Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Administrar frameworks

Los frameworks de Administrador de cumplimiento constan de controles de la nube que te ayudan a cumplir con los requisitos de seguridad y reglamentarios de una organización o un proyecto en tus entornos de nube. La aplicación de un framework es un proceso de dos pasos. Primero, debes identificar los controles de la nube que se alinean con las obligaciones de seguridad y cumplimiento de tu empresa. Luego, implementas un framework que incluye esos controles de la nube en la organización, la carpeta o el proyecto adecuados en Google Cloud. En esta página, se te ayudará a completar los siguientes pasos:

Evalúa qué framework integrado se alinea mejor con tus requisitos reglamentarios y de seguridad. Puedes crear tu propio framework personalizado, pero te recomendamos que comiences con uno integrado.
Determina qué controles de la nube integrados se asignan a los requisitos de tu empresa.
(Solo para los niveles Premium y Enterprise) Puedes crear controles de la nube personalizados, si es necesario.
Determina si deseas implementar el framework en tu Google Cloud organización o en carpetas y proyectos específicos. Solo puedes implementar un framework en cada organización, carpeta o proyecto. Administrador de cumplimiento admite carpetas configuradas para la administración de aplicaciones.
Copia un framework existente y modifícalo para que coincida con tus requisitos. Si es necesario, puedes crear un framework personalizado.

Nota: El nivel Standard solo admite el framework de Security Essentials. Otros frameworks integrados requieren los niveles Premium o Enterprise. Para obtener más información, consulta Frameworks para Google Cloud.
Implementa el framework en la organización, la carpeta o el proyecto adecuados.

Antes de comenzar

Si quieres obtener los permisos que necesitas para aplicar frameworks, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización o proyecto:
- Administrador de cumplimiento (roles/cloudsecuritycompliance.admin)
- Para ver los paneles de hallazgos: Visualizador de Administrador de cumplimiento (roles/cloudsecuritycompliance.viewer)
- Para implementar frameworks que incluyen controles de la nube basados en políticas de la organización, uno de los siguientes:
  - Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
  - Administrador de Assured Workloads (roles/assuredworkloads.admin)
  - Editor de Assured Workloads (roles/assuredworkloads.editor)
- (Solo a nivel de la organización) Para crear una carpeta mientras implementas un framework, uno de los siguientes:
  - Administrador de carpetas (roles/resourcemanager.folderAdmin)
  - Creador de la carpeta (roles/resourcemanager.folderCreator)
- (Solo a nivel de la organización) Para crear un proyecto mientras implementas un framework, todos los siguientes:
  - Administrador de facturación del proyecto (roles/billing.projectManager)
  - Creador del proyecto (roles/resourcemanager.projectCreator)
  - Eliminador de proyectos (roles/resourcemanager.projectDeleter)
- Para asignar frameworks de Administración de la postura de seguridad de los datos (DSPM) a una aplicación de App Hub, todos los siguientes: Visualizador de App Hub (roles/apphub.viewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Los roles para implementar frameworks con políticas de la organización contienen los permisos requeridos orgpolicy.policies.create, orgpolicy.policies.update y orgpolicy.policies.get.

Para las implementaciones a nivel de la organización, los roles para crear carpetas contienen los permisos requeridos resourcemanager.folders.get, resourcemanager.folders.create y resourcemanager.folders.delete.

Para las implementaciones a nivel de la organización, los roles para crear proyectos contienen los permisos requeridos resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete y resourcemanager.projects.createBillingAssignment.

Los roles para asignar frameworks de DSPM a las aplicaciones contienen los permisos apphub.locations.list, apphub.applications.list y apphub.applications.get requeridos.
También puedes obtener estos permisos con roles personalizados o otros roles predefinidos.

Cómo ver frameworks

Completa los siguientes pasos para ver la configuración de los frameworks integrados o de otros frameworks que ya creaste.

En la Google Cloud consola, dirígete a la página Cumplimiento.

Ve a cumplimiento
Selecciona tu organización o proyecto.
Para ver todos los frameworks disponibles, haz clic en la pestaña Configurar.

En el panel, se muestran los frameworks disponibles, una breve descripción, las plataformas y los niveles admitidos, y los recursos a los que se aplicó el framework.

Nota: Si estás en el nivel Standard, puedes ver los frameworks Premium y Enterprise en tu panel, pero no puedes implementarlos.
Para ver los detalles de un framework específico, haz clic en el nombre del framework.

Cómo crear un framework

Después de determinar qué controles de la nube se aplican a los recursos de tu organización o a una carpeta o proyecto específicos, puedes crear un framework. Puedes crear un framework personalizado o copiar uno existente y modificarlo. Cuando copias un framework, se incluyen las versiones más recientes de los controles de la nube integrados.

En la Google Cloud consola, dirígete a la página Cumplimiento.

