Com o Compliance Manager, é possível executar auditorias nos frameworks para entender o estado de conformidade do seu ambiente do Google Cloud . Com a auditoria do ambiente, é possível fazer o seguinte:
- Automatize as avaliações de compliance para avaliar se suas cargas de trabalho do Google Cloudestão alinhadas às obrigações de compliance.
- Coletar evidências para auditorias de compliance.
- Identifique lacunas para ajudar a corrigir violações.
O Compliance Manager pode fornecer avaliações para qualquer pasta ou projeto doGoogle Cloud .
O processo de auditoria cria os seguintes artefatos que o Gerenciador de compliance armazena em buckets do Cloud Storage:
- Um relatório de resumo da auditoria que fornece o seguinte:
- Uma visão geral de como sua pasta ou projeto se alinha aos controles de nuvem em um framework.
- Uma matriz de responsabilidades para ajudar você a entender as responsabilidades compartilhadas com o Google.
- Um relatório de visão geral do controle que descreve os resultados da avaliação de um controle específico da nuvem. Ele fornece detalhes da avaliação para cada verificação de compliance, incluindo observações e valores esperados.
- As evidências usadas para criar o relatório, que incluem todos os recursos avaliados para cada controle de nuvem, incluindo um despejo bruto de dados de recursos.
Antes de começar
-
Para receber as permissões necessárias para auditar seu ambiente, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização, pasta ou projeto:
- Administrador do Compliance Manager (
roles/cloudsecuritycompliance.admin) -
No projeto em que o bucket do Cloud Storage está localizado, faça uma das seguintes ações:
- Administrador do Storage (
roles/storage.admin) - Proprietário de bucket legado do Storage (
roles/storage.legacyBucketOwner)
- Administrador do Storage (
-
Para inscrever uma organização, faça uma das seguintes ações:
- Administrador de segurança (
roles/iam.securityAdmin) - Administrador da organização (
roles/resourcemanager.organizationAdmin)
- Administrador de segurança (
-
Para inscrever um projeto:
Administrador de IAM do projeto (
roles/resourcemanager.projectIamAdmin) -
Para inscrever uma pasta, faça uma destas ações:
- Administrador de segurança (
roles/iam.securityAdmin) - Administrador da organização (
roles/resourcemanager.organizationAdmin) - Administrador de pastas (
roles/resourcemanager.folderAdmin) - Administrador de pastas do IAM (
roles/resourcemanager.folderIamAdmin)
- Administrador de segurança (
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Os papéis para registrar uma organização contêm a permissãoresourcemanager.organizations.setIamPolicynecessária. Os papéis para registrar uma pasta contêm a permissãoresourcemanager.folders.setIamPolicynecessária.Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
- Administrador do Compliance Manager (
- Identifique ou crie buckets do Cloud Storage para armazenar os dados de auditoria. Para instruções, consulte Criar um bucket.
- Aplique os frameworks que você quer auditar à organização, pastas e projetos adequados.
- Se você restringir locais de recursos, verifique se a política da organização inclui os locais em que você quer processar a auditoria.
- Se você estiver usando perímetros de serviço do VPC Service Controls, configure as regras de entrada e saída adequadas.
- Ative o Audit Manager.
Registrar recursos
Antes de auditar seu ambiente, inscreva a organização, as pastas ou os projetos que você quer auditar e especifique um bucket do Cloud Storage. O Compliance Manager armazena os dados de auditoria no bucket do Cloud Storage.
É possível inscrever recursos e configurar buckets do Cloud Storage para auditoria usando o Audit Manager ou o Compliance Manager. Os recursos e buckets registrados estão disponíveis para o Audit Manager e o Compliance Manager, que podem usá-los para fins de auditoria.
No console, acesse a página Compliance.
Selecione a organização ou o projeto.
Na guia Auditoria, clique em Configurações de auditoria.
Encontre os projetos ou pastas que você quer auditar.
Clicar em Inscrever. A herança funciona da seguinte maneira:
- Se você inscrever uma organização, poderá auditar todas as pastas e projetos.
- Se você inscrever uma pasta, poderá auditar as pastas e os projetos dentro dela.
Selecione o bucket do Cloud Storage que você quer usar para armazenar dados de auditoria ou crie um novo bucket.
Clicar em Inscrever.
