Esegui l'audit del tuo ambiente con Compliance Manager

Compliance Manager ti consente di eseguire audit in base ai framework in modo da poter comprendere lo stato di conformità del tuo ambiente Google Cloud . L'audit dell'ambiente ti consente di completare le seguenti operazioni:

• Automatizza le valutazioni di conformità per valutare in che misura i tuoi Google Cloud workload sono in linea con i tuoi obblighi di conformità.
• Raccogli le prove per i controlli di conformità.
• Identificare le lacune per contribuire a correggere le violazioni.

Compliance Manager può fornire valutazioni per qualsiasi cartella o progettoGoogle Cloud .

La procedura di controllo crea i seguenti artefatti che Compliance Manager archivia nei bucket Cloud Storage:

• Un report di riepilogo del controllo che fornisce quanto segue:
  • Una panoramica di quanto la tua cartella o il tuo progetto sia in linea con i controlli cloud di un framework.
  • Una matrice delle responsabilità per aiutarti a comprendere le responsabilità condivise con Google.
• Un report di riepilogo dei controlli che descrive i risultati della valutazione per un controllo cloud specifico. Questo report fornisce i dettagli della valutazione per ogni controllo di conformità, inclusi osservazioni e valori previsti.
• Le prove utilizzate per creare il report, che includono tutte le risorse valutate per ogni controllo cloud, incluso un dump non elaborato dei dati degli asset.

Prima di iniziare

• Per ottenere le autorizzazioni necessarie per controllare il tuo ambiente, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione, cartella o progetto:

  • Amministratore Compliance Manager (roles/cloudsecuritycompliance.admin)
  • Nel progetto in cui si trova il bucket Cloud Storage, uno dei seguenti ruoli:
    • Storage Admin (roles/storage.admin)
    • Proprietario bucket legacy Storage (roles/storage.legacyBucketOwner)
  • Per registrare un'organizzazione, uno dei seguenti ruoli:
    • Security Admin (roles/iam.securityAdmin)
    • Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)
  • Per registrare una cartella, una delle seguenti opzioni:
    • Security Admin (roles/iam.securityAdmin)
    • Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)
    • Folder Admin (roles/resourcemanager.folderAdmin)
    • Folder IAM Admin (roles/resourcemanager.folderIamAdmin)

  Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

  I ruoli per la registrazione di un'organizzazione contengono l'autorizzazione resourcemanager.organizations.setIamPolicy richiesta. I ruoli per la registrazione di una cartella contengono l'autorizzazione resourcemanager.folders.setIamPolicy richiesta.

  Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

• Identifica o crea bucket Cloud Storage in cui puoi archiviare i dati di audit. Per le istruzioni, vedi Creare un bucket.
• Applica i framework che vuoi controllare all'organizzazione, alle cartelle e ai progetti appropriati.
• Se limiti le località delle risorse, verifica che la policy dell'organizzazione includa le località in cui vuoi elaborare l'audit.
• Se utilizzi i perimetri di servizio Controlli di servizio VPC, configura le regole in entrata e in uscita appropriate.

Registrare le risorse

Prima di poter eseguire l'audit del tuo ambiente, devi registrare l'organizzazione, le cartelle o i progetti di cui vuoi eseguire l'audit e specificare un bucket Cloud Storage. Compliance Manager archivia i dati di audit nel bucket Cloud Storage.

1. Nella console, vai alla pagina Conformità.

   Vai a Conformità

2. Seleziona la tua organizzazione.

3. Nella scheda Controllo, fai clic su Impostazioni di controllo.

4. Trova i progetti o le cartelle che vuoi controllare.

5. Fai clic su Registrati. L'ereditarietà funziona nel seguente modo:

   • Se registri un'organizzazione, puoi controllare tutte le cartelle e tutti i progetti.
   • Se registri una cartella, puoi controllare le cartelle e i progetti al suo interno.

6. Seleziona il bucket Cloud Storage che vuoi utilizzare per archiviare i dati di audit o crea un nuovo bucket.

7. Fai clic su Registrati.

Aggiornare la registrazione delle risorse

Puoi modificare il bucket Cloud Storage dopo aver registrato una risorsa.

1. Nella console, vai alla pagina Conformità.

   Vai a Conformità

2. Seleziona la tua organizzazione.

3. Nella scheda Controllo, fai clic su Impostazioni di controllo.

4. Trova il progetto o la cartella che vuoi modificare.

5. Fai clic su Aggiorna.

6. Modifica le informazioni del bucket.

7. Fai clic su Registrati.

Controllare l'ambiente

Completa la seguente attività per avviare un audit di una cartella o di un progetto.

