Gestisci framework

I framework di Compliance Manager sono costituiti da controlli cloud che ti aiutano a soddisfare i requisiti normativi e di sicurezza per un'organizzazione o un progetto nei tuoi ambienti cloud. L'applicazione di un framework è una procedura in due passaggi. Innanzitutto, devi identificare i controlli cloud che si allineano agli obblighi di sicurezza e conformità della tua attività. Poi, implementa un framework che includa questi controlli cloud nell'organizzazione, nella cartella o nel progetto appropriato inGoogle Cloud. Questa pagina ti aiuta a completare i seguenti passaggi:

  1. Valuta quale framework integrato è più in linea con i tuoi requisiti normativi e di sicurezza. Puoi creare un framework personalizzato, ma ti consigliamo di iniziare con uno integrato.

  2. Determina quali controlli cloud integrati corrispondono ai requisiti della tua attività. (Solo livelli Premium ed Enterprise) Se necessario, puoi creare controlli cloud personalizzati.

  3. Determina se eseguire il deployment del framework nella tua Google Cloud organizzazione o in cartelle e progetti specifici. Puoi eseguire il deployment di un solo framework per ogni organizzazione, cartella o progetto. Compliance Manager supporta le cartelle configurate per la gestione delle applicazioni.

  4. Copia un framework esistente e modificalo in base ai tuoi requisiti. Se necessario, puoi creare un framework personalizzato.

  5. Esegui il deployment del framework nell'organizzazione, nella cartella o nel progetto appropriato.

Prima di iniziare

Completa queste attività prima di completare le attività rimanenti in questa pagina.

Configurare le autorizzazioni

  • Per ottenere le autorizzazioni necessarie per applicare i framework, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione o nel tuo progetto:

    Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    I ruoli per il deployment di framework con policy dell'organizzazione contengono le autorizzazioni orgpolicy.policies.create, orgpolicy.policies.update e orgpolicy.policies.get richieste.

    Per le implementazioni a livello di organizzazione, i ruoli per la creazione di cartelle contengono le autorizzazioni resourcemanager.folders.get, resourcemanager.folders.create e resourcemanager.folders.delete richieste.

    Per i deployment a livello di organizzazione, i ruoli per la creazione di progetti contengono le autorizzazioni resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete e resourcemanager.projects.createBillingAssignment richieste.

    I ruoli per l'assegnazione di framework DSPM alle applicazioni contengono le autorizzazioni apphub.locations.list, apphub.applications.list e apphub.applications.get richieste.

    Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Configura Google Cloud CLI

Nella console Google Cloud , attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installata e con valori già impostati per il progetto corrente. L'inizializzazione della sessione può richiedere alcuni secondi.

Per configurare gcloud CLI in modo che utilizzi la simulazione dell'identità dei service account per l'autenticazione alle API di Google, anziché le tue credenziali utente, esegui questo comando: 

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Per saperne di più, consulta Simulazione dell'identità dei service account.

Visualizzare i framework

Completa i passaggi riportati di seguito per visualizzare la configurazione dei framework integrati o di altri framework che hai già creato.

Console

  1. Nella console Google Cloud , vai alla pagina Conformità.

    Vai a Conformità

  2. Seleziona la tua organizzazione o il tuo progetto.

  3. Per visualizzare tutti i framework disponibili, fai clic sulla scheda Configura.

    La dashboard mostra i framework disponibili, una breve descrizione, le piattaforme e i livelli supportati e le risorse a cui è stato applicato il framework.

  4. Per visualizzare i dettagli di un framework specifico, fai clic sul nome del framework.

Interfaccia a riga di comando

Puoi visualizzare informazioni su un framework specifico o elencare tutti i framework della tua organizzazione.

Visualizzare i dettagli di un framework

Per visualizzare i dettagli di un framework specifico, esegui il comando gcloud compliance-manager frameworks describe:

gcloud compliance-manager frameworks describe FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--major-revision-id=MAJOR_REVISION_ID]

Sostituisci quanto segue:

  • FRAMEWORK: il nome del framework

  • ORGANIZATION: l'ID organizzazione

  • LOCATION: la regione in cui è archiviato il framework

  • MAJOR_REVISION_ID: un flag facoltativo che specifica la versione del framework da visualizzare. Se non includi il flag, viene restituita l'ultima versione.

