ניהול מסגרות

מסגרות ב-Compliance Manager מורכבות מאמצעי בקרה בענן שעוזרים לכם לעמוד בדרישות האבטחה או הרגולטוריות של הארגון בסביבות הענן. הטמעה של מסגרת היא תהליך דו-שלבי. קודם כול, צריך לזהות את אמצעי הבקרה בענן שתואמים לחובות האבטחה והתאימות של העסק. לאחר מכן, פורסים מסגרת שכוללת את אמצעי הבקרה האלה בענן בארגון, בתיקייה או בפרויקט המתאימים ב-Google Cloud. בדף הזה מוסבר איך לבצע את הפעולות הבאות:

1. כדאי להעריך איזה מסגרת מובנית מתאימה הכי טוב לדרישות הרגולטוריות והאבטחתיות שלכם. אתם יכולים ליצור מסגרת מותאמת אישית משלכם, אבל מומלץ להתחיל עם מסגרת מובנית.

2. קובעים אילו אמצעי בקרה מובנים בענן מתאימים לדרישות העסקיות שלכם. ‫
   (רק ברמות Premium ו-Enterprise) אתם יכולים ליצור אמצעי בקרה מותאמים אישית בענן, אם צריך.

3. קובעים אם לפרוס את המסגרת בארגון Google Cloud או בתיקיות ובפרויקטים ספציפיים. אפשר לפרוס רק מסגרת אחת לכל ארגון, תיקייה או פרויקט. ‫Compliance Manager תומך בתיקיות שהוגדרו לניהול אפליקציות.

4. להעתיק מסגרת קיימת ולשנות אותה בהתאם לדרישות שלכם. אם צריך, אפשר ליצור מסגרת מותאמת אישית.

5. פורסים את המסגרת בארגון, בתיקייה או בפרויקט המתאימים.

לפני שמתחילים

• כדי לקבל את ההרשאות שדרושות להחלת מסגרות, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:

  • אדמין ב-Compliance Manager (roles/cloudsecuritycompliance.admin)
  • כדי לצפות בלוחות הממצאים: צפייה ב-Compliance Manager (roles/cloudsecuritycompliance.viewer)
  • כדי לפרוס מסגרות שכוללות אמצעי בקרה בענן שמבוססים על מדיניות הארגון, צריך לבצע אחת מהפעולות הבאות:
    • אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin)
    • אדמין של Assured Workloads (roles/assuredworkloads.admin)
    • עורך Assured Workloads (roles/assuredworkloads.editor)
  • כדי ליצור תיקייה במהלך פריסת מסגרת, צריך לבצע אחת מהפעולות הבאות:
    • אדמין בתיקייה (roles/resourcemanager.folderAdmin)
    • יצירת תיקיות (roles/resourcemanager.folderCreator)
  • כדי ליצור פרויקט בזמן פריסת מסגרת, צריך לוודא שכל התנאים הבאים מתקיימים:
    • ניהול החיוב בפרויקט (roles/billing.projectManager)
    • יצירת פרויקטים (roles/resourcemanager.projectCreator)
    • כלי למחיקת פרויקטים (roles/resourcemanager.projectDeleter)
  • כדי להקצות מסגרות ל-Data Security Posture Management (DSPM) לאפליקציה ב-App Hub, צריך את כל ההרשאות הבאות: צפייה ב-App Hub (roles/apphub.viewer)

  להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

  התפקידים לפריסת מסגרות עם מדיניות הארגון מכילים את ההרשאות הנדרשות orgpolicy.policies.create, orgpolicy.policies.update ו-orgpolicy.policies.get.

  התפקידים ליצירת תיקיות מכילים את ההרשאות הנדרשות resourcemanager.folders.get, resourcemanager.folders.create ו-resourcemanager.folders.delete.

  התפקידים ליצירת פרויקטים מכילים את ההרשאות הנדרשות resourcemanager.projects.get,‏ resourcemanager.projects.create,‏ resourcemanager.projects.delete ו-resourcemanager.projects.createBillingAssignment.

  התפקידים להקצאת מסגרות DSPM לאפליקציות מכילים את ההרשאות הנדרשות apphub.locations.list, apphub.applications.list ו-apphub.applications.get.

  יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הצגת מסגרות

כדי לראות את ההגדרה של מסגרות מובנות או של מסגרות אחרות שכבר יצרתם, פועלים לפי השלבים הבאים.

1. נכנסים לדף Compliance במסוף Google Cloud .

   לתאימות

2. בוחרים את הארגון.

