Gerenciar frameworks

As estruturas do Compliance Manager consistem em controles de nuvem que ajudam você a atender aos requisitos regulamentares ou de segurança da sua organização nos ambientes de nuvem. Aplicar um framework é um processo de duas etapas. Primeiro, você precisa identificar os controles de nuvem que se alinham às obrigações de segurança e compliance da sua empresa. Em seguida, implante uma estrutura que inclua esses controles de nuvem na organização, pasta ou projeto apropriado emGoogle Cloud. Esta página ajuda você a concluir as seguintes etapas:

1. Avalie qual framework integrado melhor se alinha aos seus requisitos regulamentares e de segurança. Você pode criar seu próprio framework personalizado, mas recomendamos começar com um framework integrado.

2. Determine quais controles de nuvem integrados correspondem aos requisitos da sua empresa. É possível criar controles de nuvem personalizados, se necessário.

3. Determine se você quer implantar o framework na sua organização do Google Cloudou em pastas e projetos específicos. Só é possível implantar uma estrutura em cada organização, pasta ou projeto. O Gerenciador de compliance é compatível com pastas ativadas para apps.

4. Copie um framework existente e modifique-o para atender aos seus requisitos. Se necessário, crie um framework personalizado.

5. Implante o framework na organização, pasta ou projeto apropriado.

Antes de começar

• Para receber as permissões necessárias para aplicar frameworks, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:

  • Administrador do Compliance Manager (roles/cloudsecuritycompliance.admin)
  • Para acessar os painéis de descobertas: Leitor do Compliance Manager (roles/cloudsecuritycompliance.viewer)
  • Para implantar frameworks que incluem controles de nuvem baseados em políticas da organização, faça uma das seguintes ações:
    • Administrador de políticas da organização (roles/orgpolicy.policyAdmin)
    • Administrador do Assured Workloads (roles/assuredworkloads.admin)
    • Editor do Assured Workloads (roles/assuredworkloads.editor)
  • Para criar uma pasta ao implantar um framework, faça uma das seguintes ações:
    • Administrador de pastas (roles/resourcemanager.folderAdmin)
    • Criador de pastas (roles/resourcemanager.folderCreator)
  • Para criar um projeto ao implantar um framework, faça o seguinte:
    • Gerente de faturamento do projeto (roles/billing.projectManager)
    • Criador de projetos (roles/resourcemanager.projectCreator)
    • Excluidor de projetos (roles/resourcemanager.projectDeleter)
  • Para atribuir estruturas de gerenciamento da postura de segurança de dados (DSPM) a um aplicativo em uma pasta habilitada para apps, é necessário ter: Leitor do App Hub (roles/apphub.viewer)

  Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

  Os papéis para implantação de frameworks com políticas da organização contêm as permissões orgpolicy.policies.create, orgpolicy.policies.update e orgpolicy.policies.get necessárias.

  Os papéis para criar frameworks contêm as permissões resourcemanager.folders.get, resourcemanager.folders.create e resourcemanager.folders.delete necessárias.

  Os papéis para criar projetos contêm as permissões necessárias resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete e resourcemanager.projects.createBillingAssignment.

  Os papéis para atribuir frameworks de DSPM a aplicativos contêm as permissões necessárias apphub.locations.list, apphub.applications.list e apphub.applications.get.

  Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ver frameworks

Siga estas etapas para conferir a configuração de frameworks integrados ou outros frameworks que você já criou.

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Selecione a organização.

3. Para conferir todos os frameworks disponíveis, clique na guia Configurar.

   O painel mostra os frameworks disponíveis, uma breve descrição, plataformas compatíveis e os recursos em que o framework foi aplicado.

4. Para ver detalhes sobre um framework específico, clique no nome dele.

Criar um framework

Depois de determinar quais controles de nuvem se aplicam aos recursos na sua organização ou em uma pasta ou projeto específico, crie uma estrutura. É possível criar um framework personalizado ou copiar e modificar um framework existente. Ao copiar uma estrutura, ela inclui as versões mais recentes de todos os controles integrados da nuvem.

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Selecione a organização.

