Les frameworks Compliance Manager sont constitués de contrôles cloud qui vous aident à répondre aux exigences de sécurité et réglementaires d'une organisation ou d'un projet dans vos environnements cloud. L'application d'un framework se fait en deux étapes. Vous devez d'abord identifier les contrôles cloud qui correspondent aux obligations de sécurité et de conformité de votre entreprise. Ensuite, vous déployez un framework qui inclut ces contrôles cloud dans l'organisation, le dossier ou le projet approprié dans Google Cloud. Cette page vous aide à effectuer les étapes suivantes :
Évaluez le framework intégré qui correspond le mieux à vos exigences réglementaires et de sécurité. Vous pouvez créer votre propre framework personnalisé, mais nous vous recommandons de commencer par un framework intégré.
Déterminez les contrôles cloud intégrés qui correspondent aux exigences de votre entreprise.
(Niveaux Premium et Enterprise uniquement) Si nécessaire, vous pouvez créer des contrôles cloud personnalisés.Déterminez si vous souhaitez déployer le framework dans votre Google Cloud organisation ou dans des dossiers et projets spécifiques. Vous ne pouvez déployer qu'un seul framework dans chaque organisation, dossier ou projet. Compliance Manager est compatible avec les dossiers configurés pour la gestion des applications.
Copiez un framework existant et modifiez-le pour qu'il corresponde à vos exigences. Si nécessaire, vous pouvez créer un framework personnalisé.
Déployez le framework dans l'organisation, le dossier ou le projet approprié.
Avant de commencer
-
Pour obtenir les autorisations nécessaires pour appliquer des frameworks, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation ou votre projet :
- Administrateur de Compliance Manager (
roles/cloudsecuritycompliance.admin) -
Pour afficher les tableaux de bord des résultats :
lecteur de Compliance Manager (
roles/cloudsecuritycompliance.viewer) -
Pour déployer des frameworks qui incluent des contrôles cloud basés sur des règles d'administration, l'un des rôles suivants :
- Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin) - Administrateur Assured Workloads (
roles/assuredworkloads.admin) - Éditeur Assured Workloads (
roles/assuredworkloads.editor)
- Administrateur des règles d'administration (
-
(Au niveau de l'organisation uniquement) Pour créer un dossier lors du déploiement d'un framework, l'un des rôles suivants :
- Administrateur de dossier (
roles/resourcemanager.folderAdmin) - Créateur de dossier (
roles/resourcemanager.folderCreator)
- Administrateur de dossier (
-
(Au niveau de l'organisation uniquement) Pour créer un projet lors du déploiement d'un framework, tous les rôles suivants :
- Gestionnaire de la facturation du projet (
roles/billing.projectManager) - Créateur de projet (
roles/resourcemanager.projectCreator) - Suppresseur de projets (
roles/resourcemanager.projectDeleter)
- Gestionnaire de la facturation du projet (
-
Pour attribuer des frameworks de gestion de la stratégie de sécurité des données (DSPM) à une application App Hub, tous les rôles suivants :
lecteur App Hub (
roles/apphub.viewer)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Les rôles permettant de déployer des frameworks avec des règles d'administration contiennent les autorisationsorgpolicy.policies.create,orgpolicy.policies.updateetorgpolicy.policies.getrequises.Pour les déploiements au niveau de l'organisation, les rôles permettant de créer des dossiers contiennent les autorisations requises
resourcemanager.folders.get,resourcemanager.folders.createetresourcemanager.folders.delete.Pour les déploiements au niveau de l'organisation, les rôles permettant de créer des projets contiennent les autorisations requises
resourcemanager.projects.get,resourcemanager.projects.create,resourcemanager.projects.deleteetresourcemanager.projects.createBillingAssignment.Les rôles permettant d'attribuer des frameworks DSPM à des applications contiennent les autorisations
apphub.locations.list,apphub.applications.listetapphub.applications.getrequises.Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
- Administrateur de Compliance Manager (
Afficher les frameworks
Pour afficher la configuration des frameworks intégrés ou d'autres frameworks que vous avez déjà créés, procédez comme suit :
Dans la Google Cloud console, accédez à la page Conformité.
