בעזרת Compliance Manager אפשר להריץ ביקורות בהתאם למסגרות, כדי להבין את מצב התאימות של סביבת Google Cloud העבודה. ביקורת בסביבה מאפשרת לכם:
- אפשר להשתמש באוטומציה כדי להעריך את רמת התאימות של עומסי העבודה שלכם לדרישות התאימות. Google Cloud
- איסוף הוכחות לביקורות תאימות.
- זיהוי פערים שיעזרו לכם לתקן הפרות.
ב-Compliance Manager אפשר לקבל הערכות לכלGoogle Cloud תיקייה או פרויקט.
תהליך הביקורת יוצר את הארטיפקטים הבאים, ש-Compliance Manager מאחסן בקטגוריות של Cloud Storage:
- דוח סיכום של הביקורת שכולל את הפרטים הבאים:
- סקירה כללית של מידת ההתאמה של התיקייה או הפרויקט לבקרות בענן במסגרת.
- טבלת אחריות שתעזור לכם להבין את האחריות המשותפת שלכם ושל Google.
- דוח סקירה כללית של אמצעי בקרה שמתאר את תוצאות ההערכה של אמצעי בקרה ספציפי בענן. בדוח הזה מופיעים פרטים על כל בדיקת תאימות, כולל תצפיות וערכים צפויים.
- הראיות ששימשו ליצירת הדוח, כולל כל המשאבים שנבדקו עבור כל אמצעי בקרה בענן, כולל dump גולמי של נתוני נכסים.
לפני שמתחילים
-
כדי לקבל את ההרשאות שדרושות לביצוע ביקורת בסביבה שלכם, אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון, בתיקייה או בפרויקט:
-
אדמין ב-Compliance Manager (
roles/cloudsecuritycompliance.admin) -
בפרויקט שבו נמצאת הקטגוריה של Cloud Storage, אחת מהאפשרויות הבאות:
-
אדמין באחסון (
roles/storage.admin) -
בעלים של קטגוריה באחסון מדור קודם (
roles/storage.legacyBucketOwner)
-
אדמין באחסון (
-
כדי לרשום ארגון, צריך לבחור אחת מהאפשרויות הבאות:
-
אדמין לענייני אבטחה (
roles/iam.securityAdmin) -
אדמין ארגוני (
roles/resourcemanager.organizationAdmin)
-
אדמין לענייני אבטחה (
-
כדי לרשום תיקייה, צריך לבצע אחת מהפעולות הבאות:
-
אדמין לענייני אבטחה (
roles/iam.securityAdmin) -
אדמין ארגוני (
roles/resourcemanager.organizationAdmin) -
אדמין בתיקייה (
roles/resourcemanager.folderAdmin) -
אדמין IAM בתיקייה (
roles/resourcemanager.folderIamAdmin)
-
אדמין לענייני אבטחה (
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
התפקידים להרשמה לארגון מכילים את ההרשאה הנדרשתresourcemanager.organizations.setIamPolicy. התפקידים להרשמת תיקייה מכילים את ההרשאה הנדרשתresourcemanager.folders.setIamPolicy.יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
-
אדמין ב-Compliance Manager (
- מזהים או יוצרים קטגוריות של Cloud Storage שבהן אפשר לאחסן את נתוני הביקורת. הוראות מפורטות מופיעות במאמר יצירת קטגוריה.
- מחילים את המסגרות שרוצים לבדוק על הארגון, התיקיות והפרויקטים המתאימים.
- אם הגבלתם את המיקומים של המשאבים, ודאו שמדיניות הארגון כוללת את המיקומים שבהם אתם רוצים לעבד את הביקורת.
- אם אתם משתמשים בגבולות גזרה לשירות של VPC Service Controls, אתם צריכים להגדיר את הכללים המתאימים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress).
