Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Frameworks verwalten

Compliance Manager-Frameworks bestehen aus Cloud Kontrollen , mit denen Sie die Sicherheits- und gesetzlichen Anforderungen für eine Organisation oder ein Projekt in Ihren Cloud-Umgebungen erfüllen können. Das Anwenden eines Frameworks erfolgt in zwei Schritten. Zuerst müssen Sie die Cloud-Kontrollen identifizieren, die mit den Sicherheits- und Complianceverpflichtungen Ihres Unternehmens übereinstimmen. Anschließend stellen Sie ein Framework mit diesen Cloud Kontrollen in der entsprechenden Organisation, dem entsprechenden Ordner oder Projekt in Google Cloudbereit. Auf dieser Seite erfahren Sie, wie Sie die folgenden Schritte ausführen:

Bewerten Sie, welches integrierte Framework am besten zu Ihren gesetzlichen und Sicherheitsanforderungen passt. Sie können zwar auch ein eigenes benutzerdefiniertes Framework erstellen, wir empfehlen jedoch, mit einem integrierten Framework zu beginnen.
Bestimmen Sie, welche integrierten Cloud-Kontrollen Ihren geschäftlichen Anforderungen entsprechen.
(Nur Dienststufen „Premium“ und „Enterprise“) Bei Bedarf können Sie benutzerdefinierte Cloud-Kontrollen erstellen.
Legen Sie fest, ob Sie das Framework in Ihrer Google Cloud Organisation oder in bestimmten Ordnern und Projekten bereitstellen möchten. Sie können nur ein Framework pro Organisation, Ordner oder Projekt bereitstellen. Compliance Manager unterstützt Ordner, die für die Anwendungsverwaltung konfiguriert sind.
Kopieren Sie ein vorhandenes Framework und ändern Sie es nach Bedarf. Bei Bedarf können Sie ein benutzerdefiniertes Framework erstellen.

Hinweis: Die Dienststufe „Standard“ unterstützt nur das Framework „Security Essentials“. Für andere integrierte Frameworks sind die Dienststufen Premium oder Enterprise erforderlich. Weitere Informationen finden Sie unter Frameworks für Google Cloud.
Stellen Sie das Framework in der entsprechenden Organisation, dem entsprechenden Ordner oder Projekt bereit.

Hinweis

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation oder Ihr Projekt zuzuweisen, damit Sie die Berechtigungen zum Anwenden von Frameworks erhalten:
- Compliance Manager-Administrator (roles/cloudsecuritycompliance.admin)
- Zum Aufrufen von Ergebnis-Dashboards: Compliance Manager-Betrachter (roles/cloudsecuritycompliance.viewer)
- Zum Bereitstellen von Frameworks, die Cloud-Kontrollen enthalten, die auf Organisationsrichtlinien basieren, eine der folgenden Rollen:
  - Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin)
  - Assured Workloads-Administrator (roles/assuredworkloads.admin)
  - Assured Workloads-Bearbeiter (roles/assuredworkloads.editor)
- (Nur auf Organisationsebene) Zum Erstellen eines Ordners beim Bereitstellen eines Frameworks eine der folgenden Rollen:
  - Ordneradministrator (roles/resourcemanager.folderAdmin)
  - Ordnerersteller (roles/resourcemanager.folderCreator)
- (Nur auf Organisationsebene) Zum Erstellen eines Projekts beim Bereitstellen eines Frameworks alle folgenden Rollen:
  - Administrator für die Projektabrechnung (roles/billing.projectManager)
  - Projektersteller (roles/resourcemanager.projectCreator)
  - Projektlöscher (roles/resourcemanager.projectDeleter)
- Zum Zuweisen von Frameworks für die Datensicherheitsstatus-Verwaltung (Data Security Posture Management, DSPM) zu einer App Hub-Anwendung alle folgenden Rollen: App Hub-Betrachter (roles/apphub.viewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Die Rollen zum Bereitstellen von Frameworks mit Organisationsrichtlinien enthalten die erforderlichen orgpolicy.policies.create, orgpolicy.policies.update, und orgpolicy.policies.get Berechtigungen.

Bei Bereitstellungen auf Organisationsebene enthalten die Rollen zum Erstellen von Ordnern die erforderlichen resourcemanager.folders.get, resourcemanager.folders.create und resourcemanager.folders.delete Berechtigungen.

Bei Bereitstellungen auf Organisationsebene enthalten die Rollen zum Erstellen von Projekten die erforderlichen resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete und resourcemanager.projects.createBillingAssignment Berechtigungen.

Die Rollen zum Zuweisen von DSPM-Frameworks zu Anwendungen enthalten die erforderlichen apphub.locations.list, apphub.applications.list und apphub.applications.get Berechtigungen.
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Frameworks ansehen

Führen Sie die folgenden Schritte aus, um die Konfiguration für integrierte Frameworks oder andere Frameworks anzusehen, die Sie bereits erstellt haben.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation oder das Projekt aus.
Wenn Sie alle verfügbaren Frameworks ansehen möchten, klicken Sie auf den Tab Konfigurieren.