Sélectionnez votre organisation ou votre projet.
Pour afficher tous les frameworks disponibles, cliquez sur l'onglet Configurer.
Le tableau de bord affiche les frameworks disponibles, une brève description, les plates-formes et niveaux compatibles, ainsi que les ressources auxquelles le framework a été appliqué.
Pour afficher des informations sur un framework spécifique, cliquez sur son nom.
Créer un framework
Une fois que vous avez déterminé les contrôles cloud qui s'appliquent aux ressources de votre organisation ou à un dossier ou projet spécifique, vous pouvez créer un framework. Vous pouvez créer un framework personnalisé ou copier un framework existant et le modifier. Lorsque vous copiez un framework, il inclut les dernières versions des contrôles cloud intégrés.
Dans la Google Cloud console, accédez à la page Conformité.
Sélectionnez votre organisation ou votre projet.
Dans l'onglet Configurer, cliquez sur Créer un framework personnalisé.
Effectuez l'une des actions suivantes :
Pour utiliser un framework existant, procédez comme suit :
Sélectionnez Partir d'un framework existant.
Sélectionnez le framework que vous souhaitez copier.
Cliquez sur Ajouter.
Pour créer un framework personnalisé, sélectionnez Commencer.
Saisissez un nom, un identifiant unique et une description pour votre framework. Cliquez sur Continuer.
Si vous copiez un framework existant, la liste des contrôles cloud qui en font partie s'affiche.
Pour ajouter les contrôles cloud dont vous avez besoin, procédez comme suit :
Pour ajouter un contrôle cloud existant, cliquez sur Ajouter des contrôles cloud. Sélectionnez tous les contrôles cloud dont vous avez besoin, puis cliquez sur Ajouter.
Lorsque vous ajoutez un contrôle, vérifiez son type (détecteur, préventif ou d'audit). Notez que les contrôles préventifs et d'audit ne sont disponibles qu'aux niveaux Premium et Enterprise. N'incluez pas de contrôles d'audit uniquement dans un framework que vous souhaitez utiliser pour surveiller votre environnement et détecter les violations. Vous ne pouvez pas déployer de frameworks qui incluent des contrôles d'audit uniquement.
(Niveaux Premium et Enterprise uniquement) Pour créer un contrôle cloud personnalisé, cliquez sur Créer un contrôle cloud personnalisé. Pour obtenir des instructions, consultez Créer un contrôle cloud personnalisé.
Cliquez sur Continuer.
Ajoutez tous les paramètres supplémentaires requis par les contrôles cloud.
Par exemple, si vous souhaitez activer un contrôle cloud de Data Security Posture Management (DSPM), tel que le contrôle cloud Gouvernance des accès aux données , spécifiez les emplacements que les comptes principaux doivent utiliser. Pour en savoir plus sur les contrôles Data Security Posture Management, consultez Contrôle cloud de la gouvernance des accès aux données control.
Cliquez sur Créer.
Déployer un framework
Déployez un framework dans une organisation, un dossier ou un projet afin de pouvoir contrôler et surveiller ces ressources à l'aide des contrôles cloud du framework. Vous pouvez déployer plusieurs frameworks dans chaque organisation, dossier ou projet. Si vous déployez un framework qui n'inclut que les contrôles cloud de sécurité avancée des données, vous pouvez le déployer dans des applications App Hub dans des dossiers configurés pour la gestion des applications.
