Gerenciar frameworks

Os frameworks do Compliance Manager consistem em controles de nuvem que ajudam você a atender aos requisitos regulamentares ou de segurança da sua organização nos ambientes de nuvem. Aplicar um framework é um processo de duas etapas. Primeiro, você precisa identificar os controles de nuvem que se alinham às obrigações de segurança e compliance da sua empresa. Em seguida, implante um framework que inclua esses controles de nuvem na organização, pasta ou projeto adequado emGoogle Cloud. Esta página ajuda você a seguir estas etapas:

Avalie qual framework integrado melhor se alinha aos seus requisitos regulamentares e de segurança. É possível criar seu próprio framework personalizado, mas recomendamos começar com um framework integrado.
Determine quais controles de nuvem integrados correspondem aos requisitos da sua empresa. É possível criar controles de nuvem personalizados, se necessário.
Determine se você quer implantar o framework na sua organização Google Cloudou em pastas e projetos específicos. Só é possível implantar um framework em cada organização, pasta ou projeto. O Compliance Manager é compatível com pastas habilitadas para apps.
Copie um framework e modifique-o para atender aos seus requisitos. Se necessário, crie um framework personalizado.
Implante o framework na organização, pasta ou projeto apropriado.

Antes de começar

Para receber as permissões necessárias para aplicar frameworks, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:
- Administrador do Compliance Manager (roles/cloudsecuritycompliance.admin)
- Para acessar os painéis de descobertas: Leitor do Compliance Manager (roles/cloudsecuritycompliance.viewer)
- Para implantar frameworks que incluem controles de nuvem baseados em políticas da organização, realize uma das seguintes ações:
  - Administrador de políticas da organização (roles/orgpolicy.policyAdmin)
  - Administrador do Assured Workloads (roles/assuredworkloads.admin)
  - Editor do Assured Workloads (roles/assuredworkloads.editor)
- Para criar uma pasta ao implantar um framework, realize uma destas ações:
  - Administrador de pastas (roles/resourcemanager.folderAdmin)
  - Criador de pastas (roles/resourcemanager.folderCreator)
- Para criar um projeto ao implantar um framework, faça o seguinte:
  - Gerente de faturamento do projeto (roles/billing.projectManager)
  - Criador de projetos (roles/resourcemanager.projectCreator)
  - Excluidor de projetos (roles/resourcemanager.projectDeleter)
- Para atribuir frameworks de Gerenciamento de Postura de Segurança de Dados (DSPM) a um aplicativo em uma pasta habilitada para apps, é necessário ter: Leitor do App Hub (roles/apphub.viewer)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Os papéis para implantação de frameworks com políticas da organização contêm as permissões orgpolicy.policies.create, orgpolicy.policies.update e orgpolicy.policies.get necessárias.

Os papéis para criar pastas contêm as permissões necessárias resourcemanager.folders.get, resourcemanager.folders.create e resourcemanager.folders.delete.

Os papéis para criar projetos contêm as permissões necessárias resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete e resourcemanager.projects.createBillingAssignment.

Os papéis para atribuir frameworks de DSPM a aplicativos contêm as permissões necessárias apphub.locations.list, apphub.applications.list e apphub.applications.get.
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ver frameworks

Siga estas etapas para conferir a configuração de frameworks integrados ou outros frameworks que você já criou.

No console do Google Cloud , acesse a página Compliance.

Acesse Conformidade
Selecionar a organização.
Para conferir todos os frameworks disponíveis, clique na guia Configurar.

O painel mostra os frameworks disponíveis, uma breve descrição, plataformas compatíveis e os recursos em que o framework foi aplicado.
Para ver detalhes sobre um framework específico, clique no nome dele.

Criar um framework

Depois de determinar quais controles de nuvem se aplicam aos recursos na sua organização ou em uma pasta ou projeto específico, crie um framework. É possível criar um framework personalizado ou copiar e modificar um framework existente. Ao copiar um framework, ele inclui as versões mais recentes de todos os controles integrados da nuvem.

No console do Google Cloud , acesse a página Compliance.

