Audita tu entorno con el Administrador de cumplimiento

El Administrador de cumplimiento te permite ejecutar auditorías en relación con los frameworks para que puedas comprender el estado de cumplimiento de tu entorno de Google Cloud . Auditar tu entorno te permite completar las siguientes tareas:

• Automatizar las evaluaciones de cumplimiento para evaluar cómo se alinean tus cargas de trabajo de Google Cloud con tus obligaciones de cumplimiento.
• Recopilar pruebas para las auditorías de cumplimiento.
• Identificar las brechas para ayudar a corregir los incumplimientos.

El Administrador de cumplimiento puede proporcionar evaluaciones para cualquier carpeta o proyecto deGoogle Cloud .

El proceso de auditoría crea los siguientes artefactos que el Administrador de cumplimiento almacena en buckets de Cloud Storage:

• Un informe de resumen de la auditoría que proporcione la siguiente información:
  • Una descripción general de qué tan bien se alinea tu carpeta o proyecto con los controles de la nube en un framework.
  • Una matriz de responsabilidades para ayudarte a comprender tus responsabilidades compartidas con Google.
• Un informe de resumen de los controles que describe los resultados de la evaluación de un control de la nube específico. En este informe, se proporcionan detalles de la evaluación para cada comprobación de cumplimiento, incluidas las observaciones y los valores esperados.
• Evidencia que se usa para crear el informe y que incluye todos los recursos evaluados de cada control de la nube, así como un volcado sin procesar de los datos de los activos.

Antes de comenzar

• Si quieres obtener los permisos que necesitas para auditar el entorno, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización, carpeta o proyecto:

  • Administrador de cumplimiento (roles/cloudsecuritycompliance.admin)
  • En el proyecto en el que se encuentra el bucket de Cloud Storage, uno de los siguientes:
    • Administrador de almacenamiento (roles/storage.admin)
    • Propietario de buckets heredados de almacenamiento (roles/storage.legacyBucketOwner)
  • Para registrar una organización, se necesita uno de los siguientes roles:
    • Administrador de seguridad (roles/iam.securityAdmin)
    • Administrador de la organización (roles/resourcemanager.organizationAdmin)
  • Para registrar una carpeta, se necesita uno de los siguientes roles:
    • Administrador de seguridad (roles/iam.securityAdmin)
    • Administrador de la organización (roles/resourcemanager.organizationAdmin)
    • Administrador de carpetas (roles/resourcemanager.folderAdmin)
    • Administrador de IAM de carpeta (roles/resourcemanager.folderIamAdmin)

  Si deseas obtener más información para otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

  Los roles para registrar una organización contienen el permiso resourcemanager.organizations.setIamPolicy requerido. Los roles para registrar una carpeta contienen el permiso resourcemanager.folders.setIamPolicy requerido.

  También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

• Identifica o crea buckets de Cloud Storage en los que puedas almacenar los datos de auditoría. Para obtener instrucciones, consulta Crea un bucket.
• Aplica los frameworks que deseas auditar a la organización, las carpetas y los proyectos correspondientes.
• Si restringes las ubicaciones de recursos, verifica que la política de la organización incluya las ubicaciones en las que deseas procesar tu auditoría.
• Si usas perímetros de servicio de los Controles del servicio de VPC, configura las reglas de entrada y salida adecuadas.

Registra recursos

Antes de auditar tu entorno, debes registrar la organización, las carpetas o los proyectos que deseas auditar y especificar un bucket de Cloud Storage. El Administrador de cumplimiento almacena los datos de auditoría en el bucket de Cloud Storage.

1. En la consola, ve a la página Cumplimiento.

   Ve a cumplimiento

2. Selecciona tu organización.

3. En la pestaña Auditoría, haz clic en Configuración de auditoría.

4. Busca los proyectos o las carpetas que quieras auditar.

5. Haz clic en Inscribir. La herencia funciona de la siguiente manera:

   • Si registras una organización, puedes auditar todas las carpetas y los proyectos.
   • Si registras una carpeta, puedes auditar las carpetas y los proyectos dentro de ella.

6. Elige el bucket de Cloud Storage que deseas usar para almacenar los datos de auditoría o crea un bucket nuevo.

7. Haz clic en Inscribir.

Actualiza el registro de tus recursos

Puedes cambiar el bucket de Cloud Storage después de registrar un recurso.

1. En la consola, ve a la página Cumplimiento.

   Ve a cumplimiento

2. Selecciona tu organización.

3. En la pestaña Auditoría, haz clic en Configuración de auditoría.

4. Busca el proyecto o la carpeta que quieras cambiar.

5. Haz clic en Actualizar.

6. Modifica la información del bucket.

7. Haz clic en Inscribir.

Audita tu entorno

Completa la siguiente tarea para iniciar una auditoría de una carpeta o un proyecto.