Ad esempio, per visualizzare un framework con il nome builtin-security-essentials e il numero di revisione principale 12, esegui questo comando:

gcloud compliance-manager frameworks describe \
   builtin-security-essentials \
   --organization=3589215982 \
   --location=global \
   --major-revision-id=12

Per saperne di più, consulta gcloud compliance-manager frameworks describe.

Recupera l'elenco dei framework

Per ottenere l'elenco dei framework nella tua organizzazione, esegui il comando gcloud compliance-manager frameworks list:

gcloud compliance-manager frameworks list \
   --location=LOCATION \
   --organization=ORGANIZATION

Sostituisci i seguenti valori:

  • ORGANIZATION: l'ID organizzazione

  • LOCATION: la regione in cui sono archiviati i framework.

Ad esempio, per visualizzare tutti i framework all'interno dell'organizzazione 3589215982 archiviati nella posizione globale, esegui questo comando:

gcloud compliance-manager frameworks list \
   --organization=3589215982 \
   --location=global

Per informazioni sui flag facoltativi, consulta gcloud compliance-manager frameworks list.

Crea un framework

Dopo aver determinato quali controlli cloud si applicano alle risorse all'interno della tua organizzazione o di una cartella o un progetto specifico, puoi creare un framework. Puoi creare un framework personalizzato o copiare un framework esistente e modificarlo. Quando copi un framework, vengono incluse le ultime release di tutti i controlli cloud integrati.

Console

  1. Nella console Google Cloud , vai alla pagina Conformità.

    Vai a Conformità

  2. Seleziona la tua organizzazione o il tuo progetto.

  3. Nella scheda Configura, fai clic su Crea framework personalizzato.

  4. Completa una delle seguenti operazioni:

    • Per utilizzare un framework esistente, completa i seguenti passaggi:

      1. Seleziona Inizia da un framework esistente.

      2. Seleziona il framework che vuoi copiare.

      3. Fai clic su Aggiungi.

    • Per creare un framework personalizzato, seleziona Inizia nuovo.

  5. Inserisci un nome, un identificatore univoco e una descrizione per il framework. Fai clic su Continua.

    Se stai copiando un framework esistente, viene visualizzato l'elenco dei controlli cloud che facevano parte del framework esistente.

  6. Per aggiungere i controlli cloud che ti servono:

    • Per aggiungere un controllo cloud esistente, fai clic su Aggiungi controlli cloud. Seleziona tutti i controlli cloud che ti servono e poi fai clic su Aggiungi.

      Quando aggiungi un controllo, verifica il tipo di controllo (investigativo, preventivo o di controllo). Tieni presente che i controlli preventivi e di controllo sono disponibili solo nei livelli Premium ed Enterprise. Non includere controlli solo di controllo in un framework che vuoi utilizzare per monitorare il tuo ambiente e rilevare le violazioni. Non puoi implementare framework che includono controlli solo di controllo.

    • (Solo per i livelli Premium ed Enterprise) Per creare un controllo cloud personalizzato, fai clic su Crea un controllo cloud personalizzato. Per le istruzioni, vedi Creare un controllo cloud personalizzato.

  7. Fai clic su Continua.

  8. Aggiungi eventuali parametri aggiuntivi richiesti dai controlli cloud.

    Ad esempio, se vuoi attivare un controllo cloud di Data Security Posture Management (DSPM) come Limita l'accesso ai dati sensibili agli utenti autorizzati, specifica le posizioni che i principal devono utilizzare. Per saperne di più sui controlli di Data Security Posture Management, consulta Controlli cloud avanzati di governance e sicurezza dei dati.