Im Dashboard werden die verfügbaren Frameworks, eine kurze Beschreibung, unterstützte Plattformen und Dienststufen sowie die Ressourcen angezeigt, auf die das Framework angewendet wurde.

Hinweis: Wenn Sie die Dienststufe „Standard“ verwenden, können Sie die Frameworks „Premium“ und „Enterprise“ in Ihrem Dashboard ansehen, aber nicht bereitstellen.
Wenn Sie Details zu einem bestimmten Framework ansehen möchten, klicken Sie auf den Namen des Frameworks.

Framework erstellen

Nachdem Sie festgelegt haben, welche Cloud-Kontrollen auf Ressourcen in Ihrer Organisation oder in einem bestimmten Ordner oder Projekt angewendet werden sollen, können Sie ein Framework erstellen. Sie können ein benutzerdefiniertes Framework erstellen oder ein vorhandenes Framework kopieren und ändern. Wenn Sie ein Framework kopieren, enthält es die neuesten Versionen aller integrierten Cloud-Kontrollen.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation oder das Projekt aus.
Klicken Sie auf dem Tab Konfigurieren auf Benutzerdefiniertes Framework erstellen.
Führen Sie einen dieser Schritte aus:
- So verwenden Sie ein vorhandenes Framework:
  1. Wählen Sie Mit einem vorhandenen Framework beginnen aus.
  2. Wählen Sie das Framework aus, das Sie kopieren möchten.
  3. Klicken Sie auf Hinzufügen.
- Wenn Sie ein benutzerdefiniertes Framework erstellen möchten, wählen Sie Neu beginnen aus.
Hinweis: Bei der Dienststufe „Standard“ können Sie nur das Framework „Security Essentials“ kopieren. Bei den Dienststufen „Premium“ und „Enterprise“ können Sie benutzerdefinierte Frameworks erstellen oder beliebige verfügbare integrierte Frameworks verwenden.
Geben Sie einen Namen, eine eindeutige ID und eine Beschreibung für Ihr Framework ein. Klicken Sie auf Weiter.

Wenn Sie ein vorhandenes Framework kopieren, wird die Liste der Cloud-Kontrollen angezeigt, die Teil des vorhandenen Frameworks waren.
So fügen Sie die erforderlichen Cloud-Kontrollen hinzu:
- Wenn Sie eine vorhandene Cloud-Kontrolle hinzufügen möchten, klicken Sie auf Cloud-Kontrollen hinzufügen. Wählen Sie alle erforderlichen Cloud-Kontrollen aus und klicken Sie dann auf Hinzufügen.
  
  Wenn Sie eine Kontrolle hinzufügen, prüfen Sie den Kontrolltyp (erkennend, präventiv oder Audit). Beachten Sie, dass präventive Kontrollen und Audit-Kontrollen nur in den Dienststufen „Premium“ und „Enterprise“ verfügbar sind. Nehmen Sie keine reinen Audit-Kontrollen in ein Framework auf, mit dem Sie Ihre Umgebung überwachen und Verstöße erkennen möchten. Frameworks, die reine Audit-Kontrollen enthalten, können nicht bereitgestellt werden.
- (Nur Dienststufen „Premium“ und „Enterprise“) Wenn Sie eine benutzerdefinierte Cloud-Kontrolle erstellen möchten, klicken Sie auf Benutzerdefinierte Cloud-Kontrolle erstellen. Eine Anleitung finden Sie unter Benutzerdefinierte Cloud Kontrolle erstellen.
Klicken Sie auf Weiter.
Fügen Sie alle zusätzlichen Parameter hinzu, die für die Cloud-Kontrollen erforderlich sind.

Wenn Sie beispielsweise eine Cloud-Kontrolle für die Datensicherheitsstatus-Verwaltung (Data Security Posture Management, DSPM) wie die Cloud-Kontrolle Datenzugriffs-Governance aktivieren möchten, geben Sie die Standorte an, die von Prinzipalen verwendet werden müssen. Weitere Informationen zur Datensicherheitsstatus-Verwaltung finden Sie unter Cloud-Kontrolle für die Datenzugriffs-Governance.
Klicken Sie auf Erstellen.

Framework bereitstellen

Stellen Sie ein Framework in einer Organisation, einem Ordner oder einem Projekt bereit, damit Sie diese Ressourcen mit den Cloud-Kontrollen des Frameworks steuern und überwachen können. Sie können mehrere Frameworks in jeder Organisation, jedem Ordner oder Projekt bereitstellen. Wenn Sie ein Framework bereitstellen, das nur die erweiterten Cloud-Kontrollen für die Datensicherheit enthält, können Sie das Framework für App Hub-Anwendungen in Ordnern bereitstellen, die für die Anwendungsverwaltung konfiguriert sind.