1. En la consola, ve a la página Cumplimiento.

   Ve a cumplimiento

2. Selecciona tu organización.

3. En la pestaña Auditoría, haz clic en Ejecutar auditoría.

4. Elige el recurso que deseas explorar. Solo puedes elegir una carpeta o un proyecto para cada auditoría.

5. Elige un framework.

6. Elige la ubicación en la que se debe procesar la evaluación de auditoría. Para obtener la lista de ubicaciones admitidas, consulta Ubicaciones de auditoría del Administrador de cumplimiento. Si no ves la ubicación que buscas, elige global. Haz clic en Siguiente.

7. Revisa el plan de evaluación. En este plan, se proporciona información sobre el permiso de la auditoría según el framework que elegiste. Para descargar el archivo de hoja de cálculo de OpenDocument (ODS), haz clic en el vínculo.

8. Haz clic en Siguiente.

9. Elige el bucket de Cloud Storage en el que deseas almacenar tus informes de auditoría. Haz clic en Listo.

10. Haz clic en Ejecutar auditoría. La auditoría puede tomar un tiempo en completarse. Actualiza la página principal de Auditoría para ver el progreso.

Para mirar los cambios en el bucket de Cloud Storage, puedes configurar notificaciones con una función basada en eventos o Pub/Sub.

Consulta la información de auditoría

Cuando se completa una auditoría, el Administrador de cumplimiento crea y almacena los artefactos en los buckets de almacenamiento de destino para que los veas.

1. En la consola, ve a la página Cumplimiento.

   Ve a cumplimiento

2. Selecciona tu organización.

3. Para ver el resumen de la auditoría, en la pestaña Auditoría, haz clic en el vínculo de la columna Estado.

   En la página Información básica, se muestra la información sobre los controles de cumplimiento incluidos en el permiso y el estado del cumplimiento automatizado:

   • Cumplimiento: Muestra los parámetros de configuración que cumplen con todos los requisitos.
   • Incumplimientos: Muestra los parámetros de configuración incorrectos que se detectan en un control determinado.
   • Se necesita una revisión manual: Muestra los parámetros de configuración que debes validar de forma manual para determinar si cumplen con los requisitos.
   • Omitidos: Muestra los parámetros de configuración que el Administrador de cumplimiento omitió para un control determinado.

4. Según el tipo de información de auditoría que desees ver, sigue las instrucciones de la pestaña correspondiente.

   Informe de resumen de auditoría

   1. Para ver los detalles de un estado, haz clic en Ver.

   2. Para exportar el informe de resumen de auditoría, haz clic en file_uploadExportar.

      El informe de resumen de auditoría se exporta en formato ODS.

   Informe de resumen de controles

   Puedes ver el informe de resumen del control según un control o un estado.

   Para ver la página de página de resumen del control en función de un control, haz lo siguiente:

   1. En la lista filtrada, expande el control requerido.

   2. Haz clic en el hipervínculo correspondiente. En la página de control, se muestran la responsabilidad, los hallazgos y los requisitos.

   Para ver el informe de resumen de controles según un estado, haz lo siguiente:

   1. Para ver el estado requerido, haz clic en Ver.

   2. En la lista de controles, haz clic en el hipervínculo requerido. En la página de resumen del control, se muestran la responsabilidad, los hallazgos y los requisitos.

   3. Para ver información sobre tus responsabilidades y las de Google en relación con este control, haz clic en Ver responsabilidad compartida.

   Para exportar el informe de resumen del control, haz clic en file_uploadExportar. El informe de resumen del control se exporta en formato ODS.

   Evidencia

   Puedes ver la evidencia según el control o el estado.

   Para ver la evidencia basada en un control, haz lo siguiente:

   1. Expande el control requerido.

   2. Para ver la evaluación de cumplimiento detallada de cada regla, haz clic en el hipervínculo correspondiente.

   En la página de controles, se muestran la responsabilidad, los hallazgos y los requisitos.

   Para ver la evidencia según un estado, haz lo siguiente:

   1. Para ver el estado requerido, haz clic en Ver.

   2. En la lista de controles, haz clic en el hipervínculo requerido.

   En la página de controles, se muestran la responsabilidad, los hallazgos y los requisitos.

   Si deseas ver la evidencia de un hallazgo, en la lista filtrada, haz clic en Haz clic aquí para abrir la evidencia. Se abrirá la página Detalles del objeto con los detalles de la evidencia en una pestaña separada.

