Audit Manager 是一种合规性审核解决方案,可帮助您简化 Google Cloud上的合规性审核流程。借助 Audit Manager,您可以针对内置框架以及使用 Compliance Manager 或 Assured Workloads 框架(预览版)定义的自定义框架运行审核流程。
Audit Manager 具有以下功能:
- 责任共担矩阵,其中显示了职责分离情况以及管理责任的建议。
- Google Cloud的合规性文件
- 自动进行合规性评估,以评估工作负载的合规性控制措施,了解其合规性状态。
- 收集证据以进行合规性审核。
- 找出不足之处,以便解决生成的违规问题。
Audit Manager 可以针对任何 Google Cloud 项目或文件夹提供评估。
支持的框架
审核管理器可以根据以下内置框架的云控制措施和控制措施评估您的资源:
如果您购买了 Security Command Center 高级版或企业版订阅,或者启用了 Assured Workloads,则:
您使用 Compliance Manager 或 Assured Workloads 框架(预览版)创建的任何框架。
以下内置框架:
以下内置框架仅在 Assured Workloads 框架(预览版)中提供:
从旧版框架迁移
如果您在 2026 年 6 月 30 日之前运行过审核,则使用的是不同的框架。这些框架已不再可用于运行审核。下表将旧版框架映射到可使用 Compliance Manager 或 Assured Workloads 框架(预览版)部署的框架。
| 旧版框架 | 等效的 Audit Manager 框架 | 等效的合规管理器框架 | (预览版)等效的 Assured Workloads 框架 |
|---|---|---|---|
| NIST 800-53 修订版本 4 | — | NIST 800-53 修订版本 5 | NIST 800-53 修订版本 5 |
| Google 推荐的 AI 控制措施 | — | —[1] | —[1] |
| SOC2 2017 | SOC2 2017 | SOC2 2017 | SOC2 2017 |
| CIS Controls v8 | — | CIS Critical Security Controls v8 | CIS Critical Security Controls v8 |
| PCI DSS 4.0 | — | PCI DSS v4.0.1 | PCI DSS v4.0.1 |
| Cloud Controls Matrix 4.0 | — | CSA Cloud Controls Matrix v4.0.11 | CSA Cloud Controls Matrix v4.0.11 |
| NIST CSF v1 | — | NIST Cybersecurity Framework 1.1 | NIST Cybersecurity Framework 1.1 |
| CIS Google Cloud Foundation Benchmark 2.0 | — | CIS GCP Foundations 基准 v3.0 | CIS GCP Foundations 基准 v3.0 |
| ISO 27001 2022 | — | ISO 27001:2022 | ISO 27001:2022 |
如果您之前使用旧版框架运行过审核,则可以继续在查看评估页面和存储报告的 Cloud Storage 存储分区中查看审核报告。
1 合规性管理工具和 Assured Workloads 框架(预览版)均包含内置的 Google 推荐的 AI 核心策略 - Gemini Enterprise Agent Platform 框架。您可以改用此框架,而无需使用 Google 推荐的旧版 AI 控制框架,不过此框架使用不同的控制措施来评估您的环境。
自定义框架
在 2026 年 6 月 30 日之前,Audit Manager 包含一项预览功能,可让您创建自定义框架。如果您使用该预览版功能创建了自定义框架,则可以继续针对该自定义框架运行审核,并查看您创建的报告。不过,您无法查看或修改自定义框架。
如果审核管理器的任何内置框架都不适用于您的环境,您可以选择以下选项:
在 Compliance Manager 中创建自定义框架。合规性管理器包含一个内置云控制措施库,您可以根据需要创建自定义云控制措施。创建此框架后,您可以使用 Audit Manager 或 Compliance Manager 在您的环境中运行审核。
在 Assured Workloads 框架(预览版)中创建自定义框架。Assured Workloads 框架的内置云控制措施包括合规性管理器的云控制措施库,以及专门针对监管工作负载的预防性云控制措施库。您还可以根据需要使用 Assured Workloads 框架创建自定义云控制措施。如果您创建的框架包含预防性控制措施,则只能使用 Audit Manager 在您的环境中运行审核。
控制措施和云控制措施
审核管理器在其框架中包含控制措施和云控制措施。请考虑以下事项:
控制是可用于评估资产保护、风险缓解和业务监管目标的一般性目标。控制措施可以由技术性和非技术性云控制措施组成。
云控件是软件定义的控件,用于检查 Google Cloud 环境中的特定配置。大多数云控制措施都是技术性的。例如,某项控制措施是一项监管要求,要求您审核自己的环境;而某项云控制措施是一种具体机制,用于确保为各种 API 启用 Cloud Audit Logs。
框架是控制措施和云控制措施的集合,可帮助您满足特定的法规标准。例如,Audit Manager 包含 ISO 27001 2022 的框架。云控制措施和技术控制措施包含一条或多条规则,Audit Manager 可以在审核期间检查这些规则并收集证据。
控制措施和云控制措施的审核方式
Audit Manager 如何审核控制措施或云控制措施取决于 Audit Manager 在技术上是否可以评估相应控制措施或云控制措施。请考虑以下事项:
某些控制措施或云控制措施需要进行人工审核,因为审核管理器无法通过 API 调用来验证它们。例如,某项控制措施可能要求您检查不在Google Cloud中的访问系统。如果某项控制措施或云控制措施需要人工审核,Audit Manager 会创建一个观测结果,告知您必须自行完成审核。可能会生成技术证据。控制措施或云控制措施的状态为可选:需要人工审核。
某些控制措施或云控制措施直接应用于Google Cloud中的特定值。例如,某项云控制措施可能要求您为 Cloud Storage 存储分区启用 CMEK。在此场景中,审核管理器可以进行 API 调用来检查特定设置。返回的值是证据。然后,Audit Manager 可以评估证据是否符合预期规则。审核管理器会创建包含证据和评估结果的观测结果。控制或云控制的状态可以是以下任何一种:
如果 Audit Manager 评估证据后认为其符合规则,则控制措施或云控制措施的状态为合规。
如果审核管理器评估证据后认为其不符合规则,则相应控制措施或云控制措施的状态为“违规”。对于包含多条规则的控制措施或云控制措施,如果任何规则失败,状态均为违规。
如果审计管理器在此过程中遇到任何类型的错误(例如,API 调用超时),相应控制或云控制的状态将为已跳过。
Audit Manager 工作流
Audit Manager 的高级别工作流程包括设置 Audit Manager 访问权限和管理审核。
- 如需设置 Audit Manager 访问权限,您必须是 Audit Manager 管理员 (
roles/auditmanager.admin),并注册资源以进行审核。 - 如需管理审核,您必须是管理员或审核员,并且可以执行以下操作:
- 运行审核。
- 获取审核状态。
- 查看详细的审核管理器报告。