Frameworks verwalten

Compliance Manager-Frameworks bestehen aus Cloud-Kontrollen, mit denen Sie die Sicherheits- oder behördlichen Anforderungen Ihrer Organisation in Ihren Cloud-Umgebungen erfüllen können. Die Anwendung eines Frameworks erfolgt in zwei Schritten. Zuerst müssen Sie die Cloud-Kontrollen ermitteln, die mit den Sicherheits- und Compliance-Anforderungen Ihres Unternehmens übereinstimmen. Anschließend stellen Sie ein Framework mit diesen Cloud-Steuerelementen in der entsprechenden Organisation, dem entsprechenden Ordner oder dem entsprechenden Projekt inGoogle Cloudbereit. Auf dieser Seite erfahren Sie, wie Sie die folgenden Schritte ausführen:

1. Bewerten Sie, welches integrierte Framework am besten Ihren Anforderungen in Bezug auf Vorschriften und Sicherheit entspricht. Sie können ein eigenes benutzerdefiniertes Framework erstellen. Wir empfehlen jedoch, mit einem integrierten Framework zu beginnen.

2. Ermitteln Sie, welche integrierten Cloud-Einstellungen Ihren Geschäftsanforderungen entsprechen. Bei Bedarf können Sie benutzerdefinierte Cloud-Kontrollen erstellen.

3. Legen Sie fest, ob Sie das Framework in Ihrer Google Cloud-Organisation oder in bestimmten Ordnern und Projekten bereitstellen möchten. Sie können nur ein Framework für jede Organisation, jeden Ordner oder jedes Projekt bereitstellen. Compliance Manager unterstützt app-fähige Ordner.

4. Kopieren Sie ein vorhandenes Framework und passen Sie es an Ihre Anforderungen an. Bei Bedarf können Sie ein benutzerdefiniertes Framework erstellen.

5. Stellen Sie das Framework in der entsprechenden Organisation, dem entsprechenden Ordner oder dem entsprechenden Projekt bereit.

Hinweise

• Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Anwenden von Frameworks benötigen:

  • Compliance Manager-Administrator (roles/cloudsecuritycompliance.admin)
  • So rufen Sie Übersichts-Dashboards für Ergebnisse auf: Compliance Manager Viewer (roles/cloudsecuritycompliance.viewer)
  • Um Frameworks bereitzustellen, die Cloud-Kontrollen auf Grundlage von Organisationsrichtlinien enthalten, muss eine der folgenden Bedingungen erfüllt sein:
    • Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin)
    • Assured Workloads-Administrator (roles/assuredworkloads.admin)
    • Assured Workloads-Bearbeiter (roles/assuredworkloads.editor)
  • So erstellen Sie einen Ordner beim Bereitstellen eines Frameworks:
    • Ordneradministrator (roles/resourcemanager.folderAdmin)
    • Ordnerersteller (roles/resourcemanager.folderCreator)
  • Wenn Sie beim Bereitstellen eines Frameworks ein Projekt erstellen möchten, müssen alle folgenden Bedingungen erfüllt sein:
    • Administrator für die Projektabrechnung (roles/billing.projectManager)
    • Projektersteller (roles/resourcemanager.projectCreator)
    • Projektlöscher (roles/resourcemanager.projectDeleter)
  • Wenn Sie einer Anwendung in einem App-fähigen Ordner Frameworks für die Verwaltung des Datensicherheitsstatus (Data Security Posture Management, DSPM) zuweisen möchten, müssen alle folgenden Voraussetzungen erfüllt sein: App Hub Viewer (roles/apphub.viewer)

  Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

  Die Rollen für die Bereitstellung von Frameworks mit Organisationsrichtlinien enthalten die erforderlichen Berechtigungen orgpolicy.policies.create, orgpolicy.policies.update und orgpolicy.policies.get.

  Die Rollen zum Erstellen von Frameworks enthalten die erforderlichen Berechtigungen resourcemanager.folders.get, resourcemanager.folders.create und resourcemanager.folders.delete.

  Die Rollen zum Erstellen von Projekten enthalten die erforderlichen Berechtigungen resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete und resourcemanager.projects.createBillingAssignment.

  Die Rollen zum Zuweisen von DSPM-Frameworks zu Anwendungen enthalten die erforderlichen Berechtigungen apphub.locations.list, apphub.applications.list und apphub.applications.get.

  Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Frameworks ansehen

Führen Sie die folgenden Schritte aus, um die Konfiguration für integrierte Frameworks oder andere Frameworks, die Sie bereits erstellt haben, aufzurufen.

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf den Tab Konfigurieren, um alle verfügbaren Frameworks aufzurufen.

   Im Dashboard werden die verfügbaren Frameworks, eine kurze Beschreibung, die unterstützten Plattformen und die Ressourcen angezeigt, auf die das Framework angewendet wurde.

4. Wenn Sie Details zu einem bestimmten Framework aufrufen möchten, klicken Sie auf den Namen des Frameworks.

Framework erstellen

Nachdem Sie ermittelt haben, welche Cloud-Kontrollen für Ressourcen in Ihrer Organisation oder einem bestimmten Ordner oder Projekt gelten, können Sie ein Framework erstellen. Sie können ein benutzerdefiniertes Framework erstellen oder ein vorhandenes Framework kopieren und ändern. Wenn Sie ein Framework kopieren, enthält es die neuesten Versionen aller integrierten Cloud-Steuerelemente.

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf dem Tab Konfigurieren auf Benutzerdefiniertes Framework erstellen.

4. Führen Sie einen dieser Schritte aus:

   • So verwenden Sie ein vorhandenes Framework:

     1. Wählen Sie Mit einem vorhandenen Framework beginnen aus.

     2. Wählen Sie das Framework aus, das Sie kopieren möchten.

     3. Klicken Sie auf Hinzufügen.

   • Wenn Sie ein benutzerdefiniertes Framework erstellen möchten, wählen Sie Neu beginnen aus.

5. Geben Sie einen Namen, eine eindeutige Kennung und eine Beschreibung für Ihr Framework ein. Klicken Sie auf Weiter.

   Wenn Sie ein vorhandenes Framework kopieren, wird die Liste der Cloud-Kontrollen angezeigt, die Teil des vorhandenen Frameworks waren.

6. So fügen Sie die gewünschten Cloud-Kontrollen hinzu:

   • Wenn Sie eine vorhandene Cloud-Steuerung hinzufügen möchten, klicken Sie auf Cloud-Steuerungen hinzufügen. Wählen Sie alle erforderlichen Cloud-Kontrollen aus und klicken Sie auf Hinzufügen.

     Wenn Sie ein Steuerelement hinzufügen, prüfen Sie den Steuerelementtyp (aufdeckend, präventiv oder Audit). Nehmen Sie keine reinen Prüfkontrollen in ein Framework auf, mit dem Sie Ihre Umgebung überwachen und Verstöße erkennen möchten. Sie können keine Frameworks bereitstellen, die reine Prüfkontrollen enthalten.

   • Wenn Sie eine benutzerdefinierte Cloud-Kontrolle erstellen möchten, klicken Sie auf Benutzerdefinierte Cloud-Kontrolle erstellen. Eine Anleitung hierzu finden Sie unter Benutzerdefinierte Cloud-Steuerung erstellen.

7. Klicken Sie auf Weiter.

8. Fügen Sie alle zusätzlichen Parameter hinzu, die für die Cloud-Kontrollen erforderlich sind.

   Wenn Sie beispielsweise eine Cloud-Kontrolle für die Verwaltung des Datensicherheitsstatus (Data Security Posture Management, DSPM) wie die Cloud-Kontrolle Datenzugriffsverwaltung aktivieren möchten, geben Sie die Standorte an, die von den Identitäten verwendet werden müssen. Weitere Informationen zu den Steuerelementen für das Data Security Posture Management finden Sie unter Cloud-Steuerelement für die Governance des Datenzugriffs.

9. Klicken Sie auf Erstellen.

Framework bereitstellen

Stellen Sie ein Framework in einer Organisation, einem Ordner oder einem Projekt bereit, damit Sie diese Ressourcen mit den Cloud-Steuerelementen des Frameworks steuern und überwachen können. Sie können mehrere Frameworks für jede Organisation, jeden Ordner oder jedes Projekt bereitstellen. Wenn Sie ein Framework bereitstellen, das nur die erweiterten Cloud-Steuerelemente für Datensicherheit enthält, können Sie das Framework für Anwendungen in app-fähigen Ordnern bereitstellen, die mit App Hub verwaltet werden.