Acesse Conformidade
Selecionar a organização.
Na guia Configurar, clique em Criar framework personalizado.
Siga uma das etapas a seguir:
- Para usar um framework atual, faça o seguinte:
  1. Selecione Começar com um framework atual.
  2. Selecione o framework que você quer copiar.
  3. Clique em Adicionar.
- Para criar um framework personalizado, selecione Começar do zero.
Insira um nome, um identificador exclusivo e uma descrição para o framework. Clique em Continue.

Se você estiver copiando um framework, a lista de controles de nuvem que faziam parte dele vai aparecer.
Para adicionar os controles de nuvem necessários, faça o seguinte:
- Para adicionar um controle de nuvem, clique em Adicionar controles de nuvem. Selecione todos os controles de nuvem necessários e clique em Adicionar.
  
  Ao adicionar um controle, verifique o tipo dele (detetive, preventivo ou de auditoria). Não inclua controles somente de auditoria em um framework que você quer usar para monitorar seu ambiente e detectar violações. Não é possível implantar frameworks que incluem controles somente de auditoria.
- Para criar um controle de nuvem personalizado, clique em Criar controle de nuvem personalizado. Para instruções, consulte Criar um controle de nuvem personalizado.
Clique em Continuar.
Adicione outros parâmetros exigidos pelos controles de nuvem.

Por exemplo, se você quiser ativar um controle de nuvem de Gerenciamento de Postura de Segurança de Dados (DSPM), como o controle de nuvem de governança de acesso aos dados, especifique os locais que os principais precisam usar. Para mais informações sobre os controles de Gerenciamento de Postura de Segurança de Dados, consulte Controle da nuvem de governança de acesso aos dados.
Clique em Criar.

Implantar um framework

Implante um framework em uma organização, pasta ou projeto para controlar e monitorar esses recursos usando os controles de nuvem do framework. É possível implantar vários frameworks em cada organização, pasta ou projeto. Se você estiver implantando um framework que inclui apenas os controles avançados de segurança de dados na nuvem, poderá implantar o framework em aplicativos dentro de pastas habilitadas para apps gerenciadas usando o App Hub.

As pastas e os projetos herdam frameworks pela Google Cloud hierarquia de recursos. Portanto, se você implantar frameworks no nível da organização e do projeto, todos os controles de nuvem nos dois frameworks serão aplicados aos recursos no projeto. Se houver diferenças nas definições de controle de nuvem, o controle de nuvem de nível inferior será usado pelos recursos no projeto. Por exemplo, se uma regra de controle na nuvem estiver definida como "Permitir" no nível da organização e como "Negar" no nível do projeto, a configuração "Negar" no nível do projeto será aplicada aos recursos dele.

Como prática recomendada, implante um framework no nível da organização que inclua os controles de nuvem aplicáveis a toda a empresa. Em seguida, é possível implantar frameworks mais rigorosos em pastas e projetos que exigem isso.

No console do Google Cloud , acesse a página Compliance.

Acesse Conformidade
Selecionar a organização.
Na guia Configurar, clique em Mais ações > Aplicar aos recursos para o framework que você quer implantar.
Escolha uma das seguintes opções:
- Para monitorar apenas o deslocamento, escolha Monitorar.
- Para monitorar o deslocamento e impedir violações ativamente, escolha Monitorar e impedir.
Selecione o recurso em que você quer implantar o framework. Você pode escolher uma organização, pasta ou projeto. Somente para DSPM, é possível selecionar um aplicativo para implantar um framework que inclua somente controles avançados de nuvem da DSPM. Se você escolheu evitar ativamente as violações, crie uma pasta ou um projeto para implante o framework.
Siga uma das etapas a seguir:
- Se você selecionou Monitorar:
  1. Verifique as informações.
  2. Se você selecionou uma pasta habilitada para apps e seu framework inclui apenas controles avançados de DSPM na nuvem, selecione o aplicativo que você quer monitorar.
  3. Clique em Monitor.
- Se você selecionou Monitorar e impedir:
  1. Clique em Próxima. Revise os controles e modos de nuvem.
  2. Clique em Continuar.
  3. Se aparecerem, verifique as informações adicionais necessárias para alguns controles de nuvem.
  4. Clique em Próxima.
  5. Revise suas seleções e clique em Aplicar.

Depois de implantar o framework, você pode monitorar o ambiente para detectar qualquer deslocamento dos controles de nuvem definidos. O Security Command Center informa instâncias de deslocamento como descobertas que podem ser revisadas, filtradas e resolvidas. Pode levar aproximadamente seis horas após a implantação de um framework para que os resultados relacionados aos controles de nuvem apareçam.

