管理框架

Compliance Manager 架構包含雲端控制項，可協助您在雲端環境中，滿足貴機構的安全性或法規要求。套用架構的程序分為兩個步驟。首先，您必須找出符合貴商家安全和法規遵循義務的雲端控管機制。然後，將包含這些雲端控制項的架構部署至Google Cloud中適當的機構、資料夾或專案。本頁面將協助您完成下列步驟：

1. 評估哪一個內建架構最符合您的法規和安全需求。您可以建立自己的自訂架構，但建議先從內建架構著手。

2. 判斷哪些內建雲端控制項符合您的業務需求。您可以視需要建立自訂雲端控管機制。

3. 決定要將架構部署至 Google Cloud機構，還是特定資料夾和專案。每個機構、資料夾或專案只能部署一個架構。法規遵循管理工具支援啟用應用程式的資料夾。

4. 複製現有架構，並根據需求進行修改。如有需要，您可以建立自訂架構。

5. 在適當的機構、資料夾或專案中部署架構。

事前準備

• 如要取得套用架構所需的權限，請要求管理員授予您機構的下列 IAM 角色：

  • 法規遵循管理員 (roles/cloudsecuritycompliance.admin)
  • 如要查看調查結果資訊主頁： Compliance Manager 檢視者 (roles/cloudsecuritycompliance.viewer)
  • 如要部署包含雲端控制項的架構 (以機構政策為依據)，請執行下列其中一項操作：
    • 機構政策管理員 (roles/orgpolicy.policyAdmin)
    • Assured Workloads 系統管理員 (roles/assuredworkloads.admin)
    • Assured Workloads 編輯者 (roles/assuredworkloads.editor)
  • 如要在部署架構時建立資料夾，請執行下列其中一項操作：
    • 資料夾管理員 (roles/resourcemanager.folderAdmin)
    • 資料夾建立者 (roles/resourcemanager.folderCreator)
  • 如要在部署架構時建立專案，請完成下列所有步驟：
    • 專案帳單管理員 (roles/billing.projectManager)
    • 專案建立者 (roles/resourcemanager.projectCreator)
    • 專案刪除者 (roles/resourcemanager.projectDeleter)
  • 如要將資料安全防護機制管理 (DSPM) 架構指派給啟用應用程式的資料夾中的應用程式，您必須具備下列所有角色： App Hub 檢視者 (roles/apphub.viewer)

  如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

  透過機構政策部署架構的角色包含必要的 orgpolicy.policies.create、orgpolicy.policies.update 和 orgpolicy.policies.get 權限。

  建立架構的角色包含必要的 resourcemanager.folders.get、resourcemanager.folders.create 和 resourcemanager.folders.delete 權限。

  建立專案的角色包含必要的 resourcemanager.projects.get、resourcemanager.projects.create、resourcemanager.projects.delete 和 resourcemanager.projects.createBillingAssignment 權限。

  將 DSPM 架構指派給應用程式的角色包含必要的 apphub.locations.list、apphub.applications.list 和 apphub.applications.get 權限。

  您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

查看架構

如要查看內建架構或您已建立的其他架構的設定，請完成下列步驟。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」頁面

2. 選取您的機構。

3. 如要查看所有可用架構，請按一下「設定」分頁。

   資訊主頁會顯示可用的架構、簡短說明、支援的平台，以及已套用架構的資源。

4. 如要查看特定架構的詳細資料，請按一下架構名稱。

建立架構

決定哪些雲端控制項適用於機構或特定資料夾/專案中的資源後，即可建立架構。您可以建立自訂架構，也可以複製現有架構並加以修改。複製架構時，系統會一併複製所有內建雲端控制項的最新版本。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」頁面

2. 選取您的機構。

3. 在「設定」分頁中，按一下「建立自訂架構」。

4. 完成下列任一操作：

   • 如要使用現有架構，請完成下列步驟：

     1. 選取「依據現有架構開始建立」。

     2. 選取要複製的架構。

     3. 按一下「新增」。

   • 如要建立自訂架構，請選取「開始建立新架構」。

5. 輸入架構的名稱、專屬 ID 和說明。按一下「Continue」(繼續)。

   如果您要複製現有架構，系統會顯示現有架構中的雲端控管機制清單。

6. 如要新增所需雲端控管機制，請完成下列步驟：

   • 如要新增現有的雲端控管措施，請按一下「新增雲端控管措施」。選取所有需要的雲端控管機制，然後按一下「新增」。

     新增控制項時，請確認控制項類型 (偵測、預防或稽核)。如果您想使用架構監控環境並偵測違規行為，請勿在架構中加入僅供稽核的控制項。您無法部署架構，其中包含僅限稽核的控制項。

   • 如要建立自訂雲端控管機制，請按一下「建立自訂雲端控管機制」。 如需操作說明，請參閱「建立自訂雲端控管機制」。

7. 按一下「繼續」。

8. 新增雲端控管機制要求的其他參數。

   舉例來說，如要啟用「資料安全防護機制管理 (DSPM)」雲端控管機制 (例如「資料存取權管理」雲端控管機制)，請指定主體必須使用的位置。如要進一步瞭解 Data Security Posture Management 控制項，請參閱「資料存取控管雲端控制項」。

9. 點選「建立」。

部署架構

將架構部署至機構、資料夾或專案，即可使用架構的雲端控制項控管及監控這些資源。您可以為每個機構、資料夾或專案部署多個架構。如果您部署的架構只包含進階資料安全雲端控制項，則可將架構部署至應用程式中心管理的應用程式啟用資料夾中的應用程式。

