ביקורת בסביבה באמצעות Compliance Manager

בעזרת Compliance Manager אפשר להריץ ביקורות בהתאם למסגרות שלו, כדי להבין את מצב התאימות של סביבת Google Cloud העבודה שלכם. ביקורת בסביבה מאפשרת לכם:

  • אוטומציה של הערכות תאימות כדי לבדוק עד כמה עומסי העבודה Google Cloud שלכם תואמים להתחייבויות שלכם לפעול בהתאם לדרישות.
  • איסוף הוכחות לביקורות תאימות.
  • זיהוי פערים שיעזרו לתקן הפרות.

ב-Compliance Manager אפשר לקבל הערכות לכלGoogle Cloud תיקייה או פרויקט.

תהליך הביקורת יוצר את הארטיפקטים הבאים, ש-Compliance Manager מאחסן בקטגוריות של Cloud Storage:

  • דוח סיכום של הביקורת, שכולל את הפרטים הבאים:
    • סקירה כללית של מידת ההתאמה של התיקייה או הפרויקט לבקרות בענן במסגרת.
    • טבלת אחריות שתעזור לכם להבין את האחריות המשותפת שלכם ושל Google.
  • דוח סקירה כללית של אמצעי בקרה שמתאר את תוצאות ההערכה של אמצעי בקרה ספציפי בענן. בדוח הזה מופיעים פרטי ההערכה של כל בדיקת תאימות, כולל תצפיות וערכים צפויים.
  • הראיות ששימשו ליצירת הדוח, כולל כל המשאבים שנבדקו עבור כל אמצעי בקרה בענן, כולל פריקת נתונים גולמיים של נכסים.

לפני שמתחילים

רישום משאבים

כדי לבצע ביקורת בסביבה, צריך לרשום את הארגון, התיקיות או הפרויקטים שרוצים לבדוק, ולציין bucket ב-Cloud Storage. הנתונים של הביקורת מאוחסנים בקטגוריה של Cloud Storage.

אתם יכולים לרשום משאבים ולהגדיר קטגוריות של Cloud Storage לביקורת באמצעות Audit Manager או Compliance Manager. המשאבים והמאגרי מידע שאתם רושמים זמינים גם ל-Audit Manager וגם ל-Compliance Manager לשימוש למטרות ביקורת.

  1. נכנסים לדף Compliance במסוף.

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה ביקורת, לוחצים על הגדרות ביקורת.

  4. מאתרים את הפרויקטים או התיקיות שרוצים לבדוק.

  5. לוחצים על הרשמה. כך פועלת קבלת הגדרות בירושה:

    • אם תרשמו ארגון, תוכלו לבצע ביקורת על כל התיקיות והפרויקטים.
    • אם רושמים תיקייה, אפשר לבצע ביקורת בתיקיות ובפרויקטים שבתוך התיקייה הזו.
  6. בוחרים את קטגוריית Cloud Storage שבה רוצים לאחסן את נתוני הביקורת, או יוצרים קטגוריה חדשה.

  7. לוחצים על הרשמה.

עדכון ההרשמה של המשאב

אפשר לשנות את הקטגוריה של Cloud Storage אחרי שמצרפים משאב.

  1. נכנסים לדף Compliance במסוף.

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה ביקורת, לוחצים על הגדרות ביקורת.

  4. מאתרים את הפרויקט או התיקייה שרוצים לשנות.

  5. לוחצים על עדכון.

  6. משנים את פרטי המאגר.

  7. לוחצים על הרשמה.

בדיקת הסביבה

כדי להתחיל בביקורת על תיקייה או על פרויקט, צריך לבצע את המשימה הבאה.

  1. נכנסים לדף Compliance במסוף.

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה ביקורת, לוחצים על הפעלת ביקורת.

  4. בוחרים את המשאב שרוצים לבדוק. אפשר לבחור רק תיקייה אחת או פרויקט אחד לכל ביקורת.

  5. בוחרים מסגרת.

  6. בוחרים את המיקום שבו צריך לעבד את הערכת הביקורת. רשימת המיקומים הנתמכים מופיעה במאמר מיקומי ביקורת ב-Compliance Manager. אם המיקום שאתם מחפשים לא מופיע, בוחרים באפשרות global. לוחצים על הבא.

  7. בודקים את תוכנית ההערכה. בתוכנית הזו מפורט היקף הביקורת על סמך המסגרת שבחרתם. כדי להוריד את קובץ הגיליון האלקטרוני בפורמט OpenDocument ‏ (ODS), לוחצים על הקישור.

  8. לוחצים על הבא.

  9. בוחרים את הקטגוריה של Cloud Storage שבה רוצים לאחסן את דוחות הביקורת. לוחצים על סיום.