Ordner und Projekte übernehmen Frameworks über die Google Cloud Ressourcenhierarchie. Wenn Sie Frameworks also auf Organisations- und Projektebene bereitstellen, gelten alle Cloud-Steuerelemente in beiden Frameworks für die Ressourcen im Projekt. Wenn es Unterschiede bei den Definitionen der Cloud-Steuerung gibt, wird die Cloud-Steuerung auf niedrigerer Ebene von den Ressourcen im Projekt verwendet. Wenn beispielsweise eine Cloud-Steuerungsregel auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt ist, wird die Einstellung „Ablehnen“ auf Projektebene auf die Ressourcen im Projekt angewendet.

Als Best Practice empfehlen wir, ein Framework auf Organisationsebene bereitzustellen, das die Cloud-Kontrollen umfasst, die für Ihr gesamtes Unternehmen gelten können. Anschließend können Sie strengere Frameworks für Ordner und Projekte bereitstellen, für die sie erforderlich sind.

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf dem Tab Konfigurieren für das Framework, das Sie bereitstellen möchten, auf more_vert Weitere Aktionen > Auf Ressourcen anwenden.

4. Wählen Sie eine der folgenden Optionen aus:

   • Wenn Sie nur die Drift überwachen möchten, wählen Sie Monitor aus.

   • Wenn Sie Drift überwachen und Verstöße aktiv verhindern möchten, wählen Sie Überwachen und verhindern aus.

5. Wählen Sie die Ressource aus, für die Sie das Framework bereitstellen möchten. Sie können eine vorhandene Organisation, einen vorhandenen Ordner oder ein vorhandenes Projekt auswählen. Nur für DSPM: Sie können eine Anwendung auswählen, um ein Framework bereitzustellen, das nur erweiterte DSPM-Cloud-Steuerelemente für eine Anwendung enthält. Wenn Sie sich dafür entschieden haben, Verstöße aktiv zu verhindern, können Sie einen neuen Ordner oder ein neues Projekt erstellen und das Framework darin bereitstellen.

6. Führen Sie einen dieser Schritte aus:

   • Wenn Sie Monitor ausgewählt haben, gehen Sie so vor:

     1. Überprüfen Sie die Informationen.
     2. Wenn Sie einen für Apps aktivierten Ordner ausgewählt haben und Ihr Framework nur erweiterte DSPM-Cloud-Steuerelemente enthält, wählen Sie die Anwendung aus, die Sie überwachen möchten.
     3. Klicken Sie auf Monitor.

   • Wenn Sie Überwachen und verhindern ausgewählt haben, gehen Sie so vor:

     1. Klicken Sie auf Weiter. Cloud-Steuerung und ‑Modi ansehen
     2. Klicken Sie auf Weiter.
     3. Prüfen Sie, falls angezeigt, die zusätzlichen Informationen, die für einige Cloud-Steuerelemente erforderlich sind.
     4. Klicken Sie auf Weiter.
     5. Prüfen Sie Ihre Auswahl und klicken Sie dann auf Erzwingen.

Nachdem Sie das Framework bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von den von Ihnen definierten Cloud-Steuerelementen überwachen. Security Command Center meldet Abweichungen als Ergebnisse, die Sie prüfen, filtern und beheben können. Nach der Bereitstellung eines Frameworks kann es etwa sechs Stunden dauern, bis Ergebnisse zu Cloud-Steuerelementen angezeigt werden.

Benutzerdefiniertes Framework bearbeiten

Nachdem Sie ein Framework erstellt haben, können Sie seinen Namen und seine Beschreibung ändern, Cloud-Steuerelemente hinzufügen oder entfernen und alle Parameter aktualisieren. Sie können nur Frameworks bearbeiten, die Sie selbst erstellt haben. Integrierte Frameworks können nicht bearbeitet werden.

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf dem Tab Konfigurieren auf das Framework, das Sie bearbeiten möchten.

4. Prüfen Sie auf der Seite Framework details (Framework-Details), ob das Framework einer Ressource zugewiesen ist. Entfernen Sie bei Bedarf die Zuweisungen.

5. Klicken Sie auf Aktionen > Bearbeiten.

6. Ändern Sie auf der Seite Framework-Details aktualisieren den Namen und die Beschreibung nach Bedarf. Klicken Sie auf Weiter.

