Questa pagina è stata tradotta dall'API Cloud Translation.

Gestisci framework

I framework di Compliance Manager sono costituiti da controlli cloud che ti aiutano a soddisfare i requisiti normativi o di sicurezza della tua organizzazione negli ambienti cloud. L'applicazione di un framework è una procedura in due passaggi. Innanzitutto, devi identificare i controlli cloud che si allineano agli obblighi di sicurezza e conformità della tua attività. Poi, implementi un framework che include questi controlli cloud nell'organizzazione, nella cartella o nel progetto appropriato in Google Cloud. Questa pagina ti aiuta a completare i seguenti passaggi:

Valuta quale framework integrato è più in linea con i tuoi requisiti normativi e di sicurezza. Puoi creare un framework personalizzato, ma ti consigliamo di iniziare con uno integrato.
Determina quali controlli cloud integrati corrispondono ai requisiti della tua attività. Se necessario, puoi creare controlli cloud personalizzati.
Determina se eseguire il deployment del framework nella tua organizzazione Google Cloudo in cartelle e progetti specifici. Puoi eseguire il deployment di un solo framework per ogni organizzazione, cartella o progetto. Compliance Manager supporta le cartelle abilitate per le app.
Copia un framework esistente e modificalo in base ai tuoi requisiti. Se necessario, puoi creare un framework personalizzato.
Esegui il deployment del framework nell'organizzazione, nella cartella o nel progetto appropriato.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per applicare i framework, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:
- Compliance Manager Admin (roles/cloudsecuritycompliance.admin)
- Per visualizzare le dashboard dei risultati: Compliance Manager Viewer (roles/cloudsecuritycompliance.viewer)
- Per eseguire il deployment di framework che includono controlli cloud basati su policy dell'organizzazione, uno dei seguenti:
  - Amministratore delle policy dell'organizzazione (roles/orgpolicy.policyAdmin)
  - Amministratore Assured Workloads (roles/assuredworkloads.admin)
  - Assured Workloads Editor (roles/assuredworkloads.editor)
- Per creare una cartella durante il deployment di un framework, scegli una delle seguenti opzioni:
  - Folder Admin (roles/resourcemanager.folderAdmin)
  - Folder Creator (roles/resourcemanager.folderCreator)
- Per creare un progetto durante il deployment di un framework, devono essere soddisfatte tutte le seguenti condizioni:
  - Project Billing Manager (roles/billing.projectManager)
  - Project Creator (roles/resourcemanager.projectCreator)
  - Project Deleter (roles/resourcemanager.projectDeleter)
- Per assegnare framework di gestione della security posture dei dati (DSPM) a un'applicazione in una cartella abilitata alle app, devono essere soddisfatti tutti i seguenti requisiti: Visualizzatore App Hub (roles/apphub.viewer)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
I ruoli per il deployment di framework con policy dell'organizzazione contengono le autorizzazioni orgpolicy.policies.create, orgpolicy.policies.update e orgpolicy.policies.get richieste.

I ruoli per la creazione di framework contengono le autorizzazioni resourcemanager.folders.get, resourcemanager.folders.create e resourcemanager.folders.delete richieste.

I ruoli per la creazione di progetti contengono le autorizzazioni resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete e resourcemanager.projects.createBillingAssignment richieste.

I ruoli per l'assegnazione di framework DSPM alle applicazioni contengono le autorizzazioni apphub.locations.list, apphub.applications.list e apphub.applications.get richieste.
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizza framework

Completa i passaggi riportati di seguito per visualizzare la configurazione dei framework integrati o di altri framework che hai già creato.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione.
Per visualizzare tutti i framework disponibili, fai clic sulla scheda Configura.

La dashboard mostra i framework disponibili, una breve descrizione, le piattaforme supportate e le risorse a cui è stato applicato il framework.
Per visualizzare i dettagli di un framework specifico, fai clic sul nome del framework.

Creare un framework

Dopo aver determinato quali controlli cloud si applicano alle risorse all'interno della tua organizzazione o di una cartella o un progetto specifici, puoi creare un framework. Puoi creare un framework personalizzato o copiare un framework esistente e modificarlo. Quando copi un framework, vengono incluse le ultime release di tutti i controlli cloud integrati.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione.
Nella scheda Configura, fai clic su Crea framework personalizzato.
Completa una delle seguenti operazioni:
- Per utilizzare un framework esistente, completa i seguenti passaggi:
  1. Seleziona Inizia da un framework esistente.
  2. Seleziona il framework da copiare.
  3. Fai clic su Aggiungi.
- Per creare un framework personalizzato, seleziona Inizia nuovo.
Inserisci un nome, un identificatore univoco e una descrizione per il framework. Fai clic su Continua.

