Audit Manager 是一項法規遵循稽核解決方案,可協助您簡化 Google Cloud的法規遵循稽核程序。您可以透過 Audit Manager,針對內建架構和自訂架構執行稽核,這些自訂架構是您使用 Compliance Manager 或 Assured Workloads 架構 (預先發布) 定義。
稽核管理工具具備下列功能:
- 共同責任矩陣,顯示職責劃分和管理責任的建議。
- 「 Google Cloud」的法規遵循文件
- 自動進行法規遵循評估,評估工作負載的法規遵循控管措施,瞭解法規遵循狀態。
- 收集證據以進行法規遵循稽核。
- 找出缺口,協助修正產生的違規事項。
Audit Manager 可為任何 Google Cloud 專案或資料夾提供評估結果。
支援的架構
稽核管理員可以根據下列內建架構的雲端控制選項和控制選項,評估您的資源:
如果您購買 Security Command Center Premium 或 Enterprise 訂閱方案,或是啟用 Assured Workloads,系統會執行下列操作:
使用 Compliance Manager 或 Assured Workloads 架構 (搶先版) 建立的任何架構。
下列內建架構:
下列內建架構僅適用於 Assured Workloads 架構 (預先發布版):
從舊版架構遷移
如果您在 2026 年 6 月 30 日前進行稽核,則使用的是不同架構。這些架構已無法用於執行稽核。下表列出舊版架構與可透過 Compliance Manager 或 Assured Workloads 架構 (搶先版) 部署的架構之間的對應關係。
| 舊版架構 | 等效的 Audit Manager 架構 | 對應的 Compliance Manager 架構 | (預先發布版) 等效的 Assured Workloads 架構 |
|---|---|---|---|
| NIST 800-53 Revision 4 | — | NIST 800-53 修訂版 5 | NIST 800-53 修訂版 5 |
| Google 建議採用的 AI 控管機制 | — | —[1] | —[1] |
| SOC2 2017 | SOC2 2017 | SOC2 2017 | SOC2 2017 |
| CIS Controls v8 | — | CIS Critical Security Controls v8 | CIS Critical Security Controls v8 |
| PCI DSS 4.0 | — | PCI DSS 4.0.1 版 | PCI DSS 4.0.1 版 |
| Cloud Controls Matrix 4.0 | — | CSA Cloud Controls Matrix v4.0.11 | CSA Cloud Controls Matrix v4.0.11 |
| NIST CSF v1 | — | NIST 網路安全架構 1.1 | NIST 網路安全架構 1.1 |
| CIS Google Cloud Foundation Benchmark 2.0 | — | CIS GCP Foundations Benchmark v3.0 | CIS GCP Foundations Benchmark v3.0 |
| ISO 27001 2022 | — | ISO 27001:2022 | ISO 27001:2022 |
如果您使用舊版架構執行稽核,仍可在「查看評估」頁面,以及儲存報表的 Cloud Storage bucket 中查看稽核報表。
1「法規遵循管理員」和「Assured Workloads」架構 (搶先版) 都內建「Google 建議採用的 AI 基礎功能 - Gemini Enterprise Agent Platform」架構。您可以改用這個架構,取代舊版 Google 建議的 AI 控制項架構,但這個架構會使用不同的控制項評估您的環境。
自訂架構
2026 年 6 月 30 日前,稽核管理員提供預覽功能,可供您建立自訂架構。如果您使用該預先發布功能建立自訂架構,可以繼續對自訂架構執行稽核,並查看您建立的報表。不過,您無法查看或編輯自訂架構。
如果 Audit Manager 的內建架構都不適用於您的環境,可以採取下列做法:
在 Compliance Manager 中建立自訂架構。法規遵循管理員包含內建雲端控管機制資料庫,您也可以視需要建立自訂雲端控管機制。建立架構後,您可以使用稽核管理員或法規遵循管理員,在環境中執行稽核。
在 Assured Workloads 架構 (預先發布版) 中建立自訂架構。Assured Workloads 架構的內建雲端控制項包括雲端控制項的 Compliance Manager 程式庫,以及專為法規工作負載設計的預防性雲端控制項程式庫。您也可以視需要使用 Assured Workloads 架構建立自訂雲端控管措施。如果您建立的架構包含預防性控管措施,則只能使用 Audit Manager 在環境中執行稽核。
控管機制和雲端控管機制
Audit Manager 的架構包含控管機制和雲端控管機制。請考量下列事項:
控制措施是通用目標,可讓您評估資產保護、風險緩解和業務法規目標。控管措施可由技術和非技術雲端控管措施組成。
雲端控制項是軟體定義的控制項,可檢查 Google Cloud 環境中的特定設定。大多數雲端控管機制都是技術性的,舉例來說,控制項是稽核環境的法規要求,而雲端控制項則是確保各種 API 啟用 Cloud 稽核記錄的特定機制。
「架構」是一系列控管機制和雲端控管機制,可協助您符合特定法規標準。舉例來說,Audit Manager 包含 ISO 27001 2022 的架構。雲端控管機制和技術控管機制包含一或多項規則,稽核管理員可在稽核期間檢查這些規則,並收集相關證據。
控管機制和雲端控管機制的稽核方式
Audit Manager 稽核控制項或雲端控制項的方式,取決於 Audit Manager 是否能從技術上評估控制項或雲端控制項。請考量下列事項:
部分控制項或雲端控制項需要手動審查,因為 Audit Manager 無法透過 API 呼叫驗證這些控制項。舉例來說,某項控制措施可能要求您審查不在Google Cloud中的存取系統。如果控制項或雲端控制項需要手動審查,稽核管理員會建立觀察事項,告知您必須自行完成審查。系統可能會產生技術證據。控制項或雲端控制項的狀態為「選用:需要人工審查」。
部分控制項或雲端控制項會直接套用至Google Cloud中的特定值。舉例來說,雲端控管措施可能會要求您為 Cloud Storage bucket 啟用 CMEK。在這個情境中,稽核管理員可以發出 API 呼叫,檢查特定設定。傳回的值是證據。Audit Manager 接著會評估證據是否符合預期規則。Audit Manager 會建立觀察結果,其中包含證據和評估結果。控制項或雲端控制項的狀態可以是下列任一項:
如果 Audit Manager 評估結果顯示證據符合規則,控管機制或雲端控管機制的狀態就會是「符合規定」。
如果稽核管理員評估證據時,發現證據不符合規則,控制項或雲端控制項的狀態就會是「失敗」。如果控制項或雲端控制項包含多項規則,只要有任何規則失敗,狀態就會顯示「違規」。
如果稽核管理員在此程序中遇到任何類型的錯誤 (例如 API 呼叫逾時),控制項或雲端控制項的狀態會顯示為「已略過」。
Audit Manager 工作流程
Audit Manager 的高階工作流程包括設定 Audit Manager 存取權及管理稽核。
- 如要設定 Audit Manager 存取權,您必須是 Audit Manager 管理員 (
roles/auditmanager.admin),並註冊稽核資源。 - 如要管理稽核,您必須是管理員或稽核員,並執行下列操作:
- 執行稽核。
- 取得稽核狀態。
- 查看詳細的稽核管理員報告。