Esegui un audit di conformità in Google Cloud

Esegui un controllo per raccogliere le prove necessarie per valutare la tua Google Cloud organizzazione in base ai framework di conformità.

Un controllo è un'operazione a lunga esecuzione che potrebbe richiedere alcune ore. La durata dipende dal numero di risorse nell'ambito di controllo, ovvero il progetto o la cartella a cui ti sei registrato in precedenza.

Prima di iniziare

  • Assicurati di disporre di uno dei seguenti ruoli IAM:

    • Audit Manager Admin (roles/auditmanager.admin)
    • Audit Manager Auditor (roles/auditmanager.auditor)

  • Se vuoi eseguire un audit in base a un framework di conformità personalizzato (anteprima), assicurati di disporre del ruolo IAM Visualizzatore framework di conformità personalizzato di Audit Manager (roles/auditmanager.ccfViewer).

  • Assicurati che il progetto o la cartella siano stati registrati per il controllo.

Esegui un controllo

Console

  1. Nella console Google Cloud , vai alla pagina Esegui valutazione in Audit Manager.

    Vai a Audit Manager

  2. Nella sezione Scegli risorsa e normativa, segui questi passaggi:

    1. Seleziona il progetto o la cartella da controllare.

    2. Seleziona il framework di conformità in base al quale vuoi controllare la risorsa. Puoi selezionare un framework di conformità integrato o personalizzato (anteprima) dall'elenco Framework disponibili. Per ulteriori informazioni, vedi Framework per la conformità supportati.

    3. Seleziona la località in cui deve essere elaborata la valutazione dell'audit. Per l'elenco delle località supportate, consulta Località di Audit Manager.

    4. Fai clic su Avanti.

  3. (Facoltativo) Nella sezione Visualizza piano di valutazione, puoi scaricare un file ODS che contiene informazioni sull'ambito dell'audit in base al framework di conformità selezionato. Per scaricare il file, fai clic sul link e poi su Avanti.

  4. Nella sezione Scegli bucket di archiviazione, seleziona un bucket di archiviazione in cui salvare il report di audit e le prove e fai clic su Fine. Se il tuo bucket non è presente nell'elenco, chiedi all'amministratore di registrare la risorsa con il tuo bucket di archiviazione.

  5. Per avviare il controllo, fai clic su Esegui controllo.

    Puoi visualizzare lo stato dell'audit nella pagina Visualizza valutazioni.

gcloud

(Facoltativo) Genera una valutazione di controllo

Prima di eseguire un audit effettivo, puoi generare una valutazione dell'audit (o ambito) che includa una suddivisione dettagliata delle attività per l'audit in base al framework di conformità che hai scelto.

Il comando gcloud audit-manager audit-scopes generate genera un ambito di controllo.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa, un progetto o una cartella. Ad esempio: folder.
  • RESOURCE_ID: l'ID risorsa del progetto o della cartella. Ad esempio: 8767234.
  • LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli endpoint disponibili, consulta Località di Audit Manager. Ad esempio us-central1.
  • COMPLIANCE_TYPE: il framework di conformità rispetto al quale eseguire il controllo.
    • Per un framework di conformità integrato, specifica il nome del framework da controllare. Ad esempio: CIS_CONTROLS_V8.
    • Per un framework di conformità personalizzato (anteprima), specifica il nome del framework nel seguente formato: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Sostituisci quanto segue:
      • ORG_ID: l'ID organizzazione
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: l'ID del framework di conformità personalizzato
  • AUDIT_REPORT_FORMAT: il formato del report di controllo di output. È supportato solo il formato ODF: odf.
  • OUTPUT_DIRECTORY: la directory in cui deve essere archiviato l'output. Ad esempio: reports.
  • OUTPUT_FILENAME: il nome del file di output. Non includere l'estensione del file nel nome file. Ad esempio:scopeReport.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=COMPLIANCE_TYPE \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=COMPLIANCE_TYPE `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=COMPLIANCE_TYPE ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