  9. Fai clic su Crea.

Interfaccia a riga di comando

Per creare un framework personalizzato, esegui il comando gcloud compliance-manager frameworks create:

gcloud compliance-manager frameworks create FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION \
   --display-name=DISPLAY_NAME \
   [--description=DESCRIPTION] \
   [--category=[CATEGORY,...] \
   [--cloud-control-details=[majorRevisionId=MAJOR_REVISION_ID],[name=NAME],[parameters=PARAMETERS]]

Sostituisci i seguenti valori:

  • FRAMEWORK: l'identificatore alfanumerico univoco per il framework

  • ORGANIZATION: l'ID organizzazione

  • LOCATION: la regione in cui è archiviato il framework

  • DISPLAY_NAME: un nome leggibile da una persona per il framework

  • DESCRIPTION: una descrizione facoltativa dello scopo del framework

  • [CATEGORY,...]: un parametro facoltativo che definisce le categorie di cui fa parte il framework. Il valore consigliato per il tuo framework personalizzato è custom-framework.

  • --cloud-control-details=`[majorRevisionId=MAJOR_REVISION_ID],[name=NAME],[parameters=PARAMETERS]'

    è l'elenco facoltativo dei controlli cloud da includere nel framework, nel seguente formato:

    • MAJOR_REVISION_ID: un flag facoltativo che specifica la versione del controllo cloud da visualizzare. Se non includi il flag, viene utilizzata l'ultima versione.

    • NAME: il nome del controllo cloud, nel formato organizations/ORGANIZATION_ID/locations/LOCATION/cloudControls/NAME. NAME è l'ID univoco del controllo cloud. Puoi trovare l'ID del controllo cloud utilizzando il comando gcloud compliance-manager cloud-controls list.

    • PARAMETERS: i parametri facoltativi richiesti da determinati controlli cloud, ad esempio se vuoi attivare un controllo cloud di gestione della postura di sicurezza dei dati come Limita l'accesso ai dati sensibili agli utenti autorizzati, specifica le posizioni che i principal devono utilizzare.

    In alternativa, puoi specificare un file JSON o YAML che includa un elenco di tutti i controlli cloud. Ad esempio, --cloud-control-details=path_to_file.(yaml|json). Espandi la sezione seguente per visualizzare file JSON e YAML di esempio.

    Esempio di file JSON

      [
    {
      "name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region",
      "majorRevisionId": 1,
      "parameters": [
        {
          "name": "location",
          "parameterValue": {
            "stringValue": "us-west"
          }
        }
      ]
    },
    {
      "name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization",
      "majorRevisionId": 2
    }
  ]

    File YAML di esempio

      - name: organizations/3589215982/locations/global/cloudControls/restrict-bucket-region
    majorRevisionId: 1
    parameters:
    - name: location
      parameterValue:
        stringValue: us-west
  - name: organizations/3589215982/locations/global/cloudControls/enable-binary-authorization
    majorRevisionId: 2

    Se non specifichi i controlli cloud quando crei un framework, puoi aggiungerli in un secondo momento utilizzando la console.

Ad esempio, per creare un framework con il nome my-custom-framework, esegui questo comando:

gcloud compliance-manager frameworks create \
   my-custom-framework \
   --organization=3589215982 \
   --location=global \
   --description="This framework is my custom framework" \
   --display-name="My framework name" \
   --cloud-control-details='[{"name":"organizations/3589215982/locations/global/cloudControls/restrict-bucket-region","majorRevisionId":1,"parameters":[{"name":"location","parameterValue":{"stringValue":"us-west"}}]},{"name":"organizations/3589215982/locations/global/cloudControls/enable-binary-authorization","majorRevisionId":2}]'

Per saperne di più, consulta gcloud compliance-manager frameworks create.

Terraform

Il seguente esempio mostra come creare un framework utilizzando Terraform.

resource "google_cloud_security_compliance_framework" "example" {
  organization = "123456789"
  location     = "global"
  framework_id = "example-framework"

  display_name = "Terraform Framework Name"
  description  = "An Terraform description for the framework"

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-assess-resource-availability"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        string_value = "us-central1"
      }
    }
  }

    cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-cmek-key-in-use-for-bigquery-table"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        string_list_value {
          values = ["us-central1", "us-west1"]
        }
      }
    }
  }

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-enable-automatic-backups-cloud-sql"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        bool_value = true
      }
    }
  }

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-require-cmek-on-bigquery-datasets"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        number_value = 1
      }
    }
  }


}

Esegui il deployment di un framework

Esegui il deployment di un framework in un'organizzazione, una cartella o un progetto per poter controllare e monitorare queste risorse utilizzando i controlli cloud del framework. Puoi eseguire il deployment di più framework in ogni organizzazione, cartella o progetto. Se stai eseguendo il deployment di un framework che include solo i controlli cloud avanzati per la sicurezza dei dati, puoi eseguire il deployment del framework nelle applicazioni App Hub nelle cartelle configurate per la gestione delle applicazioni.