3. כדי לראות את כל המסגרות הזמינות, לוחצים על הכרטיסייה הגדרה.

   בלוח הבקרה מוצגות המסגרות הזמינות, תיאור קצר, הפלטפורמות הנתמכות והמשאבים שהמסגרת הוחלה עליהם.

4. כדי לראות פרטים על מסגרת ספציפית, לוחצים על שם המסגרת.

יצירת מסגרת

אחרי שתקבעו אילו אמצעי בקרה ב-Cloud חלים על משאבים בארגון או בתיקייה או בפרויקט ספציפיים, תוכלו ליצור מסגרת. אתם יכולים ליצור מסגרת בהתאמה אישית או להעתיק מסגרת קיימת ולשנות אותה. כשמעתיקים מסגרת, היא כוללת את הגרסאות האחרונות של כל אמצעי הבקרה המובנים בענן.

1. נכנסים לדף Compliance במסוף Google Cloud .

   לתאימות

2. בוחרים את הארגון.

3. בכרטיסייה הגדרה, לוחצים על יצירת מסגרת מותאמת אישית.

4. מבצעים אחת מהפעולות הבאות:

   • כדי להשתמש במסגרת קיימת, מבצעים את הפעולות הבאות:

     1. בוחרים באפשרות התחלה ממסגרת קיימת.

     2. בוחרים את המסגרת שרוצים להעתיק.

     3. לוחצים על הוספה.

   • כדי ליצור מסגרת מותאמת אישית, בוחרים באפשרות התחלה חדשה.

5. מזינים שם, מזהה ייחודי ותיאור למסגרת. לוחצים על המשך.

   אם מעתיקים מסגרת קיימת, מוצגת רשימה של אמצעי הבקרה בענן שהיו חלק מהמסגרת הקיימת.

6. כדי להוסיף את אמצעי הבקרה בענן שאתם צריכים, מבצעים את הפעולות הבאות:

   • כדי להוסיף אמצעי בקרה קיים בענן, לוחצים על הוספת אמצעי בקרה בענן. בוחרים את כל אמצעי הבקרה בענן שרוצים להוסיף ולוחצים על הוספה.

     כשמוסיפים אמצעי בקרה, צריך לאמת את סוג אמצעי הבקרה (גילוי, מניעה או ביקורת). שימו לב שאמצעי בקרה למניעה ולביקורת זמינים רק בתוכניות Premium ו-Enterprise. אל תכללו אמצעי בקרה לביקורת בלבד במסגרת שבה אתם רוצים להשתמש כדי לעקוב אחרי הסביבה שלכם ולזהות הפרות. אי אפשר לפרוס מסגרות שכוללות אמצעי בקרה לבדיקה בלבד.

   • (רק במהדורות Premium ו-Enterprise) כדי ליצור אמצעי בקרה מותאם אישית בענן, לוחצים על יצירת אמצעי בקרה מותאם אישית בענן. הוראות מפורטות זמינות במאמר יצירת אמצעי בקרה מותאם אישית בענן.

7. לוחצים על Continue.

8. מוסיפים פרמטרים נוספים שנדרשים על ידי אמצעי הבקרה בענן.

   לדוגמה, אם רוצים להפעיל אמצעי בקרה בענן Data Security Posture Management (DSPM), כמו אמצעי הבקרה בענן ניהול גישה לנתונים, צריך לציין את המיקומים שבהם יש להשתמש בישויות מורשות. מידע נוסף על אמצעי בקרה של Data Security Posture Management זמין במאמר בנושא שליטה בגישה לנתונים ב-Cloud.

9. לוחצים על יצירה.

פריסת framework

פריסת מסגרת בארגון, בתיקייה או בפרויקט כדי שתוכלו לשלוט במשאבים האלה ולעקוב אחריהם באמצעות אמצעי הבקרה של המסגרת בענן. אפשר לפרוס כמה מסגרות לכל ארגון, תיקייה או פרויקט. אם אתם פורסים מסגרת שכוללת רק את אמצעי הבקרה המתקדמים לאבטחת מידע בענן, אתם יכולים לפרוס את המסגרת באפליקציות של App Hub בתיקיות שהוגדרו לניהול אפליקציות.

