Mengelola framework

Framework Compliance Manager terdiri dari kontrol cloud yang membantu Anda memenuhi persyaratan keamanan atau peraturan organisasi di lingkungan cloud Anda. Penerapan framework adalah proses dua langkah. Pertama, Anda harus mengidentifikasi kontrol cloud yang sesuai dengan kewajiban keamanan dan kepatuhan bisnis Anda. Kemudian, Anda men-deploy framework yang mencakup kontrol cloud tersebut ke organisasi, folder, atau project yang sesuai diGoogle Cloud. Halaman ini membantu Anda menyelesaikan langkah-langkah berikut:

1. Menilai framework bawaan mana yang paling sesuai dengan persyaratan peraturan dan keamanan Anda. Anda dapat membuat framework kustom sendiri, tetapi sebaiknya mulai dengan framework bawaan.

2. Tentukan kontrol cloud bawaan mana yang sesuai dengan persyaratan bisnis Anda. Anda dapat membuat kontrol cloud kustom jika diperlukan.

3. Tentukan apakah akan men-deploy framework ke Google Cloud organisasi Anda, atau ke folder dan project tertentu. Anda hanya dapat men-deploy satu framework ke setiap organisasi, folder, atau project. Compliance Manager mendukung folder yang mendukung aplikasi.

4. Salin framework yang ada dan ubah agar sesuai dengan persyaratan Anda. Jika diperlukan, Anda dapat membuat framework kustom.

5. Deploy framework di organisasi, folder, atau project yang sesuai.

Sebelum memulai

• Untuk mendapatkan izin yang Anda perlukan guna menerapkan framework, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi Anda:

  • Admin Compliance Manager (roles/cloudsecuritycompliance.admin)
  • Untuk melihat dasbor temuan: Compliance Manager Viewer (roles/cloudsecuritycompliance.viewer)
  • Untuk men-deploy framework yang mencakup kontrol cloud yang didasarkan pada kebijakan organisasi, salah satu dari:
    • Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin)
    • Administrator Assured Workloads (roles/assuredworkloads.admin)
    • Editor Assured Workloads (roles/assuredworkloads.editor)
  • Untuk membuat folder saat men-deploy framework, salah satu dari:
    • Admin Folder (roles/resourcemanager.folderAdmin)
    • Pembuat Folder (roles/resourcemanager.folderCreator)
  • Untuk membuat project saat men-deploy framework, semua hal berikut:
    • Project Billing Manager (roles/billing.projectManager)
    • Project Creator (roles/resourcemanager.projectCreator)
    • Project Deleter (roles/resourcemanager.projectDeleter)
  • Untuk menetapkan framework Pengelolaan Postur Keamanan Data (DSPM) ke aplikasi di folder yang mendukung aplikasi, semua hal berikut harus dipenuhi: Pelihat App Hub (roles/apphub.viewer)

  Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, baca artikel Mengelola akses ke project, folder, dan organisasi.

  Peran untuk men-deploy framework dengan kebijakan organisasi berisi izin orgpolicy.policies.create, orgpolicy.policies.update, dan orgpolicy.policies.get yang diperlukan.

  Peran untuk membuat framework berisi izin resourcemanager.folders.get, resourcemanager.folders.create, dan resourcemanager.folders.delete yang diperlukan.

  Peran untuk membuat project berisi izin resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete, dan resourcemanager.projects.createBillingAssignment yang diperlukan.

  Peran untuk menetapkan framework DSPM ke aplikasi berisi izin apphub.locations.list, apphub.applications.list, dan apphub.applications.get yang diperlukan.

  Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Melihat framework

Selesaikan langkah-langkah berikut untuk melihat konfigurasi framework bawaan atau framework lain yang telah Anda buat.

1. Di konsol Google Cloud , buka halaman Compliance.

   Buka Kepatuhan

2. Pilih organisasi Anda.

3. Untuk melihat semua framework yang tersedia, klik tab Konfigurasi.

   Dasbor ini menampilkan framework yang tersedia, deskripsi singkat, platform yang didukung, dan resource tempat framework diterapkan.

4. Untuk melihat detail tentang framework tertentu, klik nama framework.

Membuat framework

Setelah menentukan kontrol cloud mana yang berlaku untuk resource dalam organisasi Anda atau folder atau project tertentu, Anda dapat membuat framework. Anda dapat membuat framework kustom atau menyalin framework yang ada dan mengubahnya. Saat Anda menyalin framework, framework tersebut akan menyertakan rilis terbaru dari kontrol cloud bawaan.

1. Di konsol Google Cloud , buka halaman Compliance.

   Buka Kepatuhan

2. Pilih organisasi Anda.

3. Di tab Konfigurasi, klik Buat framework kustom.

4. Selesaikan salah satu langkah berikut:

   • Untuk menggunakan framework yang ada, selesaikan langkah-langkah berikut:

     1. Pilih Mulai dari framework yang ada.

     2. Pilih framework yang ingin Anda salin.

     3. Klik Tambahkan.

   • Untuk membuat framework kustom, pilih Mulai baru.

