Esegui un audit di conformità in Google Cloud

Pianifica ed esegui audit per raccogliere le prove necessarie per valutare la tua Google Cloud organizzazione in base ai framework supportati.

Un audit è un'operazione a lunga esecuzione che potrebbe richiedere alcune ore. La durata dipende dal numero di risorse nell'ambito di controllo, ovvero l'organizzazione (anteprima), il progetto o la cartella a cui ti sei registrato in precedenza.

Puoi pianificare l'esecuzione degli audit (anteprima) a intervalli regolari e specificare un periodo di tempo per un audit pianificato. Puoi creare una pianificazione per un framework e una risorsa specifici solo se non esiste già una pianificazione attiva o in pausa per la combinazione di framework e risorsa.

Prima di iniziare

  • Assicurati di disporre di uno dei seguenti ruoli IAM:

    • Audit Manager Admin (roles/auditmanager.admin)
    • Audit Manager Auditor (roles/auditmanager.auditor)
    • Visualizzatore di Compliance Manager (roles/cloudsecuritycompliance.viewer) (obbligatorio se stai eseguendo l'audit di un framework che hai creato utilizzando Compliance Manager)
  • Assicurati che la tua organizzazione, il tuo progetto o la tua cartella siano stati registrati per il controllo.

Esegui un controllo

Console

  1. Nella console Google Cloud , vai alla pagina Esegui valutazione in Audit Manager.

    Vai a Audit Manager

  2. Nella sezione Scegli risorsa e regione:

    1. Seleziona l'organizzazione (anteprima), la cartella o il progetto da controllare.

    2. Seleziona il framework rispetto al quale vuoi controllare la risorsa. Per informazioni sui framework supportati, vedi Framework supportati.

    3. Seleziona la località in cui deve essere elaborata la valutazione dell'audit. Per l'elenco delle località supportate, consulta Località di Audit Manager.

    4. Fai clic su Avanti.

  3. Seleziona il framework in base al quale vuoi eseguire l'audit della risorsa e fai clic su Avanti. Per informazioni sui framework supportati, vedi Framework supportati.

  4. (Facoltativo) Nella sezione Visualizza piano di valutazione, puoi scaricare un file ODS che contiene informazioni sull'ambito dell'audit in base al framework selezionato. Per scaricare il file, fai clic sul link e poi su Avanti.

  5. Nella sezione Scegli bucket di archiviazione, seleziona un bucket di archiviazione in cui devono essere salvati il report di audit e le prove e fai clic su Fine. Se il tuo bucket non è elencato, chiedi all'amministratore di registrare la tua risorsa con il tuo bucket di archiviazione.

  6. (Anteprima) (facoltativo) Nella sezione Pianificazione, imposta una delle seguenti opzioni:

    • La frequenza con cui ripetere il controllo (giornaliera, mensile, trimestrale o annuale).

    • Il periodo di tempo da includere nell'audit. Se scegli Senza fine, il controllo continua a essere eseguito dalla data di inizio specificata, finché non lo interrompi manualmente.

  7. Per avviare il controllo, fai clic su Esegui controllo o Esegui controllo pianificato.

    Puoi visualizzare lo stato dell'audit nella pagina Visualizza valutazioni.

gcloud

(Facoltativo) Genera una valutazione di controllo

Prima di eseguire un audit effettivo, puoi generare una valutazione dell'audit (o ambito) che includa una suddivisione dettagliata delle attività per l'audit in base al framework di conformità scelto.

Il comando gcloud audit-manager audit-scopes generate genera un ambito di controllo.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa, che può essere un'organizzazione (anteprima), una cartella o un progetto. Ad esempio: folders o projects.
  • RESOURCE_ID: l'ID risorsa dell'organizzazione (anteprima), del progetto o della cartella. Ad esempio 8767234.
  • LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli endpoint disponibili, consulta Località di Audit Manager. Ad esempio us-central1.
  • FRAMEWORK: l'ID del framework da controllare. Ad esempio: builtin-cis-v8. Per trovare l'ID di un framework, consulta la pagina Visualizza valutazioni in Audit Manager.
  • AUDIT_REPORT_FORMAT: il formato del report di controllo di output. È supportato solo il formato ODF: AUDIT_REPORT_FORMAT_ODF.
  • OUTPUT_DIRECTORY: la directory in cui deve essere archiviato l'output. Ad esempio: reports.
  • OUTPUT_FILENAME: il nome del file di output. Non includere l'estensione del file nel nome file. Ad esempio:scopeReport.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

Eseguire un controllo on demand

Non puoi pianificare un audit (anteprima) o generare report a livello di organizzazione (anteprima) utilizzando gcloud CLI.

