Esta página foi traduzida pela API Cloud Translation.

Faça a gestão das frameworks

As frameworks do Gestor de conformidade consistem em controlos na nuvem que ajudam a cumprir os requisitos regulamentares ou de segurança da sua organização nos seus ambientes na nuvem. A aplicação de uma estrutura é um processo de dois passos. Primeiro, tem de identificar os controlos na nuvem que se alinham com as obrigações de segurança e conformidade da sua empresa. Em seguida, implementa uma framework que inclui esses controlos na nuvem na organização, na pasta ou no projeto adequados noGoogle Cloud. Esta página ajuda a concluir os seguintes passos:

Avalie que estrutura incorporada se alinha melhor com os seus requisitos regulamentares e de segurança. Pode criar a sua própria framework personalizada, mas recomendamos que comece com uma framework integrada.
Determine que controlos na nuvem incorporados correspondem aos requisitos da sua empresa. Pode criar controlos na nuvem personalizados, se necessário.
Determine se quer implementar a framework na sua Google Cloud organização ou em pastas e projetos específicos. Só pode implementar uma estrutura em cada organização, pasta ou projeto. O Compliance Manager suporta pastas ativadas para apps.
Copiar uma estrutura existente e modificá-la para corresponder aos seus requisitos. Se for necessário, pode criar uma estrutura personalizada.
Implemente a framework na organização, na pasta ou no projeto adequados.

Antes de começar

Para receber as autorizações de que precisa para aplicar frameworks, peça ao seu administrador que lhe conceda as seguintes funções de IAM na sua organização:
- Administrador do Compliance Manager (roles/cloudsecuritycompliance.admin)
- Para ver painéis de controlo de resultados: Leitor do Gestor de conformidade (roles/cloudsecuritycompliance.viewer)
- Para implementar frameworks que incluem controlos na nuvem baseados em políticas da organização, uma das seguintes opções:
  - Administrador da política da organização (roles/orgpolicy.policyAdmin)
  - Administrador do Assured Workloads (roles/assuredworkloads.admin)
  - Editor do Assured Workloads (roles/assuredworkloads.editor)
- Para criar uma pasta durante a implementação de uma framework, faça um dos seguintes:
  - Administrador da pasta (roles/resourcemanager.folderAdmin)
  - Pasta Criador (roles/resourcemanager.folderCreator)
- Para criar um projeto durante a implementação de uma framework, tem de ter:
  - Gestor de faturação de projetos (roles/billing.projectManager)
  - Project Creator (roles/resourcemanager.projectCreator)
  - Project Deleter (roles/resourcemanager.projectDeleter)
- Para atribuir frameworks de gestão da postura de segurança de dados (DSPM) a uma aplicação numa pasta com apps ativadas, tem de ter: Visualizador do App Hub (roles/apphub.viewer)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
As funções para implementar frameworks com políticas de organização contêm as autorizações orgpolicy.policies.create, orgpolicy.policies.update e orgpolicy.policies.get necessárias.

As funções para criar frameworks contêm as autorizações resourcemanager.folders.get, resourcemanager.folders.create e resourcemanager.folders.delete necessárias.

As funções para criar projetos contêm as autorizações resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete e resourcemanager.projects.createBillingAssignment necessárias.

As funções para atribuir frameworks de DSPM a aplicações contêm as autorizações apphub.locations.list, apphub.applications.list e apphub.applications.get necessárias.
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Veja as estruturas

Conclua os passos seguintes para ver a configuração das frameworks incorporadas ou de outras frameworks que já criou.

Na Google Cloud consola, aceda à página Conformidade.

Aceder a Conformidade
Selecione a sua organização.
Para ver todas as estruturas disponíveis, clique no separador Configurar.

O painel de controlo mostra as estruturas disponíveis, uma breve descrição, as plataformas suportadas e os recursos aos quais a estrutura foi aplicada.
Para ver detalhes sobre uma estrutura específica, clique no nome da estrutura.

Crie uma estrutura

Depois de determinar que controlos da nuvem se aplicam aos recursos na sua organização ou numa pasta ou num projeto específico, pode criar uma estrutura. Pode criar uma estrutura personalizada ou copiar uma estrutura existente e modificá-la. Quando copia uma framework, esta inclui os lançamentos mais recentes de quaisquer controlos na nuvem incorporados.

Na Google Cloud consola, aceda à página Conformidade.