תיקיות ופרויקטים יורשים מסגרות דרך Google Cloud היררכיית המשאבים. לכן, אם פורסים מסגרות ברמת הארגון וברמת הפרויקט, כל אמצעי הבקרה בענן בשתי המסגרות חלים על המשאבים בפרויקט. אם יש הבדלים בהגדרות של אמצעי הבקרה בענן, המשאבים בפרויקט משתמשים באמצעי הבקרה ברמה הנמוכה יותר בענן. לדוגמה, אם כלל של בקרת ענן מוגדר כ'הרשאה' ברמת הארגון וכ'דחייה' ברמת הפרויקט, ההגדרה 'דחייה' ברמת הפרויקט חלה על המשאבים בפרויקט.

מומלץ להטמיע מסגרת ברמת הארגון שכוללת את אמצעי הבקרה בענן שיכולים לחול על כל העסק. לאחר מכן תוכלו לפרוס מסגרות מחמירות יותר בתיקיות ובפרויקטים שנדרשות בהם.

1. נכנסים לדף Compliance במסוף Google Cloud .

   לתאימות

2. בוחרים את הארגון.

3. בכרטיסייה Configure (הגדרה), בוחרים את המסגרת שרוצים לפרוס ולוחצים על more_vert More Actions > Apply to resources (פעולות נוספות > החלה על משאבים).

4. בוחרים אחת מהאפשרויות האלה:

   • כדי לעקוב רק אחרי סחף, בוחרים באפשרות מעקב.

   • כדי לעקוב אחרי סטיות ולמנוע באופן פעיל הפרות, בוחרים באפשרות מעקב ומניעה.

5. בוחרים את המשאב שבו רוצים לפרוס את המסגרת. אפשר לבחור ארגון, תיקייה או פרויקט קיימים. ב-DSPM בלבד, אפשר לבחור אפליקציה כדי לפרוס מסגרת שכוללת רק אמצעי בקרה מתקדמים בענן של DSPM באפליקציה. אם בחרתם למנוע באופן פעיל הפרות, אתם יכולים ליצור תיקייה או פרויקט חדשים ולפרוס בהם את המסגרת.

6. מבצעים אחת מהפעולות הבאות:

   • אם בחרתם באפשרות מעקב, צריך להשלים את הפעולות הבאות:

     1. בודקים את המידע.
     2. אם בחרתם תיקייה שהוגדרה לניהול אפליקציות והמסגרת שלכם כוללת רק אמצעי בקרה מתקדמים של DSPM בענן, בוחרים את האפליקציה שרוצים לנטר.
     3. לוחצים על מעקב.

   • אם בחרתם באפשרות מעקב ומניעה, צריך להשלים את הפעולות הבאות:

     1. לוחצים על הבא. בודקים את אמצעי הבקרה והמצבים בענן.
     2. לוחצים על Continue.
     3. אם מוצג מידע נוסף שנדרש עבור חלק מהאמצעים לבקרה על הענן, צריך לאמת אותו.
     4. לוחצים על הבא.
     5. בודקים את הבחירות שבוצעו ולוחצים על החלת ההגדרות.

אחרי פריסת המסגרת, תוכלו לעקוב אחרי הסביבה שלכם כדי לזהות סטיות מההגדרות שהגדרתם לשליטה בענן. ב-Security Command Center מדווחים על מקרים של סחף כממצאים שאפשר לבדוק, לסנן ולפתור. יכולות לעבור בערך שש שעות אחרי שמפעילים מסגרת עד שיופיעו ממצאים שקשורים לבקרות בענן.

עריכה של מסגרת בהתאמה אישית

אחרי שיוצרים מסגרת, אפשר לשנות את השם והתיאור שלה, להוסיף או להסיר אמצעי בקרה בענן ולעדכן את הפרמטרים. אפשר לערוך רק מסגרות שיצרתם, ולא מסגרות מובנות.

1. נכנסים לדף Compliance במסוף Google Cloud .

   לתאימות

2. בוחרים את הארגון.

3. בכרטיסייה Configure, לוחצים על המסגרת שרוצים לערוך.

4. בדף Framework details, מוודאים שהמסגרת לא הוקצתה למשאב. אם צריך, מסירים את ההקצאות.

5. לוחצים על פעולות > עריכה.

6. בדף עדכון פרטי המסגרת, משנים את השם והתיאור לפי הצורך. לוחצים על Continue.

7. כדי לשנות את אמצעי הבקרה בענן שכלולים במסגרת, צריך לבצע את הפעולות הבאות:

   • כדי להוסיף אמצעי בקרה קיים בענן, לוחצים על הוספת אמצעי בקרה בענן. בוחרים את כל אמצעי הבקרה בענן שרוצים להוסיף ולוחצים על הוספה.