1. Nella console, vai alla pagina Conformità.

   Vai a Conformità

2. Seleziona la tua organizzazione.

3. Nella scheda Controllo, fai clic su Esegui controllo.

4. Seleziona la risorsa che vuoi controllare. Puoi selezionare solo una cartella o un progetto per ogni controllo.

5. Seleziona un framework.

6. Seleziona la località in cui deve essere elaborata la valutazione dell'audit. Per l'elenco delle località supportate, consulta Località di controllo per Compliance Manager. Se non vedi la località che stai cercando, seleziona Globale. Fai clic su Avanti.

7. Rivedi il piano di valutazione. Questo piano fornisce informazioni sull'ambito dell'audit in base al framework che hai selezionato. Per scaricare il file OpenDocument Spreadsheet (ODS), fai clic sul link.

8. Fai clic su Avanti.

9. Seleziona il bucket Cloud Storage in cui vuoi archiviare i report di audit. Fai clic su Fine.

10. Fai clic su Esegui controllo. Il completamento dell'audit potrebbe richiedere un po' di tempo. Aggiorna la pagina principale Audit per visualizzare lo stato di avanzamento.

Per monitorare le modifiche al bucket Cloud Storage, puoi configurare le notifiche utilizzando una funzione basata su eventi o Pub/Sub.

Visualizzare informazioni di controllo

Al termine di un audit, Compliance Manager crea e archivia gli artefatti nei bucket di archiviazione di destinazione per consentirti di visualizzarli.

1. Nella console, vai alla pagina Conformità.

   Vai a Conformità

2. Seleziona la tua organizzazione.

3. Nella scheda Audit, per visualizzare il riepilogo dell'audit, fai clic sul link nella colonna Stato.

   La pagina Informazioni di base mostra le informazioni sui controlli di conformità nell'ambito e lo stato della conformità automatizzata:

   • Conforme:mostra le configurazioni che soddisfano tutti i requisiti.
   • Violazioni:mostra gli errori di configurazione rilevati in base a un determinato controllo.
   • È necessaria una revisione manuale:mostra le configurazioni che devi convalidare manualmente per determinare se sono conformi.
   • Ignorate:mostra le configurazioni che Compliance Manager ha ignorato per un determinato controllo.

4. A seconda del tipo di informazioni di controllo che vuoi visualizzare, segui le istruzioni nella scheda corrispondente.

   Report di riepilogo del controllo

   1. Per visualizzare i dettagli di uno stato, fai clic su Visualizza.

   2. Per esportare il report di riepilogo dell'audit, fai clic su file_uploadEsporta.

      Il report di riepilogo del controllo viene esportato in formato ODS.

   Report Panoramica controlli

   Puoi visualizzare il report di riepilogo dei controlli in base a un controllo o a uno stato.

   Per visualizzare la pagina di panoramica dei controlli in base a un controllo:

   1. Nell'elenco filtrato, espandi il controllo richiesto.

   2. Fai clic sul link ipertestuale corrispondente. La pagina di controllo mostra la responsabilità, i risultati e i requisiti.

   Per visualizzare il report di panoramica del controllo in base a uno stato:

   1. Per lo stato richiesto, fai clic su Visualizza.

   2. Nell'elenco dei controlli, fai clic sul collegamento ipertestuale richiesto. La pagina di panoramica del controllo mostra la responsabilità, i risultati e i requisiti.

   3. Per visualizzare informazioni sulle tue responsabilità e su quelle di Google per questo controllo, fai clic su Visualizza responsabilità condivisa.

   Per esportare il report di riepilogo dei controlli, fai clic su file_uploadEsporta. Il report di riepilogo dei controlli viene esportato in formato ODS.

   Prove

   Puoi visualizzare le prove in base al controllo o allo stato.

   Per visualizzare le prove in base a un controllo:

   1. Espandi il controllo richiesto.

   2. Per visualizzare la valutazione dettagliata della conformità a ogni regola, fai clic sul rispettivo collegamento ipertestuale.

   La pagina dei controlli mostra la responsabilità, i risultati e i requisiti.

   Per visualizzare le prove in base a uno stato:

   1. Per lo stato richiesto, fai clic su Visualizza.

   2. Nell'elenco dei controlli, fai clic sul collegamento ipertestuale richiesto.

   La pagina dei controlli mostra la responsabilità, i risultati e i requisiti.