Le cartelle e i progetti ereditano i framework tramite la Google Cloud gerarchia delle risorse. Pertanto, se implementi i framework a livello di organizzazione e di progetto, tutti i controlli cloud all'interno di entrambi i framework vengono applicati alle risorse del progetto. Se ci sono differenze nelle definizioni dei controlli cloud, le risorse del progetto utilizzano il controllo cloud di livello inferiore. Ad esempio, se una regola di controllo cloud è impostata su Consenti a livello di organizzazione e su Nega a livello di progetto, l'impostazione Nega a livello di progetto viene applicata alle risorse del progetto.

Come best practice, ti consigliamo di implementare un framework a livello di organizzazione che includa i controlli cloud che possono essere applicati all'intera attività. Puoi quindi implementare framework più rigorosi per le cartelle e i progetti che li richiedono.

Console

  1. Nella console Google Cloud , vai alla pagina Conformità.

    Vai a Conformità

  2. Seleziona la tua organizzazione o il tuo progetto.

  3. Nella scheda Configura, per il framework che vuoi implementare, fai clic su Altre azioni > Applica alle risorse.

  4. Scegli una delle seguenti opzioni:

    • Per monitorare solo la deriva, scegli Monitora.

    • Per monitorare la deriva e prevenire attivamente le violazioni, scegli Monitora e previeni.

  5. Seleziona la risorsa in cui vuoi eseguire il deployment del framework. Puoi scegliere un'organizzazione, una cartella o un progetto esistente. Solo per DSPM, puoi selezionare un'applicazione per eseguire il deployment di un framework che include solo i controlli cloud avanzati DSPM in un'applicazione. Se hai scelto di prevenire attivamente le violazioni, puoi creare una nuova cartella o un nuovo progetto e implementare il framework.

  6. Completa una delle seguenti operazioni:

    • Se hai selezionato Monitor, completa i seguenti passaggi:

      1. Verifica le informazioni.
      2. Se hai selezionato una cartella configurata per la gestione delle applicazioni e il tuo framework include solo controlli cloud DSPM avanzati, seleziona l'applicazione che vuoi monitorare.
      3. Fai clic su Monitora.

    • Se hai selezionato Monitora e previeni, completa i seguenti passaggi:

      1. Fai clic su Avanti. Esamina i controlli cloud e le modalità.
      2. Fai clic su Continua.
      3. Se visualizzate, verifica le informazioni aggiuntive richieste per alcuni controlli cloud.
      4. Fai clic su Avanti.
      5. Controlla le selezioni e poi fai clic su Applica.

Interfaccia a riga di comando

Per eseguire il deployment di un framework nella tua organizzazione, esegui il comando gcloud compliance-manager framework-deployments create. Prendi in esame le seguenti best practice:

  • Crea un file YAML o JSON separato per i metadati del controllo cloud.

  • Utilizza i flag di destinazione appropriati per indicare se vuoi eseguire il deployment in un'organizzazione, una cartella o un progetto esistente oppure se vuoi creare un nuovo progetto o una nuova cartella contemporaneamente al deployment del framework.

  • Se possibile, utilizza solo gli identificatori delle risorse anziché i nomi completi delle risorse.

gcloud compliance-manager framework-deployments create \
   (FRAMEWORK_DEPLOYMENT : \
   --location=LOCATION \
   --organization=ORGANIZATION) \
   --cloud-control-metadata=[cloudControlDetails=CLOUD_CONTROL_DETAILS],[enforcementMode=ENFORCEMENT_MODE] \
   (--framework=FRAMEWORK : \
   --framework-major-revision-id=FRAMEWORK_MAJOR_REVISION_ID) \
   (--target-resource-config-existing=TARGET_RESOURCE_CONFIG_EXISTING     | \
   --target-resource-creation-config-folder-display-name=TARGET_RESOURCE_CREATION_CONFIG_FOLDER_DISPLAY_NAME \
   --target-resource-creation-config-folder-parent=TARGET_RESOURCE_CREATION_CONFIG_FOLDER_PARENT     | \
   --target-resource-creation-config-project-billing-account-id=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_BILLING_ACCOUNT_ID \
   --target-resource-creation-config-project-display-name=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_DISPLAY_NAME \
   --target-resource-creation-config-project-parent=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_PARENT) \
   [--description=DESCRIPTION]