5. Masukkan nama, ID unik, dan deskripsi untuk framework Anda. Klik Continue.

   Jika Anda menyalin framework yang ada, daftar kontrol cloud yang merupakan bagian dari framework yang ada akan ditampilkan.

6. Untuk menambahkan kontrol cloud yang Anda perlukan, selesaikan langkah-langkah berikut:

   • Untuk menambahkan kontrol cloud yang ada, klik Tambahkan Kontrol Cloud. Pilih semua kontrol cloud yang Anda perlukan, lalu klik Tambahkan.

     Saat Anda menambahkan kontrol, verifikasi jenis kontrol (detektif, preventif, atau audit) kontrol tersebut. Jangan sertakan kontrol hanya audit dalam framework yang ingin Anda gunakan untuk memantau lingkungan dan mendeteksi pelanggaran. Anda tidak dapat men-deploy framework yang menyertakan kontrol khusus audit.

   • Untuk membuat kontrol cloud kustom, klik Buat kontrol cloud kustom. Untuk mengetahui petunjuknya, lihat Membuat kontrol cloud kustom.

7. Klik Lanjutkan.

8. Tambahkan parameter tambahan yang diperlukan kontrol cloud.

   Misalnya, jika Anda ingin mengaktifkan kontrol cloud Pengelolaan Postur Keamanan Data (DSPM) seperti kontrol cloud Tata kelola akses data, tentukan lokasi yang harus digunakan oleh prinsipal. Untuk mengetahui informasi selengkapnya tentang kontrol Pengelolaan Postur Keamanan Data, lihat Kontrol cloud tata kelola akses data.

9. Klik Buat.

Deploy framework

Deploy framework ke organisasi, folder, atau project sehingga Anda dapat mengontrol dan memantau resource tersebut menggunakan kontrol cloud framework. Anda dapat men-deploy beberapa framework ke setiap organisasi, folder, atau project. Jika Anda men-deploy framework yang hanya menyertakan kontrol keamanan data lanjutan cloud, Anda dapat men-deploy framework ke aplikasi dalam folder yang mendukung aplikasi dan dikelola menggunakan App Hub.

Folder dan project mewarisi framework melalui Google Cloud hierarki resource. Oleh karena itu, jika Anda men-deploy framework di tingkat organisasi dan tingkat project, semua kontrol cloud dalam kedua framework tersebut berlaku untuk resource dalam project. Jika ada perbedaan dalam definisi kontrol cloud, kontrol cloud tingkat yang lebih rendah akan digunakan oleh resource dalam project. Misalnya, jika aturan kontrol cloud ditetapkan ke Izinkan di tingkat organisasi dan ke Tolak di tingkat project, setelan Tolak di tingkat project akan diterapkan ke resource dalam project.

Sebagai praktik terbaik, sebaiknya Anda men-deploy framework di tingkat organisasi yang mencakup kontrol cloud yang dapat diterapkan ke seluruh bisnis Anda. Kemudian, Anda dapat men-deploy framework yang lebih ketat ke folder dan project yang memerlukannya.

1. Di konsol Google Cloud , buka halaman Compliance.

   Buka Kepatuhan

2. Pilih organisasi Anda.

3. Di tab Konfigurasi, untuk framework yang ingin Anda deploy, klik more_vert Tindakan Lainnya > Terapkan ke resource.

4. Pilih salah satu opsi berikut:

   • Untuk memantau penyimpangan saja, pilih Pantau.

   • Untuk memantau penyimpangan dan secara aktif mencegah pelanggaran, pilih Pantau dan cegah.

5. Pilih resource yang ingin Anda gunakan untuk men-deploy framework. Anda dapat memilih organisasi, folder, atau project yang sudah ada. Khusus untuk DSPM, Anda dapat memilih aplikasi untuk men-deploy framework yang hanya menyertakan kontrol cloud lanjutan DSPM ke aplikasi. Jika Anda memilih untuk mencegah pelanggaran secara aktif, Anda dapat membuat folder atau project baru dan men-deploy framework ke folder atau project tersebut.

6. Selesaikan salah satu langkah berikut:

   • Jika Anda memilih Monitor, selesaikan langkah-langkah berikut:

     1. Verifikasi informasi tersebut.
     2. Jika Anda memilih folder yang mendukung aplikasi dan framework Anda hanya menyertakan kontrol cloud DSPM lanjutan, pilih aplikasi yang ingin Anda pantau.
     3. Klik Monitor.

   • Jika Anda memilih Pantau dan cegah, selesaikan langkah-langkah berikut:

     1. Klik Berikutnya. Tinjau kontrol dan mode cloud.
     2. Klik Lanjutkan.
     3. Jika ditampilkan, verifikasi informasi tambahan yang diperlukan untuk beberapa kontrol cloud.
     4. Klik Berikutnya.
     5. Tinjau pilihan Anda, lalu klik Terapkan.