Esegui un controllo

Il comando gcloud audit-manager audit-reports generate esegue un controllo.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa, un progetto o una cartella. Ad esempio: folder.
  • RESOURCE_ID: l'ID risorsa del progetto o della cartella. Ad esempio: 8767234.
  • LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli endpoint disponibili, consulta Località di Audit Manager. Ad esempio us-central1.
  • COMPLIANCE_TYPE: il framework di conformità rispetto al quale eseguire il controllo.
    • Per un framework di conformità integrato, specifica il nome del framework da controllare. Ad esempio: CIS_CONTROLS_V8.
    • Per un framework di conformità personalizzato (anteprima), specifica il nome del framework nel seguente formato: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Sostituisci quanto segue:
      • ORG_ID: l'ID organizzazione
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: l'ID del framework di conformità personalizzato
  • BUCKET_URI: l'URI del bucket Cloud Storage. Ad esempio: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: il formato del report di controllo di output. È supportato solo il formato ODF: odf.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=COMPLIANCE_TYPE \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=COMPLIANCE_TYPE `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=COMPLIANCE_TYPE ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

Dovresti ricevere una risposta simile alla seguente:

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

(Facoltativo) Genera una valutazione di controllo

Prima di eseguire un audit effettivo, puoi generare una valutazione dell'audit (o ambito) che includa una suddivisione dettagliata delle attività per l'audit in base al framework di conformità che hai scelto.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa, un progetto o una cartella. Ad esempio: folder.
  • RESOURCE_ID: l'ID risorsa del progetto o della cartella. Ad esempio: 8767234.
  • LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli endpoint disponibili, consulta Località di Audit Manager. Ad esempio us-central1.
  • COMPLIANCE_TYPE: il framework di conformità rispetto al quale eseguire il controllo.
    • Per un framework di conformità integrato, specifica il nome del framework da controllare. Ad esempio: CIS_CONTROLS_V8.
    • Per un framework di conformità personalizzato (anteprima), specifica il nome del framework nel seguente formato: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Sostituisci quanto segue:
      • ORG_ID: l'ID organizzazione
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: l'ID del framework di conformità personalizzato
  • AUDIT_REPORT_FORMAT: il formato del report di controllo di output. È supportato solo il formato ODF: odf.
  • OUTPUT_DIRECTORY: la directory in cui deve essere archiviato l'output. Ad esempio: reports.
  • OUTPUT_FILENAME: il nome del file di output. Non includere l'estensione del file nel nome file. Ad esempio:scopeReport.

Metodo HTTP e URL: 

POST https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

Corpo JSON della richiesta: 


{
  "compliance_framework" : "COMPLIANCE_TYPE"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Per inviare la richiesta, scegli una di queste opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

Esegui un controllo

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa, un progetto o una cartella. Ad esempio: folder.
  • RESOURCE_ID: l'ID risorsa del progetto o della cartella. Ad esempio: 8767234.
  • LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli endpoint disponibili, consulta Località di Audit Manager. Ad esempio us-central1.
  • COMPLIANCE_TYPE: il framework di conformità rispetto al quale eseguire il controllo.
    • Per un framework di conformità integrato, specifica il nome del framework da controllare. Ad esempio: CIS_CONTROLS_V8.
    • Per un framework di conformità personalizzato (anteprima), specifica il nome del framework nel seguente formato: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Sostituisci quanto segue:
      • ORG_ID: l'ID organizzazione
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: l'ID del framework di conformità personalizzato
  • BUCKET_URI: l'URI del bucket Cloud Storage. Ad esempio: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: il formato del report di controllo di output. È supportato solo il formato ODF: odf.

Metodo HTTP e URL: 

POST https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate

Corpo JSON della richiesta: 


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "COMPLIANCE_TYPE"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Per inviare la richiesta, scegli una di queste opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate"

PowerShell

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

La risposta contiene le seguenti informazioni:

  • name: una stringa identificatore univoca della richiesta di operazione di valutazione dell'audit. Questo identificatore viene utilizzato per monitorare l'avanzamento della procedura di valutazione dell'audit. Ad esempio: operation/098234.
  • done: un flag booleano impostato su false che indica che il processo è stato attivato. Questo valore è impostato su true al termine della valutazione dell'audit.

Il campo scope_reports_contents è il formato byte dei contenuti, che deve essere convertito in formato ODF prima della revisione.

Passaggi successivi