Sostituisci i seguenti valori:

  • FRAMEWORK_DEPLOYMENT: l'ID del deployment del framework

  • ORGANIZATION: l'ID organizzazione

  • LOCATION: la regione in cui è archiviato il deployment del framework

  • cloud-control-metadata=[cloudControlDetails=CLOUD_CONTROL_DETAILS],[enforcementMode=ENFORCEMENT_MODE]: l'elenco dei controlli cloud nel framework, con i relativi nomi, parametri, ID revisione e modalità di applicazione, nel seguente formato:

    • CLOUD_CONTROL_DETAILS: un oggetto che include l'elenco di nomi, parametri e ID revisione dei controlli cloud. Utilizza il seguente formato:

      • name=NAME: il nome completo della risorsa del controllo cloud, nel formato organizations/ORGANIZATION_ID/locations/LOCATION/cloudControls/CLOUD_CONTROL_NAME

      • majorRevisionId=MAJOR_REVISION_ID: la versione principale del controllo cloud

      • parameters=PARAMETERS: i parametri facoltativi richiesti da determinati controlli cloud, ad esempio se vuoi attivare un controllo cloud di Data Security Posture Management come Limita l'accesso ai dati sensibili agli utenti autorizzati, specifica le posizioni che i principal devono utilizzare.

    • ENFORCEMENT_MODE: indica se il controllo è un controllo AUDIT, DETECTIVE o PREVENTIVE

      In alternativa, puoi specificare un file JSON o YAML che includa i dettagli del controllo cloud e le modalità di applicazione. Ad esempio, --cloud-control-metadata=path_to_file.(yaml|json). Espandi le sezioni seguenti per visualizzare i file JSON e YAML di esempio.

      Esempio di file JSON

        [
    {
      "cloudControlDetails": {
        "name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region",
        "majorRevisionId": 1,
        "parameters": [
          {
            "name": "location",
            "parameterValue": {
              "stringValue": "us-west"
            }
          }
        ]
      },
      "enforcementMode": "DETECTIVE"
    },
    {
      "cloudControlDetails": {
        "name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization",
        "majorRevisionId": 2
      },
      "enforcementMode": "DETECTIVE"
    }
  ]

      File YAML di esempio

        - cloudControlDetails:
      name: organizations/3589215982/locations/global/cloudControls/restrict-bucket-region
      majorRevisionId: 1
      parameters:
      - name: location
        parameterValue:
          stringValue: us-west
    enforcementMode: DETECTIVE
  - cloudControlDetails:
      name: organizations/3589215982/locations/global/cloudControls/enable-binary-authorization
      majorRevisionId: 2
    enforcementMode: DETECTIVE

    • FRAMEWORK: il nome di un framework esistente di cui vuoi eseguire il deployment, nel formato organizations/ORGANIZATION_ID/locations/LOCATION/frameworks/FRAMEWORK_NAME

    • FRAMEWORK_MAJOR_REVISION_ID: il numero di versione del framework di cui vuoi eseguire il deployment

    • TARGET_RESOURCE_CONFIG_EXISTING : il nome di un'organizzazione, una cartella o un progetto esistente in cui vuoi eseguire il deployment del nuovo framework, in uno dei seguenti formati:

      • organizations/ORGANIZATION_ID
      • folders/FOLDER_ID
      • projects/PROJECT_ID

    • TARGET_RESOURCE_CREATION_CONFIG_FOLDER_DISPLAY_NAME: il nome della cartella in cui vuoi creare e poi eseguire il deployment del framework

    • TARGET_RESOURCE_CREATION_CONFIG_FOLDER_PARENT: il nome dell'organizzazione o della cartella esistente in cui vuoi creare la nuova cartella. I formati supportati sono organizations/ORGANIZATION_ID e folders/FOLDER_ID.

