ניהול מסגרות

מסגרות ב-Compliance Manager מורכבות מאמצעי בקרה בענן שעוזרים לכם לעמוד בדרישות האבטחה והרגולציה של ארגון או פרויקט בסביבות הענן שלכם. הטמעה של מסגרת היא תהליך דו-שלבי. קודם צריך לזהות את אמצעי הבקרה בענן שתואמים לחובות האבטחה והתאימות של העסק. לאחר מכן, פורסים מסגרת שכוללת את אמצעי הבקרה האלה בענן בארגון, בתיקייה או בפרויקט המתאימים ב-Google Cloud. בדף הזה מוסבר איך לבצע את השלבים הבאים:

  1. כדאי להעריך איזה מסגרת מובנית הכי מתאימה לדרישות הרגולטוריות והאבטחה שלכם. אתם יכולים ליצור מסגרת מותאמת אישית משלכם, אבל מומלץ להתחיל עם מסגרת מובנית.

  2. קובעים אילו אמצעי בקרה מובנים בענן מתאימים לדרישות העסקיות שלכם. (רק ברמות Premium ו-Enterprise) אם נדרש, אפשר ליצור אמצעי בקרה מותאמים אישית בענן.

  3. קובעים אם לפרוס את המסגרת בארגון Google Cloud או בתיקיות ובפרויקטים ספציפיים. אפשר לפרוס רק מסגרת אחת לכל ארגון, תיקייה או פרויקט. הכלי Compliance Manager תומך בתיקיות שהוגדרו לניהול אפליקציות.

  4. להעתיק מסגרת קיימת ולשנות אותה בהתאם לדרישות שלכם. אם צריך, אפשר ליצור מסגרת מותאמת אישית.

  5. פורסים את המסגרת בארגון, בתיקייה או בפרויקט המתאימים.

לפני שמתחילים

צריך להשלים את המשימות האלה לפני שממשיכים למשימות הנותרות בדף הזה.

הגדרת ההרשאות

  • כדי לקבל את ההרשאות שדרושות להחלת מסגרות, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון או בפרויקט:

    להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

    התפקידים לפריסת מסגרות עם מדיניות הארגון מכילים את ההרשאות הנדרשות orgpolicy.policies.create, orgpolicy.policies.update ו-orgpolicy.policies.get.

    בפריסות ברמת הארגון, התפקידים ליצירת תיקיות מכילים את ההרשאות הנדרשות: resourcemanager.folders.get, resourcemanager.folders.create ו-resourcemanager.folders.delete.

    בפריסות ברמת הארגון, התפקידים ליצירת פרויקטים מכילים את ההרשאות הנדרשות resourcemanager.projects.get,‏ resourcemanager.projects.create,‏ resourcemanager.projects.delete ו-resourcemanager.projects.createBillingAssignment.

    התפקידים להקצאת מסגרות DSPM לאפליקציות מכילים את ההרשאות הנדרשות apphub.locations.list, apphub.applications.list ו-apphub.applications.get.

    יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הגדרת Google Cloud CLI

במסוף Google Cloud , מפעילים את Cloud Shell.

הפעלת Cloud Shell

בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.

כדי להגדיר את ה-CLI של gcloud כך שיבצע התחזות לחשבון שירות כדי לאמת ל-Google APIs, במקום להשתמש בפרטי הכניסה של המשתמש, מריצים את הפקודה הבאה:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

מידע נוסף מופיע במאמר התחזות לחשבון שירות.

הצגת מסגרות

כדי לראות את ההגדרה של מסגרות מובנות או של מסגרות אחרות שכבר יצרתם, פועלים לפי השלבים הבאים.

המסוף

  1. נכנסים לדף Compliance במסוף Google Cloud .

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. כדי לראות את כל המסגרות הזמינות, לוחצים על הכרטיסייה הגדרה.

    במרכז הבקרה מוצגים המסגרות הזמינות, תיאור קצר, הפלטפורמות והרמות הנתמכות והמשאבים שהמסגרת הוחלה עליהם.

  4. כדי לראות פרטים על מסגרת ספציפית, לוחצים על שם המסגרת.

CLI

אתם יכולים לראות מידע על מסגרת ספציפית או לראות רשימה של כל המסגרות בארגון.

הצגת פרטים על מסגרת

כדי לראות פרטים על מסגרת ספציפית, מריצים את הפקודה gcloud compliance-manager frameworks describe:

gcloud compliance-manager frameworks describe FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--major-revision-id=MAJOR_REVISION_ID]

מחליפים את מה שכתוב בשדות הבאים:

  • FRAMEWORK: שם ה-framework

  • ORGANIZATION: מזהה הארגון

  • LOCATION: האזור שבו מאוחסן ה-framework

  • MAJOR_REVISION_ID: דגל אופציונלי שמציין איזו גרסה של המסגרת רוצים להציג. אם לא כוללים את הדגל, מוחזרת הגרסה האחרונה.