Se stai copiando un framework esistente, viene visualizzato l'elenco dei controlli cloud che facevano parte del framework esistente.
Per aggiungere i controlli cloud che ti servono, completa i seguenti passaggi:
- Per aggiungere un controllo cloud esistente, fai clic su Aggiungi controlli cloud. Seleziona tutti i controlli cloud che ti servono e poi fai clic su Aggiungi.
  
  Quando aggiungi un controllo, verifica il tipo di controllo (di rilevamento, preventivo o di audit). Non includere controlli di solo controllo in un framework che vuoi utilizzare per monitorare il tuo ambiente e rilevare le violazioni. Non puoi eseguire il deployment di framework che includono controlli di solo controllo.
- Per creare un controllo cloud personalizzato, fai clic su Crea un controllo cloud personalizzato. Per le istruzioni, vedi Creare un controllo cloud personalizzato.
Fai clic su Continua.
Aggiungi eventuali parametri aggiuntivi richiesti dai controlli cloud.

Ad esempio, se vuoi attivare un controllo cloud di gestione della postura di sicurezza dei dati (DSPM) come il controllo cloud Governance dell'accesso ai dati, specifica le località che i principal devono utilizzare. Per saperne di più sui controlli di Data Security Posture Management, consulta Controllo cloud per la governance degli accessi ai dati.
Fai clic su Crea.

Esegui il deployment di un framework

Esegui il deployment di un framework in un'organizzazione, una cartella o un progetto per poter controllare e monitorare queste risorse utilizzando i controlli cloud del framework. Puoi eseguire il deployment di più framework in ogni organizzazione, cartella o progetto. Se stai implementando un framework che include solo i controlli cloud avanzati per la sicurezza dei dati, puoi implementare il framework nelle applicazioni all'interno di cartelle abilitate alle app gestite utilizzando App Hub.

Cartelle e progetti ereditano i framework tramite la Google Cloud gerarchia delle risorse. Pertanto, se implementi framework a livello di organizzazione e di progetto, tutti i controlli cloud all'interno di entrambi i framework si applicano alle risorse del progetto. Se ci sono differenze nelle definizioni dei controlli cloud, le risorse nel progetto utilizzano il controllo cloud di livello inferiore. Ad esempio, se una regola di controllo cloud è impostata su Consenti a livello di organizzazione e su Nega a livello di progetto, l'impostazione Nega a livello di progetto viene applicata alle risorse del progetto.

Come best practice, ti consigliamo di implementare un framework a livello di organizzazione che includa i controlli cloud che possono essere applicati all'intera attività. Puoi quindi implementare framework più rigorosi per le cartelle e i progetti che li richiedono.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione.
Nella scheda Configura, per il framework che vuoi implementare, fai clic su Altre azioni > Applica alle risorse.
Scegli una delle seguenti opzioni:
- Per monitorare solo la deriva, scegli Monitora.
- Per monitorare la deriva e prevenire attivamente le violazioni, scegli Monitora e previeni.
Seleziona la risorsa in cui vuoi eseguire il deployment del framework. Puoi scegliere un'organizzazione, una cartella o un progetto esistente. Solo per DSPM, puoi selezionare un'applicazione per eseguire il deployment di un framework che include solo i controlli cloud avanzati DSPM in un'applicazione. Se hai scelto di prevenire attivamente le violazioni, puoi creare una nuova cartella o un nuovo progetto e implementare il framework.
Completa una delle seguenti operazioni:
- Se hai selezionato Monitor, completa i seguenti passaggi:
  1. Verifica le informazioni.
  2. Se hai selezionato una cartella abilitata per le app e il tuo framework include solo controlli cloud DSPM avanzati, seleziona l'applicazione che vuoi monitorare.
  3. Fai clic su Monitora.
- Se hai selezionato Monitora e previeni, completa i seguenti passaggi:
  1. Fai clic su Avanti. Esamina i controlli e le modalità del cloud.
  2. Fai clic su Continua.
  3. Se visualizzate, verifica le informazioni aggiuntive richieste per alcuni controlli cloud.
  4. Fai clic su Avanti.
  5. Controlla le selezioni e poi fai clic su Applica.