Aceder a Conformidade
Selecione a sua organização.
No separador Configurar, clique em Criar framework personalizado.
Conclua uma das seguintes opções:
- Para usar uma estrutura existente, faça o seguinte:
  1. Selecione Começar a partir de uma estrutura existente.
  2. Selecione a estrutura que quer copiar.
  3. Clique em Adicionar.
- Para criar uma estrutura personalizada, selecione Iniciar novo.
Introduza um nome, um identificador exclusivo e uma descrição para a sua estrutura. Clique em Continuar.

Se estiver a copiar uma estrutura existente, é apresentada a lista de controlos na nuvem que faziam parte da estrutura existente.
Para adicionar os controlos na nuvem de que precisa, conclua o seguinte:
- Para adicionar um controlo na nuvem existente, clique em Adicionar controlos na nuvem. Selecione todos os controlos na nuvem de que precisa e, de seguida, clique em Adicionar.
  
  Quando adiciona um controlo, verifique o tipo de controlo (detetive, preventivo ou de auditoria). Não inclua controlos apenas de auditoria numa estrutura que quer usar para monitorizar o seu ambiente e detetar violações. Não pode implementar frameworks que incluam controlos apenas de auditoria.
- Para criar um controlo na nuvem personalizado, clique em Criar controlo na nuvem personalizado. Para ver instruções, consulte o artigo Crie um controlo na nuvem personalizado.
Clique em Continuar.
Adicione quaisquer parâmetros adicionais que os controlos da nuvem exijam.

Por exemplo, se quiser ativar um controlo na nuvem de gestão da postura de segurança de dados (DSPM), como o controlo na nuvem de governação do acesso aos dados, especifique as localizações que os diretores têm de usar. Para mais informações acerca dos controlos de gestão da postura de segurança de dados, consulte o artigo Controlo de acesso aos dados na nuvem.
Clique em Criar.

Implemente uma framework

Implemente uma framework numa organização, numa pasta ou num projeto para poder controlar e monitorizar esses recursos através dos controlos na nuvem da framework. Pode implementar várias estruturas em cada organização, pasta ou projeto. Se estiver a implementar uma framework que inclua apenas os controlos de segurança de dados avançados na nuvem, pode implementar a framework em aplicações em pastas ativadas para apps que são geridas através do App Hub.

As pastas e os projetos herdam frameworks através da Google Cloud hierarquia de recursos. Por conseguinte, se implementar frameworks ao nível da organização e ao nível do projeto, todos os controlos na nuvem em ambas as frameworks aplicam-se aos recursos no projeto. Se existirem diferenças nas definições de controlo da nuvem, os recursos no projeto usam o controlo da nuvem de nível inferior. Por exemplo, se uma regra de controlo na nuvem estiver definida como Permitir ao nível da organização e como Negar ao nível do projeto, a definição ao nível do projeto de Negar é aplicada aos recursos no projeto.

Como prática recomendada, recomendamos que implemente uma estrutura ao nível da organização que inclua os controlos na nuvem que podem ser aplicados a toda a sua empresa. Em seguida, pode implementar frameworks mais rigorosos em pastas e projetos que os exijam.

Na Google Cloud consola, aceda à página Conformidade.

Aceder a Conformidade
Selecione a sua organização.
No separador Configurar, para a framework que quer implementar, clique em Mais ações > Aplicar aos recursos.
Escolha uma das seguintes opções:
- Para monitorizar apenas a variação, escolha Monitorizar.
- Para monitorizar a variação e impedir ativamente as violações, escolha Monitorizar e impedir.
Selecione o recurso no qual quer implementar a framework. Pode escolher uma organização, uma pasta ou um projeto existente. Apenas para a DSPM, pode selecionar uma aplicação para implementar uma framework que inclua apenas controlos de nuvem avançados da DSPM numa aplicação. Se optou por impedir ativamente as violações, pode criar uma nova pasta ou projeto e implementar a framework no mesmo.
Conclua uma das seguintes opções:
- Se selecionou Monitorizar, conclua o seguinte:
  1. Valide as informações.
  2. Se selecionou uma pasta com apps e a sua framework inclui apenas controlos avançados da DSPM na nuvem, selecione a aplicação que quer monitorizar.
  3. Clique em Monitorizar.
- Se selecionou Monitorizar e impedir, conclua o seguinte:
  1. Clicar em Seguinte. Reveja os controlos e os modos na nuvem.
  2. Clique em Continuar.
  3. Se forem apresentadas, valide as informações adicionais necessárias para alguns controlos na nuvem.
  4. Clicar em Seguinte.
  5. Reveja as suas seleções e, de seguida, clique em Aplicar.