Ordner und Projekte erben Frameworks über die Google Cloud Ressourcen hierarchie. Wenn Sie also Frameworks auf Organisationsebene und auf Projektebene bereitstellen, werden alle Cloud-Kontrollen in beiden Frameworks auf die Ressourcen im Projekt angewendet. Wenn es Unterschiede in den Definitionen der Cloud-Kontrollen gibt, wird die Cloud-Kontrolle auf niedrigerer Ebene von den Ressourcen im Projekt verwendet. Wenn beispielsweise eine Regel für die Cloud-Kontrolle auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt ist, wird die Einstellung „Ablehnen“ auf Projektebene auf die Ressourcen im Projekt angewendet.

Als Best Practice empfehlen wir, ein Framework auf Organisationsebene bereitzustellen, das die Cloud-Kontrollen enthält, die für Ihr gesamtes Unternehmen gelten können. Anschließend können Sie strengere Frameworks für Ordner und Projekte bereitstellen, die diese benötigen.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation oder das Projekt aus.
Klicken Sie auf dem Tab Konfigurieren für das Framework, das Sie bereitstellen möchten, auf Weitere Aktionen > Auf Ressourcen anwenden.
Wählen Sie eine der folgenden Optionen aus:
- Wenn Sie nur auf Abweichungen prüfen möchten, wählen Sie Überwachen aus.
- Wenn Sie auf Abweichungen prüfen und Verstöße aktiv verhindern möchten, wählen Sie Überwachen und verhindern aus.
Wählen Sie die Ressource aus, für die Sie das Framework bereitstellen möchten. Sie können eine vorhandene Organisation, einen vorhandenen Ordner oder ein vorhandenes Projekt auswählen. Nur für DSPM können Sie eine Anwendung auswählen, um ein Framework bereitzustellen, das nur erweiterte DSPM-Cloud-Kontrollen für eine Anwendung enthält. Wenn Sie Verstöße aktiv verhindern möchten, können Sie einen neuen Ordner oder ein neues Projekt erstellen und das Framework darin bereitstellen.
Führen Sie einen dieser Schritte aus:
- Wenn Sie Überwachen ausgewählt haben, gehen Sie so vor:
  1. Prüfen Sie die Informationen.
  2. Wenn Sie einen für die Anwendungsverwaltung konfigurierten Ordner ausgewählt haben und Ihr Framework nur erweiterte DSPM-Cloud Kontrollen, wählen Sie die Anwendung aus, die Sie überwachen möchten.
  3. Klicken Sie auf Überwachen.
- Wenn Sie Überwachen und verhindern ausgewählt haben, gehen Sie so vor:
  1. Klicken Sie auf Weiter. Prüfen Sie die Cloud-Kontrollen und -Modi.
  2. Klicken Sie auf Weiter.
  3. Prüfen Sie gegebenenfalls die zusätzlichen Informationen, die für einige Cloud-Kontrollen erforderlich sind.
  4. Klicken Sie auf Weiter.
  5. Prüfen Sie Ihre Auswahl und klicken Sie dann auf Erzwingen.

Nachdem Sie das Framework bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von den von Ihnen definierten Cloud-Kontrollen prüfen. Security Command Center meldet Abweichungen als Ergebnisse, die Sie prüfen, filtern und beheben können. Es kann etwa sechs Stunden dauern, bis Ergebnisse zu Cloud-Kontrollen angezeigt werden, nachdem Sie ein Framework bereitgestellt haben.

Benutzerdefiniertes Framework bearbeiten

Nachdem Sie ein Framework erstellt haben, können Sie den Namen und die Beschreibung ändern, Cloud-Kontrollen hinzufügen oder entfernen und Parameter aktualisieren. Sie können nur Frameworks bearbeiten, die Sie selbst erstellt haben. Integrierte Frameworks können nicht bearbeitet werden.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation oder das Projekt aus.
Klicken Sie auf dem Tab Konfigurieren auf das Framework, das Sie bearbeiten möchten.
Prüfen Sie auf der Seite Framework-Details, ob das Framework einer Ressource zugewiesen ist. Entfernen Sie gegebenenfalls die Zuweisungen.
Klicken Sie auf Aktionen > Bearbeiten.
Ändern Sie auf der Seite Framework-Details aktualisieren den Namen und die Beschreibung nach Bedarf. Klicken Sie auf Weiter.
So ändern Sie die Cloud-Kontrollen, die im Framework enthalten sind:
- Wenn Sie eine vorhandene Cloud-Kontrolle hinzufügen möchten, klicken Sie auf Cloud-Kontrollen hinzufügen. Wählen Sie alle erforderlichen Cloud-Kontrollen aus und klicken Sie dann auf Hinzufügen.
- Wenn Sie eine benutzerdefinierte Cloud-Kontrolle erstellen möchten, klicken Sie auf Benutzerdefinierte Cloud-Kontrolle erstellen. Eine Anleitung finden Sie unter Benutzerdefinierte Cloud-Kontrolle erstellen.
- Wenn Sie eine Cloud-Kontrolle entfernen möchten, wählen Sie sie aus und klicken Sie auf Entfernen.
Klicken Sie auf Weiter.
Fügen Sie alle zusätzlichen Parameter hinzu, die für die Cloud-Kontrollen erforderlich sind.
Klicken Sie auf Speichern.

