Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Gestisci framework

I framework di Compliance Manager sono costituiti da controlli cloud che ti aiutano a soddisfare i requisiti di sicurezza e normativi per un'organizzazione o un progetto nei tuoi ambienti cloud. L'applicazione di un framework è una procedura composta da due passaggi. Innanzitutto, devi identificare i controlli cloud in linea con gli obblighi di sicurezza e conformità della tua attività. Poi, esegui il deployment di un framework che include questi controlli cloud nell'organizzazione, nella cartella o nel progetto appropriato in Google Cloud. Questa pagina ti aiuta a completare i seguenti passaggi:

Valuta quale framework integrato è più in linea con i tuoi requisiti normativi e di sicurezza. Puoi creare il tuo framework personalizzato, ma ti consigliamo di iniziare con un framework integrato.
Determina quali controlli cloud integrati corrispondono ai requisiti della tua attività.
(Solo livelli Premium ed Enterprise) Se necessario, puoi creare controlli cloud personalizzati,
Determina se eseguire il deployment del framework nella tua Google Cloud organizzazione o in cartelle e progetti specifici. Puoi eseguire il deployment di un solo framework per ogni organizzazione, cartella o progetto. Il Compliance Manager supporta le cartelle configurate per la gestione delle applicazioni.
Copia un framework esistente e modificalo in base ai tuoi requisiti. Se necessario, puoi creare un framework personalizzato.

Nota: il livello Standard supporta solo il framework Security Essentials. Gli altri framework integrati richiedono i livelli Premium o Enterprise. Per saperne di più, consulta Framework per Google Cloud.
Esegui il deployment del framework nell'organizzazione, nella cartella o nel progetto appropriato.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per applicare i framework, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione o nel tuo progetto:
- Amministratore di Compliance Manager (roles/cloudsecuritycompliance.admin)
- Per visualizzare le dashboard dei risultati: Visualizzatore del Compliance Manager (roles/cloudsecuritycompliance.viewer)
- Per eseguire il deployment dei framework che includono controlli cloud basati sulle policy dell'organizzazione, uno dei seguenti:
  - Amministratore delle policy dell'organizzazione (roles/orgpolicy.policyAdmin)
  - Amministratore di Assured Workloads (roles/assuredworkloads.admin)
  - Editor di Assured Workloads (roles/assuredworkloads.editor)
- (Solo a livello di organizzazione) Per creare una cartella durante il deployment di un framework, uno dei seguenti:
  - Amministratore cartelle (roles/resourcemanager.folderAdmin)
  - Project Creator (roles/resourcemanager.folderCreator)
- (Solo a livello di organizzazione) Per creare un progetto durante il deployment di un framework, tutti i seguenti:
  - Project Billing Manager (roles/billing.projectManager)
  - Project Creator (roles/resourcemanager.projectCreator)
  - Project Deleter (roles/resourcemanager.projectDeleter)
- Per assegnare i framework di Data Security Posture Management (DSPM) a un'applicazione App Hub, tutti i seguenti: Visualizzatore di App Hub (roles/apphub.viewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
I ruoli per il deployment dei framework con le policy dell'organizzazione contengono le autorizzazioni orgpolicy.policies.create, orgpolicy.policies.update e orgpolicy.policies.get richieste.

Per i deployment a livello di organizzazione, i ruoli per la creazione di cartelle contengono le autorizzazioni richieste resourcemanager.folders.get, resourcemanager.folders.create e resourcemanager.folders.delete.

Per i deployment a livello di organizzazione, i ruoli per la creazione di progetti contengono le autorizzazioni richieste resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete e resourcemanager.projects.createBillingAssignment.

I ruoli per l'assegnazione dei framework DSPM alle applicazioni contengono le autorizzazioni richieste apphub.locations.list, apphub.applications.list e apphub.applications.get.
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizzare i framework

Completa i passaggi riportati di seguito per visualizzare la configurazione dei framework integrati o di altri framework che hai già creato.

Nella Google Cloud console, vai alla pagina Conformità.

Vai a Conformità
Seleziona l'organizzazione o il progetto.
Per visualizzare tutti i framework disponibili, fai clic sulla scheda Configura.

La dashboard mostra i framework disponibili, una breve descrizione, le piattaforme e i livelli supportati e le risorse a cui è stato applicato il framework.

Nota: se utilizzi il livello Standard, puoi visualizzare i framework Premium ed Enterprise nella dashboard, ma non puoi eseguirne il deployment.
Per visualizzare i dettagli di un framework specifico, fai clic sul nome del framework.

Creare un framework

Dopo aver determinato quali controlli cloud si applicano alle risorse all'interno della tua organizzazione o di una cartella o di un progetto specifico, puoi creare un framework. Puoi creare un framework personalizzato o copiare un framework esistente e modificarlo. Quando copi un framework, questo include le release più recenti di tutti i controlli cloud integrati.

Nella Google Cloud console, vai alla pagina Conformità.

