Auditer votre environnement avec Compliance Manager

Compliance Manager vous permet d'effectuer des audits sur des frameworks afin de comprendre l'état de conformité de votre environnement Google Cloud . L'audit de votre environnement vous permet d'effectuer les opérations suivantes :

• Automatisez les évaluations de conformité pour évaluer dans quelle mesure vos charges de travail Google Cloudsont conformes à vos obligations de conformité.
• Collectez des preuves pour les audits de conformité.
• Identifiez les lacunes pour corriger les cas de non-conformité.

Compliance Manager peut fournir des évaluations pour n'importe quel dossier ou projetGoogle Cloud .

Le processus d'audit crée les artefacts suivants que Compliance Manager stocke dans des buckets Cloud Storage :

• Un rapport récapitulatif d'audit qui fournit les informations suivantes :
  • Aperçu de la conformité de votre dossier ou projet avec les contrôles cloud d'un framework.
  • Un tableau des responsabilités pour vous aider à comprendre les responsabilités que vous partagez avec Google.
• Rapport "Vue d'ensemble du contrôle" décrivant les résultats de l'évaluation pour un contrôle cloud spécifique. Ce rapport fournit des informations sur l'évaluation de chaque vérification de conformité, y compris les observations et les valeurs attendues.
• Les preuves utilisées pour créer le rapport, qui incluent toutes les ressources évaluées pour chaque contrôle cloud, y compris un dump brut des données d'actifs.

Avant de commencer

• Pour obtenir les autorisations nécessaires pour auditer votre environnement, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre organisation, votre dossier ou votre projet :

  • Administrateur de Compliance Manager (roles/cloudsecuritycompliance.admin)
  • Dans le projet où se trouve le bucket Cloud Storage, l'un des rôles suivants :
    • Administrateur de l'espace de stockage (roles/storage.admin)
    • Propriétaire des anciens buckets de l'espace de stockage (roles/storage.legacyBucketOwner)
  • Pour enregistrer une organisation, l'un des rôles suivants :
    • Administrateur de sécurité (roles/iam.securityAdmin)
    • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
  • Pour enregistrer un dossier, l'un des rôles suivants :
    • Administrateur de sécurité (roles/iam.securityAdmin)
    • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
    • Administrateur de dossier (roles/resourcemanager.folderAdmin)
    • Administrateur IAM de dossier (roles/resourcemanager.folderIamAdmin)

  Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

  Les rôles permettant d'enregistrer une organisation contiennent l'autorisation resourcemanager.organizations.setIamPolicy requise. Les rôles permettant d'enregistrer un dossier contiennent l'autorisation resourcemanager.folders.setIamPolicy requise.

  Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

• Identifiez ou créez des buckets Cloud Storage dans lesquels vous pourrez stocker les données d'audit. Pour obtenir des instructions, consultez Créer un bucket.
• Appliquez les frameworks que vous souhaitez auditer à l'organisation, aux dossiers et aux projets appropriés.
• Si vous restreignez les emplacements des ressources, vérifiez que la règle d'administration inclut les emplacements où vous souhaitez traiter votre audit.
• Si vous utilisez des périmètres de service VPC Service Controls, configurez les règles d'entrée et de sortie appropriées.

Enregistrer des ressources

Avant de pouvoir auditer votre environnement, vous devez enregistrer l'organisation, les dossiers ou les projets que vous souhaitez auditer, et spécifier un bucket Cloud Storage. Compliance Manager stocke les données d'audit dans le bucket Cloud Storage.

1. Dans la console, accédez à la page Conformité.

   Accéder à la page Conformité

2. Sélectionnez votre organisation.

3. Dans l'onglet Audit, cliquez sur Paramètres d'audit.

4. Recherchez les projets ou les dossiers que vous souhaitez auditer.

5. Cliquez sur Enroll (Inscrire). L'héritage fonctionne comme suit :

   • Si vous inscrivez une organisation, vous pouvez auditer tous les dossiers et projets.
   • Si vous inscrivez un dossier, vous pouvez auditer les dossiers et les projets qu'il contient.

6. Sélectionnez le bucket Cloud Storage que vous souhaitez utiliser pour stocker les données d'audit ou créez-en un.

7. Cliquez sur Enroll (Inscrire).

Modifier votre inscription de ressources

Vous pouvez modifier le bucket Cloud Storage après avoir inscrit une ressource.

1. Dans la console, accédez à la page Conformité.

   Accéder à la page Conformité

2. Sélectionner votre organisation.

3. Dans l'onglet Audit, cliquez sur Paramètres d'audit.

4. Recherchez le projet ou le dossier que vous souhaitez modifier.

5. Cliquez sur Mettre à jour.

6. Modifiez les informations sur le bucket.

7. Cliquez sur Enroll (Inscrire).

Auditer votre environnement

Effectuez la tâche suivante pour lancer un audit d'un dossier ou d'un projet.