Dopo aver eseguito il deployment del framework, puoi monitorare il tuo ambiente per rilevare eventuali deviazioni dai controlli cloud definiti. Security Command Center segnala le istanze di drift come risultati che puoi esaminare, filtrare e risolvere. Potrebbero essere necessarie circa sei ore dopo il deployment di un framework prima che vengano visualizzati i risultati relativi ai controlli cloud.

Modificare un framework personalizzato

Dopo aver creato un framework, puoi modificarne il nome e la descrizione, aggiungere o rimuovere i controlli cloud e aggiornare i parametri. Puoi modificare solo i framework che crei; non puoi modificare i framework integrati.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione.
Nella scheda Configura, fai clic sul framework da modificare.
Nella pagina Dettagli framework, verifica che il framework non sia assegnato a una risorsa. Se necessario, rimuovi le assegnazioni.
Fai clic su Azioni > Modifica.
Nella pagina Aggiorna dettagli framework, modifica il nome e la descrizione in base alle tue esigenze. Fai clic su Continua.
Per modificare i controlli cloud inclusi nel framework, completa i seguenti passaggi:
- Per aggiungere un controllo cloud esistente, fai clic su Aggiungi controlli cloud. Seleziona tutti i controlli cloud che ti servono e poi fai clic su Aggiungi.
- Per creare un controllo cloud personalizzato, fai clic su Crea un controllo cloud personalizzato. Per le istruzioni, vedi Creare un controllo cloud personalizzato.
- Per rimuovere un controllo cloud, selezionalo e fai clic su Rimuovi.
Fai clic su Continua.
Aggiungi eventuali parametri aggiuntivi richiesti dai controlli cloud.
Fai clic su Salva.

Rimuovere risorse da un framework di deployment

Puoi rimuovere l'organizzazione, le cartelle o i progetti che hai assegnato a un framework di deployment. Se rimuovi le risorse, il framework non genera più risultati per quel nodo della gerarchia delle risorse.

Quando rimuovi le risorse, lo stato dei risultati correlati cambia in Inactive dopo sette giorni.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione.
Nella scheda Configura, fai clic sul framework da cui vuoi annullare l'assegnazione delle risorse.
Nella pagina Dettagli framework, fai clic su Azioni > Gestisci assegnazioni risorse.
Nella tabella Risorse assegnate, individua la risorsa che vuoi rimuovere e fai clic su Elimina.
Esamina il messaggio di conferma e fai clic su Annulla assegnazione.

Aggiornare un framework a una release più recente

Google pubblica aggiornamenti regolari dei suoi framework integrati man mano che i servizi implementano nuove funzionalità o che emergono nuove best practice.

Puoi visualizzare le release dei framework integrati nella dashboard dei framework nella scheda Configura o nella pagina dei dettagli del framework.

Google ti invia una notifica nella console e nelle note di rilascio quando si verificano i seguenti aggiornamenti:

I controlli cloud integrati vengono aggiunti o rimossi da un framework.
I controlli cloud integrati sono aggiornati.

Per aggiornare un framework:

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione.
Nella scheda Configura, fai clic sul framework che vuoi aggiornare.
Nella pagina Dettagli framework, nella tabella Risorse assegnate, controlla lo Stato aggiornamento per eventuali assegnazioni identificate come Aggiornamento disponibile.
Per applicare le modifiche, completa i seguenti passaggi:
1. Rimuovi l'assegnazione della risorsa.
  
  Nota :quando rimuovi un'assegnazione di risorse, Compliance Manager non valuta più la risorsa utilizzando quel framework. I risultati non vengono più creati.
2. Esegui nuovamente il deployment del framework nella risorsa in modo che Compliance Manager possa riprendere a valutare la risorsa e a creare risultati.

Eliminare un framework personalizzato

Elimina un framework quando non è più necessario. Puoi eliminare solo i framework che crei; non puoi eliminare i framework integrati.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione.
Nella scheda Configura, fai clic sul framework da cui vuoi annullare l'assegnazione delle risorse.
Nella pagina Dettagli framework, verifica che il framework non sia assegnato a una risorsa. Se necessario, rimuovi le assegnazioni.
Fai clic su Azioni > Elimina.
Nella finestra Elimina, controlla il messaggio. Digita Delete e fai clic su Conferma.