רישום משאבים
כדי לבצע ביקורת בסביבה, צריך לרשום את הארגון, התיקיות או הפרויקטים שרוצים לבדוק, ולציין דלי ב-Cloud Storage. נתוני הביקורת נשמרים ב-Compliance Manager בקטגוריה של Cloud Storage.
נכנסים לדף Compliance במסוף.
בוחרים את הארגון.
בכרטיסייה ביקורת, לוחצים על הגדרות ביקורת.
מאתרים את הפרויקטים או התיקיות שרוצים לבדוק.
לוחצים על הרשמה. כך פועל העיקרון של ירושה:
- אם תרשמו ארגון, תוכלו לבצע ביקורת על כל התיקיות והפרויקטים.
- אם רושמים תיקייה, אפשר לבצע ביקורת בתיקיות ובפרויקטים שבתוך התיקייה הזו.
בוחרים את קטגוריית Cloud Storage שבה רוצים לאחסן את נתוני הביקורת, או יוצרים קטגוריה חדשה.
לוחצים על הרשמה.
עדכון ההרשמה למשאבים
אפשר לשנות את הקטגוריה של Cloud Storage אחרי שמצרפים משאב.
נכנסים לדף Compliance במסוף.
בוחרים את הארגון.
בכרטיסייה ביקורת, לוחצים על הגדרות ביקורת.
מאתרים את הפרויקט או התיקייה שרוצים לשנות.
לוחצים על עדכון.
משנים את פרטי ה-bucket.
לוחצים על הרשמה.
ביקורת בסביבה
כדי להתחיל בביקורת על תיקייה או על פרויקט, צריך לבצע את המשימה הבאה.
נכנסים לדף Compliance במסוף.
בוחרים את הארגון.
בכרטיסייה ביקורת, לוחצים על הפעלת ביקורת.
בוחרים את המשאב שרוצים לבדוק. אפשר לבחור רק תיקייה אחת או פרויקט אחד לכל ביקורת.
בוחרים מסגרת.
בוחרים את המיקום שבו צריך לעבד את הערכת הביקורת. רשימת המיקומים הנתמכים מופיעה במאמר מיקומי ביקורת ב-Compliance Manager. אם המיקום שאתם מחפשים לא מופיע, בוחרים באפשרות global (גלובלי). לוחצים על הבא.
בודקים את תוכנית ההערכה. בתוכנית הזו מפורט מידע על היקף הביקורת על סמך המסגרת שבחרתם. כדי להוריד את קובץ הגיליון האלקטרוני בפורמט OpenDocument (ODS), לוחצים על הקישור.
לוחצים על הבא.
בוחרים את הקטגוריה של Cloud Storage שבה רוצים לאחסן את דוחות הביקורת. לוחצים על סיום.
לוחצים על הפעלת הביקורת. יכול להיות שיעבור קצת זמן עד שהביקורת תושלם. כדי לראות את ההתקדמות, צריך לרענן את הדף הראשי ביקורת.
כדי לעקוב אחרי שינויים בקטגוריה של Cloud Storage, אפשר להגדיר התראות באמצעות פונקציה מבוססת-אירועים או Pub/Sub.
הצגת פרטי הביקורת
כשביקורת מסתיימת, Compliance Manager יוצר את הארטיפקטים ומאחסן אותם בקטגוריות האחסון של היעד, כדי שתוכלו לצפות בהם.
נכנסים לדף Compliance במסוף.
בוחרים את הארגון.
בכרטיסייה ביקורת, לוחצים על הקישור בעמודה סטטוס כדי לראות את סיכום הביקורת.
בדף מידע בסיסי מוצג מידע על אמצעי הבקרה לתאימות שכלולים בהיקף ועל הסטטוס של התאימות האוטומטית:
- תואמות: מוצגות ההגדרות שעומדות בכל הדרישות.
- הפרות: הצגת טעויות בהגדרות שזוהו ביחס לאמצעי בקרה מסוים.
- נדרשת בדיקה ידנית: מוצגות ההגדרות שצריך לאמת ידנית כדי לקבוע אם הן תואמות.
