הפעלת ביקורת תאימות ב-Google Cloud

עורכים ביקורת כדי לאסוף את הראיות שנדרשות להערכת הארגון בהתאם למסגרות התאימות.Google Cloud

ביקורת היא פעולה ממושכת שיכולה להימשך כמה שעות. המשך תלוי במספר המשאבים בהיקף הביקורת, שהוא הפרויקט או התיקייה שנרשמתם אליהם קודם.

לפני שמתחילים

  • מוודאים שיש לכם אחד מהתפקידים הבאים ב-IAM:

    • אדמין של כלי לניהול ביקורות (roles/auditmanager.admin)
    • מבקר של כלי לניהול ביקורות (roles/auditmanager.auditor)

  • אם רוצים להריץ ביקורת על מסגרת תאימות בהתאמה אישית (בגרסת Preview), צריך לוודא שיש לכם את תפקיד ה-IAM‏ Audit Manager Custom Compliance Framework Viewer ‏ (roles/auditmanager.ccfViewer).

  • מוודאים שהפרויקט או התיקייה שלכם רשומים לביקורת.

הרצת בדיקה

המסוף

  1. במסוף Google Cloud , נכנסים לדף Run assessment ב-כלי לניהול ביקורות.

    מעבר אל הכלי לניהול ביקורות

  2. בקטע Choose resource and regulation:

    1. בוחרים את הפרויקט או התיקייה שרוצים לבדוק.

    2. בוחרים את מסגרת התאימות שרוצים לבדוק את המשאב שלכם בהתאם אליה. אפשר לבחור מסגרת תאימות מובנית או מסגרת תאימות בהתאמה אישית (בגרסת Preview) מתוך רשימת המסגרות הזמינות. מידע נוסף זמין במאמר בנושא מסגרות תאימות נתמכות.

    3. בוחרים את המיקום שבו צריך לעבד את הערכת הביקורת. רשימת המיקומים הנתמכים מופיעה במאמר מיקומים של כלי לניהול ביקורות.

    4. לוחצים על הבא.

  3. אופציונלי: בקטע View Assessment Plan (הצגת תוכנית ההערכה), אפשר להוריד קובץ ODS שמכיל מידע על היקף הביקורת בהתאם למסגרת התאימות שבחרתם. כדי להוריד את הקובץ, לוחצים על הקישור ואז על הבא.

  4. בקטע Choose storage bucket, בוחרים את קטגוריית האחסון שבה צריך לשמור את דוח הביקורת ואת הראיות, ולוחצים על Done. אם המאגר שלכם לא מופיע ברשימה, צריך לבקש מהאדמין לרשום את המשאב במאגר האחסון.

  5. כדי להתחיל את הביקורת, לוחצים על הפעלת ביקורת.

    אפשר לראות את סטטוס הביקורת בדף הצגת הערכות.

gcloud

אופציונלי: יצירת הערכה של ביקורת

לפני שמריצים ביקורת בפועל, אפשר ליצור הערכה (או היקף) של הביקורת שכוללת פירוט של המשימות לביקורת על סמך מסגרת התאימות שבחרתם.

הפקודה gcloud audit-manager audit-scopes generate יוצרת היקף ביקורת.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה: folder.
  • RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה: 8767234.
  • LOCATION: המיקום של נקודת קצה ל-API של כלי לניהול ביקורות. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה: us-central1.
  • COMPLIANCE_TYPE: מסגרת התאימות שרוצים לבצע ביקורת לפיה.
    • עבור מסגרת תאימות מובנית, מציינים את שם המסגרת שרוצים לבצע ביקורת לפיה. לדוגמה: CIS_CONTROLS_V8.
    • כדי להגדיר מסגרת תאימות בהתאמה אישית (בשלב טרום-השקה), מציינים את שם המסגרת בפורמט הבא: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • מחליפים את מה שכתוב בשדות הבאים:
      • ORG_ID: מזהה הארגון
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: המזהה של מסגרת התאימות המותאמת אישית
  • AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא. יש תמיכה רק בפורמט ODF: ‏ odf.
  • OUTPUT_DIRECTORY: הספרייה שבה צריך לאחסן את הפלט. לדוגמה: reports.
  • OUTPUT_FILENAME: השם של קובץ הפלט. אל תכללו את סיומת הקובץ בשם הקובץ. לדוגמה:scopeReport.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=COMPLIANCE_TYPE \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

‏Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=COMPLIANCE_TYPE `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows‏ (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=COMPLIANCE_TYPE ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