Les dossiers et les projets héritent des frameworks via la Google Cloud hiérarchie des ressources. Par conséquent, si vous déployez des frameworks au niveau de l'organisation et au niveau d'un projet, tous les contrôles cloud des deux frameworks s'appliquent aux ressources du projet. En cas de différences dans les définitions des contrôles cloud, le contrôle cloud de niveau inférieur est utilisé par les ressources du projet. Par exemple, si une règle de contrôle cloud est définie sur "Autoriser" au niveau de l'organisation et sur "Refuser" au niveau du projet, le paramètre "Refuser" au niveau du projet est appliqué aux ressources du projet.
Nous vous recommandons de déployer un framework au niveau de l'organisation qui inclut les contrôles cloud pouvant s'appliquer à l'ensemble de votre entreprise. Vous pouvez ensuite déployer des frameworks plus stricts dans les dossiers et projets qui en ont besoin.
Dans la Google Cloud console, accédez à la page Conformité.
Sélectionnez votre organisation ou votre projet.
Dans l'onglet Configurer, pour le framework que vous souhaitez déployer, cliquez sur Plus d'actions > Appliquer aux ressources.
Choisissez l'une des options suivantes :
Pour surveiller uniquement la dérive, sélectionnez Surveiller.
Pour surveiller la dérive et empêcher activement les violations, sélectionnez Surveiller et empêcher.
Sélectionnez la ressource dans laquelle vous souhaitez déployer le framework. Vous pouvez choisir une organisation, un dossier ou un projet existant. Pour la gestion de la stratégie de sécurité des données uniquement, vous pouvez sélectionner une application pour déployer un framework qui n'inclut que les contrôles cloud avancés de gestion de la stratégie de sécurité des données dans une application. Si vous avez choisi d'empêcher activement les violations, vous pouvez créer un dossier ou un projet et y déployer le framework.
Effectuez l'une des actions suivantes :
Si vous avez sélectionné Surveiller, procédez comme suit :
- Vérifiez les informations.
- Si vous avez sélectionné un dossier configuré pour la gestion des applications et que votre framework n'inclut que des contrôles cloud avancés de gestion de la stratégie de sécurité des données, sélectionnez l'application que vous souhaitez surveiller.
- Cliquez sur Surveiller.
Si vous avez sélectionné Surveiller et empêcher, procédez comme suit :
- Cliquez sur Suivant. Examinez les contrôles cloud et les modes.
- Cliquez sur Continuer.
- Si elles s'affichent, vérifiez les informations supplémentaires requises pour certains contrôles cloud.
- Cliquez sur Suivant.
- Vérifiez vos sélections, puis cliquez sur Appliquer.
Une fois le framework déployé, vous pouvez surveiller votre environnement pour détecter toute dérive par rapport aux contrôles cloud que vous avez définis. Security Command Center signale les instances de dérive en tant que résultats que vous pouvez examiner, filtrer et résoudre. L'affichage des résultats liés aux contrôles cloud peut prendre environ six heures après le déploiement d'un framework.
Modifier un framework personnalisé
Une fois que vous avez créé un framework, vous pouvez modifier son nom et sa description, ajouter ou supprimer des contrôles cloud, et mettre à jour tous les paramètres. Vous ne pouvez modifier que les frameworks que vous créez. Vous ne pouvez pas modifier les frameworks intégrés.
Dans la Google Cloud console, accédez à la page Conformité.
Sélectionnez votre organisation ou votre projet.
Dans l'onglet Configurer, cliquez sur le framework que vous souhaitez modifier.
Sur la page Détails du framework, vérifiez que le framework n'est pas attribué à une ressource. Si nécessaire, supprimez les attributions.
Cliquez sur Actions > Modifier.
Sur la page Mettre à jour les détails du framework, modifiez le nom et la description si nécessaire. Cliquez sur Continuer.
Pour modifier les contrôles cloud inclus dans le framework, procédez comme suit :
Pour ajouter un contrôle cloud existant, cliquez sur Ajouter des contrôles cloud. Sélectionnez tous les contrôles cloud dont vous avez besoin, puis cliquez sur Ajouter.