Depois de implementar a framework, pode monitorizar o seu ambiente para verificar se existe alguma variação em relação aos controlos na nuvem definidos. O Security Command Center comunica instâncias de desvio como resultados que pode rever, filtrar e resolver. Pode demorar cerca de seis horas após a implementação de uma framework para que apareçam as conclusões relacionadas com os controlos na nuvem.

Edite uma estrutura personalizada

Depois de criar uma framework, pode alterar o respetivo nome e descrição, adicionar ou remover controlos na nuvem e atualizar quaisquer parâmetros. Só pode editar as estruturas que criar. Não pode editar as estruturas incorporadas.

Na Google Cloud consola, aceda à página Conformidade.

Aceder a Conformidade
Selecione a sua organização.
No separador Configurar, clique na estrutura que quer editar.
Na página Detalhes da framework, verifique se a framework não está atribuída a um recurso. Se necessário, remova as atribuições.
Clique em Ações > Editar.
Na página Atualizar detalhes da estrutura, altere o nome e a descrição conforme necessário. Clique em Continuar.
Para alterar os controlos na nuvem incluídos na estrutura, conclua o seguinte:
- Para adicionar um controlo na nuvem existente, clique em Adicionar controlos na nuvem. Selecione todos os controlos na nuvem de que precisa e, de seguida, clique em Adicionar.
- Para criar um controlo na nuvem personalizado, clique em Criar controlo na nuvem personalizado. Para ver instruções, consulte o artigo Crie um controlo na nuvem personalizado.
- Para remover um controlo na nuvem, selecione-o e clique em Remover.
Clique em Continuar.
Adicione quaisquer parâmetros adicionais que os controlos da nuvem exijam.
Clique em Guardar.

Remova recursos de uma framework implementada

Pode remover a organização, as pastas ou os projetos que atribuiu a uma framework implementada. A remoção de recursos significa que a estrutura já não gera resultados para esse nó da hierarquia de recursos.

Quando remove recursos, o estado das conclusões relacionadas muda para Inactive após sete dias.

Na Google Cloud consola, aceda à página Conformidade.

Aceder a Conformidade
Selecione a sua organização.
No separador Configurar, clique na estrutura da qual quer anular a atribuição de recursos.
Na página Detalhes da estrutura, clique em Ações > Gerir atribuições de recursos.
Na tabela Recursos atribuídos, encontre o recurso que quer remover e clique em Eliminar.
Reveja a mensagem de confirmação e clique em Desatribuir.

Atualize uma framework para uma versão mais recente

A Google publica atualizações regulares das suas frameworks incorporadas à medida que os serviços implementam novas funcionalidades ou surgem novas práticas recomendadas.

Pode ver os lançamentos de frameworks incorporados no painel de controlo de frameworks no separador Configurar ou na página de detalhes da framework.

A Google envia-lhe uma notificação na consola e nas notas de lançamento quando ocorrem as seguintes atualizações:

Os controlos da nuvem incorporados são adicionados ou removidos de uma estrutura.
Os controlos na nuvem integrados são atualizados.

Para atualizar uma estrutura, faça o seguinte:

Na Google Cloud consola, aceda à página Conformidade.

Aceder a Conformidade
Selecione a sua organização.
No separador Configurar, clique na estrutura que quer atualizar.
Na página Detalhes da framework, na tabela Recursos atribuídos, reveja o Estado da atualização de todas as atribuições identificadas como Atualização disponível.
Para aplicar as alterações, faça o seguinte:
1. Remova a atribuição de recursos.
  
  Nota: quando remove uma atribuição de recursos, o Gestor de conformidade deixa de avaliar esse recurso usando essa estrutura. As conclusões já não são criadas.
2. Volte a implementar a framework no seu recurso para que o Gestor de conformidade possa retomar a avaliação do recurso e criar conclusões.

Elimine uma estrutura personalizada

Elimine uma framework quando já não for necessária. Só pode eliminar frameworks que criou. Não pode eliminar frameworks incorporados.

Na Google Cloud consola, aceda à página Conformidade.

Aceder a Conformidade
Selecione a sua organização.
No separador Configurar, clique na estrutura da qual quer anular a atribuição de recursos.
Na página Detalhes da framework, verifique se a framework não está atribuída a um recurso. Se necessário, remova as atribuições.
Clique em Ações > Eliminar.
Na janela Eliminar, reveja a mensagem. Escreva Delete e clique em Confirmar.