- דילוג: כאן מוצגות ההגדרות שהכלי Compliance Manager דילג עליהן עבור אמצעי בקרה מסוים.
בהתאם לסוג המידע על הביקורת שרוצים לראות, פועלים לפי ההוראות בכרטיסייה המתאימה.
דוח סיכום ביקורת
- כדי לראות את הפרטים של סטטוס מסוים, לוחצים על הצגה.
כדי לייצא את דוח סיכום הביקורת, לוחצים על ייצוא.
דוח סיכום הביקורת מיוצא בפורמט ODS.
דוח סקירה כללית של אמצעי הבקרה
אפשר לראות את דוח הסקירה הכללית של אמצעי הבקרה לפי אמצעי בקרה או סטטוס.
כדי להציג את דף הסקירה הכללית של אמצעי הבקרה על סמך אמצעי בקרה מסוים, מבצעים את הפעולות הבאות:
ברשימה המסוננת, מרחיבים את האמצעי הרצוי.
לוחצים על ההיפר-קישור המתאים. בדף הבקרה מוצגים האחריות, הממצאים והדרישות.
כדי לראות את דוח הסקירה הכללית של אמצעי הבקרה על סמך סטטוס:
לוחצים על הצגה ליד הסטטוס הנדרש.
ברשימת אמצעי הבקרה, לוחצים על ההיפר-קישור הנדרש. בדף הסקירה הכללית של אמצעי הבקרה מוצגים האחריות, הממצאים והדרישות.
כדי לראות מידע על האחריות שלכם ועל האחריות של Google בנוגע לאמצעי הבקרה הזה, לוחצים על הצגת אחריות משותפת.
כדי לייצא את דוח הסקירה הכללית של אמצעי הבקרה, לוחצים על ייצוא. דוח סקירה כללית של אמצעי הבקרה מיוצא בפורמט ODS.
הוכחות
אפשר לראות את הראיות לפי אמצעי בקרה או סטטוס.
כדי לראות את הראיות שמבוססות על אמצעי בקרה:
מרחיבים את האמצעי הנדרש.
כדי לראות את הערכת התאימות המפורטת לכל כלל, לוחצים על ההיפר-קישור המתאים.
בדף הבקרה מוצגים האחריות, הממצאים והדרישות.
כדי לראות את ההוכחות על סמך סטטוס:
לוחצים על הצגה ליד הסטטוס הנדרש.
ברשימת אמצעי הבקרה, לוחצים על ההיפר-קישור הנדרש.
בדף הבקרה מוצגים האחריות, הממצאים והדרישות.
כדי לראות את הראיות לממצא, ברשימה המסוננת, לוחצים על כאן כדי לפתוח את הראיות. הדף Object details עם פרטי הראיות ייפתח בכרטיסייה נפרדת.
כדי להוריד את הראיות, לוחצים על הורדה. הראיות מורדות בפורמט JSON.
אפשרות נוספת היא להוריד את הדוח וההוכחות הנדרשים ישירות מקטגוריית האחסון של היעד. מידע נוסף זמין במאמר הורדת אובייקט מקטגוריה.
דוח סיכום ביקורת
דוח סיכום הביקורת הוא דוח מקיף שמספק סקירה כללית של כל אמצעי הבקרה לתאימות ומטריצת אחריות, כדי לעזור לכם להבין את התאימות של Google Cloud התיקייה או הפרויקט. דוח סיכום הביקורת זמין בפורמט OpenDocument Spreadsheet (ODS).
בקטגוריית האחסון של היעד, דוח סיכום הביקורת משתמש במוסכמת השמות הבאה:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods
הערכים האפשריים הם:
-
FRAMEWORK_NAME: שם ה-framework. -
TIMESTAMP: חותמת זמן שמציינת מתי הדוח נוצר. -
UNIQUE_ID: מזהה ייחודי של הדוח.