Atualizar a inscrição de recursos
É possível mudar o bucket do Cloud Storage depois de inscrever um recurso.
No console, acesse a página Compliance.
Selecione a organização ou o projeto.
Na guia Auditoria, clique em Configurações de auditoria.
Encontre o projeto ou a pasta que você quer mudar.
Clique em Atualizar.
Modifique as informações do bucket.
Clicar em Inscrever.
Faça uma auditoria do seu ambiente
Conclua a tarefa a seguir para iniciar uma auditoria de uma pasta ou projeto.
No console, acesse a página Compliance.
Selecione a organização ou o projeto.
Na guia Auditoria, clique em Executar auditoria.
Selecione o recurso que você quer auditar. Só é possível selecionar uma pasta ou projeto para cada auditoria.
Selecione um framework.
Selecione o local em que a avaliação de auditoria precisa ser processada. Para conferir a lista de locais compatíveis, consulte Locais de auditoria do Gerenciador de compliance. Se você não encontrar o local que procura, selecione global. Clique em Next.
Analise o plano de avaliação. Esse plano fornece informações sobre o escopo da auditoria com base no framework selecionado. Para baixar o arquivo de planilha OpenDocument (ODS), clique no link.
Clique em Próxima.
Selecione o bucket do Cloud Storage em que você quer armazenar os relatórios de auditoria. Clique em Concluído.
Clique em Executar auditoria. A auditoria pode levar algum tempo para ser concluída. Atualize a página principal Auditoria para conferir o progresso.
Para monitorar mudanças no bucket do Cloud Storage, configure notificações usando uma função acionada por eventos ou Pub/Sub.
Ver informações de auditoria
Quando uma auditoria é concluída, o Compliance Manager cria e armazena os artefatos nos buckets de armazenamento de destino para que você possa visualizá-los.
No console, acesse a página Compliance.
Selecione a organização ou o projeto.
Na guia Auditoria, para ver o resumo da auditoria, clique no link na coluna Status.
A página Informações básicas mostra as informações sobre os controles de compliance no escopo e o status do compliance automatizado:
- Em conformidade:mostra as configurações que atendem a todos os requisitos.
- Violações:mostra as configurações incorretas detectadas em um determinado controle.
- Revisão manual necessária:mostra as configurações que você precisa validar manualmente para determinar se elas estão em conformidade.
- Ignoradas:mostra as configurações que o Gerenciador de compliance ignorou para um determinado controle.
Dependendo do tipo de informação de auditoria que você quer ver, siga as instruções na guia correspondente.
Relatório resumido de auditoria
- Para conferir os detalhes de um status, clique em Ver.
Para exportar o relatório de resumo da auditoria, clique em Exportar.
O relatório de resumo da auditoria é exportado no formato ODS.
Relatório de visão geral do controle
É possível conferir o relatório de visão geral do controle com base em um controle ou status.
Para acessar a página de visão geral do controle com base em um controle, faça o seguinte:
Na lista filtrada, expanda o controle necessário.
Clique no hiperlink correspondente. A página de controle mostra a responsabilidade, as descobertas e os requisitos.
Para conferir o relatório de visão geral do controle com base em um status, faça o seguinte:
Para o status necessário, clique em Visualizar.
Na lista de controles, clique no hiperlink necessário. A página de visão geral do controle mostra a responsabilidade, as descobertas e os requisitos.
Para conferir informações sobre suas responsabilidades e as do Google em relação a esse controle, clique em Ver responsabilidade compartilhada.
Para exportar o relatório de visão geral do controle, clique em Exportar. O relatório de visão geral do controle é exportado no formato ODS.
Evidência
É possível conferir as evidências com base no controle ou no status.
Para conferir as evidências com base em um controle, faça o seguinte:
Abra o controle necessário.
Para conferir a avaliação detalhada de conformidade com cada regra, clique no hiperlink correspondente.
A página de controles mostra a responsabilidade, as descobertas e os requisitos.
Para conferir as evidências com base em um status, faça o seguinte:
Para o status necessário, clique em Visualizar.
Na lista de controles, clique no hiperlink necessário.
A página de controles mostra a responsabilidade, as descobertas e os requisitos.
Para ver as evidências de uma descoberta, na lista filtrada, clique em Clique aqui para abrir as evidências. A página Detalhes do objeto com os detalhes da evidência é aberta em outra guia.
