zu ermitteln.
- Sammeln von Nachweisen für Compliance-Audits
- Lückenanalyse zur Behebung der generierten Verstöße.
Mit Audit Manager können Sie Bewertungen für jedes Google Cloud Projekt oder jeden Ordner erstellen.
Unterstützte Frameworks
Mit Audit Manager können Sie Ihre Ressourcen anhand der Cloud-Kontrollen und der Kontrollen für die folgenden integrierten Frameworks bewerten:
Wenn Sie Security Command Center Premium- oder Enterprise-Abos erwerben oder Assured Workloads aktivieren, gilt Folgendes:
Alle Frameworks, die Sie mit Compliance Manager oder Assured Workloads-Frameworks (Vorschau) erstellen.
Die folgenden integrierten Frameworks:
- Von Google empfohlene KI-Grundlagen – Gemini Enterprise Agent Platform
- CIS GCP Foundations Benchmark v3.0
- CIS GKE 1.7
- CIS Critical Security Controls v8
- CSA Cloud Controls Matrix v4.0.11
- ISO 27001:2022
- Qatar National Information Assurance Standard v2.1
- NIST 800-53 Revision 5
- NIST AI 600-1 Privacy Controls
- NIST Cybersecurity Framework 1.1
- PCI DSS v4.0.1
Das folgende integrierte Framework ist nur in Assured Workloads-Frameworks (Vorschau) verfügbar:
Von älteren Frameworks migrieren
Wenn Sie vor dem 30. Juni 2026 ein Audit durchgeführt haben, haben Sie andere Frameworks verwendet. Diese Frameworks sind nicht mehr für Audits verfügbar. In der folgenden Tabelle werden die älteren Frameworks den Frameworks zugeordnet, die Sie mit Compliance Manager oder Assured Workloads-Frameworks (Vorschau) bereitstellen können.
| Älteres Framework | Entsprechendes Audit Manager-Framework | Entsprechendes Compliance Manager-Framework | (Vorschau) Framework für gleichwertige Assured Workloads-Frameworks |
|---|---|---|---|
| NIST 800-53 Version 4 | – | NIST 800-53 Revision 5 | NIST 800-53 Revision 5 |
| Von Google empfohlene KI-Kontrollen | – | – [1] | – [1] |
| SOC2 2017 | SOC2 2017 | SOC2 2017 | SOC2 2017 |
| CIS Controls v8 | – | CIS Critical Security Controls v8 | CIS Critical Security Controls v8 |
| PCI-DSS 4.0 | – | PCI DSS v4.0.1 | PCI DSS v4.0.1 |
| Cloud Controls Matrix 4.0 | – | CSA Cloud Controls Matrix v4.0.11 | CSA Cloud Controls Matrix v4.0.11 |
| NIST CSF v1 | – | NIST Cybersecurity Framework 1.1 | NIST Cybersecurity Framework 1.1 |
| CIS Google Cloud Foundation Benchmark 2.0 | – | CIS GCP Foundations Benchmark v3.0 | CIS GCP Foundations Benchmark v3.0 |
| ISO 27001 2022 | – | ISO 27001:2022 | ISO 27001:2022 |
Wenn Sie Prüfungen mit den älteren Frameworks durchgeführt haben, können Sie die Prüfberichte weiterhin auf der Seite Assessments ansehen und in den Cloud Storage-Buckets aufrufen, in denen Sie die Berichte gespeichert haben.
1 Sowohl Compliance Manager als auch Assured Workloads-Frameworks (Vorabversion) enthalten das integrierte Framework Von Google empfohlene KI-Grundlagen – Gemini Enterprise Agent Platform. Sie können dieses Framework anstelle des älteren, von Google empfohlenen Frameworks für KI-Kontrollen verwenden. Es verwendet jedoch andere Kontrollen zur Bewertung Ihrer Umgebung.
Benutzerdefinierte Frameworks
Vor dem 30. Juni 2026 enthielt Audit Manager eine Vorschaufunktion, mit der Sie benutzerdefinierte Frameworks erstellen konnten. Wenn Sie mit dieser Vorabfunktion ein benutzerdefiniertes Framework erstellt haben, können Sie weiterhin Audits für das benutzerdefinierte Framework ausführen und die erstellten Berichte ansehen. Sie können Ihr benutzerdefiniertes Framework jedoch nicht aufrufen oder bearbeiten.
Wenn keines der integrierten Frameworks in Audit Manager auf Ihre Umgebung zutrifft, haben Sie folgende Möglichkeiten:
Benutzerdefiniertes Framework im Compliance-Manager erstellen Compliance Manager enthält eine Bibliothek mit integrierten Cloud-Kontrollen. Bei Bedarf können Sie auch benutzerdefinierte Cloud-Kontrollen erstellen. Nachdem Sie dieses Framework erstellt haben, können Sie mit Audit Manager oder Compliance Manager Audits in Ihrer Umgebung durchführen.