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_BILLING_ACCOUNT_ID: l'ID dell'account di fatturazione da assegnare al nuovo progetto, se stai creando un nuovo progetto in cui vuoi eseguire il deployment del framework

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_DISPLAY_NAME: il nome del progetto in cui vuoi creare e poi eseguire il deployment del framework

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_PARENT: il nome dell'organizzazione o della cartella esistente in cui vuoi creare il nuovo progetto. I formati supportati sono organizations/ORGANIZATION_ID e folders/FOLDER_ID.

    • DESCRIPTION: una descrizione facoltativa del deployment del framework

Ad esempio, per eseguire il deployment di un framework denominato organizations/3589215982/locations/global/frameworks/builtin-aipp in una cartella esistente con l'ID cartella example-folder, esegui questo comando:

gcloud compliance-manager framework-deployments create \
   example-framework-deployment \
   --organization=3589215982 \
   --location=global \
   --cloud-control-metadata='[{"cloudControlDetails": {"name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region", "majorRevisionId": "1", "parameters": []}, "enforcementMode": "DETECTIVE"}, {"cloudControlDetails": {"name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization", "majorRevisionId": 2}, "enforcementMode": "DETECTIVE"}]' \
   --framework="organizations/3589215982/locations/global/frameworks/builtin-aipp" \
   --framework-major-revision-id=6 \
   --target-resource-config-existing="folders/example-folder" \
   --description="Deployment for AI Platform into example-folder"

Ad esempio, per eseguire il deployment di un framework denominato organizations/3589215982/locations/global/frameworks/builtin-aipp e creare un nuovo progetto denominato example-new-project in una cartella esistente con l'ID cartella example-folder, esegui questo comando:

gcloud compliance-manager framework-deployments create \
  example-framework-deployment \
   --organization=3589215982 \
   --location=global \
   --cloud-control-metadata=deploy-controls.yaml \
   --framework="organizations/3589215982/locations/global/frameworks/builtin-aipp" \
   --framework-major-revision-id=6 \
   --target-resource-creation-config-project-billing-account-id=012345-567890-ABCDEF \
   --target-resource-creation-config-project-display-name=example-new-project \
   --target-resource-creation-config-project-parent=folders/example-folder \
   --description="Deployment for AI Platform into a new example-new-project in example-folder"

Per informazioni, vedi gcloud compliance-manager framework-deployments create.

Terraform

Il seguente esempio mostra come puoi eseguire il deployment di un framework utilizzando Terraform.

resource "google_cloud_security_compliance_framework" "example" {
  organization = "123456789"
  location     = "global"
  framework_id = "example-framework"

  display_name = "Terraform Framework Name"
  description  = "An Terraform description for the framework"

  cloud_control_details {
		name              = "organizations/%{org_id}/locations/global/cloudControls/builtin-detective-policy-for-vertex-ai-runtime-template-idle-shutdown"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        string_value = "us-central1"
      }
    }
    parameters {
      name = "oneof-parameter"
      parameter_value {
        oneof_value {
          name = "test-oneof"
          parameter_value {
            string_value = "test-value"
          }
        }
      }
    }
    parameters {
      name = "bool-parameter"
      parameter_value {
        oneof_value {
          name = "bool-oneof"
          parameter_value {
            bool_value = true
          }
        }
      }
    }
    parameters {
      name = "number-parameter"
      parameter_value {
        oneof_value {
          name = "number-oneof"
          parameter_value {
            number_value = 123.45
          }
        }
      }
    }
    parameters {
      name = "string-list-parameter"
      parameter_value {
        oneof_value {
          name = "string-list-oneof"
          parameter_value {
            string_list_value {
              values = ["value1", "value2"]
            }
          }
        }
      }
    }
  }
}

resource "google_cloud_security_compliance_framework_deployment" "example" {
  organization            = "123456789"
  location                = "global"
  framework_deployment_id = "example-deployment"
  description             = "A framework deployment for cloud security compliance"

  framework {
    framework         = google_cloud_security_compliance_framework.example.name
    major_revision_id = "1"
  }

  target_resource_config {
    existing_target_resource = "organizations/123456789"
  }

  cloud_control_metadata {
    enforcement_mode = "DETECTIVE"