לכל סוג בקרה רלוונטי, השדות הבאים מאוכלסים בדוח סיכום הביקורת:
| סוג הבקרה | תיאור |
|---|---|
| פרטי הבקרה | תיאור ודרישה לגבי אמצעי הבקרה. |
| האחריות של Google | Google Cloud אחריות ופרטי הטמעה. |
| באחריות הלקוח | האחריות שלכם ופרטי ההטמעה. |
| סטטוס ההערכה |
סטטוס התאימות של אמצעי הבקרה. הסטטוס יכול להיות אחד מהסוגים הבאים:
|
| קישור לדוח בקרה | קישור לדוח הסקירה הכללית של אמצעי הבקרה. |
דוח סקירה כללית של אמצעי הבקרה
דוח סקירה כללית של אמצעי בקרה מכיל תיאור מפורט של הערכת התאימות של אמצעי בקרה יחיד. בדוח מפורטים פרטי ההערכה של כל בדיקת תאימות, כולל תצפיות וערכים צפויים.
בדוח הסקירה הכללית של אמצעי הבקרה בקטגוריית האחסון של היעד, נעשה שימוש במוסכמת השמות הבאה:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods
הערכים האפשריים הם:
-
FRAMEWORK_NAME: שם ה-framework. -
TIMESTAMP: חותמת זמן שבה הדוח נוצר. -
UNIQUE_ID: מזהה ייחודי של הדוח. -
CONTROL_ID: המזהה של אמצעי הבקרה.
התאריכים בדוח מוצגים בפורמט MM/DD/YYYY.
דוגמה לדוח סקירה כללית של אמצעי בקרה:
| שליטה ב-ID: תאימות | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| שם השירות | מספר המשאבים | סטטוס | Resource Evaluation Details | ||||||||
| מזהה המשאב | שדה נמדד | ערך נוכחי | ערך צפוי | סטטוס | URI של משאב הוכחה | חותמת זמן של הראיות | ראיות לפרויקט או לתיקייה | קישור להוכחה | |||
| סך כל השירותים בהיקף הבקרה הזו | סך כל המשאבים בהיקף הביקורת | סטטוס התאימות | מזהה משאבים | ההגדרה שתימדד לצורך ביקורת | ערכים שנצפו | ערכים שעומדים בדרישות | סטטוס התאימות של כל משתמש | חותמת זמן של מועד איסוף הראיות | |||
| product1.googleapis.com | 2 | עמידה בדרישות | folder_123456 | abc | 10 | >=10 | עמידה בדרישות | מקור מידע 1 | 10/05/2025 12:55:16 | פרויקט 1 | קישור 1 |
| def | 15 | =15 | עמידה בדרישות | מקור מידע 4 | 10/05/2025 13:55:16 | פרויקט 1 | קישור 4 | ||||
| project_123456 | xyz | 20 | =20 | עמידה בדרישות | מקור מידע 2 | 10/05/2025 14:55:16 | פרויקט 1 | קישור 2 | |||
| product2.googleapis.com | 1 | עמידה בדרישות | project_123456 | def | 5 | >=5 | עמידה בדרישות | מקור מידע 3 | 10/05/2025 15:55:16 | פרויקט 1 | קישור 3 |
הוכחות
ההוכחות כוללות את כל המשאבים שנבדקו עבור כל אמצעי בקרה, כולל פלט גולמי של נתוני נכסים יחד עם הפקודה שהופעלה כדי ליצור את הפלט.
בקטגוריית האחסון של היעד, הראיות הן בפורמט JSON והשמות שלהן נבנים לפי המוסכמה הבאה:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json
הערכים האפשריים הם:
-
FRAMEWORK_NAME: שם ה-framework. -
TIMESTAMP: חותמת זמן שבה הדוח נוצר. -
UNIQUE_ID: מזהה ייחודי של הדוח. -
EVIDENCE_ID: מזהה ייחודי של הראיה.