Editar um framework personalizado

Depois de criar um framework, você pode mudar o nome e a descrição dele, adicionar ou remover controles de nuvem e atualizar qualquer parâmetro. Só é possível editar frameworks que você criar, não os integrados.

No console do Google Cloud , acesse a página Compliance.

Acesse Conformidade
Selecionar a organização.
Na guia Configurar, clique no framework que você quer editar.
Na página Detalhes do framework, verifique se ele não está atribuído a um recurso. Se necessário, remova as atribuições.
Clique em Ações > Editar.
Na página Atualizar detalhes do framework, mude o nome e a descrição conforme necessário. Clique em Continuar.
Para mudar os controles de nuvem incluídos no framework:
- Para adicionar um controle de nuvem, clique em Adicionar controles de nuvem. Selecione todos os controles de nuvem necessários e clique em Adicionar.
- Para criar um controle de nuvem personalizado, clique em Criar controle de nuvem personalizado. Para instruções, consulte Criar um controle de nuvem personalizado.
- Para remover um controle de nuvem, selecione-o e clique em Remover.
Clique em Continuar.
Adicione outros parâmetros exigidos pelos controles de nuvem.
Clique em Salvar.

Remover recursos de um framework implantado

É possível remover a organização, as pastas ou os projetos que você atribuiu a um framework implantado. Remover recursos significa que o framework não vai mais gerar descobertas para esse nó da sua hierarquia de recursos.

Quando você remove recursos, o estado da maioria das descobertas relacionadas muda para Inactive após sete dias. Se o framework incluir o controle de exclusão de dados na nuvem, as descobertas vão mudar para Inactive após 90 dias. Os estados das descobertas relacionadas aos controles de nuvem de governança de fluxo de dados e de acesso a dados não são alterados automaticamente.

No console do Google Cloud , acesse a página Compliance.

Acesse Conformidade
Selecionar a organização.
Na guia Configurar, clique no framework de que você quer cancelar a atribuição de recursos.
Na página Detalhes do framework, clique em Ações > Gerenciar atribuições de recursos.
Na tabela Recursos atribuídos, encontre o recurso que você quer remover e clique em Excluir.
Revise a mensagem de confirmação e clique em Cancelar atribuição.
Opcional: mude o estado das descobertas associadas para Inactive. Para instruções, consulte Mudar o estado de uma descoberta.

Atualizar um framework para uma versão mais recente

O Google publica atualizações regulares nos frameworks integrados à medida que os serviços implantam novos recursos ou novas práticas recomendadas surgem.

É possível conferir as versões dos frameworks integrados no painel de frameworks na guia Configurar ou na página de detalhes do framework.

O Google notifica você no console e nas notas da versão quando as seguintes atualizações ocorrem:

Os controles de nuvem integrados são adicionados ou removidos de um framework.
Os controles de nuvem integrados são atualizados.

Para atualizar um framework, faça o seguinte:

No console do Google Cloud , acesse a página Compliance.

Acesse Conformidade
Selecionar a organização.
Na guia Configurar, clique no framework que você quer atualizar.
Na página Detalhes do framework, na tabela Recursos atribuídos, revise o Status da atualização de todas as atribuições identificadas como Atualização disponível.
Para aplicar as mudanças, faça o seguinte:
1. Remova a atribuição de recurso.
  
  Observação: quando você remove uma atribuição de recurso, o Compliance Manager não avalia mais esse recurso usando esse framework. As descobertas não são mais criadas.
2. Implante novamente o framework no recurso para que o Compliance Manager possa retomar a avaliação e criar descobertas.

Excluir um framework personalizado

Exclua um framework quando ele não for mais necessário. Só é possível excluir frameworks que você criar. Não é possível excluir frameworks integrados.

No console do Google Cloud , acesse a página Compliance.

Acesse Conformidade
Selecionar a organização.
Na guia Configurar, clique no framework de que você quer cancelar a atribuição de recursos.
Na página Detalhes do framework, verifique se ele não está atribuído a um recurso. Se necessário, remova as atribuições.
Clique em Ações > Excluir.
Na janela Excluir, revise a mensagem. Digite Delete e clique em Confirmar.