Diese Seite wurde von der Cloud Translation API übersetzt.

Frameworks verwalten

Compliance Manager-Frameworks bestehen aus Cloud-Steuerelementen, mit denen Sie die Sicherheits- oder behördlichen Anforderungen Ihrer Organisation in Ihren Cloud-Umgebungen erfüllen können. Die Anwendung eines Frameworks erfolgt in zwei Schritten. Zuerst müssen Sie die Cloud-Kontrollen ermitteln, die mit den Sicherheits- und Compliance-Anforderungen Ihres Unternehmens übereinstimmen. Anschließend stellen Sie ein Framework mit diesen Cloud-Steuerelementen in der entsprechenden Organisation, dem entsprechenden Ordner oder dem entsprechenden Projekt inGoogle Cloudbereit. Auf dieser Seite erfahren Sie, wie Sie die folgenden Schritte ausführen:

Bewerten Sie, welches integrierte Framework am besten Ihren behördlichen und Sicherheitsanforderungen entspricht. Sie können Ihr eigenes benutzerdefiniertes Framework erstellen, wir empfehlen jedoch, mit einem integrierten Framework zu beginnen.
Ermitteln Sie, welche integrierten Cloud-Kontrollen Ihren Geschäftsanforderungen entsprechen. Bei Bedarf können Sie benutzerdefinierte Cloud-Kontrollen erstellen.
Legen Sie fest, ob Sie das Framework in Ihrer Google Cloud-Organisation oder in bestimmten Ordnern und Projekten bereitstellen möchten. Sie können nur ein Framework für jede Organisation, jeden Ordner oder jedes Projekt bereitstellen. Compliance Manager unterstützt für die Anwendungsverwaltung konfigurierte Ordner.
Kopieren Sie ein vorhandenes Framework und passen Sie es an Ihre Anforderungen an. Bei Bedarf können Sie ein benutzerdefiniertes Framework erstellen.
Stellen Sie das Framework in der entsprechenden Organisation, dem entsprechenden Ordner oder dem entsprechenden Projekt bereit.

Hinweise

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, damit Sie die nötigen Berechtigungen zum Anwenden von Frameworks haben:
- Compliance Manager-Administrator (roles/cloudsecuritycompliance.admin)
- So rufen Sie Übersichts-Dashboards für Ergebnisse auf: Compliance Manager Viewer (roles/cloudsecuritycompliance.viewer)
- Um Frameworks bereitzustellen, die Cloud-Kontrollen auf Grundlage von Organisationsrichtlinien enthalten, muss eine der folgenden Bedingungen erfüllt sein:
  - Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin)
  - Assured Workloads-Administrator (roles/assuredworkloads.admin)
  - Assured Workloads-Bearbeiter (roles/assuredworkloads.editor)
- So erstellen Sie einen Ordner beim Bereitstellen eines Frameworks:
  - Ordneradministrator (roles/resourcemanager.folderAdmin)
  - Ordnerersteller (roles/resourcemanager.folderCreator)
- Wenn Sie beim Bereitstellen eines Frameworks ein Projekt erstellen möchten, müssen alle folgenden Bedingungen erfüllt sein:
  - Administrator für die Projektabrechnung (roles/billing.projectManager)
  - Projektersteller (roles/resourcemanager.projectCreator)
  - Projektlöscher (roles/resourcemanager.projectDeleter)
- Wenn Sie einem App Hub-Antrag DSPM-Frameworks (Data Security Posture Management) zuweisen möchten, müssen alle folgenden Voraussetzungen erfüllt sein: App Hub-Betrachter (roles/apphub.viewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Die Rollen zum Bereitstellen von Frameworks mit Organisationsrichtlinien enthalten die erforderlichen Berechtigungen orgpolicy.policies.create, orgpolicy.policies.update und orgpolicy.policies.get.

Die Rollen zum Erstellen von Ordnern enthalten die erforderlichen Berechtigungen resourcemanager.folders.get, resourcemanager.folders.create und resourcemanager.folders.delete.

Die Rollen zum Erstellen von Projekten enthalten die erforderlichen Berechtigungen resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete und resourcemanager.projects.createBillingAssignment.

Die Rollen zum Zuweisen von DSPM-Frameworks zu Anwendungen enthalten die erforderlichen Berechtigungen apphub.locations.list, apphub.applications.list und apphub.applications.get.
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Frameworks ansehen

Führen Sie die folgenden Schritte aus, um die Konfiguration für integrierte Frameworks oder andere Frameworks, die Sie bereits erstellt haben, aufzurufen.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation aus.
Klicken Sie auf den Tab Konfigurieren, um alle verfügbaren Frameworks aufzurufen.