7. So ändern Sie die Cloud-Steuerelemente, die im Framework enthalten sind:

   • Wenn Sie eine vorhandene Cloud-Steuerung hinzufügen möchten, klicken Sie auf Cloud-Steuerungen hinzufügen. Wählen Sie alle erforderlichen Cloud-Kontrollen aus und klicken Sie auf Hinzufügen.

   • Wenn Sie eine benutzerdefinierte Cloud-Kontrolle erstellen möchten, klicken Sie auf Benutzerdefinierte Cloud-Kontrolle erstellen. Eine Anleitung dazu findest du unter Benutzerdefinierte Cloud-Kontrolle erstellen.

   • Wenn Sie ein Cloud-Steuerelement entfernen möchten, wählen Sie es aus und klicken Sie auf Entfernen.

8. Klicken Sie auf Weiter.

9. Fügen Sie alle zusätzlichen Parameter hinzu, die für die Cloud-Kontrollen erforderlich sind.

10. Klicken Sie auf Speichern.

Ressourcen aus einem bereitgestellten Framework entfernen

Sie können die Organisation, Ordner oder Projekte entfernen, die Sie einem bereitgestellten Framework zugewiesen haben. Wenn Sie Ressourcen entfernen, werden vom Framework keine Ergebnisse mehr für diesen Knoten Ihrer Ressourcenhierarchie generiert.

Wenn Sie Ressourcen entfernen, ändert sich der Status der zugehörigen Ergebnisse nach sieben Tagen in Inactive.

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf dem Tab Konfigurieren auf das Framework, dessen Ressourcen Sie entfernen möchten.

4. Klicken Sie auf der Seite Framework-Details auf Aktionen > Ressourcen zuweisen.

5. Suchen Sie in der Tabelle Zugewiesene Ressourcen die Ressource, die Sie entfernen möchten, und klicken Sie auf delete Löschen.

6. Lesen Sie die Bestätigungsmeldung und klicken Sie auf Zuweisung aufheben.

Framework auf einen neueren Release aktualisieren

Google veröffentlicht regelmäßig Updates für die integrierten Frameworks, wenn neue Funktionen in Diensten bereitgestellt werden oder neue Best Practices entstehen.

Sie können die Releases von integrierten Frameworks im Framework-Dashboard auf dem Tab Konfigurieren oder auf der Seite mit den Framework-Details aufrufen.

Google benachrichtigt Sie in der Konsole und in den Versionshinweisen, wenn die folgenden Updates erfolgen:

• Integrierte Cloud-Kontrollen werden einem Framework hinzugefügt oder daraus entfernt.
• Integrierte Cloud-Kontrollen werden aktualisiert.

So aktualisieren Sie ein Framework:

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf dem Tab Konfigurieren auf das Framework, das Sie aktualisieren möchten.

4. Sehen Sie sich auf der Seite Framework-Details in der Tabelle Zugewiesene Ressourcen den Aktualisierungsstatus für alle Zuweisungen an, die als Update verfügbar gekennzeichnet sind.

5. So übernehmen Sie die Änderungen:

   1. Entfernen Sie die Ressourcenzuweisung.

   2. Stellen Sie das Framework noch einmal für Ihre Ressource bereit, damit Compliance Manager die Ressource wieder bewerten und Ergebnisse erstellen kann.

Benutzerdefiniertes Framework löschen

Löschen Sie ein Framework, wenn es nicht mehr benötigt wird. Sie können nur Frameworks löschen, die Sie selbst erstellt haben. Integrierte Frameworks lassen sich nicht löschen.

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf dem Tab Konfigurieren auf das Framework, dessen Ressourcen Sie entfernen möchten.

4. Prüfen Sie auf der Seite Framework details (Framework-Details), ob das Framework einer Ressource zugewiesen ist. Entfernen Sie bei Bedarf die Zuweisungen.

5. Klicken Sie auf Aktionen > Löschen.

6. Sehen Sie sich im Fenster Löschen die Meldung an. Geben Sie Delete ein und klicken Sie auf Bestätigen.

Nächste Schritte

• Frameworks auf Compliance überwachen (Vorschau)
• Umgebung mit Compliance Manager prüfen (Vorschau)
• Ergebnisse in der Console prüfen und verwalten