   • כדי ליצור אמצעי בקרה מותאם אישית בענן, לוחצים על יצירת אמצעי בקרה מותאם אישית בענן. הוראות מפורטות זמינות במאמר יצירת אמצעי בקרה מותאם אישית בענן.

   • כדי להסיר אמצעי בקרה בענן, בוחרים את אמצעי הבקרה בענן ולוחצים על הסרה.

8. לוחצים על Continue.

9. מוסיפים פרמטרים נוספים שנדרשים על ידי אמצעי הבקרה בענן.

10. לוחצים על Save.

הסרת משאבים ממסגרת שנפרסה

אפשר להסיר את הארגון, התיקיות או הפרויקטים שהקציתם למסגרת פריסה. הסרת משאבים אומרת שהמסגרת כבר לא יוצרת ממצאים עבור הצומת הזה בהיררכיית המשאבים.

כשמסירים משאבים, הסטטוס של רוב הממצאים שקשורים אליהם משתנה ל-Inactive אחרי שבעה ימים. אם המסגרת שלכם כוללת את אמצעי הבקרה למחיקת נתונים בענן, הממצאים ישתנו ל-Inactive אחרי 90 ימים. הסטטוסים של הממצאים שקשורים לאמצעי הבקרה בענן לניהול זרימת הנתונים ולאמצעי הבקרה בענן לניהול הגישה לנתונים לא משתנים באופן אוטומטי.

1. נכנסים לדף Compliance במסוף Google Cloud .

   לתאימות

2. בוחרים את הארגון.

3. בכרטיסייה Configure, לוחצים על המסגרת שרוצים לבטל את ההקצאה של המשאבים שלה.

4. בדף פרטי המסגרת, לוחצים על פעולות > ניהול הקצאות משאבים.

5. בטבלה Assigned resources, מאתרים את המשאב שרוצים להסיר ולוחצים על delete Delete.

6. קוראים את הודעת האישור ולוחצים על ביטול ההקצאה.

7. אופציונלי: משנים את הסטטוס של הממצאים המשויכים ל-Inactive. הוראות מפורטות זמינות במאמר שינוי הסטטוס של ממצא.

עדכון של מסגרת לגרסה חדשה יותר

‫Google מפרסמת עדכונים קבועים למסגרות המובנות שלה כשתכונות חדשות נפרסות בשירותים או כשמתגלים שיטות מומלצות חדשות.

אפשר לראות את הגרסאות של מסגרות מובנות בלוח הבקרה של המסגרות בכרטיסייה הגדרה או בדף הפרטים של המסגרת.

‫Google שולחת לכם התראות במסוף ובנתוני הגרסאות כשמתבצעים העדכונים הבאים:

• הוספה או הסרה של אמצעי בקרה מובנים ב-Cloud ממסגרת.
• אמצעי הבקרה המובנים בענן עודכנו.

כדי לעדכן מסגרת:

1. נכנסים לדף Compliance במסוף Google Cloud .

   לתאימות

2. בוחרים את הארגון.

3. בכרטיסייה Configure, לוחצים על המסגרת שרוצים לעדכן.

4. בדף Framework details (פרטי המסגרת), בטבלה Assigned resources (משאבים שהוקצו), בודקים את Update status (סטטוס העדכון) של כל הקצאה שמופיע לגביה Update available (עדכון זמין).

5. כדי להחיל את השינויים:

   1. מסירים את הקצאת המשאב.

   2. פורסים מחדש את המסגרת למשאב כדי ש-Compliance Manager יוכל להמשיך להעריך את המשאב וליצור ממצאים.

מחיקה של מסגרת בהתאמה אישית

מוחקים מסגרת כשכבר לא צריך אותה. אתם יכולים למחוק רק מסגרות שיצרתם, ולא מסגרות מובנות.

1. נכנסים לדף Compliance במסוף Google Cloud .

   לתאימות

2. בוחרים את הארגון.

3. בכרטיסייה Configure, לוחצים על המסגרת שרוצים לבטל את ההקצאה של המשאבים שלה.

4. בדף Framework details, מוודאים שהמסגרת לא הוקצתה למשאב. אם צריך, מסירים את ההקצאות.

5. לוחצים על פעולות > מחיקה.

6. בחלון מחיקה, בודקים את ההודעה. מקלידים Delete ולוחצים על אישור.

המאמרים הבאים

• מעקב אחרי התאימות של המסגרות.
• ביצוע ביקורת בסביבה באמצעות Compliance Manager.
• בדיקה וניהול של הממצאים במסוף.