    cloud_control_details {
      name                  = "organizations/123456789/locations/global/cloudControls/builtin-detective-policy-for-vertex-ai-runtime-template-idle-shutdown"
      major_revision_id     = "1"

      parameters {
        name = "enabled"
        parameter_value {
          bool_value = true
        }
      }

      parameters {
        name = "regions"
        parameter_value {
          string_list_value {
            values = ["us-central1", "us-west1", "us-east1"]
          }
        }
      }

      parameters {
        name = "location"
        parameter_value {
          string_value = "us-central1"
        }
      }
      parameters {
        name = "oneof-parameter"
        parameter_value {
          oneof_value {
            name = "test-oneof"
            parameter_value {
              string_value = "test-value"
            }
          }
        }
      }
      parameters {
        name = "bool-parameter"
        parameter_value {
          oneof_value {
            name = "bool-oneof"
            parameter_value {
              bool_value = true
            }
          }
        }
      }
      parameters {
        name = "number-parameter"
        parameter_value {
          oneof_value {
            name = "number-oneof"
            parameter_value {
              number_value = 123.45
            }
          }
        }
      }
      parameters {
        name = "string-list-parameter"
        parameter_value {
          oneof_value {
            name = "string-list-oneof"
            parameter_value {
              string_list_value {
                values = ["value1", "value2"]
              }
            }
          }
        }
      }
    }
  }


}

Dopo aver implementato il framework, puoi monitorare il tuo ambiente per rilevare eventuali deviazioni dai controlli cloud definiti. Security Command Center segnala le istanze di deviazione come risultati che puoi esaminare, filtrare e risolvere. Possono essere necessarie circa sei ore dopo l'implementazione di un framework prima che vengano visualizzati i risultati relativi ai controlli cloud.

Modificare un framework personalizzato

Dopo aver creato un framework, puoi modificarne il nome e la descrizione, aggiungere o rimuovere i controlli cloud e aggiornare i parametri. Puoi modificare solo i framework che crei; non puoi modificare quelli integrati.

  1. Nella console Google Cloud , vai alla pagina Conformità.

    Vai a Conformità

  2. Seleziona la tua organizzazione o il tuo progetto.

  3. Nella scheda Configura, fai clic sul framework da modificare.

  4. Nella pagina Dettagli framework, verifica che il framework non sia assegnato a una risorsa. Se necessario, rimuovi le assegnazioni.

  5. Fai clic su Azioni > Modifica.

  6. Nella pagina Aggiorna dettagli framework, modifica il nome e la descrizione in base alle tue esigenze. Fai clic su Continua.

  7. Per modificare i controlli cloud inclusi nel framework, completa i seguenti passaggi:

    • Per aggiungere un controllo cloud esistente, fai clic su Aggiungi controlli cloud. Seleziona tutti i controlli cloud che ti servono e poi fai clic su Aggiungi.

    • Per creare un controllo cloud personalizzato, fai clic su Crea un controllo cloud personalizzato. Per le istruzioni, vedi Creare un controllo cloud personalizzato.

    • Per rimuovere un controllo cloud, selezionalo e fai clic su Rimuovi.

  8. Fai clic su Continua.

  9. Aggiungi eventuali parametri aggiuntivi richiesti dai controlli cloud.

  10. Fai clic su Salva.

Rimuovere un framework di cui è stato eseguito il deployment da una risorsa

Puoi rimuovere un framework dall'organizzazione, dalle cartelle o dai progetti a cui lo hai assegnato. La rimozione del framework comporta l'interruzione della generazione di risultati da parte di Compliance Manager per quel nodo della gerarchia delle risorse.

Quando rimuovi un framework, lo stato della maggior parte dei risultati correlati cambia in Inactive dopo sette giorni. Se il tuo framework include il controllo cloud Limitare il flusso di dati sensibili tra giurisdizioni geografiche, i risultati diventano Inactive dopo 90 giorni. Gli stati dei risultati correlati al controllo cloud Limitare il flusso di dati sensibili tra giurisdizioni geografiche e al controllo cloud Limitare l'accesso ai dati sensibili agli utenti autorizzati non vengono modificati automaticamente.