Im Dashboard werden die verfügbaren Frameworks, eine kurze Beschreibung, die unterstützten Plattformen und die Ressourcen angezeigt, auf die das Framework angewendet wurde.
Wenn Sie Details zu einem bestimmten Framework aufrufen möchten, klicken Sie auf den Namen des Frameworks.

Framework erstellen

Nachdem Sie ermittelt haben, welche Cloud-Kontrollen für Ressourcen in Ihrer Organisation oder einem bestimmten Ordner oder Projekt gelten, können Sie ein Framework erstellen. Sie können ein benutzerdefiniertes Framework erstellen oder ein vorhandenes Framework kopieren und ändern. Wenn Sie ein Framework kopieren, enthält es die neuesten Versionen aller integrierten Cloud-Steuerelemente.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation aus.
Klicken Sie auf dem Tab Konfigurieren auf Benutzerdefiniertes Framework erstellen.
Führen Sie einen dieser Schritte aus:
- So verwenden Sie ein vorhandenes Framework:
  1. Wählen Sie Mit einem vorhandenen Framework beginnen aus.
  2. Wählen Sie das Framework aus, das Sie kopieren möchten.
  3. Klicken Sie auf Hinzufügen.
- Wenn Sie ein benutzerdefiniertes Framework erstellen möchten, wählen Sie Neu beginnen aus.
Geben Sie einen Namen, eine eindeutige Kennung und eine Beschreibung für Ihr Framework ein. Klicken Sie auf Weiter.

Wenn Sie ein vorhandenes Framework kopieren, wird die Liste der Cloud-Kontrollen angezeigt, die Teil des vorhandenen Frameworks waren.
So fügen Sie die erforderlichen Cloud-Kontrollen hinzu:
- Wenn Sie eine vorhandene Cloud-Steuerung hinzufügen möchten, klicken Sie auf Cloud-Steuerungen hinzufügen. Wählen Sie alle erforderlichen Cloud-Steuerelemente aus und klicken Sie dann auf Hinzufügen.
  
  Wenn Sie ein Steuerelement hinzufügen, prüfen Sie den Steuerelementtyp (erkennend, präventiv oder Audit). Fügen Sie keine reinen Prüfkontrollen in ein Framework ein, das Sie zum Überwachen Ihrer Umgebung und zum Erkennen von Verstößen verwenden möchten. Sie können keine Frameworks bereitstellen, die reine Prüfkontrollen enthalten.
- Wenn Sie eine benutzerdefinierte Cloud-Kontrolle erstellen möchten, klicken Sie auf Benutzerdefinierte Cloud-Kontrolle erstellen. Eine Anleitung hierzu finden Sie unter Benutzerdefinierte Cloud-Steuerung erstellen.
Klicken Sie auf Weiter.
Fügen Sie alle zusätzlichen Parameter hinzu, die für die Cloud-Kontrollen erforderlich sind.

Wenn Sie beispielsweise eine Cloud-Kontrolle für die Verwaltung des Datensicherheitsstatus (Data Security Posture Management, DSPM) wie die Cloud-Kontrolle Datenzugriffsverwaltung aktivieren möchten, geben Sie die Standorte an, die von den Identitäten verwendet werden müssen. Weitere Informationen zu den Steuerelementen für das Data Security Posture Management finden Sie unter Cloud-Kontrolle für die Datenzugriffs-Governance.
Klicken Sie auf Erstellen.

Framework bereitstellen

Stellen Sie ein Framework in einer Organisation, einem Ordner oder einem Projekt bereit, damit Sie diese Ressourcen mit den Cloud-Steuerelementen des Frameworks steuern und überwachen können. Sie können mehrere Frameworks für jede Organisation, jeden Ordner oder jedes Projekt bereitstellen. Wenn Sie ein Framework bereitstellen, das nur die erweiterten Cloud-Steuerelemente für Datensicherheit enthält, können Sie das Framework für App Hub-Anwendungen in Ordnern bereitstellen, die für die Anwendungsverwaltung konfiguriert sind.