Benutzerdefiniertes Framework in Assured Workloads-Frameworks erstellen (Vorabversion). Die integrierten Cloud-Kontrollen für Assured Workloads-Frameworks umfassen die Compliance Manager-Bibliothek mit Cloud-Kontrollen und eine Bibliothek mit präventiven Cloud-Kontrollen, die speziell für regulierte Arbeitslasten entwickelt wurden. Bei Bedarf können Sie auch Assured Workloads-Frameworks verwenden, um benutzerdefinierte Cloud-Steuerelemente zu erstellen. Wenn Sie ein Framework erstellen, das präventive Kontrollen enthält, können Sie Audit Manager nur zum Ausführen von Audits in Ihrer Umgebung verwenden.
Kontrollen und Cloud-Kontrollen
Audit Manager umfasst Kontrollen und Cloud-Kontrollen in seinen Frameworks. Berücksichtige Folgendes:
Kontrollen sind allgemeine Ziele, mit denen Sie den Schutz von Assets, die Risikominderung und die Einhaltung von Geschäftsvorschriften bewerten können. Kontrollen können aus technischen und nicht technischen Cloud-Kontrollen bestehen.
Cloud-Steuerelemente sind softwaredefinierte Steuerelemente, die bestimmte Konfigurationen in Ihrer Google Cloud Umgebung prüfen. Die meisten Cloud-Kontrollen sind technischer Natur. Ein Beispiel: Eine Kontrollmaßnahme ist eine behördliche Anforderung, Ihre Umgebung zu prüfen. Eine Cloud-Kontrollmaßnahme ist der spezifische Mechanismus, mit dem sichergestellt wird, dass Cloud-Audit-Logs für verschiedene APIs aktiviert sind.
Frameworks sind Sammlungen von Kontrollen und Cloud-Kontrollen, die Ihnen helfen, einen bestimmten regulatorischen Standard zu erfüllen. Audit Manager enthält beispielsweise ein Framework für ISO 27001:2022. Cloud-Kontrollen und technische Kontrollen enthalten eine oder mehrere Regeln, die Audit Manager während eines Audits prüfen und für die Beweise erheben kann.
Prüfung von Kontrollen und Cloud-Kontrollen
Wie Audit Manager eine Kontrolle oder Cloud-Kontrolle prüft, hängt davon ab, ob Audit Manager die Kontrolle oder Cloud-Kontrolle technisch auswerten kann. Berücksichtige Folgendes:
Für einige Steuerelemente oder Cloud-Steuerelemente sind manuelle Prüfungen erforderlich, da Audit Manager keine API-Aufrufe zur Validierung durchführen kann. Beispielsweise kann es sein, dass Sie mit einer Kontrollmaßnahme Zugriffssysteme überprüfen müssen, die nicht inGoogle Cloudenthalten sind. Wenn eine Steuerung oder Cloud-Steuerung eine manuelle Überprüfung erfordert, erstellt Audit Manager eine Beobachtung, in der Sie aufgefordert werden, die Überprüfung selbst durchzuführen. Möglicherweise werden technische Beweise generiert. Der Status der Steuerung oder Cloud-Steuerung ist Optional: Manuelle Überprüfung erforderlich.
Einige Kontrollen oder Cloud-Kontrollen werden direkt auf einen bestimmten Wert inGoogle Cloudangewendet. Beispielsweise kann eine Cloud-Kontrolle erfordern, dass Sie CMEK für Cloud Storage-Buckets aktivieren. In diesem Szenario kann Audit Manager einen API-Aufruf ausführen, um eine bestimmte Einstellung zu prüfen. Der zurückgegebene Wert ist der Beweis. Audit Manager kann dann bewerten, ob die Nachweise den erwarteten Regeln entsprechen oder nicht. Audit Manager erstellt eine Beobachtung, die den Nachweis und die Bewertung enthält. Der Status eines Geräts oder einer Cloud-Steuerung kann einer der folgenden sein:
Wenn Audit Manager den Nachweis als regelkonform bewertet, ist der Status der Kontrolle oder Cloud-Kontrolle Konform.
Wenn Audit Manager den Nachweis als nicht regelkonform bewertet, ist der Status der Kontrolle oder Cloud-Kontrolle fehlgeschlagen. Bei Steuerelementen oder Cloud-Steuerelementen, die mehrere Regeln enthalten, ist der Status Verstoß, wenn eine Regel fehlschlägt.
Wenn in Audit Manager während dieses Vorgangs ein Fehler auftritt (z. B. ein API-Aufruf, der das Zeitlimit überschritten hat), wird der Status der Kontrolle oder Cloud-Kontrolle auf Skipped (Übersprungen) gesetzt.
Audit Manager-Workflow
Der allgemeine Workflow von Audit Manager umfasst das Einrichten des Zugriffs auf Audit Manager und das Verwalten von Prüfungen.
- Um den Zugriff auf Audit Manager einzurichten, müssen Sie Audit Manager-Administrator (
roles/auditmanager.admin) sein und Ressourcen für Audits registrieren. - Als Administrator oder Prüfer haben Sie folgende Möglichkeiten, um Audits zu verwalten:
- Audits durchführen
- Auditstatus abrufen
- Detaillierte Audit Manager-Berichte ansehen