לדוגמה, כדי לראות את המסגרת עם השם builtin-security-essentials ומספר הגרסה הראשי 12, מריצים את הפקודה הבאה:

gcloud compliance-manager frameworks describe \
   builtin-security-essentials \
   --organization=3589215982 \
   --location=global \
   --major-revision-id=12

למידע נוסף, ראו gcloud compliance-manager frameworks describe.

קבלת רשימה של מסגרות

כדי לקבל את רשימת המסגרות בארגון, מריצים את הפקודה gcloud compliance-manager frameworks list:

gcloud compliance-manager frameworks list \
   --location=LOCATION \
   --organization=ORGANIZATION

מחליפים את הערכים הבאים:

  • ORGANIZATION: מזהה הארגון

  • LOCATION: האזור שבו נשמרים המסגרות

לדוגמה, כדי לראות את כל המסגרות בארגון 3589215982 שמאוחסנות במיקום הגלובלי, מריצים את הפקודה הבאה:

gcloud compliance-manager frameworks list \
   --organization=3589215982 \
   --location=global

מידע על דגלים אופציונליים זמין במאמר gcloud compliance-manager frameworks list.

יצירת מסגרת

אחרי שתקבעו אילו אמצעי בקרה ב-Cloud חלים על משאבים בארגון או בתיקייה או בפרויקט ספציפיים, תוכלו ליצור מסגרת. אתם יכולים ליצור מסגרת בהתאמה אישית או להעתיק מסגרת קיימת ולשנות אותה. כשמעתיקים מסגרת, היא כוללת את הגרסאות האחרונות של כל אמצעי הבקרה המובנים בענן.

המסוף

  1. נכנסים לדף Compliance במסוף Google Cloud .

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה הגדרה, לוחצים על יצירת מסגרת מותאמת אישית.

  4. מבצעים אחת מהפעולות הבאות:

    • כדי להשתמש במסגרת קיימת, מבצעים את הפעולות הבאות:

      1. בוחרים באפשרות התחלה ממסגרת קיימת.

      2. בוחרים את המסגרת שרוצים להעתיק.

      3. לוחצים על הוספה.

    • כדי ליצור מסגרת מותאמת אישית, לוחצים על התחלה חדשה.

  5. מזינים שם, מזהה ייחודי ותיאור למסגרת. לוחצים על המשך.

    אם מעתיקים מסגרת קיימת, מוצגת רשימה של אמצעי הבקרה בענן שהיו חלק מהמסגרת הקיימת.

  6. כדי להוסיף את אמצעי הבקרה בענן שאתם צריכים, מבצעים את הפעולות הבאות:

    • כדי להוסיף אמצעי בקרה קיים בענן, לוחצים על הוספת אמצעי בקרה בענן. בוחרים את כל אמצעי הבקרה בענן שרוצים להוסיף ולוחצים על הוספה.

      כשמוסיפים אמצעי בקרה, צריך לאמת את סוג אמצעי הבקרה (גילוי, מניעה או ביקורת). שימו לב, אמצעי בקרה למניעה ולביקורת זמינים רק ברמות Premium ו-Enterprise. אל תכללו אמצעי בקרה לביקורת בלבד במסגרת שבה אתם רוצים להשתמש כדי לעקוב אחרי הסביבה שלכם ולזהות הפרות. אי אפשר לפרוס מסגרות שכוללות אמצעי בקרה לביקורת בלבד.

    • (רק במהדורות Premium ו-Enterprise) כדי ליצור אמצעי בקרה מותאם אישית בענן, לוחצים על יצירת אמצעי בקרה מותאם אישית בענן. הוראות מפורטות מופיעות במאמר בנושא יצירת אמצעי בקרה מותאם אישית בענן.

  7. לוחצים על Continue.

  8. מוסיפים פרמטרים נוספים שנדרשים על ידי אמצעי הבקרה בענן.

    לדוגמה, אם רוצים להפעיל אמצעי בקרה בענן של Data Security Posture Management (DSPM), כמו אמצעי הבקרה הגבלת הגישה לנתונים רגישים למשתמשים מורשים, צריך לציין את המיקומים שבהם יש להשתמש בישויות מורשות. מידע נוסף על אמצעי בקרה לניהול מצב אבטחת הנתונים זמין במאמר אמצעי בקרה מתקדמים לניהול נתונים ולאבטחת נתונים בענן.

  9. לוחצים על יצירה.