Vai a Conformità
Seleziona l'organizzazione o il progetto.
Nella scheda Configura, fai clic su Crea framework personalizzato.
Completa una delle seguenti operazioni:
- Per utilizzare un framework esistente:
  1. Seleziona Inizia da un framework esistente.
  2. Seleziona il framework che vuoi copiare.
  3. Fai clic su Aggiungi.
- Per creare un framework personalizzato, seleziona Inizia nuovo.
Nota: nel livello Standard, puoi copiare solo il framework Security Essentials. Nei livelli Premium ed Enterprise, puoi creare framework personalizzati o utilizzare qualsiasi framework integrato disponibile.
Inserisci un nome, un identificatore univoco e una descrizione per il framework. Fai clic su Continua.

Se stai copiando un framework esistente, viene visualizzato l'elenco dei controlli cloud che facevano parte del framework esistente.
Per aggiungere i controlli cloud necessari:
- Per aggiungere un controllo cloud esistente, fai clic su Aggiungi controlli cloud. Seleziona tutti i controlli cloud necessari e fai clic su Aggiungi.
  
  Quando aggiungi un controllo, verifica il tipo di controllo (rilevamento, prevenzione o controllo). Tieni presente che i controlli di prevenzione e di controllo sono disponibili solo nei livelli Premium ed Enterprise. Non includere i controlli di solo controllo in un framework che vuoi utilizzare per monitorare l'ambiente e rilevare le violazioni. Non puoi eseguire il deployment dei framework che includono controlli di solo controllo.
- (Solo livelli Premium ed Enterprise) Per creare un controllo cloud personalizzato, fai clic su Crea controllo cloud personalizzato. Per istruzioni, vedi Creare un controllo cloud personalizzato.
Fai clic su Continua.
Aggiungi eventuali parametri aggiuntivi richiesti dai controlli cloud.

Ad esempio, se vuoi abilitare un controllo cloud di Data Security Posture Management (DSPM) come il controllo cloud Governance degli accessi ai dati, specifica le località che le entità devono utilizzare. Per saperne di più sui controlli di Data Security Posture Management, consulta Controllo cloud di governance degli accessi ai dati controllo.
Fai clic su Crea.

Eseguire il deployment di un framework

Esegui il deployment di un framework in un'organizzazione, una cartella o un progetto per poter controllare e monitorare queste risorse utilizzando i controlli cloud del framework. Puoi eseguire il deployment di più framework per ogni organizzazione, cartella o progetto. Se esegui il deployment di un framework che include solo i controlli cloud di sicurezza avanzata dei dati, puoi eseguire il deployment del framework nelle applicazioni App Hub nelle cartelle configurate per la gestione delle applicazioni.

Cartelle e progetti ereditano i framework tramite la Google Cloud gerarchia delle risorse. Pertanto, se esegui il deployment dei framework a livello di organizzazione e di progetto, tutti i controlli cloud all'interno di entrambi i framework si applicano alle risorse del progetto. Se ci sono differenze nelle definizioni dei controlli cloud, le risorse del progetto utilizzano il controllo cloud di livello inferiore. Ad esempio, se una regola di controllo cloud è impostata su Consenti a livello di organizzazione e su Nega a livello di progetto, l'impostazione Nega a livello di progetto viene applicata alle risorse del progetto.

Come best practice, ti consigliamo di eseguire il deployment di un framework a livello di organizzazione che includa i controlli cloud applicabili all'intera attività. Puoi quindi eseguire il deployment di framework più rigorosi nelle cartelle e nei progetti che li richiedono.

Nella Google Cloud console, vai alla pagina Conformità.

Vai a Conformità
Seleziona l'organizzazione o il progetto.
Nella scheda Configura, per il framework di cui vuoi eseguire il deployment, fai clic su Altre azioni > Applica alle risorse.
Scegli una delle seguenti opzioni:
- Per monitorare solo la deriva, scegli Monitora.
- Per monitorare la deriva e impedire attivamente le violazioni, scegli Monitora e impedisci.
Seleziona la risorsa di cui vuoi eseguire il deployment del framework. Puoi scegliere un'organizzazione, una cartella o un progetto esistente. Solo per DSPM, puoi selezionare un'applicazione per eseguire il deployment di un framework che include solo i controlli cloud avanzati DSPM in un'applicazione. Se hai scelto di impedire attivamente le violazioni, puoi creare una nuova cartella o un nuovo progetto ed eseguire il deployment del framework.
Completa una delle seguenti operazioni:
- Se hai selezionato Monitora:
  1. Verifica le informazioni.
  2. Se hai selezionato una cartella configurata per la gestione delle applicazioni e il tuo framework include solo controlli cloud DSPM avanzati, seleziona l'applicazione che vuoi monitorare.
  3. Fai clic su Monitora.
- Se hai selezionato Monitora e impedisci:
  1. Fai clic su Avanti. Esamina i controlli cloud e le modalità.
  2. Fai clic su Continua.
  3. Se visualizzate, verifica le informazioni aggiuntive richieste per alcuni controlli cloud.
  4. Fai clic su Avanti.
  5. Esamina le selezioni e fai clic su Applica.