3. Na guia Configurar, clique em Criar framework personalizado.

4. Siga uma das etapas a seguir:

   • Para usar uma estrutura atual, faça o seguinte:

     1. Selecione Começar com um framework atual.

     2. Selecione o framework que você quer copiar.

     3. Clique em Adicionar.

   • Para criar uma estrutura personalizada, selecione Iniciar nova.

5. Insira um nome, um identificador exclusivo e uma descrição para o framework. Clique em Continue.

   Se você estiver copiando um framework, a lista de controles de nuvem que faziam parte dele vai aparecer.

6. Para adicionar os controles de nuvem necessários, faça o seguinte:

   • Para adicionar um controle de nuvem, clique em Adicionar controles de nuvem. Selecione todos os controles de nuvem necessários e clique em Adicionar.

     Ao adicionar um controle, verifique o tipo dele (detetive, preventivo ou de auditoria). Não inclua controles somente de auditoria em uma estrutura que você quer usar para monitorar seu ambiente e detectar violações. Não é possível implantar frameworks que incluem controles somente de auditoria.

   • Para criar um controle de nuvem personalizado, clique em Criar controle de nuvem personalizado. Para instruções, consulte Criar um controle de nuvem personalizado.

7. Clique em Continuar.

8. Adicione outros parâmetros exigidos pelos controles de nuvem.

   Por exemplo, se você quiser ativar um controle de nuvem de gerenciamento da postura de segurança de dados (DSPM), como o controle de nuvem de governança de acesso a dados, especifique os locais que os principais precisam usar. Para mais informações sobre os controles de gestão da postura de segurança de dados, consulte Controle de acesso à governança de dados na nuvem.

9. Clique em Criar.

Implantar um framework

Implante uma estrutura em uma organização, pasta ou projeto para controlar e monitorar esses recursos usando os controles de nuvem da estrutura. É possível implantar vários frameworks em cada organização, pasta ou projeto. Se você estiver implantando um framework que inclui apenas os controles avançados de segurança de dados na nuvem, poderá implantá-lo em aplicativos dentro de pastas ativadas para apps gerenciadas usando o App Hub.

As pastas e os projetos herdam frameworks pela Google Cloud hierarquia de recursos. Portanto, se você implantar frameworks no nível da organização e do projeto, todos os controles de nuvem nos dois frameworks serão aplicados aos recursos do projeto. Se houver diferenças nas definições de controle de nuvem, o controle de nuvem de nível inferior será usado pelos recursos no projeto. Por exemplo, se uma regra de controle na nuvem estiver definida como "Permitir" no nível da organização e como "Negar" no nível do projeto, a configuração "Negar" no nível do projeto será aplicada aos recursos dele.

Como prática recomendada, recomendamos que você implante uma estrutura no nível da organização que inclua os controles de nuvem aplicáveis a toda a empresa. Em seguida, é possível implantar frameworks mais rigorosos em pastas e projetos que exigem isso.

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Selecione a organização.

3. Na guia Configurar, clique em more_vert Mais ações > Aplicar aos recursos para a estrutura que você quer implantar.

4. Escolha uma das seguintes opções:

   • Para monitorar apenas a deriva, escolha Monitorar.

   • Para monitorar a deriva e evitar violações ativamente, escolha Monitorar e evitar.

5. Selecione o recurso em que você quer implantar o framework. Você pode escolher uma organização, pasta ou projeto. Somente para DSPM, é possível selecionar um aplicativo para implantar um framework que inclua apenas controles avançados de nuvem da DSPM. Se você escolheu evitar ativamente as violações, crie uma pasta ou um projeto e implante o framework nele.

6. Siga uma das etapas a seguir:

   • Se você selecionou Monitorar, faça o seguinte:

     1. Confirme as informações.
     2. Se você selecionou uma pasta com app ativado e seu framework inclui apenas controles avançados de DSPM na nuvem, selecione o aplicativo que você quer monitorar.
     3. Clique em Monitor.

   • Se você selecionou Monitorar e evitar, faça o seguinte:

     1. Clique em Próxima. Revise os controles e modos de nuvem.
     2. Clique em Continuar.
     3. Se aparecerem, verifique as informações adicionais necessárias para alguns controles de nuvem.
     4. Clique em Próxima.
     5. Revise suas seleções e clique em Aplicar.