CLI

כדי ליצור מסגרת בהתאמה אישית, מריצים את הפקודה gcloud compliance-manager frameworks create:

gcloud compliance-manager frameworks create FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION \
   --display-name=DISPLAY_NAME \
   [--description=DESCRIPTION] \
   [--category=[CATEGORY,...] \
   [--cloud-control-details=[majorRevisionId=MAJOR_REVISION_ID],[name=NAME],[parameters=PARAMETERS]]

מחליפים את הערכים הבאים:

  • FRAMEWORK: המזהה האלפאנומרי הייחודי של המסגרת

  • ORGANIZATION: מזהה הארגון

  • LOCATION: האזור שבו מאוחסן ה-framework

  • DISPLAY_NAME: שם קריא לאנשים של המסגרת

  • DESCRIPTION: תיאור אופציונלי של מטרת המסגרת

  • [CATEGORY,...]: פרמטר אופציונלי שמגדיר את הקטגוריות שהמסגרת שייכת אליהן. הערך המומלץ למסגרת המותאמת אישית שלך הוא custom-framework.

  • --cloud-control-details=`[majorRevisionId=MAJOR_REVISION_ID],[name=NAME],[parameters=PARAMETERS]'

    היא רשימה אופציונלית של אמצעי בקרה בענן שאפשר לכלול במסגרת, בפורמט הבא:

    • MAJOR_REVISION_ID: דגל אופציונלי שמציין איזו גרסה של בקרת הענן להציג. אם לא מציינים את הדגל, נעשה שימוש בגרסה האחרונה.

    • NAME: השם של אמצעי הבקרה בענן, בפורמט organizations/ORGANIZATION_ID/locations/LOCATION/cloudControls/NAME. ‫NAME הוא המזהה הייחודי של אמצעי הבקרה בענן. אפשר למצוא את מזהה בקרת הענן באמצעות הפקודה gcloud compliance-manager cloud-controls list.

    • PARAMETERS: הפרמטרים האופציונליים שנדרשים בחלק מאמצעי הבקרה בענן – לדוגמה, אם רוצים להפעיל אמצעי בקרה בענן של Data Security Posture Management כמו Restrict Access to Sensitive Data to Permitted Users (הגבלת הגישה לנתונים רגישים למשתמשים מורשים), צריך לציין את המיקומים שבהם יש להשתמש בישויות מורשות.

    אפשר גם לציין קובץ JSON או YAML שכולל רשימה של כל אמצעי הבקרה בענן. לדוגמה, --cloud-control-details=path_to_file.(yaml|json). כדי לראות דוגמאות לקובצי JSON ו-YAML, מרחיבים את הקטע הבא.

    קובץ JSON לדוגמה

      [
        {
          "name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region",
          "majorRevisionId": 1,
          "parameters": [
            {
              "name": "location",
              "parameterValue": {
                "stringValue": "us-west"
              }
            }
          ]
        },
        {
          "name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization",
          "majorRevisionId": 2
        }
      ]
          

    קובץ YAML לדוגמה

      - name: organizations/3589215982/locations/global/cloudControls/restrict-bucket-region
        majorRevisionId: 1
        parameters:
        - name: location
          parameterValue:
            stringValue: us-west
      - name: organizations/3589215982/locations/global/cloudControls/enable-binary-authorization
        majorRevisionId: 2
          

    אם לא מציינים אמצעי בקרה בענן כשיוצרים מסגרת, אפשר להוסיף אותם מאוחר יותר באמצעות המסוף.

לדוגמה, כדי ליצור מסגרת בשם my-custom-framework, מריצים את הפקודה הבאה:

gcloud compliance-manager frameworks create \
   my-custom-framework \
   --organization=3589215982 \
   --location=global \
   --description="This framework is my custom framework" \
   --display-name="My framework name" \
   --cloud-control-details='[{"name":"organizations/3589215982/locations/global/cloudControls/restrict-bucket-region","majorRevisionId":1,"parameters":[{"name":"location","parameterValue":{"stringValue":"us-west"}}]},{"name":"organizations/3589215982/locations/global/cloudControls/enable-binary-authorization","majorRevisionId":2}]'

למידע נוסף, ראו gcloud compliance-manager frameworks create.