資料夾和專案會透過 Google Cloud 資源階層繼承架構。因此，如果您在機構和專案層級部署架構，兩個架構中的所有雲端控制項都會套用至專案中的資源。如果雲端控制項定義有任何差異，專案中的資源會使用較低層級的雲端控制項。舉例來說，如果雲端控管規則在機構層級設為「允許」，在專案層級設為「拒絕」，則專案層級的「拒絕」設定會套用至專案中的資源。

我們建議您在機構層級部署架構，其中包含可套用至整個業務的雲端控制項，以達到最佳效果。然後，您可以將更嚴格的架構部署至需要這些架構的資料夾和專案。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」頁面

2. 選取您的機構。

3. 在「設定」分頁中，針對要部署的架構，依序點選 more_vert「更多動作」>「套用至資源」。

4. 您可以選擇下列其中一個選項：

   • 如要只監控偏移情形，請選擇「監控」。

   • 如要監控變異情形並主動防範違規行為，請選擇「監控及防範」。

5. 選取要部署架構的資源。您可以選擇現有的機構、資料夾或專案。僅限 DSPM，您可以選取應用程式，部署只包含 DSPM 進階雲端控制項的架構。如果您選擇主動防範違規行為，可以建立新資料夾或專案，並將架構部署至其中。

6. 完成下列任一操作：

   • 如果您選取「監控」，請完成下列步驟：

     1. 驗證資訊。
     2. 如果您選取已啟用應用程式的資料夾，且架構僅包含進階 DSPM 雲端控制項，請選取要監控的應用程式。
     3. 按一下「監控」。

   • 如果您選取「監控及防範」，請完成下列步驟：

     1. 點選「下一步」。查看雲端控制選項和模式。
     2. 按一下「繼續」。
     3. 如果顯示，請驗證部分雲端控管機制所需的額外資訊。
     4. 點選「下一步」。
     5. 檢查所選項目，然後按一下「強制執行」。

部署架構後，您可以監控環境，瞭解是否與定義的雲端控制項有任何差異。Security Command Center 會將漂移的例項回報為發現項目，供您查看、篩選及解決。部署架構後，與雲端控制項相關的發現事項大約需要六小時才會顯示。

編輯自訂架構

建立架構後，您可以變更名稱和說明、新增或移除雲端控制項，以及更新任何參數。您只能編輯自己建立的架構，無法編輯內建架構。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」頁面

2. 選取您的機構。

3. 在「設定」分頁中，按一下要編輯的架構。

4. 在「架構詳細資料」頁面中，確認架構未指派給資源。視需要移除指派項目。

5. 依序點選「動作」>「編輯」。

6. 在「更新架構詳細資料」頁面中，視需要變更名稱和說明。點選「繼續」。

7. 如要變更框架中包含的雲端控管機制，請完成下列步驟：

   • 如要新增現有的雲端控管措施，請按一下「新增雲端控管措施」。選取所有需要的雲端控管機制，然後按一下「新增」。

   • 如要建立自訂雲端控管機制，請按一下「建立自訂雲端控管機制」。 如需操作說明，請參閱「建立自訂雲端控管機制」。

   • 如要移除雲端控管機制，請選取該機制並按一下「移除」。

8. 按一下「繼續」。

9. 新增雲端控管機制要求的其他參數。

10. 按一下 [儲存]。

從已部署的架構中移除資源

您可以移除指派給已部署架構的機構、資料夾或專案。移除資源後，架構就不會再為資源階層的該節點產生發現項目。

移除資源後，相關發現的狀態會在七天後變更為 Inactive。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」頁面

2. 選取您的機構。

3. 在「設定」分頁中，按一下要取消指派資源的架構。

4. 在「架構詳細資料」頁面中，依序點選「動作」> 管理資源指派項目。

5. 在「已指派的資源」表格中，找出要移除的資源，然後按一下「刪除」圖示 delete。

6. 詳閱確認訊息，然後按一下「取消指派」。

將架構更新至新版

隨著服務部署新功能或出現新的最佳做法，Google 會定期更新內建架構。

您可以在「設定」分頁的架構資訊主頁，或架構詳細資料頁面中，查看內建架構的版本。

發生下列更新時，Google 會在控制台和版本資訊中通知您：

• 在架構中新增或移除內建雲端控管機制。
• 內建雲端控管機制已更新。

如要更新架構，請完成下列步驟：

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」頁面

2. 選取您的機構。

3. 在「設定」分頁中，按一下要更新的架構。

4. 在「架構詳細資料」頁面的「已指派的資源」表格中，查看標示為「可更新」的指派項目，並確認「更新狀態」。

5. 如要套用變更，請完成下列步驟：

   1. 移除資源指派作業。

   2. 重新將架構部署至資源，以便法規遵循管理員繼續評估資源並建立調查結果。

刪除自訂架構

不再需要架構時，請刪除該架構。您只能刪除自己建立的架構，無法刪除內建架構。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」頁面

2. 選取您的機構。

3. 在「設定」分頁中，按一下要取消指派資源的架構。

4. 在「架構詳細資料」頁面中，確認架構未指派給資源。視需要移除指派項目。

5. 依序點選「動作」>「刪除」。

6. 在「刪除」視窗中，查看訊息。輸入 Delete，然後按一下「確認」。

後續步驟

• 監控架構是否符合法規 (預先發布版)。
• 使用 Compliance Manager (預覽版) 稽核環境。
• 在控制台中查看及管理發現項目。