Depois de implantar o framework, você pode monitorar o ambiente para detectar qualquer desvio dos controles de nuvem definidos. O Security Command Center informa instâncias de desvio como descobertas que podem ser revisadas, filtradas e resolvidas. Pode levar aproximadamente seis horas após a implantação de um framework para que os resultados relacionados aos controles de nuvem apareçam.

Editar um framework personalizado

Depois de criar uma estrutura, você pode mudar o nome e a descrição dela, adicionar ou remover controles de nuvem e atualizar qualquer parâmetro. Só é possível editar frameworks criados por você. Não é possível editar frameworks integrados.

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Selecione a organização.

3. Na guia Configurar, clique no framework que você quer editar.

4. Na página Detalhes do framework, verifique se ele não está atribuído a um recurso. Se necessário, remova as atribuições.

5. Clique em Ações > Editar.

6. Na página Atualizar detalhes do framework, mude o nome e a descrição conforme necessário. Clique em Continuar.

7. Para mudar os controles de nuvem incluídos na estrutura, faça o seguinte:

   • Para adicionar um controle de nuvem, clique em Adicionar controles de nuvem. Selecione todos os controles de nuvem necessários e clique em Adicionar.

   • Para criar um controle de nuvem personalizado, clique em Criar controle de nuvem personalizado. Para instruções, consulte Criar um Cloud Control personalizado.

   • Para remover um controle de nuvem, selecione-o e clique em Remover.

8. Clique em Continuar.

9. Adicione outros parâmetros exigidos pelos controles de nuvem.

10. Clique em Salvar.

Remover recursos de um framework implantado

É possível remover a organização, as pastas ou os projetos que você atribuiu a um framework implantado. Remover recursos significa que o framework não vai mais gerar descobertas para esse nó da hierarquia de recursos.

Quando você remove recursos, o estado das descobertas relacionadas muda para Inactive após sete dias.

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Selecione a organização.

3. Na guia Configurar, clique no framework de que você quer cancelar a atribuição de recursos.

4. Na página Detalhes do framework, clique em Ações > Gerenciar atribuições de recursos.

5. Na tabela Recursos atribuídos, encontre o recurso que você quer remover e clique em delete Excluir.

6. Revise a mensagem de confirmação e clique em Cancelar atribuição.

Atualizar um framework para uma versão mais recente

O Google publica atualizações regulares nos frameworks integrados à medida que os serviços implantam novos recursos ou novas práticas recomendadas surgem.

É possível conferir as versões dos frameworks integrados no painel de frameworks na guia Configurar ou na página de detalhes do framework.

O Google notifica você no console e nas notas da versão quando as seguintes atualizações ocorrem:

• Os controles de nuvem integrados são adicionados ou removidos de um framework.
• Os controles de nuvem integrados são atualizados.

Para atualizar um framework, faça o seguinte:

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Selecione a organização.

3. Na guia Configurar, clique no framework que você quer atualizar.

4. Na página Detalhes da estrutura, na tabela Recursos atribuídos, analise o Status da atualização de todas as atribuições identificadas como Atualização disponível.

5. Para aplicar as mudanças, faça o seguinte:

   1. Remova a atribuição de recurso.

   2. Implante novamente a estrutura no recurso para que o Gerenciador de compliance possa retomar a avaliação e criar descobertas.

Excluir um framework personalizado

Exclua um framework quando ele não for mais necessário. Só é possível excluir frameworks criados por você. Não é possível excluir frameworks integrados.

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Selecione a organização.

3. Na guia Configurar, clique no framework de que você quer cancelar a atribuição de recursos.

4. Na página Detalhes do framework, verifique se ele não está atribuído a um recurso. Se necessário, remova as atribuições.

5. Clique em Ações > Excluir.

6. Na janela Excluir, revise a mensagem. Digite Delete e clique em Confirmar.

A seguir

• Monitore seus frameworks para conformidade (prévia).
• Audite seu ambiente com o Compliance Manager (prévia).
• Analise e gerencie descobertas no console.