Terraform

בדוגמה הבאה אפשר לראות איך יוצרים מסגרת באמצעות Terraform.

resource "google_cloud_security_compliance_framework" "example" {
  parent       = "organizations/123456789"
  location     = "global"
  framework_id = "example-framework"

  display_name = "Terraform Framework Name"
  description  = "An Terraform description for the framework"

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-assess-resource-availability"
		major_revision_id = "2"

    parameters {
      name = "location"
      parameter_value {
        string_value = "us-central1"
      }
    }
  }

    cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-cmek-key-in-use-for-bigquery-table"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        string_list_value {
          values = ["us-central1", "us-west1"]
        }
      }
    }
  }

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-enable-automatic-backups-cloud-sql"
		major_revision_id = "3"

    parameters {
      name = "location"
      parameter_value {
        bool_value = true
      }
    }
  }

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-require-cmek-on-bigquery-datasets"
		major_revision_id = "2"

    parameters {
      name = "location"
      parameter_value {
        number_value = 1
      }
    }
  }


}

פריסת מסגרת

פריסת מסגרת בארגון, בתיקייה או בפרויקט כדי שתוכלו לשלוט במשאבים האלה ולעקוב אחריהם באמצעות אמצעי הבקרה של המסגרת בענן. אפשר לפרוס כמה מסגרות לכל ארגון, תיקייה או פרויקט. אם אתם פורסים מסגרת שכוללת רק את אמצעי הבקרה המתקדמים לאבטחת נתונים בענן, אתם יכולים לפרוס את המסגרת באפליקציות ב-App Hub בתיקיות שהוגדרו לניהול אפליקציות.

תיקיות ופרויקטים יורשים מסגרות דרך Google Cloud היררכיית המשאבים. לכן, אם פורסים מסגרות ברמת הארגון וברמת הפרויקט, כל אמצעי הבקרה בענן בשתי המסגרות חלים על המשאבים בפרויקט. אם יש הבדלים בהגדרות של אמצעי הבקרה בענן, המשאבים בפרויקט ישתמשו באמצעי הבקרה ברמה הנמוכה יותר בענן. לדוגמה, אם כלל של בקרת ענן מוגדר כ'הרשאה' ברמת הארגון וכ'דחייה' ברמת הפרויקט, ההגדרה 'דחייה' ברמת הפרויקט חלה על המשאבים בפרויקט.

מומלץ להטמיע מסגרת ברמת הארגון שכוללת את אמצעי הבקרה בענן שיכולים לחול על כל העסק. לאחר מכן תוכלו לפרוס מסגרות מחמירות יותר בתיקיות ובפרויקטים שנדרשות בהם.

המסוף

  1. נכנסים לדף Compliance במסוף Google Cloud .

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה Configure (הגדרה), בשורה של המסגרת שרוצים לפרוס, לוחצים על More Actions > Apply to resources (החלה על משאבים).

  4. בוחרים אחת מהאפשרויות האלה:

    • כדי לעקוב רק אחרי סחף, בוחרים באפשרות מעקב.

    • כדי לעקוב אחרי סחף ולמנוע באופן פעיל הפרות, בוחרים באפשרות מעקב ומניעה.

  5. בוחרים את המשאב שרוצים לפרוס אליו את המסגרת. אתם יכולים לבחור ארגון, תיקייה או פרויקט קיימים. ב-DSPM בלבד, אפשר לבחור אפליקציה כדי לפרוס מסגרת שכוללת רק אמצעי בקרה מתקדמים בענן של DSPM באפליקציה. אם בחרתם למנוע באופן פעיל הפרות, אתם יכולים ליצור תיקייה או פרויקט חדשים ולפרוס בהם את המסגרת.

  6. מבצעים אחת מהפעולות הבאות:

    • אם בחרתם באפשרות צג, צריך להשלים את הפעולות הבאות:

      1. בודקים את המידע.
      2. אם בחרתם תיקייה שהוגדרה לניהול אפליקציות והמסגרת שלכם כוללת רק אמצעי בקרה מתקדמים של DSPM בענן, בוחרים את האפליקציה שרוצים לנטר.
      3. לוחצים על מעקב.
    • אם בחרתם באפשרות מעקב ומניעה, צריך להשלים את הפעולות הבאות:

      1. לוחצים על הבא. בודקים את אמצעי הבקרה והמצבים בענן.
      2. לוחצים על Continue.
      3. אם מוצג מידע נוסף שנדרש עבור חלק מהאמצעים לבקרה על הענן, צריך לאמת אותו.
      4. לוחצים על הבא.
      5. בודקים את הבחירות שבוצעו ולוחצים על החלת ההגדרות.

CLI

כדי לפרוס מסגרת בארגון, מריצים את הפקודה gcloud compliance-manager framework-deployments create. כדאי לפעול לפי השיטות המומלצות הבאות:

  • יוצרים קובץ YAML או JSON נפרד למטא-נתונים של אמצעי הבקרה בענן.

  • משתמשים בדגלי היעד המתאימים כדי לציין אם אתם מתכוונים לפרוס לארגון, לתיקייה או לפרויקט קיימים, או אם אתם מתכוונים ליצור פרויקט או תיקייה חדשים בו-זמנית עם פריסת המסגרת.