   Per visualizzare le prove di un risultato, fai clic su Fai clic qui per aprire le prove nell'elenco filtrato. La pagina Dettagli oggetto con i dettagli della prova si apre in una scheda separata.

   Per scaricare la prova, fai clic su download Scarica. Le prove vengono scaricate in formato JSON.

In alternativa, puoi scaricare il report e le prove richiesti direttamente dal bucket di archiviazione di destinazione. Per ulteriori informazioni, vedi Scaricare un oggetto da un bucket.

Report di riepilogo del controllo

Il report di riepilogo del controllo è un report completo che fornisce una panoramica di tutti i controlli di conformità e una matrice delle responsabilità per aiutarti a comprendere la conformità della cartella o del progetto Google Cloud . Il report di riepilogo del controllo è disponibile in formato foglio di lavoro OpenDocument (ODS).

Nel bucket di archiviazione di destinazione, il report di riepilogo del controllo utilizza la seguente convenzione di denominazione:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

I valori sono i seguenti:

• FRAMEWORK_NAME: il nome del framework.
• TIMESTAMP: un timestamp che indica quando è stato generato il report.
• UNIQUE_ID: un ID univoco per il report.

Per ogni tipo di controllo applicabile, nel report di riepilogo del controllo vengono compilati i seguenti campi:

Tipo di controllo	Descrizione
Informazioni sul controllo	Una descrizione e un requisito per il controllo.
Responsabilità di Google	Google Cloud responsabilità e dettagli di implementazione.
Responsabilità del cliente	La tua responsabilità e i dettagli di implementazione.
Stato della valutazione	Stato di conformità del controllo. Lo stato può essere uno dei seguenti tipi: Non conforme: è stata rilevata una deviazione dalla conformità. Conforme: l'impianto è conforme. È necessaria una revisione manuale: vengono prodotti artefatti, ma è necessario l'input utente per finalizzare lo stato di conformità. Ignorato: Compliance Manager non può valutare il controllo cloud.
Link al report di controllo	Un link al report Panoramica dei controlli.

Report Panoramica controllo

Un report di panoramica del controllo contiene una descrizione dettagliata della valutazione della conformità per un singolo controllo. Il report fornisce i dettagli della valutazione per ogni controllo di conformità con osservazioni e valori previsti.

Nel bucket di archiviazione di destinazione, il report di panoramica del controllo utilizza la seguente convenzione di denominazione:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

I valori sono i seguenti:

• FRAMEWORK_NAME: il nome del framework.
• TIMESTAMP: un timestamp relativo al momento in cui è stato generato il report.
• UNIQUE_ID: un ID univoco per il report.
• CONTROL_ID: l'ID del controllo.

All'interno del report, le date utilizzano il formato MM/GG/AAAA.

Un report di riepilogo dei controlli è simile al seguente esempio:

Controllo ID: CONFORME
Nome servizio	Numero di risorse	Stato	Dettagli della valutazione delle risorse
			ID risorsa	Campo misurato	Valore corrente	Valore previsto	Stato	URI risorsa prova	Timestamp della prova	Prove per progetto/cartella	Link alla prova
Numero totale di servizi inclusi nell'ambito di questo controllo	Risorse totali nell'ambito del controllo	Stato di conformità	Identificatore di risorse	Configurazione da misurare per l'audit	Valori osservati	Valori conformi	Stato di conformità individuale		Timestamp di raccolta delle prove
product1.googleapis.com	2	CONFORME	folder_123456	abc	10	>=10	CONFORME	Risorsa 1	10/05/2025 12:55:16	Progetto 1	Link 1
				def	15	=15	CONFORME	Risorsa 4	10/05/2025 13:55:16	Progetto 1	Link 4
			project_123456	xyz	20	=20	CONFORME	Risorsa 2	10/05/2025 14:55:16	Progetto 1	Link 2
product2.googleapis.com	1	CONFORME	project_123456	def	5	>=5	CONFORME	Risorsa 3	10/05/2025 15:55:16	Progetto 1	Link 3

Prove

Le prove includono tutte le risorse valutate per ogni controllo, incluso un dump non elaborato dei dati degli asset insieme al comando eseguito per produrre l'output.

Nel bucket di archiviazione di destinazione, le prove sono in formato JSON e utilizzano la seguente convenzione di denominazione:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

I valori sono i seguenti:

• FRAMEWORK_NAME: il nome del framework.
• TIMESTAMP: un timestamp relativo al momento in cui è stato generato il report.
• UNIQUE_ID: un ID univoco per il report.
• EVIDENCE_ID: un ID univoco per la prova.