Gérer les frameworks

Les frameworks du Gestionnaire de conformité se composent de contrôles cloud qui vous aident à répondre aux exigences de sécurité ou réglementaires de votre organisation dans vos environnements cloud. L'application d'un framework s'effectue en deux étapes. Tout d'abord, vous devez identifier les contrôles cloud qui correspondent aux obligations de sécurité et de conformité de votre entreprise. Ensuite, vous déployez un framework qui inclut ces contrôles cloud dans l'organisation, le dossier ou le projet approprié dansGoogle Cloud. Cette page vous aide à effectuer les étapes suivantes :

1. Évaluez le framework intégré qui correspond le mieux à vos exigences réglementaires et de sécurité. Vous pouvez créer votre propre framework personnalisé, mais nous vous recommandons de commencer par un framework intégré.

2. Déterminez les contrôles cloud intégrés qui correspondent à vos besoins commerciaux. Si nécessaire, vous pouvez créer des contrôles cloud personnalisés.

3. Déterminez si vous souhaitez déployer le framework dans votre organisation Google Cloudou dans des dossiers et projets spécifiques. Vous ne pouvez déployer qu'un seul framework par organisation, dossier ou projet. Le Gestionnaire de conformité est compatible avec les dossiers activés pour les applications.

4. Copiez un framework existant et modifiez-le pour qu'il corresponde à vos besoins. Si nécessaire, vous pouvez créer un framework personnalisé.

5. Déployez le framework sur l'organisation, le dossier ou le projet approprié.

Avant de commencer

• Pour obtenir les autorisations nécessaires pour appliquer des frameworks, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :

  • Administrateur Compliance Manager (roles/cloudsecuritycompliance.admin)
  • Pour afficher les tableaux de bord des résultats : Lecteur Compliance Manager (roles/cloudsecuritycompliance.viewer)
  • Pour déployer des frameworks incluant des contrôles cloud basés sur des règles d'administration#39;administration, vous devez disposer de l'un des éléments suivants :
    • Administrateur des règles d'administration (roles/orgpolicy.policyAdmin)
    • Administrateur Assured Workloads (roles/assuredworkloads.admin)
    • Éditeur Assured Workloads (roles/assuredworkloads.editor)
  • Pour créer un dossier lors du déploiement d'un framework, utilisez l'une des méthodes suivantes :
    • Administrateur de dossier (roles/resourcemanager.folderAdmin)
    • Créateur de dossiers (roles/resourcemanager.folderCreator)
  • Pour créer un projet lors du déploiement d'un framework, vous devez :
    • Gestionnaire de la facturation du projet (roles/billing.projectManager)
    • Créateur de projet (roles/resourcemanager.projectCreator)
    • Suppresseur de projets (roles/resourcemanager.projectDeleter)
  • Pour attribuer des frameworks de gestion de la stratégie de sécurité des données (DSPM) à une application dans un dossier compatible avec les applications, vous devez disposer de tous les éléments suivants : Lecteur App Hub (roles/apphub.viewer)

  Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

  Les rôles permettant de déployer des frameworks avec des règles d'administration contiennent les autorisations orgpolicy.policies.create, orgpolicy.policies.update et orgpolicy.policies.get requises.

  Les rôles permettant de créer des frameworks contiennent les autorisations resourcemanager.folders.get, resourcemanager.folders.create et resourcemanager.folders.delete requises.

  Les rôles permettant de créer des projets contiennent les autorisations requises resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete et resourcemanager.projects.createBillingAssignment.

  Les rôles permettant d'attribuer des frameworks DSPM aux applications contiennent les autorisations apphub.locations.list, apphub.applications.list et apphub.applications.get requises.

  Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les frameworks

Pour afficher la configuration des frameworks intégrés ou d'autres frameworks que vous avez déjà créés, procédez comme suit.

1. Dans la console Google Cloud , accédez à la page Conformité.

   Accéder

2. Sélectionner votre organisation.

3. Pour afficher tous les frameworks disponibles, cliquez sur l'onglet Configurer.

   Le tableau de bord affiche les frameworks disponibles, une brève description, les plates-formes compatibles et les ressources auxquelles le framework a été appliqué.

4. Pour afficher des informations détaillées sur un framework spécifique, cliquez sur son nom.

Créer un framework

Une fois que vous avez déterminé les contrôles cloud qui s'appliquent aux ressources de votre organisation, ou d'un dossier ou projet spécifique, vous pouvez créer un framework. Vous pouvez créer un framework personnalisé ou copier un framework existant et le modifier. Lorsque vous copiez un framework, il inclut les dernières versions des contrôles cloud intégrés.

1. Dans la console Google Cloud , accédez à la page Conformité.

   Accéder

2. Sélectionner votre organisation.

3. Dans l'onglet Configurer, cliquez sur Créer un framework personnalisé.

4. Effectuez l'une des actions suivantes :

   • Pour utiliser un framework existant, procédez comme suit :

     1. Sélectionnez Démarrer à partir d'un framework existant.

     2. Sélectionnez le framework que vous souhaitez copier.

     3. Cliquez sur Ajouter.

   • Pour créer un framework personnalisé, sélectionnez Commencer.