Ressourcen aus einem bereitgestellten Framework entfernen

Sie können die Organisation, Ordner oder Projekte entfernen, die Sie einem bereitgestellten Framework zugewiesen haben. Wenn Sie Ressourcen entfernen, werden für diesen Knoten Ihrer Ressourcenhierarchie keine Ergebnisse mehr generiert.

Wenn Sie Ressourcen entfernen, ändert sich der Status der meisten zugehörigen Ergebnisse nach sieben Tagen in Inactive. Wenn Ihr Framework die Cloud-Kontrolle „Datenlöschung“ enthält, ändert sich der Status der Ergebnisse nach 90 Tagen in Inactive. Die Status für Ergebnisse, die sich auf die Cloud-Kontrolle für die Datenfluss-Governance und die Cloud-Kontrolle für die Datenzugriffs-Governance beziehen, werden nicht automatisch geändert.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation oder das Projekt aus.
Klicken Sie auf dem Tab Konfigurieren auf das Framework, dessen Zuweisung Sie für Ressourcen aufheben möchten.
Klicken Sie auf der Seite Framework-Details auf Aktionen > Ressourcenzuweisungen verwalten.
Suchen Sie in der Tabelle Zugewiesene Ressourcen die Ressource, die Sie entfernen möchten, und klicken Sie auf Löschen.
Lesen Sie die Bestätigungsmeldung und klicken Sie auf Zuweisung aufheben.
Optional: Ändern Sie den Status der zugehörigen Ergebnisse in Inactive. Eine Anleitung finden Sie unter Status eines Ergebnisses ändern.

Framework auf eine neuere Version aktualisieren

Google veröffentlicht regelmäßig Updates für die integrierten Frameworks, wenn neue Funktionen bereitgestellt werden oder neue Best Practices entstehen.

Sie können die Releases der integrierten Frameworks im Framework-Dashboard auf dem Tab Konfigurieren oder auf der Framework-Detailseite ansehen.

Google benachrichtigt Sie in der Console und in den Versionshinweisen, wenn die folgenden Updates erfolgen:

Integrierte Cloud-Kontrollen werden einem Framework hinzugefügt oder daraus entfernt.
Integrierte Cloud-Kontrollen werden aktualisiert.

So aktualisieren Sie ein Framework:

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation oder das Projekt aus.
Klicken Sie auf dem Tab Konfigurieren auf das Framework, das Sie aktualisieren möchten.
Prüfen Sie auf der Seite Framework-Details in der Tabelle Zugewiesene Ressourcen den Aktualisierungsstatus für alle Zuweisungen, die als Update verfügbar gekennzeichnet sind.
So übernehmen Sie die Änderungen:
1. Entfernen Sie die Ressourcenzuweisung.
  
  Hinweis: Wenn Sie eine Ressourcenzuweisung entfernen, wird diese Ressource nicht mehr mit diesem Framework von Compliance Manager bewertet. Es werden keine Ergebnisse mehr erstellt.
2. Stellen Sie das Framework noch einmal bereit für Ihre Ressource, damit Compliance Manager die Ressource wieder bewerten und Ergebnisse erstellen kann.

Benutzerdefiniertes Framework löschen

Löschen Sie ein Framework, wenn es nicht mehr benötigt wird. Sie können nur Frameworks löschen, die Sie selbst erstellt haben. Integrierte Frameworks können nicht gelöscht werden.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation oder das Projekt aus.
Klicken Sie auf dem Tab Konfigurieren auf das Framework, dessen Zuweisung Sie für Ressourcen aufheben möchten.
Prüfen Sie auf der Seite Framework-Details, ob das Framework einer Ressource zugewiesen ist. Entfernen Sie gegebenenfalls die Zuweisungen.
Klicken Sie auf Aktionen > Löschen.
Lesen Sie die Meldung im Fenster Löschen. Geben Sie Delete ein und klicken Sie Sie bestätigen.

Nächste Schritte

Ihre Frameworks auf Compliance prüfen.
Umgebung mit Compliance Manager prüfen.
Ergebnisse in der Consoleprüfen und verwalten.