Ordner und Projekte übernehmen Frameworks über die Google Cloud Ressourcenhierarchie. Wenn Sie Frameworks also auf Organisations- und Projektebene bereitstellen, gelten alle Cloud-Kontrollen in beiden Frameworks für die Ressourcen im Projekt. Wenn es Unterschiede bei den Definitionen der Cloud-Steuerung gibt, wird die Cloud-Steuerung auf niedrigerer Ebene von den Ressourcen im Projekt verwendet. Wenn beispielsweise eine Cloud-Kontrollregel auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt ist, wird die Einstellung „Ablehnen“ auf Projektebene auf die Ressourcen im Projekt angewendet.

Als Best Practice empfehlen wir, ein Framework auf Organisationsebene bereitzustellen, das die Cloud-Kontrollen umfasst, die für Ihr gesamtes Unternehmen gelten können. Anschließend können Sie strengere Frameworks für Ordner und Projekte bereitstellen, für die sie erforderlich sind.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation aus.
Klicken Sie auf dem Tab Konfigurieren für das Framework, das Sie bereitstellen möchten, auf Weitere Aktionen > Auf Ressourcen anwenden.
Wählen Sie eine der folgenden Optionen aus:
- Wenn Sie nur die Drift überwachen möchten, wählen Sie Monitor aus.
- Wenn Sie Drift überwachen und Verstöße aktiv verhindern möchten, wählen Sie Überwachen und verhindern aus.
Wählen Sie die Ressource aus, für die Sie das Framework bereitstellen möchten. Sie können eine vorhandene Organisation, einen vorhandenen Ordner oder ein vorhandenes Projekt auswählen. Nur für DSPM können Sie eine Anwendung auswählen, um ein Framework bereitzustellen, das nur erweiterte DSPM-Cloud-Kontrollen für eine Anwendung enthält. Wenn Sie sich dafür entschieden haben, Verstöße aktiv zu verhindern, können Sie einen neuen Ordner oder ein neues Projekt erstellen und das Framework darin bereitstellen.
Führen Sie einen dieser Schritte aus:
- Wenn Sie Monitor ausgewählt haben, gehen Sie so vor:
  1. Überprüfen Sie die Informationen.
  2. Wenn Sie einen Ordner ausgewählt haben, der für die Anwendungsverwaltung konfiguriert ist, und Ihr Framework nur erweiterte DSPM-Cloud-Steuerelemente enthält, wählen Sie die Anwendung aus, die Sie überwachen möchten.
  3. Klicken Sie auf Monitor.
- Wenn Sie Überwachen und verhindern ausgewählt haben, gehen Sie so vor:
  1. Klicken Sie auf Weiter. Cloud-Steuerelemente und ‑Modi ansehen
  2. Klicken Sie auf Weiter.
  3. Prüfen Sie die zusätzlichen Informationen, die für einige Cloud-Steuerelemente erforderlich sind, sofern sie angezeigt werden.
  4. Klicken Sie auf Weiter.
  5. Prüfen Sie Ihre Auswahl und klicken Sie dann auf Erzwingen.

Nachdem Sie das Framework bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von den definierten Cloud-Kontrollen überwachen. Security Command Center meldet Abweichungen als Ergebnisse, die Sie prüfen, filtern und beheben können. Nach der Bereitstellung eines Frameworks kann es etwa sechs Stunden dauern, bis Ergebnisse zu Cloud-Steuerelementen angezeigt werden.

Benutzerdefiniertes Framework bearbeiten

Nachdem Sie ein Framework erstellt haben, können Sie seinen Namen und seine Beschreibung ändern, Cloud-Steuerelemente hinzufügen oder entfernen und alle Parameter aktualisieren. Sie können nur Frameworks bearbeiten, die Sie selbst erstellt haben. Integrierte Frameworks können nicht bearbeitet werden.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation aus.
Klicken Sie auf dem Tab Konfigurieren auf das Framework, das Sie bearbeiten möchten.
Prüfen Sie auf der Seite Framework-Details, ob das Framework einer Ressource zugewiesen ist. Entfernen Sie bei Bedarf die Zuweisungen.
Klicken Sie auf Aktionen > Bearbeiten.
Ändern Sie auf der Seite Framework-Details aktualisieren den Namen und die Beschreibung nach Bedarf. Klicken Sie auf Weiter.
So ändern Sie die Cloud-Steuerelemente, die im Framework enthalten sind:
- Wenn Sie eine vorhandene Cloud-Steuerung hinzufügen möchten, klicken Sie auf Cloud-Steuerungen hinzufügen. Wählen Sie alle erforderlichen Cloud-Steuerelemente aus und klicken Sie dann auf Hinzufügen.
- Wenn Sie eine benutzerdefinierte Cloud-Kontrolle erstellen möchten, klicken Sie auf Benutzerdefinierte Cloud-Kontrolle erstellen. Eine Anleitung dazu finden Sie unter Benutzerdefinierte Cloud-Kontrolle erstellen.
- Wenn Sie ein Cloud-Steuerelement entfernen möchten, wählen Sie es aus und klicken Sie auf Entfernen.
Klicken Sie auf Weiter.
Fügen Sie alle zusätzlichen Parameter hinzu, die für die Cloud-Kontrollen erforderlich sind.
Klicken Sie auf Speichern.