5. Saisissez un nom, un identifiant unique et une description pour votre framework. Cliquez sur Continuer.

   Si vous copiez un framework existant, la liste des contrôles cloud qui en faisaient partie s'affiche.

6. Pour ajouter les contrôles cloud dont vous avez besoin, procédez comme suit :

   • Pour ajouter un contrôle cloud existant, cliquez sur Ajouter des contrôles cloud. Sélectionnez tous les contrôles cloud dont vous avez besoin, puis cliquez sur Ajouter.

     Lorsque vous ajoutez un contrôle, vérifiez son type (détection, prévention ou audit). N'incluez pas de contrôles d'audit uniquement dans un framework que vous souhaitez utiliser pour surveiller votre environnement et détecter les cas de non-respect. Vous ne pouvez pas déployer des frameworks qui incluent des contrôles d'audit uniquement.

   • Pour créer un contrôle cloud personnalisé, cliquez sur Créer un contrôle cloud personnalisé. Pour obtenir des instructions, consultez Créer un contrôle cloud personnalisé.

7. Cliquez sur Continuer.

8. Ajoutez les paramètres supplémentaires requis par les contrôles cloud.

   Par exemple, si vous souhaitez activer un contrôle cloud de gestion de la stratégie de sécurité des données (DSPM), tel que le contrôle cloud Gouvernance des accès aux données, spécifiez les emplacements que les principaux doivent utiliser. Pour en savoir plus sur les contrôles de gestion de la posture de sécurité des données, consultez Contrôle cloud de la gouvernance des accès aux données.

9. Cliquez sur Créer.

Déployer un framework

Déployez un framework dans une organisation, un dossier ou un projet pour pouvoir contrôler et surveiller ces ressources à l'aide des contrôles cloud du framework. Vous pouvez déployer plusieurs frameworks dans chaque organisation, dossier ou projet. Si vous déployez un framework qui n'inclut que les paramètres cloud de sécurité avancée des données, vous pouvez le déployer sur des applications dans des dossiers compatibles avec les applications qui sont gérés à l'aide du Hub d'applications.

Les dossiers et les projets héritent des frameworks via la Google Cloud hiérarchie des ressources. Par conséquent, si vous déployez des frameworks au niveau de l'organisation et au niveau d'un projet, tous les contrôles cloud des deux frameworks s'appliquent aux ressources du projet. En cas de différences dans les définitions de contrôle du cloud, le contrôle du cloud de niveau inférieur est utilisé par les ressources du projet. Par exemple, si une règle de contrôle du cloud est définie sur "Autoriser" au niveau de l'organisation et sur "Refuser" au niveau du projet, le paramètre "Refuser" au niveau du projet est appliqué aux ressources du projet.

Nous vous recommandons de déployer un framework au niveau de l'organisation qui inclut les contrôles cloud pouvant s'appliquer à l'ensemble de votre activité. Vous pouvez ensuite déployer des frameworks plus stricts dans les dossiers et projets qui en ont besoin.

1. Dans la console Google Cloud , accédez à la page Conformité.

   Accéder

2. Sélectionner votre organisation.

3. Dans l'onglet Configurer, pour le framework que vous souhaitez déployer, cliquez sur more_vert Autres actions > Appliquer aux ressources.

4. Choisissez l'une des options suivantes :

   • Pour surveiller uniquement la dérive, sélectionnez Surveiller.

   • Pour surveiller la dérive et prévenir activement les cas de non-respect, sélectionnez Surveiller et prévenir.

5. Sélectionnez la ressource sur laquelle vous souhaitez déployer le framework. Vous pouvez choisir une organisation, un dossier ou un projet existants. Pour le DSPM uniquement, vous pouvez sélectionner une application pour déployer un framework qui inclut uniquement les contrôles cloud avancés DSPM dans une application. Si vous avez choisi d'empêcher activement les cas de non-respect, vous pouvez créer un dossier ou un projet et y déployer le framework.

6. Effectuez l'une des actions suivantes :

   • Si vous avez sélectionné Surveiller, procédez comme suit :

     1. Vérifiez les informations.
     2. Si vous avez sélectionné un dossier compatible avec les applications et que votre framework n'inclut que des contrôles cloud DSPM avancés, sélectionnez l'application que vous souhaitez surveiller.
     3. Cliquez sur Monitor (Surveiller).

   • Si vous avez sélectionné Surveiller et empêcher, procédez comme suit :

     1. Cliquez sur Suivant. Consultez les commandes et les modes cloud.
     2. Cliquez sur Continuer.
     3. Si des informations supplémentaires s'affichent pour certains contrôles cloud, vérifiez-les.
     4. Cliquez sur Suivant.
     5. Vérifiez votre sélection, puis cliquez sur Appliquer.