   Para descargar la evidencia, haz clic en download Descargar. La evidencia se descarga en formato JSON.

Como alternativa, puedes descargar el informe y la evidencia requeridos directamente del bucket de almacenamiento de destino. Para obtener más información, consulta Descarga un objeto de un bucket.

Informe de resumen de auditoría

El informe de resumen de auditoría es un informe integral que proporciona una descripción general de todos los controles de cumplimiento y una matriz de responsabilidades para ayudarte a comprender el cumplimiento de la carpeta o el proyecto de Google Cloud . El informe de resumen de auditoría está disponible en formato de hoja de cálculo de OpenDocument (ODS).

En el bucket de almacenamiento de destino, el informe de resumen de auditoría usa la siguiente convención para asignar nombres:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

Los valores son los siguientes:

• FRAMEWORK_NAME: Es el nombre del framework.
• TIMESTAMP: Es una marca de tiempo que indica cuándo se generó el informe.
• UNIQUE_ID: Es un ID único para el informe.

Para cada tipo de control aplicable, los siguientes campos se completan en el informe de resumen de auditoría:

Tipo de control	Descripción
Información de control	Es una descripción y un requisito para el control.
Responsabilidad de Google	Es la responsabilidad y detalles de implementación deGoogle Cloud .
Responsabilidad del cliente	Es tu responsabilidad y los detalles de implementación.
Estado de evaluación	Es el estado de cumplimiento del control. El estado puede ser uno de los siguientes tipos: No cumple con los requisitos: Se detectó un desvío de cumplimiento. Cumplimiento: El sistema cumple con los requisitos. Se requiere una revisión manual: Se producen artefactos, pero se requiere la entrada del usuario para finalizar el estado de cumplimiento. Omitido: El Administrador de cumplimiento no puede evaluar el control de nube.
Vínculo al informe de control	Es un vínculo al informe de resumen del control.

Informe de resumen de controles

Un informe de resumen del control contiene una descripción detallada de la evaluación de cumplimiento para un solo control. El informe proporciona detalles de la evaluación para cada comprobación de cumplimiento con observaciones y valores esperados.

En el bucket de almacenamiento de destino, el informe de resumen del control usa la siguiente convención para asignar nombres:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

Los valores son los siguientes:

• FRAMEWORK_NAME: Es el nombre del framework.
• TIMESTAMP: Es la marca de tiempo en la que se generó el informe.
• UNIQUE_ID: Es un ID único para el informe.
• CONTROL_ID: Es el ID del control.

En el informe, las fechas usan el formato MM/DD/AAAA.

Un informe de resumen de controles es similar al siguiente ejemplo:

Control ID: CUMPLE CON LOS REQUISITOS
Nombre del servicio	# de recursos	Estado	Detalles de la evaluación de recursos
			ID de recurso	Campo medido	Valor actual	Valor esperado	Estado	URI del recurso de evidencia	Marca de tiempo de la evidencia	Evidencia del proyecto o la carpeta	Vínculo de evidencia
Servicios totales incluidos en el alcance de este control	Recursos totales en el alcance de la auditoría	Estado de cumplimiento	Identificador de recursos	Configuración que se medirá para la auditoría	Valores observados	Valores que cumplen con los requisitos	Estado de cumplimiento individual		Marca de tiempo en la que se recopiló la evidencia
product1.googleapis.com	2	CUMPLE	folder_123456	abc	10	>=10	CUMPLE	Recurso 1	10/05/2025 12:55:16	Proyecto 1	Vínculo 1
				def	15	=15	CUMPLE	Recurso 4	10/05/2025 13:55:16	Proyecto 1	Vínculo 4
			project_123456	xyz	20	=20	CUMPLE	Recurso 2	10/05/2025 14:55:16	Proyecto 1	Vínculo 2
product2.googleapis.com	1	CUMPLE	project_123456	def	5	>=5	CUMPLE	Recurso 3	10/05/2025 15:55:16	Proyecto 1	Vínculo 3

Evidencia

La evidencia incluye todos los recursos evaluados para cada control, lo que incluye un volcado sin procesar de los datos de los activos junto con el comando que se ejecutó para producir el resultado.

En el bucket de almacenamiento de destino, la evidencia está en formato JSON y usa la siguiente convención para asignar nombres:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

Los valores son los siguientes:

• FRAMEWORK_NAME: Es el nombre del framework.
• TIMESTAMP: Es la marca de tiempo en la que se generó el informe.
• UNIQUE_ID: Es un ID único para el informe.
• EVIDENCE_ID: Es un ID único para la evidencia.