Ressourcen aus einem bereitgestellten Framework entfernen

Sie können die Organisation, Ordner oder Projekte entfernen, die Sie einem bereitgestellten Framework zugewiesen haben. Wenn Sie Ressourcen entfernen, werden vom Framework keine Ergebnisse mehr für diesen Knoten Ihrer Ressourcenhierarchie generiert.

Wenn Sie Ressourcen entfernen, ändert sich der Status der meisten zugehörigen Ergebnisse nach sieben Tagen in Inactive. Wenn Ihr Framework die Cloud-Steuerung zum Löschen von Daten enthält, ändert sich der Status der Ergebnisse nach 90 Tagen zu Inactive. Die Status für Ergebnisse, die sich auf die Cloud-Kontrolle für die Datenfluss-Governance und die Cloud-Kontrolle für die Datenzugriffs-Governance beziehen, werden nicht automatisch geändert.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation aus.
Klicken Sie auf dem Tab Konfigurieren auf das Framework, dessen Ressourcen Sie entfernen möchten.
Klicken Sie auf der Seite Framework-Details auf Aktionen > Ressourcen zuweisen.
Suchen Sie in der Tabelle Zugewiesene Ressourcen die Ressource, die Sie entfernen möchten, und klicken Sie auf Löschen.
Lesen Sie die Bestätigungsmeldung und klicken Sie auf Zuweisung aufheben.
Optional: Ändern Sie den Status der zugehörigen Ergebnisse in Inactive. Eine Anleitung finden Sie unter Status eines Findings ändern.

Framework auf einen neueren Release aktualisieren

Google veröffentlicht regelmäßig Updates für die integrierten Frameworks, wenn neue Funktionen in Diensten bereitgestellt werden oder neue Best Practices entstehen.

Sie können die Releases von integrierten Frameworks im Framework-Dashboard auf dem Tab Konfigurieren oder auf der Seite mit den Framework-Details aufrufen.

Google benachrichtigt Sie in der Konsole und in den Versionshinweisen, wenn die folgenden Aktualisierungen erfolgen:

Integrierte Cloud-Kontrollen werden einem Framework hinzugefügt oder daraus entfernt.
Integrierte Cloud-Kontrollen werden aktualisiert.

So aktualisieren Sie ein Framework:

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation aus.
Klicken Sie auf dem Tab Konfigurieren auf das Framework, das Sie aktualisieren möchten.
Sehen Sie sich auf der Seite Framework-Details in der Tabelle Zugewiesene Ressourcen den Aktualisierungsstatus für alle Zuweisungen an, die als Update verfügbar gekennzeichnet sind.
So übernehmen Sie die Änderungen:
1. Ressourcenzuweisung entfernen
  
  Hinweis :Wenn Sie eine Ressourcenzuweisung entfernen, wird die Ressource im Compliance Manager nicht mehr anhand dieses Frameworks bewertet. Es werden keine Ergebnisse mehr erstellt.
2. Stellen Sie das Framework noch einmal für Ihre Ressource bereit, damit Compliance Manager die Ressource wieder auswerten und Ergebnisse erstellen kann.

Benutzerdefiniertes Framework löschen

Löschen Sie ein Framework, wenn es nicht mehr benötigt wird. Sie können nur Frameworks löschen, die Sie selbst erstellt haben. Integrierte Frameworks lassen sich nicht löschen.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Wählen Sie Ihre Organisation aus.
Klicken Sie auf dem Tab Konfigurieren auf das Framework, dessen Ressourcen Sie entfernen möchten.
Prüfen Sie auf der Seite Framework-Details, ob das Framework einer Ressource zugewiesen ist. Entfernen Sie bei Bedarf die Zuweisungen.
Klicken Sie auf Aktionen > Löschen.
Sehen Sie sich im Fenster Löschen die Meldung an. Geben Sie Delete ein und klicken Sie auf Bestätigen.