Une fois le framework déployé, vous pouvez surveiller votre environnement pour détecter toute dérive par rapport aux contrôles cloud que vous avez définis. Security Command Center signale les cas de dérive sous forme de résultats que vous pouvez examiner, filtrer et résoudre. Une fois que vous avez déployé un framework, il peut s'écouler environ six heures avant que les résultats liés aux contrôles cloud s'affichent.

Modifier un framework personnalisé

Une fois que vous avez créé un framework, vous pouvez modifier son nom et sa description, ajouter ou supprimer des contrôles cloud, et mettre à jour les paramètres. Vous ne pouvez modifier que les frameworks que vous créez. Vous ne pouvez pas modifier les frameworks intégrés.

1. Dans la console Google Cloud , accédez à la page Conformité.

   Accéder

2. Sélectionner votre organisation.

3. Dans l'onglet Configurer, cliquez sur le framework que vous souhaitez modifier.

4. Sur la page Informations sur le framework, vérifiez que le framework n'est pas attribué à une ressource. Si nécessaire, supprimez les devoirs.

5. Cliquez sur Actions > Modifier.

6. Sur la page Mettre à jour les détails du framework, modifiez le nom et la description si nécessaire. Cliquez sur Continuer.

7. Pour modifier les contrôles cloud inclus dans le framework, procédez comme suit :

   • Pour ajouter un contrôle cloud existant, cliquez sur Ajouter des contrôles cloud. Sélectionnez tous les contrôles cloud dont vous avez besoin, puis cliquez sur Ajouter.

   • Pour créer un contrôle cloud personnalisé, cliquez sur Créer un contrôle cloud personnalisé. Pour obtenir des instructions, consultez Créer un contrôle cloud personnalisé.

   • Pour supprimer une commande cloud, sélectionnez-la et cliquez sur Supprimer.

8. Cliquez sur Continuer.

9. Ajoutez les paramètres supplémentaires requis par les contrôles cloud.

10. Cliquez sur Enregistrer.

Supprimer des ressources d'un framework déployé

Vous pouvez supprimer l'organisation, les dossiers ou les projets que vous avez attribués à un framework déployé. Si vous supprimez des ressources, le framework ne génère plus de résultats pour ce nœud de votre hiérarchie de ressources.

Lorsque vous supprimez des ressources, l'état des résultats associés passe à Inactive au bout de sept jours.

1. Dans la console Google Cloud , accédez à la page Conformité.

   Accéder

2. Sélectionner votre organisation.

3. Dans l'onglet Configurer, cliquez sur le framework dont vous souhaitez dissocier les ressources.

4. Sur la page Détails du framework, cliquez sur Actions > Gérer les attributions de ressources.

5. Dans le tableau Ressources attribuées, recherchez la ressource que vous souhaitez supprimer, puis cliquez sur delete Supprimer.

6. Lisez le message de confirmation, puis cliquez sur Annuler l'attribution.

Mettre à jour un framework vers une version plus récente

Google publie régulièrement des mises à jour de ses frameworks intégrés lorsque les services déploient de nouvelles fonctionnalités ou lorsque de nouvelles bonnes pratiques émergent.

Vous pouvez afficher les versions des frameworks intégrés dans le tableau de bord des frameworks de l'onglet Configurer ou sur la page d'informations sur le framework.

Google vous informe dans la console et les notes de version lorsque les mises à jour suivantes ont lieu :

• Des contrôles cloud intégrés sont ajoutés ou supprimés d'un framework.
• Les contrôles cloud intégrés sont mis à jour.

Pour mettre à jour un framework, procédez comme suit :

1. Dans la console Google Cloud , accédez à la page Conformité.

   Accéder

2. Sélectionner votre organisation.

3. Dans l'onglet Configurer, cliquez sur le framework que vous souhaitez mettre à jour.

4. Sur la page Détails du framework, dans le tableau Ressources attribuées, vérifiez l'état de mise à jour des devoirs identifiés comme Mise à jour disponible.

5. Pour appliquer les modifications, procédez comme suit :

   1. Supprimez l'attribution de la ressource.

   2. Redéployez le framework sur votre ressource pour que le Gestionnaire de conformité puisse reprendre l'évaluation de la ressource et la création de résultats.

Supprimer un framework personnalisé

Supprimez un framework lorsqu'il n'est plus nécessaire. Vous ne pouvez supprimer que les frameworks que vous créez. Vous ne pouvez pas supprimer les frameworks intégrés.

1. Dans la console Google Cloud , accédez à la page Conformité.

   Accéder

2. Sélectionner votre organisation.

3. Dans l'onglet Configurer, cliquez sur le framework dont vous souhaitez dissocier les ressources.

4. Sur la page Informations sur le framework, vérifiez que le framework n'est pas attribué à une ressource. Si nécessaire, supprimez les devoirs.

5. Cliquez sur Actions > Supprimer.

6. Dans la fenêtre Supprimer, lisez le message. Saisissez Delete, puis cliquez sur Confirmer.

Étapes suivantes

• Surveillez la conformité de vos frameworks (preview).
• Auditez votre environnement avec Compliance Manager (aperçu).
• Examiner et gérer les résultats dans la console