1. Dans la console, accédez à la page Conformité.

   Accéder à la page Conformité

2. Sélectionnez votre organisation.

3. Dans l'onglet Audit, cliquez sur Exécuter l'audit.

4. Sélectionnez la ressource que vous souhaitez auditer. Vous ne pouvez sélectionner qu'un seul dossier ou projet par audit.

5. Sélectionnez un framework.

6. Sélectionnez l'emplacement où l'évaluation de l'audit doit être traitée. Pour obtenir la liste des emplacements acceptés, consultez Emplacements d'audit pour Compliance Manager. Si vous ne voyez pas l'emplacement que vous recherchez, sélectionnez global. Cliquez sur Suivant.

7. Examinez le plan d'évaluation. Ce plan fournit des informations sur le champ d'application de l'audit en fonction du framework que vous avez sélectionné. Pour télécharger le fichier OpenDocument Spreadsheet (ODS), cliquez sur le lien.

8. Cliquez sur Suivant.

9. Sélectionnez le bucket Cloud Storage dans lequel vous souhaitez stocker vos rapports d'audit. Cliquez sur OK.

10. Cliquez sur Exécuter l'audit. L'audit peut prendre un certain temps. Actualisez la page principale Audit pour afficher la progression.

Pour surveiller les modifications apportées au bucket Cloud Storage, vous pouvez configurer des notifications à l'aide d'une fonction basée des sur des événements ou de Pub/Sub.

Afficher les informations d'audit

Une fois un audit terminé, Compliance Manager crée et stocke les artefacts dans les buckets de stockage de destination pour que vous puissiez les consulter.

1. Dans la console, accédez à la page Conformité.

   Accéder à la page Conformité

2. Sélectionnez votre organisation.

3. Dans l'onglet Audit, cliquez sur le lien dans la colonne État pour afficher le récapitulatif de l'audit.

   La page Informations générales affiche des informations sur les contrôles de conformité concernés et l'état de la conformité automatisée :

   • Compliant (Conforme) : affiche les configurations qui répondent à toutes les exigences.
   • Violations (Cas de non-conformité) : affiche les erreurs de configuration détectées par rapport à un contrôle donné.
   • Manual review needed (Examen manuel requis) : affiche les configurations que vous devez valider manuellement pour déterminer si elles sont conformes.
   • Skipped (Ignoré) : indique les configurations que Compliance Manager a ignorées pour un contrôle donné.

4. Suivez les instructions de l'onglet correspondant au type d'informations d'audit que vous souhaitez afficher.

   Rapport récapitulatif sur l'audit

   1. Pour afficher les détails d'un état, cliquez sur Afficher.

   2. Pour exporter le rapport récapitulatif de l'audit, cliquez sur file_uploadExporter.

      Le rapport récapitulatif d'audit est exporté au format ODS.

   Rapport "Vue d'ensemble des contrôle"

   Vous pouvez afficher le rapport "Vue d'ensemble du contrôle" en fonction d'un contrôle ou d'un état.

   Pour afficher la page de présentation d'un contrôle, procédez comme suit :

   1. Dans la liste filtrée, développez le contrôle requis.

   2. Cliquez sur le lien hypertexte correspondant. La page de contrôle affiche les responsabilités, les conclusions et les exigences.

   Pour afficher le rapport "Vue d'ensemble du contrôle" en fonction d'un état :

   1. Pour obtenir l'état requis, cliquez sur Afficher.

   2. Dans la liste des commandes, cliquez sur le lien hypertexte requis. La page de présentation des contrôles affiche les responsabilités, les résultats et les exigences.

   3. Pour afficher des informations sur vos responsabilités et celles de Google concernant ce contrôle, cliquez sur View Shared Responsibility (Afficher la responsabilité partagée).

   Pour exporter le rapport "Vue d'ensemble du contrôle", cliquez sur  file_uploadExporter. Le rapport "Vue d'ensemble du contrôle" est exporté au format ODS.

   Preuves

   Vous pouvez afficher les preuves basées sur un contrôle ou un état.

   Pour afficher les preuves basées sur un contrôle, procédez comme suit :

   1. Développez le contrôle requis.

   2. Pour afficher l'évaluation détaillée de la conformité par rapport à chaque règle, cliquez sur l'hyperlien correspondant.

   La page des contrôles affiche les responsabilités, les conclusions et les exigences.

   Pour afficher les preuves basées sur un état, procédez comme suit :

   1. Pour obtenir l'état requis, cliquez sur Afficher.

   2. Dans la liste des commandes, cliquez sur le lien hypertexte requis.

   La page des contrôles affiche les responsabilités, les conclusions et les exigences.