Setelah men-deploy framework, Anda dapat memantau lingkungan untuk mengetahui apakah ada penyimpangan dari kontrol cloud yang telah ditentukan. Security Command Center melaporkan instance penyimpangan sebagai temuan yang dapat Anda tinjau, filter, dan selesaikan. Diperlukan waktu sekitar enam jam setelah Anda men-deploy framework agar temuan terkait kontrol cloud muncul.

Mengedit framework kustom

Setelah membuat framework, Anda dapat mengubah nama dan deskripsinya, menambahkan atau menghapus kontrol cloud, dan memperbarui parameter apa pun. Anda hanya dapat mengedit framework yang Anda buat; Anda tidak dapat mengedit framework bawaan.

1. Di konsol Google Cloud , buka halaman Compliance.

   Buka Kepatuhan

2. Pilih organisasi Anda.

3. Di tab Konfigurasi, klik framework yang ingin Anda edit.

4. Di halaman Framework details, pastikan framework tidak ditetapkan ke resource. Jika diperlukan, hapus penugasan.

5. Klik Tindakan > Edit.

6. Di halaman Update framework details, ubah nama dan deskripsi sesuai kebutuhan. Klik Continue.

7. Untuk mengubah kontrol cloud yang disertakan dalam framework, selesaikan langkah-langkah berikut:

   • Untuk menambahkan kontrol cloud yang ada, klik Tambahkan Kontrol Cloud. Pilih semua kontrol cloud yang Anda perlukan, lalu klik Tambahkan.

   • Untuk membuat kontrol cloud kustom, klik Buat kontrol cloud kustom. Untuk mengetahui petunjuknya, lihat Membuat kontrol cloud kustom.

   • Untuk menghapus kontrol cloud, pilih kontrol cloud, lalu klik Hapus.

8. Klik Lanjutkan.

9. Tambahkan parameter tambahan yang diperlukan kontrol cloud.

10. Klik Simpan.

Menghapus resource dari framework yang di-deploy

Anda dapat menghapus organisasi, folder, atau project yang Anda tetapkan ke framework yang di-deploy. Menghapus resource berarti framework tidak lagi membuat temuan untuk node hierarki resource tersebut.

Saat Anda menghapus resource, status temuan terkait akan berubah menjadi Inactive setelah tujuh hari.

1. Di konsol Google Cloud , buka halaman Compliance.

   Buka Kepatuhan

2. Pilih organisasi Anda.

3. Di tab Konfigurasi, klik framework yang ingin Anda batalkan penetapannya dari resource.

4. Di halaman Framework details, klik Actions > Manage resource assignments.

5. Di tabel Materi yang ditetapkan, temukan materi yang ingin Anda hapus, lalu klik delete Hapus.

6. Tinjau pesan konfirmasi, lalu klik Batalkan penetapan.

Mengupdate framework ke rilis yang lebih baru

Google memublikasikan update rutin pada framework bawaannya saat layanan men-deploy fitur baru atau saat praktik terbaik baru muncul.

Anda dapat melihat rilis framework bawaan di dasbor framework pada tab Konfigurasi atau di halaman detail framework.

Google akan memberi tahu Anda di konsol dan catatan rilis saat pembaruan berikut terjadi:

• Kontrol cloud bawaan ditambahkan atau dihapus dari framework.
• Kontrol cloud bawaan diperbarui.

Untuk memperbarui framework, selesaikan langkah-langkah berikut:

1. Di konsol Google Cloud , buka halaman Compliance.

   Buka Kepatuhan

2. Pilih organisasi Anda.

3. Di tab Configure, klik framework yang ingin Anda perbarui.

4. Di halaman Detail framework, dalam tabel Sumber daya yang ditetapkan, tinjau Status update untuk tugas yang diidentifikasi sebagai Update tersedia.

5. Untuk menerapkan perubahan, selesaikan langkah-langkah berikut:

   1. Hapus penetapan resource.

   2. Deploy ulang framework ke resource Anda agar Compliance Manager dapat melanjutkan evaluasi resource dan membuat temuan.

Menghapus framework kustom

Hapus framework jika tidak diperlukan lagi. Anda hanya dapat menghapus framework yang Anda buat; Anda tidak dapat menghapus framework bawaan.

1. Di konsol Google Cloud , buka halaman Compliance.

   Buka Kepatuhan

2. Pilih organisasi Anda.

3. Di tab Konfigurasi, klik framework yang ingin Anda batalkan penetapannya dari resource.

4. Di halaman Framework details, pastikan framework tidak ditetapkan ke resource. Jika diperlukan, hapus penugasan.

5. Klik Tindakan > Hapus.

6. Di jendela Hapus, tinjau pesan. Ketik Delete, lalu klik Konfirmasi.

Langkah berikutnya

• Pantau kepatuhan framework Anda (Pratinjau).
• Mengaudit lingkungan Anda dengan Compliance Manager (Pratinjau).
• Tinjau dan kelola temuan di konsol.