Ve a cumplimiento
Selecciona tu organización o proyecto.
En la pestaña Configurar, haz clic en Crear framework personalizado.
Realiza una de las siguientes acciones:
- Para usar un framework existente, completa los siguientes pasos:
  1. Selecciona Comenzar con un framework existente.
  2. Selecciona el framework que deseas copiar.
  3. Haz clic en Agregar.
- Para crear un framework personalizado, selecciona Comenzar de nuevo.
Nota: En el nivel Standard, solo puedes copiar el framework de Security Essentials. En los niveles Premium y Enterprise, puedes crear frameworks personalizados o usar cualquiera de los frameworks integrados disponibles.
Ingresa un nombre, un identificador único y una descripción para tu framework. Haz clic en Continuar.

Si copias un framework existente, se mostrará la lista de controles de la nube que formaban parte de él.
Para agregar los controles de la nube que necesitas, completa los siguientes pasos:
- Para agregar un control de la nube existente, haz clic en Agregar controles de la nube. Selecciona todos los controles de la nube que necesites y, luego, haz clic en Agregar.
  
  Cuando agregues un control, verifica el tipo de control (detective, preventivo o de auditoría). Ten en cuenta que los controles preventivos y de auditoría solo están disponibles en los niveles Premium y Enterprise. No incluyas controles solo de auditoría en un framework que quieras usar para supervisar tu entorno y detectar incumplimientos. No puedes implementar frameworks que incluyan controles solo de auditoría.
- (Solo para los niveles Premium y Enterprise) Para crear un control de la nube personalizado, haz clic en Crear un control de la nube personalizado. Para obtener instrucciones, consulta Crea un control de la nube personalizado.
Haz clic en Continuar.
Agrega los parámetros adicionales que requieran los controles de la nube.

Por ejemplo, si deseas habilitar un control de la nube de Administración de la postura de seguridad de los datos (DSPM), como el control de la nube de Administración de acceso a los datos , especifica las ubicaciones que deben usar los principales. Para obtener más información sobre los controles de Administración de la postura de seguridad de los datos, consulta Control de la nube para la administración de acceso a los datos control.
Haz clic en Crear.

Cómo implementar un framework

Implementa un framework en una organización, una carpeta o un proyecto para que puedas controlar y supervisar esos recursos con los controles de la nube del framework. Puedes implementar varios frameworks en cada organización, carpeta o proyecto. Si implementas un framework que incluye solo los controles de la nube de seguridad de los datos avanzada, puedes implementarlo en las aplicaciones de App Hub en carpetas configuradas para la administración de aplicaciones.

Las carpetas y los proyectos heredan frameworks a través de la Google Cloud jerarquía de recursos. Por lo tanto, si implementas frameworks a nivel de la organización y del proyecto, todos los controles de la nube de ambos frameworks se aplicarán a los recursos del proyecto. Si hay diferencias en las definiciones de los controles de la nube, los recursos del proyecto usarán el control de la nube de nivel inferior. Por ejemplo, si una regla de control de la nube se establece en Permitir a nivel de la organización y en Denegar a nivel del proyecto, la configuración de Denegar a nivel del proyecto se aplica a los recursos del proyecto.

Como práctica recomendada, te sugerimos que implementes un framework a nivel de la organización que incluya los controles de la nube que se puedan aplicar a toda tu empresa. Luego, puedes implementar frameworks más estrictos en las carpetas y los proyectos que los requieran.

En la Google Cloud consola, dirígete a la página Cumplimiento.

Ve a cumplimiento
Selecciona tu organización o proyecto.
En la pestaña Configurar, para el framework que deseas implementar, haz clic en Más acciones > Aplicar a los recursos.
Elige una de las siguientes opciones:
- Para supervisar solo la desviación, elige Supervisar.
- Para supervisar la desviación y evitar activamente los incumplimientos, elige Supervisar y evitar.
Selecciona el recurso en el que deseas implementar el framework. Puedes elegir una organización, una carpeta o un proyecto existentes. Solo para DSPM, puedes seleccionar una aplicación para implementar un framework que incluya solo controles de la nube avanzados de DSPM en una aplicación. Si elegiste evitar activamente los incumplimientos, puedes crear una carpeta o un proyecto nuevos y, luego, implementar el framework en ellos.
Realiza una de las siguientes acciones:
- Si seleccionaste Supervisar, completa los siguientes pasos:
  1. Verifica la información.
  2. Si seleccionaste una carpeta configurada para la administración de aplicaciones y tu framework incluye solo controles de la nube avanzados de DSPM, selecciona la aplicación que deseas supervisar.
  3. Haz clic en Supervisar.
- Si seleccionaste Supervisar y evitar, completa los siguientes pasos:
  1. Haz clic en Siguiente. Revisa los controles y los modos de la nube.
  2. Haz clic en Continuar.
  3. Si se muestra, verifica la información adicional que se requiere para algunos controles de la nube.
  4. Haz clic en Siguiente.
  5. Revisa tus selecciones y, luego, haz clic en Aplicar.

