O Audit Manager é uma solução de auditoria de compliance que ajuda a simplificar o processo de auditoria de compliance no Google Cloud. Com o Audit Manager, é possível executar auditorias em frameworks integrados e personalizados definidos usando o Compliance Manager ou os frameworks do Assured Workloads (prévia).
O Audit Manager tem os seguintes recursos:
- Uma matriz de responsabilidades compartilhadas que mostra a separação de funções e recomendações para gerenciar suas responsabilidades.
- Documentos de compliance para Google Cloud
- Avaliações de compliance automatizadas para avaliar os controles de compliance em cargas de trabalho e entender o estado de compliance delas.
- Coleta de evidências para auditorias de compliance.
- Identificação de lacunas para ajudar a corrigir as violações geradas.
O Audit Manager pode fornecer avaliações para qualquer projeto ou pasta do Google Cloud .
Frameworks compatíveis
O Audit Manager pode avaliar seus recursos em relação aos controles de nuvem e aos controles dos seguintes frameworks integrados:
Se você comprar assinaturas do Security Command Center Premium ou Enterprise ou ativar o Assured Workloads, o seguinte vai acontecer:
Qualquer framework criado usando o Compliance Manager ou os frameworks do Assured Workloads (Visualização).
Os seguintes frameworks integrados:
- Fundamentos da IA recomendados pelo Google: Gemini Enterprise Agent Platform
- CIS GCP Foundations Benchmark v3.0
- CIS GKE 1.7
- CIS Critical Security Controls v8
- CSA Cloud Controls Matrix v4.0.11 (em inglês)
- ISO 27001:2022
- Padrão nacional de garantia de informações do Catar v2.1 (em inglês)
- NIST 800-53 Revisão 5
- Controles de privacidade da IA 600-1 do NIST
- Framework de segurança cibernética do NIST 1.1
- PCI DSS v4.0.1
O seguinte framework integrado, disponível apenas nos frameworks do Assured Workloads (prévia):
Migrar de frameworks mais antigos
Se você fez uma auditoria antes de 30 de junho de 2026, usou frameworks diferentes. Esses frameworks não estão mais disponíveis para executar auditorias. A tabela a seguir mapeia os frameworks mais antigos para os que podem ser implantados usando o Compliance Manager ou os frameworks do Assured Workloads (prévia).
| Framework mais antigo | Framework equivalente do Audit Manager | Framework equivalente do Compliance Manager | (Prévia) Frameworks equivalentes do Assured Workloads |
|---|---|---|---|
| Revisão 4 da NIST 800-53 | — | Revisão 5 da NIST 800-53 | Revisão 5 da NIST 800-53 |
| Controles de IA recomendados pelo Google | — | —[1] | —[1] |
| SOC2 2017 | SOC2 2017 | SOC2 2017 | SOC2 2017 |
| CIS Controls v8 | — | CIS Critical Security Controls v8 | CIS Critical Security Controls v8 |
| PCI DSS 4.0 | — | PCI DSS v4.0.1 | PCI DSS v4.0.1 |
| Matriz de controles de nuvem 4.0 | — | CSA Cloud Controls Matrix v4.0.11 | CSA Cloud Controls Matrix v4.0.11 |
| NIST CSF v1 | — | Framework de segurança cibernética do NIST 1.1 | Framework de segurança cibernética do NIST 1.1 |
| Comparativo de mercado CIS Google Cloud Foundation 2.0 | — | Comparativo de mercado CIS GCP Foundations v3.0 | Comparativo de mercado CIS GCP Foundations v3.0 |
| ISO 27001 2022 | — | ISO 27001:2022 | ISO 27001:2022 |
Se você executou auditorias usando os frameworks mais antigos, ainda poderá conferir os relatórios de auditoria na página Ver avaliações e nos buckets do Cloud Storage em que os relatórios foram armazenados.
1 Os frameworks do Compliance Manager e do Assured Workloads (prévia) incluem o framework integrado Fundamentos da IA recomendados pelo Google: Gemini Enterprise Agent Platform. É possível usar esse framework em vez do framework mais antigo de controles de IA recomendados pelo Google, embora ele use controles diferentes para avaliar seu ambiente.
Frameworks personalizados
Antes de 30 de junho de 2026, o Audit Manager incluía um recurso de prévia que permitia criar estruturas personalizadas. Se você criou uma estrutura personalizada usando esse recurso de prévia, ainda poderá executar auditorias na estrutura personalizada e conferir os relatórios criados. No entanto, não é possível visualizar nem editar seu framework personalizado.