  • אם אפשר, צריך להשתמש רק במזהי משאבים, במקום בשמות משאבים מלאים.

gcloud compliance-manager framework-deployments create \
   (FRAMEWORK_DEPLOYMENT : \
   --location=LOCATION \
   --organization=ORGANIZATION) \
   --cloud-control-metadata=[cloudControlDetails=CLOUD_CONTROL_DETAILS],[enforcementMode=ENFORCEMENT_MODE] \
   (--framework=FRAMEWORK : \
   --framework-major-revision-id=FRAMEWORK_MAJOR_REVISION_ID) \
   (--target-resource-config-existing=TARGET_RESOURCE_CONFIG_EXISTING     | \
   --target-resource-creation-config-folder-display-name=TARGET_RESOURCE_CREATION_CONFIG_FOLDER_DISPLAY_NAME \
   --target-resource-creation-config-folder-parent=TARGET_RESOURCE_CREATION_CONFIG_FOLDER_PARENT     | \
   --target-resource-creation-config-project-billing-account-id=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_BILLING_ACCOUNT_ID \
   --target-resource-creation-config-project-display-name=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_DISPLAY_NAME \
   --target-resource-creation-config-project-parent=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_PARENT) \
   [--description=DESCRIPTION]

מחליפים את הערכים הבאים:

  • FRAMEWORK_DEPLOYMENT: המזהה של פריסת המסגרת

  • ORGANIZATION: מזהה הארגון

  • LOCATION: האזור שבו נשמר פריסת המסגרת

  • cloud-control-metadata=[cloudControlDetails=CLOUD_CONTROL_DETAILS],[enforcementMode=ENFORCEMENT_MODE]: רשימת אמצעי הבקרה בענן במסגרת, עם השמות, הפרמטרים, מזהה הגרסה ומצב האכיפה שלהם, בפורמט הבא:

    • CLOUD_CONTROL_DETAILS: אובייקט שכולל את רשימת השמות של אמצעי הבקרה בענן, הפרמטרים ומזהי הגרסאות. הפורמט הוא:

      • name=NAME: שם המשאב המלא של אמצעי הבקרה בענן, בפורמט organizations/ORGANIZATION_ID/locations/LOCATION/cloudControls/CLOUD_CONTROL_NAME

      • majorRevisionId=MAJOR_REVISION_ID: הגרסה הראשית של אמצעי הבקרה בענן

      • parameters=PARAMETERS: הפרמטרים האופציונליים שנדרשים בחלק מאמצעי הבקרה בענן – לדוגמה, אם רוצים להפעיל אמצעי בקרה בענן של Data Security Posture Management, כמו אמצעי הבקרה הגבלת הגישה למידע אישי רגיש למשתמשים מורשים, צריך לציין את המיקומים שבהם יש להשתמש בישויות מורשות.

    • ENFORCEMENT_MODE: האם אמצעי הבקרה הוא אמצעי בקרה מסוג AUDIT, DETECTIVE או PREVENTIVE

      אפשר גם לציין קובץ JSON או YAML שכולל את פרטי בקרת הענן ואת מצבי האכיפה. לדוגמה, --cloud-control-metadata=path_to_file.(yaml|json). כדי לראות דוגמאות לקובצי JSON ו-YAML, מרחיבים את הקטעים הבאים.

      קובץ JSON לדוגמה

        [
          {
            "cloudControlDetails": {
              "name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region",
              "majorRevisionId": 1,
              "parameters": [
                {
                  "name": "location",
                  "parameterValue": {
                    "stringValue": "us-west"
                  }
                }
              ]
            },
            "enforcementMode": "DETECTIVE"
          },
          {
            "cloudControlDetails": {
              "name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization",
              "majorRevisionId": 2
            },
            "enforcementMode": "DETECTIVE"
          }
        ]
            

      קובץ YAML לדוגמה

        - cloudControlDetails:
            name: organizations/3589215982/locations/global/cloudControls/restrict-bucket-region
            majorRevisionId: 1
            parameters:
            - name: location
              parameterValue:
                stringValue: us-west
          enforcementMode: DETECTIVE
        - cloudControlDetails:
            name: organizations/3589215982/locations/global/cloudControls/enable-binary-authorization
            majorRevisionId: 2
          enforcementMode: DETECTIVE
            
    • FRAMEWORK: השם של מסגרת קיימת שרוצים לפרוס, בפורמט organizations/ORGANIZATION_ID/locations/LOCATION/frameworks/FRAMEWORK_NAME

