Executar uma auditoria de compliance no Google Cloud

Faça uma auditoria para coletar as evidências necessárias para avaliar sua Google Cloud organização em relação às estruturas de compliance.

Uma auditoria é uma operação de longa duração que pode levar algumas horas. A duração depende do número de recursos no escopo da auditoria, que é o projeto ou a pasta em que você se inscreveu anteriormente.

Antes de começar

  • Verifique se você tem um dos seguintes papéis do IAM:

    • Administrador do Audit Manager (roles/auditmanager.admin)
    • Auditor do Audit Manager (roles/auditmanager.auditor)

  • Se você quiser executar uma auditoria em um framework de compliance personalizado (prévia), verifique se tem o papel do IAM de leitor de framework de compliance personalizado do Audit Manager (roles/auditmanager.ccfViewer).

  • Verifique se o projeto ou a pasta foi inscrita para auditoria.

Executar uma auditoria

Console

  1. No console do Google Cloud , acesse a página Executar avaliação no Audit Manager.

    Acessar o Audit Manager

  2. Na seção Escolher recurso e regulamentação, faça o seguinte:

    1. Selecione o projeto ou a pasta que precisa ser auditada.

    2. Selecione a estrutura de compliance que você quer usar para auditar seu recurso. É possível selecionar um framework de compliance integrado ou personalizado (prévia) na lista Frameworks disponíveis. Para mais informações, consulte Estruturas de compliance compatíveis.

    3. Selecione o local em que a avaliação de auditoria precisa ser processada. Para conferir a lista de locais compatíveis, consulte Locais do Audit Manager.

    4. Clique em Próxima.

  3. Opcional: na seção Ver plano de avaliação, você pode baixar um arquivo ODS com informações sobre o escopo da auditoria com base na estrutura de conformidade selecionada. Para baixar o arquivo, clique no link e em Próxima.

  4. Na seção Escolher bucket de armazenamento, selecione um bucket em que o relatório de auditoria e as evidências serão salvos e clique em Concluído. Se o bucket não estiver listado, peça ao administrador para registrar o recurso com o bucket de armazenamento.

  5. Para iniciar a auditoria, clique em Executar auditoria.

    Você pode conferir o status da auditoria na página Ver avaliações.

gcloud

Opcional: gerar uma avaliação de auditoria

Antes de realizar uma auditoria real, é possível gerar uma avaliação (ou escopo) que inclua uma análise detalhada das tarefas com base na estrutura de compliance escolhida.

O comando gcloud audit-manager audit-scopes generate gera um escopo de auditoria.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso, um projeto ou uma pasta. Por exemplo, folder.
  • RESOURCE_ID: o ID do recurso do projeto ou da pasta. Por exemplo, 8767234.
  • LOCATION: o local do endpoint de API Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo: us-central1.
  • COMPLIANCE_TYPE: a estrutura de compliance para auditoria.
    • Para um framework de compliance integrado, especifique o nome do framework a ser auditado. Por exemplo, CIS_CONTROLS_V8.
    • Para um framework de compliance personalizado (prévia), especifique o nome no seguinte formato: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Substitua:
      • ORG_ID: o ID da organização.
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: o ID da estrutura de conformidade personalizada
  • AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída. Apenas o formato ODF é compatível: odf.
  • OUTPUT_DIRECTORY: o diretório onde a saída precisa ser armazenada. Por exemplo, reports.
  • OUTPUT_FILENAME: o nome do arquivo de saída. Não inclua a extensão no nome do arquivo. Por exemplo:scopeReport.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=COMPLIANCE_TYPE \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=COMPLIANCE_TYPE `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=COMPLIANCE_TYPE ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

Executar uma auditoria

O comando gcloud audit-manager audit-reports generate executa uma auditoria.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso, um projeto ou uma pasta. Por exemplo, folder.
  • RESOURCE_ID: o ID do recurso do projeto ou da pasta. Por exemplo, 8767234.
  • LOCATION: o local do endpoint de API Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo: us-central1.
  • COMPLIANCE_TYPE: a estrutura de compliance para auditoria.
    • Para um framework de compliance integrado, especifique o nome do framework a ser auditado. Por exemplo, CIS_CONTROLS_V8.
    • Para um framework de compliance personalizado (prévia), especifique o nome no seguinte formato: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Substitua:
      • ORG_ID: o ID da organização.
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: o ID da estrutura de conformidade personalizada
  • BUCKET_URI: o URI do bucket do Cloud Storage. Por exemplo: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída. Apenas o formato ODF é compatível: odf.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=COMPLIANCE_TYPE \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=COMPLIANCE_TYPE `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=COMPLIANCE_TYPE ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

Você receberá uma resposta semelhante a esta

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

Opcional: gerar uma avaliação de auditoria

Antes de realizar uma auditoria real, é possível gerar uma avaliação (ou escopo) que inclua uma análise detalhada das tarefas com base na estrutura de compliance escolhida.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso, um projeto ou uma pasta. Por exemplo, folder.
  • RESOURCE_ID: o ID do recurso do projeto ou da pasta. Por exemplo, 8767234.
  • LOCATION: o local do endpoint de API Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo: us-central1.
  • COMPLIANCE_TYPE: a estrutura de compliance para auditoria.
    • Para um framework de compliance integrado, especifique o nome do framework a ser auditado. Por exemplo, CIS_CONTROLS_V8.
    • Para um framework de compliance personalizado (prévia), especifique o nome no seguinte formato: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Substitua:
      • ORG_ID: o ID da organização.
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: o ID da estrutura de conformidade personalizada
  • AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída. Apenas o formato ODF é compatível: odf.
  • OUTPUT_DIRECTORY: o diretório onde a saída precisa ser armazenada. Por exemplo, reports.
  • OUTPUT_FILENAME: o nome do arquivo de saída. Não inclua a extensão no nome do arquivo. Por exemplo:scopeReport.

Método HTTP e URL: 

POST https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

Corpo JSON da solicitação:


{
  "compliance_framework" : "COMPLIANCE_TYPE"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Para enviar a solicitação, escolha uma destas opções:

curl

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

Executar uma auditoria

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso, um projeto ou uma pasta. Por exemplo, folder.
  • RESOURCE_ID: o ID do recurso do projeto ou da pasta. Por exemplo, 8767234.
  • LOCATION: o local do endpoint de API Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo: us-central1.
  • COMPLIANCE_TYPE: a estrutura de compliance para auditoria.
    • Para um framework de compliance integrado, especifique o nome do framework a ser auditado. Por exemplo, CIS_CONTROLS_V8.
    • Para um framework de compliance personalizado (prévia), especifique o nome no seguinte formato: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Substitua:
      • ORG_ID: o ID da organização.
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: o ID da estrutura de conformidade personalizada
  • BUCKET_URI: o URI do bucket do Cloud Storage. Por exemplo: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída. Apenas o formato ODF é compatível: odf.

Método HTTP e URL: 

POST https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate

Corpo JSON da solicitação:


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "COMPLIANCE_TYPE"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Para enviar a solicitação, escolha uma destas opções:

curl

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate"

PowerShell

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

A resposta tem as seguintes informações:

  • name: um identificador de string exclusivo da solicitação de operação de avaliação de auditoria. Esse identificador é usado para acompanhar o progresso do processo de avaliação de auditoria. Por exemplo, operation/098234.
  • done: uma flag booleana definida como false que indica que o processo foi acionado. Ele é definido como true quando a avaliação de auditoria é concluída.

O campo scope_reports_contents é o formato de byte do conteúdo, que precisa ser convertido para o formato ODF antes da revisão.

A seguir