   Pour afficher les preuves d'un résultat, cliquez sur Click here to open the evidence (Cliquez ici pour ouvrir les preuves) dans la liste filtrée. La page Détails des objets contenant les détails de la preuve s'ouvre dans un onglet distinct.

   Pour télécharger la preuve, cliquez sur download Télécharger. Les preuves sont téléchargées au format JSON.

Vous pouvez également télécharger le rapport et les preuves requis directement depuis le bucket de stockage de destination. Pour en savoir plus, consultez Télécharger un objet à partir d'un bucket.

Rapport récapitulatif sur l'audit

Le rapport récapitulatif sur l'audit est un rapport complet qui fournit une vue d'ensemble de tous les contrôles de conformité et une matrice des responsabilités pour vous aider à comprendre la conformité du dossier ou du projet Google Cloud . Le rapport récapitulatif sur l'audit est disponible au format ODS (OpenDocument Spreadsheet).

Dans le bucket de stockage de destination, le rapport récapitulatif sur l'audit utilise la convention d'attribution de noms suivante :

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

Les valeurs sont les suivantes :

• FRAMEWORK_NAME : nom du framework.
• TIMESTAMP : code temporel indiquant la date et l'heure de génération du rapport.
• UNIQUE_ID : ID unique du rapport.

Pour chaque type de contrôle applicable, les champs suivants sont renseignés dans le rapport récapitulatif sur l'audit :

Type de commande	Description
Informations sur le contrôle	Description et exigences du contrôle.
Responsabilité de Google	ResponsabilitéGoogle Cloud et détails de l'implémentation.
Responsabilité du client	Vos responsabilités et les détails de l'implémentation.
État d'évaluation	État de conformité du contrôle. L'état peut être l'un des types suivants : Non conforme : un écart de conformité a été détecté. Conforme : le système est conforme. Examen manuel requis : les artefacts sont produits, mais l'utilisateur doit fournir des informations pour finaliser l'état de conformité. Ignoré : Compliance Manager ne peut pas évaluer le contrôle cloud.
Lien vers le rapport de contrôle	Lien vers le rapport "Vue d'ensemble du contrôle".

Rapport "Vue d'ensemble du contrôle"

Un rapport "Vue d'ensemble du contrôle" contient une description détaillée de l'évaluation de la conformité pour un seul contrôle. Le rapport fournit des informations sur l'évaluation pour chaque vérification de conformité, avec des observations et des valeurs attendues.

Dans le bucket de stockage de destination, le Rapport "Vue d'ensemble du contrôle" utilise la convention d'attribution de noms suivante :

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

Les valeurs sont les suivantes :

• FRAMEWORK_NAME : nom du framework.
• TIMESTAMP : code temporel de la génération du rapport.
• UNIQUE_ID : ID unique du rapport.
• CONTROL_ID : ID du contrôle.

Dans le rapport, les dates sont au format MM/JJ/AAAA.

Un rapport "Vue d'ensemble du contrôle" ressemble à l'exemple suivant :

Contrôle ID : CONFORME
Nom du service	# de ressources	État	Détails de l'évaluation des ressources
			ID de ressource	Champ mesuré	Valeur actuelle	Valeur attendue	État	URI de la ressource de preuve	Code temporel de la preuve	Preuves pour le projet/dossier	Lien vers la preuve
Nombre total de services concernés par ce contrôle	Total des ressources dans le champ d'application de l'audit	État de conformité	Identifiant de ressource	Configuration à mesurer pour l'audit	Valeurs observées	Valeurs conformes	État de conformité individuel		Code temporel de la collecte des preuves
product1.googleapis.com	2	CONFORME	folder_123456	abc	10	>=10	CONFORME	Ressource 1	10/05/2025 12:55:16	Projet 1	Lien 1
				def	15	=15	CONFORME	Ressource 4	10/05/2025 13:55:16	Projet 1	Lien 4
			project_123456	xyz	20	=20	CONFORME	Ressource 2	10/05/2025 14:55:16	Projet 1	Lien 2
product2.googleapis.com	1	CONFORME	project_123456	def	5	>=5	CONFORME	Ressource 3	10/05/2025 15:55:16	Projet 1	Lien 3

Preuves

Les preuves incluent toutes les ressources évaluées pour chaque contrôle, y compris un dump brut des données des composants ainsi que la commande exécutée pour produire le résultat.

Dans le bucket de stockage de destination, les preuves sont au format JSON et utilisent la convention de dénomination suivante :

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

Les valeurs sont les suivantes :

• FRAMEWORK_NAME : nom du framework.
• TIMESTAMP : code temporel de la génération du rapport.
• UNIQUE_ID : ID unique du rapport.
• EVIDENCE_ID : ID unique de la preuve.