  10. לוחצים על הפעלת הביקורת. יכול להיות שיעבור קצת זמן עד שהביקורת תושלם. כדי לראות את ההתקדמות, צריך לרענן את הדף הראשי ביקורת.

כדי לעקוב אחרי שינויים בקטגוריה של Cloud Storage, אפשר להגדיר התראות באמצעות פונקציה מבוססת-אירועים או Pub/Sub.

הצגת פרטי הביקורת

כשביקורת מסתיימת, Compliance Manager יוצר את הארטיפקטים ומאחסן אותם בקטגוריות האחסון של היעד, כדי שתוכלו לצפות בהם.

  1. נכנסים לדף Compliance במסוף.

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה ביקורת, לוחצים על הקישור בעמודה סטטוס כדי לראות את סיכום הביקורת.

    בדף מידע בסיסי מוצג מידע על אמצעי הבקרה לתאימות שנכללים בהיקף ועל הסטטוס של התאימות האוטומטית:

    • תואמת: מוצגות ההגדרות שעומדות בכל הדרישות.
    • הפרות: הצגת טעויות בהגדרות שזוהו ביחס לאמצעי בקרה מסוים.
    • נדרשת בדיקה ידנית: מוצגות ההגדרות שצריך לאמת ידנית כדי לקבוע אם הן תואמות.
    • דילוג: כאן מוצגות ההגדרות שמערכת Compliance Manager דילגה עליהן עבור אמצעי בקרה מסוים.
  4. בהתאם לסוג המידע על הביקורת שרוצים לראות, פועלים לפי ההוראות בכרטיסייה המתאימה.

    דוח סיכום ביקורת

    1. כדי לראות את הפרטים של סטטוס מסוים, לוחצים על הצגה.
    2. כדי לייצא את דוח סיכום הביקורת, לוחצים על ייצוא.

      דוח סיכום הביקורת מיוצא בפורמט ODS.

    דוח סקירה כללית של אמצעי הבקרה

    אפשר לראות את דוח הסקירה הכללית של אמצעי הבקרה לפי אמצעי בקרה או לפי סטטוס.

    כדי להציג את דף הסקירה הכללית של אמצעי הבקרה על סמך אמצעי בקרה מסוים, מבצעים את הפעולות הבאות:

    1. ברשימה המסוננת, מרחיבים את האמצעי הנדרש.

    2. לוחצים על ההיפר-קישור המתאים. בדף הבקרה מוצגים האחריות, הממצאים והדרישות.

    כדי לראות את דוח הסקירה הכללית של קבוצת הבקרה על סמך סטטוס:

    1. לוחצים על הצגה ליד הסטטוס הנדרש.

    2. ברשימת אמצעי הבקרה, לוחצים על ההיפר-קישור הנדרש. בדף הסקירה הכללית של אמצעי הבקרה מוצגים האחריות, הממצאים והדרישות.

    3. כדי לראות מידע על האחריות שלכם ועל האחריות של Google בנוגע לאמצעי הבקרה הזה, לוחצים על הצגת אחריות משותפת.

    כדי לייצא את הדוח של סקירת אמצעי הבקרה, לוחצים על ייצוא. דוח הסקירה הכללית של אמצעי הבקרה מיוצא בפורמט ODS.

    הוכחות

    אפשר לראות את הראיות לפי אמצעי בקרה או סטטוס.

    כדי לראות את הראיות שמבוססות על אמצעי בקרה:

    1. מרחיבים את האמצעי הנדרש.

    2. כדי לראות את הערכת התאימות המפורטת לכל כלל, לוחצים על ההיפר-קישור המתאים.

    בדף הבקרה מוצגים האחריות, הממצאים והדרישות.

    כדי לראות את ההוכחות על סמך סטטוס:

    1. לוחצים על הצגה ליד הסטטוס הנדרש.

    2. ברשימת אמצעי הבקרה, לוחצים על ההיפר-קישור הנדרש.

    בדף הבקרה מוצגים האחריות, הממצאים והדרישות.

    כדי לראות את ההוכחות לממצא, ברשימה המסוננת, לוחצים על כאן כדי לפתוח את ההוכחות. הדף Object details עם פרטי הראיות ייפתח בכרטיסייה נפרדת.

    כדי להוריד את הראיות, לוחצים על הורדה. הראיות מורדות בפורמט JSON.

אפשרות נוספת היא להוריד את הדוח וההוכחות הנדרשים ישירות מדליק האחסון של היעד. מידע נוסף זמין במאמר הורדת אובייקט מקטגוריה.