Pour créer un contrôle cloud personnalisé, cliquez sur Créer un contrôle cloud personnalisé. Pour obtenir des instructions, consultez Créer un contrôle cloud personnalisé.
Pour supprimer un contrôle cloud, sélectionnez-le, puis cliquez sur Supprimer.
Cliquez sur Continuer.
Ajoutez tous les paramètres supplémentaires requis par les contrôles cloud.
Cliquez sur Enregistrer.
Supprimer des ressources d'un framework déployé
Vous pouvez supprimer l'organisation, les dossiers ou les projets que vous avez attribués à un framework déployé. La suppression de ressources signifie que le framework ne génère plus de résultats pour ce nœud de votre hiérarchie de ressources.
Lorsque vous supprimez des ressources, l'état de la plupart des résultats associés passe à Inactive au bout de sept jours. Si votre framework inclut le contrôle cloud de suppression des données, les résultats passent à Inactive au bout de 90 jours. Les états des résultats liés au contrôle cloud de gouvernance des flux de données et au contrôle cloud de gouvernance des accès aux données ne sont pas modifiés automatiquement.
Dans la Google Cloud console, accédez à la page Conformité.
Sélectionnez votre organisation ou votre projet.
Dans l'onglet Configurer, cliquez sur le framework dont vous souhaitez dissocier des ressources.
Sur la page Détails du framework, cliquez sur Actions > Gérer les attributions de ressources.
Dans le tableau Ressources attribuées, recherchez la ressource que vous souhaitez supprimer, puis cliquez sur Supprimer.
Lisez le message de confirmation, puis cliquez sur Dissocier.
Facultatif : définissez l'état des résultats associés sur
Inactive. Pour obtenir des instructions, consultez Modifier l'état d'un résultat.
Mettre à jour un framework vers une version plus récente
Google publie régulièrement des mises à jour de ses frameworks intégrés lorsque les services déploient de nouvelles fonctionnalités ou lorsque de nouvelles bonnes pratiques émergent.
Vous pouvez afficher les versions des frameworks intégrés dans le tableau de bord des frameworks de l'onglet Configurer ou sur la page d'informations du framework.
Google vous informe dans la console et les notes de version lorsque les mises à jour suivantes se produisent :
- Des contrôles cloud intégrés sont ajoutés ou supprimés d'un framework.
- Des contrôles cloud intégrés sont mis à jour.
Pour mettre à jour un framework, procédez comme suit :
Dans la Google Cloud console, accédez à la page Conformité.
Sélectionnez votre organisation ou votre projet.
Dans l'onglet Configurer, cliquez sur le framework que vous souhaitez mettre à jour.
Sur la page Détails du framework, dans le tableau Ressources attribuées , examinez l'état de la mise à jour pour toutes les attributions identifiées comme Mise à jour disponible.
Pour appliquer les modifications, procédez comme suit :
Redéployez le framework dans votre ressource afin que Compliance Manager puisse reprendre l'évaluation de la ressource et la création de résultats.
Supprimer un framework personnalisé
Supprimez un framework lorsqu'il n'est plus nécessaire. Vous ne pouvez supprimer que les frameworks que vous créez. Vous ne pouvez pas supprimer les frameworks intégrés.
Dans la Google Cloud console, accédez à la page Conformité.
Sélectionnez votre organisation ou votre projet.
Dans l'onglet Configurer, cliquez sur le framework dont vous souhaitez dissocier des ressources.
Sur la page Détails du framework, vérifiez que le framework n'est pas attribué à une ressource. Si nécessaire, supprimez les attributions.
Cliquez sur Actions > Supprimer.
Dans la fenêtre Supprimer, lisez le message. Saisissez
Delete, puis cliquez sur Confirmer.
Étape suivante
- Surveillez la conformité de vos frameworks.
- Auditez votre environnement avec Compliance Manager.
- Examinez et gérez les résultats dans la console.