    • FRAMEWORK_MAJOR_REVISION_ID: מספר הגרסה של המסגרת שרוצים לפרוס

    • TARGET_RESOURCE_CONFIG_EXISTING : השם של ארגון, תיקייה או פרויקט קיימים שרוצים לפרוס בהם את המסגרת החדשה, באחד מהפורמטים הבאים:

      • organizations/ORGANIZATION_ID
      • folders/FOLDER_ID
      • projects/PROJECT_ID
    • TARGET_RESOURCE_CREATION_CONFIG_FOLDER_DISPLAY_NAME: השם של התיקייה שרוצים ליצור ואז לפרוס בה את המסגרת

    • TARGET_RESOURCE_CREATION_CONFIG_FOLDER_PARENT: השם של הארגון או התיקייה הקיימים שבהם רוצים ליצור את התיקייה החדשה. הפורמטים הנתמכים הם organizations/ORGANIZATION_ID ו- folders/FOLDER_ID.

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_BILLING_ACCOUNT_ID: מזהה החשבון לחיוב שרוצים להקצות לפרויקט החדש, אם יוצרים פרויקט חדש שרוצים לפרוס בו את המסגרת

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_DISPLAY_NAME: השם של הפרויקט שרוצים ליצור ואז לפרוס בו את המסגרת

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_PARENT: השם של הארגון או התיקייה הקיימים שבהם רוצים ליצור את הפרויקט החדש. הפורמטים הנתמכים הם organizations/ORGANIZATION_ID ו- folders/FOLDER_ID.

    • DESCRIPTION: תיאור אופציונלי של פריסת המסגרת

לדוגמה, כדי לפרוס מסגרת בשם organizations/3589215982/locations/global/frameworks/builtin-aipp לתיקייה קיימת עם מזהה התיקייה example-folder, מריצים את הפקודה הבאה:

gcloud compliance-manager framework-deployments create \
   example-framework-deployment \
   --organization=3589215982 \
   --location=global \
   --cloud-control-metadata='[{"cloudControlDetails": {"name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region", "majorRevisionId": "1", "parameters": []}, "enforcementMode": "DETECTIVE"}, {"cloudControlDetails": {"name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization", "majorRevisionId": 2}, "enforcementMode": "DETECTIVE"}]' \
   --framework="organizations/3589215982/locations/global/frameworks/builtin-aipp" \
   --framework-major-revision-id=6 \
   --target-resource-config-existing="folders/example-folder" \
   --description="Deployment for AI Platform into example-folder"

לדוגמה, כדי לפרוס פריים בשם organizations/3589215982/locations/global/frameworks/builtin-aipp וליצור פרויקט חדש בשם example-new-project בתיקייה קיימת עם מזהה התיקייה example-folder, מריצים את הפקודה הבאה:

gcloud compliance-manager framework-deployments create \
  example-framework-deployment \
   --organization=3589215982 \
   --location=global \
   --cloud-control-metadata=deploy-controls.yaml \
   --framework="organizations/3589215982/locations/global/frameworks/builtin-aipp" \
   --framework-major-revision-id=6 \
   --target-resource-creation-config-project-billing-account-id=012345-567890-ABCDEF \
   --target-resource-creation-config-project-display-name=example-new-project \
   --target-resource-creation-config-project-parent=folders/example-folder \
   --description="Deployment for AI Platform into a new example-new-project in example-folder"

מידע נוסף זמין במאמר בנושא gcloud compliance-manager framework-deployments create.

Terraform

בדוגמה הבאה אפשר לראות איך פורסים מסגרת באמצעות Terraform.

resource "google_cloud_security_compliance_framework" "example" {
  parent       = "organizations/123456789"
  location     = "global"
  framework_id = "example-framework"

  display_name = "Terraform Framework Name"
  description  = "An Terraform description for the framework"

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-detective-policy-for-vertex-ai-runtime-template-idle-shutdown"
		major_revision_id = "2"

    parameters {
      name = "location"
      parameter_value {
        string_value = "us-central1"
      }
    }
    parameters {
      name = "oneof-parameter"
      parameter_value {
        oneof_value {
          name = "test-oneof"
          parameter_value {
            string_value = "test-value"
          }
        }
      }
    }
    parameters {
      name = "bool-parameter"
      parameter_value {
        oneof_value {
          name = "bool-oneof"
          parameter_value {
            bool_value = true
          }
        }
      }
    }
    parameters {
      name = "number-parameter"
      parameter_value {
        oneof_value {
          name = "number-oneof"
          parameter_value {
            number_value = 123.45
          }
        }
      }
    }
    parameters {
      name = "string-list-parameter"
      parameter_value {
        oneof_value {
          name = "string-list-oneof"
          parameter_value {
            string_list_value {
              values = ["value1", "value2"]
            }
          }
        }
      }
    }
  }
}