דוח סיכום ביקורת

דוח סיכום הביקורת הוא דוח מקיף שמספק סקירה כללית של כל אמצעי הבקרה לתאימות ומטריצת אחריות, כדי לעזור לכם להבין את התאימות של התיקייה או הפרויקט. Google Cloud דוח סיכום הביקורת זמין בפורמט OpenDocument Spreadsheet ‏ (ODS).

בדוח סיכום הביקורת בקטגוריית האחסון של היעד, נעשה שימוש במוסכמת השמות הבאה:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

הערכים האפשריים הם:

  • FRAMEWORK_NAME: שם ה-framework.
  • TIMESTAMP: חותמת זמן שמציינת מתי הדוח נוצר.
  • UNIQUE_ID: מזהה ייחודי של הדוח.

השדות הבאים מאוכלסים בדוח סיכום הביקורת לכל סוג בקרה רלוונטי:

סוג הבקרה תיאור
פרטי הבקרה תיאור ודרישה לגבי אמצעי הבקרה.
האחריות של Google Google Cloud אחריות ופרטי הטמעה.
באחריות הלקוח האחריות שלכם ופרטי ההטמעה.
סטטוס ההערכה

סטטוס התאימות של אמצעי הבקרה. הסטטוס יכול להיות אחד מהסוגים הבאים:

  • Non-Compliant: זוהה שינוי שמוביל לאי-עמידה בדרישות.
  • עומד בדרישות: המערכת עומדת בדרישות.
  • נדרשת בדיקה ידנית: נוצרים ארטיפקטים, אבל נדרשת הזנה של משתמש כדי להשלים את סטטוס התאימות.
  • דילוג: Compliance Manager לא יכול להעריך את אמצעי הבקרה בענן.
קישור לדוח בקרה קישור לדוח הסקירה הכללית של אמצעי הבקרה.

דוח סקירה כללית של אמצעי הבקרה

דוח סקירה כללית של אמצעי בקרה מכיל תיאור מפורט של הערכת התאימות של אמצעי בקרה יחיד. בדוח מפורטים פרטי ההערכה של כל בדיקת תאימות, כולל תצפיות וערכים צפויים.

בדוח הסקירה הכללית של הבקרה, בקטגוריית האחסון של היעד, נעשה שימוש במוסכמת השמות הבאה:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

הערכים האפשריים הם:

  • FRAMEWORK_NAME: שם ה-framework.
  • TIMESTAMP: חותמת זמן שבה הדוח נוצר.
  • UNIQUE_ID: מזהה ייחודי של הדוח.
  • CONTROL_ID: המזהה של אמצעי הבקרה.

התאריכים בדוח מוצגים בפורמט MM/DD/YYYY.

דוגמה לדוח סקירה כללית של אמצעי בקרה:

שליטה ב-ID: תאימות
שם השירות מספר המשאבים סטטוס Resource Evaluation Details
מזהה המשאב שדה נמדד ערך נוכחי הערך הצפוי סטטוס ‫URI של משאב הוכחה חותמת זמן של הראיות ראיות לפרויקט או לתיקייה קישור להוכחה
סך כל השירותים שנכללים בהיקף של אמצעי הבקרה הזה סך כל המשאבים בהיקף הביקורת סטטוס התאימות מזהה משאבים ההגדרה שתיבדק בביקורת ערכים שנצפו ערכים שעומדים בדרישות סטטוס התאימות של האדם חותמת זמן של מועד איסוף ההוכחות
product1.googleapis.com 2 עמידה בדרישות folder_123456 abc 10 ‫‎>=10 עמידה בדרישות מקור מידע 1 10/05/2025 12:55:16 פרויקט 1 קישור 1
def 15 ‎=15 עמידה בדרישות מקור מידע 4 10/05/2025 13:55:16 פרויקט 1 קישור 4
project_123456 xyz 20 =20 עמידה בדרישות מקור מידע 2 10/05/2025 14:55:16 פרויקט 1 קישור 2
product2.googleapis.com 1 עמידה בדרישות project_123456 def 5 ‫5 ומעלה עמידה בדרישות מקור מידע 3 10/05/2025 15:55:16 פרויקט 1 קישור 3

הוכחות

ההוכחות כוללות את כל המשאבים שנבדקו עבור כל אמצעי בקרה, כולל פריקת נתונים גולמית של נתוני נכסים, יחד עם הפקודה שהופעלה כדי ליצור את הפלט.

בקטגוריית האחסון של היעד, הראיות הן בפורמט JSON והשמות שלהן נבנים לפי המוסכמה הבאה:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

הערכים האפשריים הם:

  • FRAMEWORK_NAME: שם ה-framework.
  • TIMESTAMP: חותמת זמן שבה הדוח נוצר.
  • UNIQUE_ID: מזהה ייחודי של הדוח.
  • EVIDENCE_ID: מזהה ייחודי של הראיה.