Il comando gcloud audit-manager audit-reports generate esegue un controllo.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa, che può essere un'organizzazione (anteprima), una cartella o un progetto. Ad esempio: folders o projects.
  • RESOURCE_ID: l'ID risorsa dell'organizzazione (anteprima), del progetto o della cartella. Ad esempio 8767234.
  • LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli endpoint disponibili, consulta Località di Audit Manager. Ad esempio us-central1.
  • FRAMEWORK: l'ID del framework da controllare. Ad esempio: builtin-cis-v8. Per trovare l'ID di un framework, consulta la pagina Visualizza valutazioni in Audit Manager.
  • BUCKET_URI: l'URI del bucket Cloud Storage. Ad esempio: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: il formato del report di controllo di output. È supportato solo il formato ODF: AUDIT_REPORT_FORMAT_ODF.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

Dovresti ricevere una risposta simile alla seguente:

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

(Facoltativo) Genera una valutazione di controllo

Prima di eseguire un audit effettivo, puoi generare una valutazione dell'audit (o ambito) che includa una suddivisione dettagliata delle attività per l'audit in base al framework di conformità che hai scelto.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa, che può essere un'organizzazione (anteprima), una cartella o un progetto. Ad esempio: folders o projects.
  • RESOURCE_ID: l'ID risorsa dell'organizzazione (anteprima), del progetto o della cartella. Ad esempio 8767234.
  • LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli endpoint disponibili, consulta Località di Audit Manager. Ad esempio us-central1.
  • FRAMEWORK: l'ID del framework da controllare. Ad esempio: builtin-cis-v8. Per trovare l'ID di un framework, consulta la pagina Visualizza valutazioni in Audit Manager.
  • AUDIT_REPORT_FORMAT: il formato del report di controllo di output. È supportato solo il formato ODF: AUDIT_REPORT_FORMAT_ODF.

Metodo HTTP e URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

Corpo JSON della richiesta:


{
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Per inviare la richiesta, scegli una di queste opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

La risposta contiene le seguenti informazioni:

    Il campo scope_reports_contents è il formato byte dei contenuti, che deve essere convertito in formato ODF prima della revisione.

  • name: una stringa identificatore univoca della risorsa applicabile.

Eseguire un controllo on demand

Non puoi pianificare l'esecuzione di un controllo (anteprima) utilizzando le API REST.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa, che può essere un'organizzazione (anteprima), una cartella o un progetto. Ad esempio: folders o projects.
  • RESOURCE_ID: l'ID risorsa dell'organizzazione (anteprima), del progetto o della cartella. Ad esempio 8767234.
  • LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli endpoint disponibili, consulta Località di Audit Manager. Ad esempio us-central1.
  • FRAMEWORK: l'ID del framework da controllare. Ad esempio: builtin-cis-v8. Per trovare l'ID di un framework, consulta la pagina Visualizza valutazioni in Audit Manager.
  • BUCKET_URI: l'URI del bucket Cloud Storage. Ad esempio: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: il formato del report di controllo di output. È supportato solo il formato ODF: AUDIT_REPORT_FORMAT_ODF.

Metodo HTTP e URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate

Corpo JSON della richiesta:


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Per inviare la richiesta, scegli una di queste opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"

PowerShell

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

La risposta contiene le seguenti informazioni:

  • name: una stringa identificatore univoca della richiesta di operazione di valutazione dell'audit. Questo identificatore viene utilizzato per monitorare l'avanzamento della procedura di valutazione dell'audit. Ad esempio: operation/098234.
  • done: un flag booleano impostato su false che indica che il processo è stato attivato. Questo valore è impostato su true al termine della valutazione dell'audit.

Aggiorna i controlli pianificati

Puoi mettere in pausa, riprendere e interrompere gli audit ricorrenti. Se vuoi modificare la pianificazione, devi eliminare l'audit pianificato esistente e poi crearne uno nuovo.

Console

  1. Nella console Google Cloud , vai alla pagina Gestione audit in Audit Manager.

    Vai a Audit Manager

  2. Nella scheda Pianificazioni, trova l'audit pianificato che vuoi aggiornare.

  3. Esegui una delle seguenti operazioni:

    • Per mettere in pausa una pianificazione di controllo, fai clic su Metti in pausa pianificazione.

    • Per riavviare un controllo che hai messo in pausa, fai clic su Riprendi pianificazione.

    • Per eliminare un controllo pianificato, fai clic su Interrompi pianificazione.

Passaggi successivi