resource "google_cloud_security_compliance_framework_deployment" "example" {
  parent            = "organizations/123456789"
  location                = "global"
  framework_deployment_id = "example-deployment"
  description             = "A framework deployment for cloud security compliance"

  framework {
    framework         = google_cloud_security_compliance_framework.example.name
    major_revision_id = "1"
  }

  target_resource_config {
    existing_target_resource = "organizations/123456789"
  }

  cloud_control_metadata {
    enforcement_mode = "DETECTIVE"

    cloud_control_details {
      name                  = "organizations/123456789/locations/global/cloudControls/builtin-detective-policy-for-vertex-ai-runtime-template-idle-shutdown"
      major_revision_id     = "2"

      parameters {
        name = "enabled"
        parameter_value {
          bool_value = true
        }
      }

      parameters {
        name = "regions"
        parameter_value {
          string_list_value {
            values = ["us-central1", "us-west1", "us-east1"]
          }
        }
      }

      parameters {
        name = "location"
        parameter_value {
          string_value = "us-central1"
        }
      }
      parameters {
        name = "oneof-parameter"
        parameter_value {
          oneof_value {
            name = "test-oneof"
            parameter_value {
              string_value = "test-value"
            }
          }
        }
      }
      parameters {
        name = "bool-parameter"
        parameter_value {
          oneof_value {
            name = "bool-oneof"
            parameter_value {
              bool_value = true
            }
          }
        }
      }
      parameters {
        name = "number-parameter"
        parameter_value {
          oneof_value {
            name = "number-oneof"
            parameter_value {
              number_value = 123.45
            }
          }
        }
      }
      parameters {
        name = "string-list-parameter"
        parameter_value {
          oneof_value {
            name = "string-list-oneof"
            parameter_value {
              string_list_value {
                values = ["value1", "value2"]
              }
            }
          }
        }
      }
    }
  }


}

אחרי שמפעילים את המסגרת, אפשר לעקוב אחרי הסביבה כדי לזהות סטיות מהבקרות שהוגדרו בענן. ב-Security Command Center מדווחים על מקרים של סחף כממצאים שאפשר לבדוק, לסנן ולפתור. יכולות לעבור בערך שש שעות אחרי שמפעילים את המסגרת עד שיופיעו ממצאים שקשורים לבקרות בענן.

עריכה של מסגרת בהתאמה אישית

אחרי שיוצרים מסגרת, אפשר לשנות את השם והתיאור שלה, להוסיף או להסיר אמצעי בקרה בענן ולעדכן את הפרמטרים. אפשר לערוך רק מסגרות שיצרתם, ולא מסגרות מובנות.

  1. נכנסים לדף Compliance במסוף Google Cloud .

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה Configure, לוחצים על המסגרת שרוצים לערוך.

  4. בדף Framework details, מוודאים שהמסגרת לא הוקצתה למשאב. אם צריך, מסירים את ההקצאות.

  5. לוחצים על פעולות > עריכה.

  6. בדף עדכון פרטי המסגרת, משנים את השם והתיאור לפי הצורך. לוחצים על Continue.

  7. כדי לשנות את אמצעי הבקרה בענן שכלולים במסגרת, צריך לבצע את הפעולות הבאות:

    • כדי להוסיף אמצעי בקרה קיים בענן, לוחצים על הוספת אמצעי בקרה בענן. בוחרים את כל אמצעי הבקרה בענן שרוצים להוסיף ולוחצים על הוספה.

    • כדי ליצור אמצעי בקרה מותאם אישית בענן, לוחצים על יצירת אמצעי בקרה מותאם אישית בענן. הוראות מפורטות זמינות במאמר יצירת אמצעי בקרה מותאם אישית בענן.

    • כדי להסיר אמצעי בקרה בענן, בוחרים את אמצעי הבקרה בענן ולוחצים על הסרה.

  8. לוחצים על Continue.

  9. מוסיפים פרמטרים נוספים שנדרשים על ידי אמצעי הבקרה בענן.

  10. לוחצים על Save.

הסרת מסגרת פריסה ממשאב

אפשר להסיר מסגרת מהארגון, מהתיקיות או מהפרויקטים שהקציתם להם את המסגרת. הסרת המסגרת תגרום לכך שמערכת Compliance Manager לא תיצור יותר ממצאים לגבי הצומת הזה בהיררכיית המשאבים.