Para fazer o download da evidência, clique em Fazer o download. A evidência é baixada no formato JSON.
Também é possível baixar o relatório e as evidências necessários diretamente do bucket de armazenamento de destino. Para mais informações, consulte Fazer o download de um objeto de um bucket.
Relatório resumido de auditoria
O relatório de resumo da auditoria é abrangente e oferece uma visão geral de todos os controles de compliance e uma matriz de responsabilidades para ajudar você a entender a conformidade da pasta ou do projeto Google Cloud . O relatório de resumo da auditoria está disponível no formato de planilha OpenDocument (ODS).
No bucket de armazenamento de destino, o relatório de resumo da auditoria usa a seguinte convenção de nomenclatura:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods
Os valores são os seguintes:
FRAMEWORK_NAME: o nome do framework.TIMESTAMP: um carimbo de data/hora que indica quando o relatório foi gerado.UNIQUE_ID: um ID exclusivo para o relatório.
Para cada tipo de controle aplicável, os seguintes campos são preenchidos no relatório de resumo da auditoria:
| Tipo de controle | Descrição |
|---|---|
| Informações de controle | Uma descrição e um requisito para o controle. |
| Responsabilidade do Google | Google Cloud responsabilidade e detalhes da implementação. |
| Responsabilidade do cliente | Sua responsabilidade e detalhes de implementação. |
| Status da avaliação |
Status de conformidade do controle. O status pode ser um dos seguintes tipos:
|
| Link do relatório de controle | Um link para o relatório de visão geral do controle. |
Relatório de visão geral do controle
Um relatório de visão geral do controle contém uma descrição detalhada da avaliação de compliance para um único controle. O relatório fornece detalhes da avaliação para cada verificação de conformidade com observações e valores esperados.
No bucket de armazenamento de destino, o relatório de visão geral do controle usa a seguinte convenção de nomenclatura:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods
Os valores são os seguintes:
FRAMEWORK_NAME: o nome do framework.TIMESTAMP: um carimbo de data/hora de quando o relatório foi gerado.UNIQUE_ID: um ID exclusivo para o relatório.CONTROL_ID: o ID do controle.
No relatório, as datas usam o formato MM/DD/AAAA.
Um relatório de visão geral do controle é semelhante ao exemplo a seguir:
| Controle ID: EM CONFORMIDADE | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Nome do serviço | Número de recursos | Status | Detalhes da avaliação de recursos | ||||||||
| ID do recurso | Campo de medição | Valor atual | Valor esperado | Status | URI do recurso de evidência | Carimbo de data/hora da evidência | Evidência para projeto/pasta | Link de evidência | |||
| Total de serviços no escopo deste controle | Total de recursos no escopo da auditoria | Status de compliance | Identificador de recursos | Configuração a ser medida para auditoria | Valores observados | Valores em conformidade | Status de compliance individual | Carimbo de data/hora de quando a evidência foi coletada | |||
| product1.googleapis.com | 2 | COMPLIANT | folder_123456 | abc | 10 | >=10 | COMPLIANT | Recurso 1 | 10/05/2025 12:55:16 | Projeto 1 | Link 1 |
| def | 15 | =15 | COMPLIANT | Recurso 4 | 05/10/2025 13:55:16 | Projeto 1 | Link 4 | ||||
| project_123456 | xyz | 20 | =20 | COMPLIANT | Recurso 2 | 05/10/2025 14:55:16 | Projeto 1 | Link 2 | |||
| product2.googleapis.com | 1 | COMPLIANT | project_123456 | def | 5 | >=5 | COMPLIANT | Recurso 3 | 05/10/2025 15:55:16 | Projeto 1 | Link 3 |
Evidência
As evidências incluem todos os recursos avaliados para cada controle, incluindo um despejo bruto de dados de ativos e o comando executado para produzir a saída.
No bucket de armazenamento de destino, as evidências estão no formato JSON e usam a seguinte convenção de nomenclatura:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json
Os valores são os seguintes:
FRAMEWORK_NAME: o nome do framework.TIMESTAMP: um carimbo de data/hora de quando o relatório foi gerado.UNIQUE_ID: um ID exclusivo para o relatório.EVIDENCE_ID: um ID exclusivo para a evidência.