Después de implementar el framework, puedes supervisar tu entorno para detectar cualquier desvío de los controles de la nube definidos. Security Command Center informa las instancias de desvío como hallazgos que puedes revisar, filtrar y resolver. Los hallazgos relacionados con los controles de la nube pueden tardar aproximadamente seis horas en aparecer después de implementar un framework.

Cómo editar un framework personalizado

Después de crear un framework, puedes cambiar su nombre y descripción, agregar o quitar controles de la nube y actualizar los parámetros. Solo puedes editar los frameworks que creas; no puedes editar los frameworks integrados.

En la Google Cloud consola, dirígete a la página Cumplimiento.

Ve a cumplimiento
Selecciona tu organización o proyecto.
En la pestaña Configurar, haz clic en el framework que deseas editar.
En la página Detalles del framework, verifica que el framework no esté asignado a un recurso. Si es necesario, quita las asignaciones.
Haz clic en Acciones > Editar.
En la página Actualizar detalles del framework, cambia el nombre y la descripción según sea necesario. Haz clic en Continuar.
Para cambiar los controles de la nube que se incluyen en el framework, completa los siguientes pasos:
- Para agregar un control de la nube existente, haz clic en Agregar controles de la nube. Selecciona todos los controles de la nube que necesites y, luego, haz clic en Agregar.
- Para crear un control de la nube personalizado, haz clic en Crear un control de la nube personalizado. Para obtener instrucciones, consulta Crea un control de la nube personalizado.
- Para quitar un control de la nube, selecciónalo y haz clic en Quitar.
Haz clic en Continuar.
Agrega los parámetros adicionales que requieran los controles de la nube.
Haz clic en Guardar.

Cómo quitar recursos de un framework implementado

Puedes quitar la organización, las carpetas o los proyectos que asignaste a un framework implementado. Quitar recursos significa que el framework ya no genera hallazgos para ese nodo de tu jerarquía de recursos.

Cuando quitas recursos, el estado de la mayoría de los hallazgos relacionados cambia a Inactive después de siete días. Si tu framework incluye el control de la nube de Borrado de datos, los hallazgos cambian a Inactive después de 90 días. Los estados de los hallazgos relacionados con el control de la nube de Administración de flujo de datos y el control de la nube de Administración de acceso a los datos no cambian automáticamente.

En la Google Cloud consola, dirígete a la página Cumplimiento.

Ve a cumplimiento
Selecciona tu organización o proyecto.
En la pestaña Configurar, haz clic en el framework del que deseas anular la asignación de recursos.
En la página Detalles del framework, haz clic en Acciones > Administrar asignaciones de recursos.
En la tabla Recursos asignados, busca el recurso que deseas quitar y haz clic en Borrar.
Revisa el mensaje de confirmación y haz clic en Anular asignación.
Opcional: Cambia el estado de los hallazgos asociados a Inactive. Para obtener instrucciones, consulta Cambia el estado de un hallazgo.

Cómo actualizar un framework a una versión más reciente

Google publica actualizaciones periódicas de sus frameworks integrados a medida que los servicios implementan funciones nuevas o surgen prácticas recomendadas nuevas.

Puedes ver las versiones de los frameworks integrados en el panel de frameworks de la pestaña Configurar o en la página de detalles del framework.

Google te notifica en la consola y en las notas de la versión cuando se producen las siguientes actualizaciones:

Se agregan o quitan controles de la nube integrados de un framework.
Se actualizan los controles de la nube integrados.

Para actualizar un framework, completa los siguientes pasos:

En la Google Cloud consola, dirígete a la página Cumplimiento.

Ve a cumplimiento
Selecciona tu organización o proyecto.
En la pestaña Configurar, haz clic en el framework que deseas actualizar.
En la página Detalles del framework, en la tabla Recursos asignados , revisa el Estado de actualización de las asignaciones que se identifican como Actualización disponible.
Para aplicar los cambios, completa los siguientes pasos:
1. Quita la asignación de recursos.
  
  Nota: Cuando quitas una asignación de recursos, el Administrador de cumplimiento ya no evalúa ese recurso con ese framework. Ya no se crean hallazgos.
2. Vuelve a implementar el framework en tu recurso para que Administrador de cumplimiento pueda reanudar la evaluación del recurso y la creación de hallazgos.

Cómo borrar un framework personalizado

Borra un framework cuando ya no sea necesario. Solo puedes borrar los frameworks que creas; no puedes borrar los frameworks integrados.

En la Google Cloud consola, dirígete a la página Cumplimiento.

Ve a cumplimiento
Selecciona tu organización o proyecto.
En la pestaña Configurar, haz clic en el framework del que deseas anular la asignación de recursos.
En la página Detalles del framework, verifica que el framework no esté asignado a un recurso. Si es necesario, quita las asignaciones.
Haz clic en Acciones > Borrar.
En la ventana Borrar, revisa el mensaje. Escribe Delete y haz clic en Confirmar.