כשמסירים מסגרת, הסטטוס של רוב הממצאים שקשורים אליה משתנה ל-Inactive אחרי שבעה ימים. אם המסגרת שלכם כוללת את אמצעי הבקרה בענן Restrict Flow of Sensitive Data Across Geographic Jurisdictions (הגבלת זרימת נתונים רגישים בין אזורים גיאוגרפיים), הממצאים ישתנו ל-Inactive אחרי 90 יום. הסטטוסים של הממצאים שקשורים לאמצעי הבקרה בענן הגבלת זרימת נתונים רגישים בין אזורים גיאוגרפיים ולאמצעי הבקרה בענן הגבלת הגישה לנתונים רגישים למשתמשים מורשים לא משתנים באופן אוטומטי.

המסוף

  1. נכנסים לדף Compliance במסוף Google Cloud .

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה Configure, לוחצים על המסגרת שרוצים להסיר.

  4. בדף פרטי המסגרת, לוחצים על פעולות > ניהול הקצאות משאבים.

  5. בטבלה Assigned resources, מאתרים את המשאב שרוצים להסיר ולוחצים על Delete.

  6. קוראים את הודעת האישור ולוחצים על ביטול השיוך.

  7. אופציונלי: משנים את הסטטוס של הממצאים המשויכים ל-Inactive. הוראות מפורטות במאמר שינוי המצב של ממצא.

CLI

כדי להסיר פריסה מסוימת של מסגרת בארגון, מריצים את הפקודה gcloud compliance-manager framework-deployments delete:

gcloud compliance-manager framework-deployments delete \
   FRAMEWORK_DEPLOYMENT \
   --location=LOCATION \
   --organization=ORGANIZATION

מחליפים את הערכים הבאים:

  • FRAMEWORK_DEPLOYMENT: המזהה של פריסת המסגרת

  • ORGANIZATION: מזהה הארגון

  • LOCATION: האזור שבו נשמר פריסת המסגרת

לדוגמה, כדי להסיר את example-deployment מהארגון 3589215982 ולאחסן אותו במיקום הגלובלי, מריצים את הפקודה הבאה:

gcloud compliance-manager framework-deployments delete \
   example-deployment \
   --organization=3589215982 \
   --location=global

מידע על דגלים אופציונליים זמין במאמר gcloud compliance-manager framework-deployments delete.

עדכון של מסגרת לגרסה חדשה יותר

‫Google מפרסמת עדכונים קבועים למסגרות המובנות שלה כשהיא פורסת שירותים עם תכונות חדשות או כשהיא מזהה שיטות מומלצות חדשות.

אפשר לראות את הגרסאות של מסגרות מובנות בלוח הבקרה של המסגרות בכרטיסייה הגדרה או בדף הפרטים של המסגרת.

‫Google שולחת לכם התראות במסוף ובנתוני הגרסאות כשמתבצעים העדכונים הבאים:

כדי לעדכן מסגרת:

  1. נכנסים לדף Compliance במסוף Google Cloud .

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה Configure, לוחצים על המסגרת שרוצים לעדכן.

  4. בדף פרטי המסגרת, בטבלה משאבים שהוקצו, בודקים את סטטוס העדכון של כל ההקצאות שזוהו כעדכון זמין.

  5. כדי להחיל את השינויים:

    1. מסירים את הקצאת המשאב.

    2. פורסים מחדש את המסגרת למשאב כדי ש-Compliance Manager יוכל להמשיך להעריך את המשאב וליצור ממצאים.

מחיקה של מסגרת מותאמת אישית

מוחקים מסגרת כשכבר לא צריך אותה. אתם יכולים למחוק רק מסגרות שיצרתם, ולא מסגרות מובנות.

המסוף

  1. נכנסים לדף Compliance במסוף Google Cloud .

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה Configure, לוחצים על המסגרת שרוצים לבטל את ההקצאה של משאבים ממנה.

  4. בדף Framework details, מוודאים שהמסגרת לא הוקצתה למשאב. אם צריך, מסירים את ההקצאות.

  5. לוחצים על פעולות > מחיקה.

  6. בחלון מחיקה, קוראים את ההודעה. מקלידים Delete ולוחצים על אישור.

CLI

כדי למחוק מסגרת מסוימת בארגון, מריצים את הפקודה gcloud compliance-manager frameworks delete:

gcloud compliance-manager frameworks delete \
   FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION

מחליפים את הערכים הבאים:

  • FRAMEWORK: שם ה-framework

  • ORGANIZATION: מזהה הארגון

  • LOCATION: האזור שבו שמורת המסגרת

לדוגמה, כדי להסיר את example-framework מהארגון 3589215982 ולאחסן אותו במיקום הגלובלי, מריצים את הפקודה הבאה:

gcloud compliance-manager frameworks delete \
   example-framework \
   --organization=3589215982 \
   --location=global

מידע על דגלים אופציונליים זמין במאמר gcloud compliance-manager frameworks delete.

המאמרים הבאים