הרצת בדיקה

הפקודה gcloud audit-manager audit-reports generate מריצה ביקורת.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה: folder.
  • RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה: 8767234.
  • LOCATION: המיקום של נקודת קצה ל-API של כלי לניהול ביקורות. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה: us-central1.
  • COMPLIANCE_TYPE: מסגרת התאימות שרוצים לבצע ביקורת לפיה.
    • עבור מסגרת תאימות מובנית, מציינים את שם המסגרת שרוצים לבצע ביקורת לפיה. לדוגמה: CIS_CONTROLS_V8.
    • כדי להגדיר מסגרת תאימות בהתאמה אישית (בשלב טרום-השקה), מציינים את שם המסגרת בפורמט הבא: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • מחליפים את מה שכתוב בשדות הבאים:
      • ORG_ID: מזהה הארגון
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: המזהה של מסגרת התאימות המותאמת אישית
  • BUCKET_URI: ה-URI של הקטגוריה ב-Cloud Storage. לדוגמה: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא. יש תמיכה רק בפורמט ODF: ‏ odf.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=COMPLIANCE_TYPE \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

‏Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=COMPLIANCE_TYPE `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows‏ (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=COMPLIANCE_TYPE ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

אמורים לקבל תגובה שדומה לזו:

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

אופציונלי: יצירת הערכה של ביקורת

לפני שמריצים ביקורת בפועל, אפשר ליצור הערכה (או היקף) של הביקורת שכוללת פירוט של המשימות לביקורת על סמך מסגרת התאימות שבחרתם.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה: folder.
  • RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה: 8767234.
  • LOCATION: המיקום של נקודת קצה ל-API של כלי לניהול ביקורות. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה: us-central1.
  • COMPLIANCE_TYPE: מסגרת התאימות שרוצים לבצע ביקורת לפיה.
    • עבור מסגרת תאימות מובנית, מציינים את שם המסגרת שרוצים לבצע ביקורת לפיה. לדוגמה: CIS_CONTROLS_V8.
    • כדי להגדיר מסגרת תאימות בהתאמה אישית (בשלב טרום-השקה), מציינים את שם המסגרת בפורמט הבא: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • מחליפים את מה שכתוב בשדות הבאים:
      • ORG_ID: מזהה הארגון
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: המזהה של מסגרת התאימות המותאמת אישית
  • AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא. יש תמיכה רק בפורמט ODF: ‏ odf.
  • OUTPUT_DIRECTORY: הספרייה שבה צריך לאחסן את הפלט. לדוגמה: reports.
  • OUTPUT_FILENAME: השם של קובץ הפלט. אל תכללו את סיומת הקובץ בשם הקובץ. לדוגמה:scopeReport.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

גוף בקשת JSON: 


{
  "compliance_framework" : "COMPLIANCE_TYPE"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:

curl

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

הרצת בדיקה

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה: folder.
  • RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה: 8767234.
  • LOCATION: המיקום של נקודת קצה ל-API של כלי לניהול ביקורות. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה: us-central1.
  • COMPLIANCE_TYPE: מסגרת התאימות שרוצים לבצע ביקורת לפיה.
    • עבור מסגרת תאימות מובנית, מציינים את שם המסגרת שרוצים לבצע ביקורת לפיה. לדוגמה: CIS_CONTROLS_V8.
    • כדי להגדיר מסגרת תאימות בהתאמה אישית (בשלב טרום-השקה), מציינים את שם המסגרת בפורמט הבא: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • מחליפים את מה שכתוב בשדות הבאים:
      • ORG_ID: מזהה הארגון
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: המזהה של מסגרת התאימות המותאמת אישית
  • BUCKET_URI: ה-URI של הקטגוריה ב-Cloud Storage. לדוגמה: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא. יש תמיכה רק בפורמט ODF: ‏ odf.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate

גוף בקשת JSON: 


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "COMPLIANCE_TYPE"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:

curl

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate"

PowerShell

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

התגובה כוללת את הפרטים הבאים:

  • name: מזהה מחרוזת ייחודי של בקשת פעולת הערכת הביקורת. המזהה הזה משמש למעקב אחרי ההתקדמות בתהליך של הערכת הביקורת. לדוגמה: operation/098234.
  • done: סימון בוליאני שמוגדר כ-false ומציין שהתהליך הופעל. הערך הזה מוגדר ל-true כשהערכת הביקורת מסתיימת.

השדה scope_reports_contents הוא פורמט הבייטים של התוכן, שצריך להמיר לפורמט ODF לפני הבדיקה.

המאמרים הבאים