Se nenhum dos frameworks integrados no Audit Manager se aplicar ao seu ambiente, use as seguintes opções:
Crie uma estrutura personalizada no Compliance Manager. O Compliance Manager inclui uma biblioteca de controles de nuvem integrados, e você pode criar controles de nuvem personalizados, se necessário. Depois de criar essa estrutura, você pode usar o Gerenciador de auditorias ou o Gerenciador de compliance para executar auditorias no seu ambiente.
Crie um framework personalizado nos frameworks do Assured Workloads (prévia). Os controles de nuvem integrados para frameworks do Assured Workloads incluem a biblioteca de controles de nuvem do Compliance Manager e uma biblioteca de controles preventivos de nuvem específicos para cargas de trabalho regulatórias. Também é possível usar frameworks do Assured Workloads para criar controles de nuvem personalizados, se necessário. Se você criar um framework que inclua controles preventivos, só poderá usar o Audit Manager para executar auditorias no seu ambiente.
Controles e controles de nuvem
O Audit Manager inclui controles e controles de nuvem nos frameworks. Considere o seguinte:
Os controles são objetivos gerais que permitem avaliar a proteção de ativos, a mitigação de riscos e os objetivos regulatórios de negócios. Os controles podem ser compostos de controles técnicos e não técnicos da nuvem.
Os controles de nuvem são definidos por software e verificam configurações específicas no seu ambiente Google Cloud . A maioria dos controles de nuvem é técnica. Por exemplo, um controle é um requisito regulatório para auditar seu ambiente, e um controle de nuvem é o mecanismo específico para garantir que os registros de auditoria do Cloud estejam ativados para várias APIs.
Os frameworks são coleções de controles e controles de nuvem que ajudam você a atender a um padrão regulatório específico. Por exemplo, o Audit Manager inclui um framework para a ISO 27001 2022. Os controles de nuvem e técnicos incluem uma ou mais regras que o Audit Manager pode verificar durante uma auditoria e coletar evidências.
Como os controles e os controles de nuvem são auditados
A forma como o Audit Manager audita um controle ou controle de nuvem depende de se ele pode avaliar tecnicamente o controle ou o controle de nuvem. Considere o seguinte:
Alguns controles ou controles de nuvem exigem revisões manuais porque não há chamadas de API que o Audit Manager possa fazer para validá-los. Por exemplo, um controle pode exigir que você revise sistemas de acesso que não estão noGoogle Cloud. Se um controle ou controle na nuvem exigir uma revisão manual, o Audit Manager vai criar uma observação informando que você precisa concluir a revisão por conta própria. Evidências técnicas podem ser geradas. O estado do controle ou do controle na nuvem é Opcional: análise manual necessária.
Alguns controles ou controles de nuvem se aplicam diretamente a um valor específico em Google Cloud. Por exemplo, um controle de nuvem pode exigir que você ative a CMEK para buckets do Cloud Storage. Nesse cenário, o Audit Manager pode fazer uma chamada de API para verificar uma configuração específica. O valor retornado é a evidência. Em seguida, o Audit Manager pode avaliar se as evidências atendem ou não às regras esperadas. O Audit Manager cria uma observação que inclui as evidências e a avaliação. O estado de um controle ou controle na nuvem pode ser qualquer um dos seguintes:
Se o Audit Manager avaliar que a evidência atende à regra, o estado do controle ou do controle do Cloud será Em conformidade.
Se o Audit Manager avaliar a evidência como uma falha na regra, o estado do controle ou do controle de nuvem será falha. Para controles ou controles de nuvem que incluem várias regras, se alguma regra falhar, o estado será Violação.
Se o Audit Manager encontrar algum tipo de erro durante esse processo (por exemplo, um tempo limite de chamada de API), o estado do controle ou do controle na nuvem será Ignorado.
Fluxo de trabalho do Audit Manager
O fluxo de trabalho de alto nível do Audit Manager envolve configurar o acesso e gerenciar auditorias.
- Para configurar o acesso ao Audit Manager, você precisa ser um administrador do Audit Manager (
roles/auditmanager.admin) e inscrever recursos para auditoria. - Para gerenciar auditorias, você pode ser um administrador ou um auditor e fazer o seguinte:
- Executar auditorias.
- Receba o status da auditoria.
- Acessar relatórios detalhados do Gerenciador de auditoria.