Dopo aver eseguito il deployment del framework, puoi monitorare l'ambiente per rilevare eventuali derive dai controlli cloud definiti. Security Command Center segnala le istanze di deriva come risultati che puoi esaminare, filtrare e risolvere. Potrebbero essere necessarie circa sei ore dopo il deployment di un framework prima che vengano visualizzati i risultati relativi ai controlli cloud.

Modificare un framework personalizzato

Dopo aver creato un framework, puoi modificarne il nome e la descrizione, aggiungere o rimuovere controlli cloud e aggiornare i parametri. Puoi modificare solo i framework che crei; non puoi modificare i framework integrati.

Nella Google Cloud console, vai alla pagina Conformità.

Vai a Conformità
Seleziona l'organizzazione o il progetto.
Nella scheda Configura, fai clic sul framework che vuoi modificare.
Nella pagina Dettagli framework, verifica che il framework non sia assegnato a una risorsa. Se necessario, rimuovi le assegnazioni.
Fai clic su Azioni > Modifica.
Nella pagina Aggiorna dettagli framework, modifica il nome e la descrizione in base alle esigenze. Fai clic su Continua.
Per modificare i controlli cloud inclusi nel framework:
- Per aggiungere un controllo cloud esistente, fai clic su Aggiungi controlli cloud. Seleziona tutti i controlli cloud necessari e fai clic su Aggiungi.
- Per creare un controllo cloud personalizzato, fai clic su Crea controllo cloud personalizzato. Per istruzioni, vedi Creare un controllo cloud personalizzato.
- Per rimuovere un controllo cloud, selezionalo e fai clic su Rimuovi.
Fai clic su Continua.
Aggiungi eventuali parametri aggiuntivi richiesti dai controlli cloud.
Fai clic su Salva.

Rimuovere le risorse da un framework di cui è stato eseguito il deployment

Puoi rimuovere l'organizzazione, le cartelle o i progetti che hai assegnato a un framework di cui è stato eseguito il deployment. La rimozione delle risorse significa che il framework non genera più risultati per quel nodo della gerarchia delle risorse.

Quando rimuovi le risorse, lo stato della maggior parte dei risultati correlati diventa Inactive dopo sette giorni. Se il framework include il controllo cloud Eliminazione dei dati, i risultati diventano Inactive dopo 90 giorni. Gli stati dei risultati relativi al controllo cloud Governance del flusso di dati e al controllo cloud Governance degli accessi ai dati non vengono modificati automaticamente.

Nella Google Cloud console, vai alla pagina Conformità.

Vai a Conformità
Seleziona l'organizzazione o il progetto.
Nella scheda Configura, fai clic sul framework da cui vuoi annullare l'assegnazione delle risorse.
Nella pagina Dettagli framework, fai clic su Azioni > Gestisci assegnazioni risorse.
Nella tabella Risorse assegnate, individua la risorsa che vuoi rimuovere e fai clic su Elimina.
Esamina il messaggio di conferma e fai clic su Annulla assegnazione.
(Facoltativo) Modifica lo stato dei risultati associati in Inactive. Per istruzioni, vedi Modificare lo stato di un risultato.

Aggiornare un framework a una release più recente

Google pubblica aggiornamenti regolari dei framework integrati quando i servizi eseguono il deployment di nuove funzionalità o quando emergono nuove best practice.

Puoi visualizzare le release dei framework integrati nella dashboard dei framework nella scheda Configura o nella pagina dei dettagli del framework.

Google ti invia una notifica nella console e nelle note di release quando si verificano i seguenti aggiornamenti:

I controlli cloud integrati vengono aggiunti o rimossi da un framework.
I controlli cloud integrati vengono aggiornati.

Per aggiornare un framework:

Nella Google Cloud console, vai alla pagina Conformità.

Vai a Conformità
Seleziona l'organizzazione o il progetto.
Nella scheda Configura, fai clic sul framework che vuoi aggiornare.
Nella pagina Dettagli framework, nella tabella Risorse assegnate , esamina lo Stato aggiornamento per le assegnazioni identificate come Aggiornamento disponibile.
Per applicare le modifiche:
1. Rimuovi l'assegnazione della risorsa.
  
  Nota: quando rimuovi un'assegnazione di risorse, Compliance Manager non valuta più la risorsa utilizzando il framework. I risultati non vengono più creati.
2. Esegui di nuovo il deployment del framework nella risorsa in modo che il Gestore della conformità possa riprendere a valutare la risorsa e a creare risultati.

Eliminare un framework personalizzato

Elimina un framework quando non è più necessario. Puoi eliminare solo i framework che crei; non puoi eliminare i framework integrati.

Nella Google Cloud console, vai alla pagina Conformità.

Vai a Conformità
Seleziona l'organizzazione o il progetto.
Nella scheda Configura, fai clic sul framework da cui vuoi annullare l'assegnazione delle risorse.
Nella pagina Dettagli framework, verifica che il framework non sia assegnato a una risorsa. Se necessario, rimuovi le assegnazioni.
Fai clic su Azioni > Elimina.
Nella finestra Elimina, esamina il messaggio. Digita Delete e fai clic su Conferma.