Console

  1. Nella console Google Cloud , vai alla pagina Conformità.

    Vai a Conformità

  2. Seleziona la tua organizzazione o il tuo progetto.

  3. Nella scheda Configura, fai clic sul framework che vuoi rimuovere.

  4. Nella pagina Dettagli framework, fai clic su Azioni > Gestisci assegnazioni risorse.

  5. Nella tabella Risorse assegnate, individua la risorsa che vuoi rimuovere e fai clic su Elimina.

  6. Esamina il messaggio di conferma e fai clic su Annulla assegnazione.

  7. (Facoltativo) Modifica lo stato dei risultati associati in Inactive. Per istruzioni, vedi Modificare lo stato di un risultato.

Interfaccia a riga di comando

Per rimuovere un particolare deployment del framework nella tua organizzazione, esegui il comando gcloud compliance-manager framework-deployments delete:

gcloud compliance-manager framework-deployments delete \
   FRAMEWORK_DEPLOYMENT \
   --location=LOCATION \
   --organization=ORGANIZATION

Sostituisci i seguenti valori:

  • FRAMEWORK_DEPLOYMENT: l'ID del deployment del framework

  • ORGANIZATION: l'ID organizzazione

  • LOCATION: la regione in cui è archiviato il deployment del framework

Ad esempio, per rimuovere example-deployment dall'organizzazione 3589215982 e memorizzato nella località globale, esegui questo comando:

gcloud compliance-manager framework-deployments delete \
   example-deployment \
   --organization=3589215982 \
   --location=global

Per informazioni sui flag facoltativi, consulta gcloud compliance-manager framework-deployments delete.

Aggiornare un framework a una release più recente

Google pubblica aggiornamenti regolari dei suoi framework integrati man mano che i servizi implementano nuove funzionalità o emergono nuove best practice.

Puoi visualizzare le release dei framework integrati nella dashboard dei framework nella scheda Configura o nella pagina dei dettagli del framework.

Google ti informa nella console e nelle note di rilascio quando si verificano i seguenti aggiornamenti:

Per aggiornare un framework:

  1. Nella console Google Cloud , vai alla pagina Conformità.

    Vai a Conformità

  2. Seleziona la tua organizzazione o il tuo progetto.

  3. Nella scheda Configura, fai clic sul framework che vuoi aggiornare.

  4. Nella pagina Dettagli framework, nella tabella Risorse assegnate, controlla lo Stato aggiornamento per gli incarichi identificati come Aggiornamento disponibile.

  5. Per applicare le modifiche, completa i seguenti passaggi:

    1. Rimuovi l'assegnazione della risorsa.

    2. Esegui nuovamente il deployment del framework nella risorsa in modo che Compliance Manager possa riprendere a valutare la risorsa e a creare risultati.

Eliminare un framework personalizzato

Elimina un framework quando non è più necessario. Puoi eliminare solo i framework che crei; non puoi eliminare i framework integrati.

Console

  1. Nella console Google Cloud , vai alla pagina Conformità.

    Vai a Conformità

  2. Seleziona la tua organizzazione o il tuo progetto.

  3. Nella scheda Configura, fai clic sul framework da cui vuoi annullare l'assegnazione delle risorse.

  4. Nella pagina Dettagli framework, verifica che il framework non sia assegnato a una risorsa. Se necessario, rimuovi le assegnazioni.

  5. Fai clic su Azioni > Elimina.

  6. Nella finestra Elimina, esamina il messaggio. Digita Delete e fai clic su Conferma.

Interfaccia a riga di comando

Per eliminare un framework specifico nella tua organizzazione, esegui il comando gcloud compliance-manager frameworks delete:

gcloud compliance-manager frameworks delete \
   FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION

Sostituisci i seguenti valori:

  • FRAMEWORK: il nome del framework

  • ORGANIZATION: l'ID organizzazione

  • LOCATION: la regione in cui è archiviato il framework

Ad esempio, per rimuovere example-framework dall'organizzazione 3589215982 e memorizzato nella posizione globale, esegui questo comando:

gcloud compliance-manager frameworks delete \
   example-framework \
   --organization=3589215982 \
   --location=global

Per informazioni sui flag facoltativi, consulta gcloud compliance-manager frameworks delete.

Passaggi successivi