Audite o seu ambiente com o Gestor de conformidade

O Gestor de conformidade permite-lhe executar auditorias em relação a frameworks para que possa compreender o estado de conformidade do seu ambiente. Google Cloud A auditoria do seu ambiente permite-lhe concluir o seguinte:

• Automatize as avaliações de conformidade para avaliar o nível de alinhamento das suas cargas de trabalho com as suas obrigações de conformidade. Google Cloud
• Recolha provas para auditorias de conformidade.
• Identifique lacunas para ajudar a corrigir violações.

O Gestor de conformidade pode fornecer avaliações para qualquer Google Cloud pasta ou projeto.

O processo de auditoria cria os seguintes artefactos que o Compliance Manager armazena em contentores do Cloud Storage:

• Um relatório de resumo da auditoria que fornece o seguinte:
  • Uma vista geral do alinhamento da sua pasta ou projeto com os controlos na nuvem num framework.
  • Uma matriz de responsabilidades para ajudar a compreender as suas responsabilidades partilhadas com a Google.
• Um relatório de vista geral dos controlos que descreve os resultados da avaliação de um controlo da nuvem específico. Este relatório fornece detalhes de avaliação para cada verificação de conformidade, incluindo observações e valores esperados.
• As provas usadas para criar o relatório, que incluem todos os recursos avaliados para cada controlo da nuvem, incluindo uma transferência não processada de dados de recursos.

Antes de começar

• Para obter as autorizações de que precisa para auditar o seu ambiente, peça ao administrador que lhe conceda as seguintes funções de IAM na sua organização, pasta ou projeto:

  • Administrador do Compliance Manager (roles/cloudsecuritycompliance.admin)
  • No projeto onde o contentor do Cloud Storage está localizado, uma das seguintes opções:
    • Administrador de armazenamento (roles/storage.admin)
    • Storage Legacy Bucket Owner (roles/storage.legacyBucketOwner)
  • Para inscrever uma organização, tem de ter uma das seguintes opções:
    • Administrador de segurança (roles/iam.securityAdmin)
    • Administrador da organização (roles/resourcemanager.organizationAdmin)
  • Para inscrever uma pasta, tem de ter uma das seguintes opções:
    • Administrador de segurança (roles/iam.securityAdmin)
    • Administrador da organização (roles/resourcemanager.organizationAdmin)
    • Administrador da pasta (roles/resourcemanager.folderAdmin)
    • Administrador de IAM de pastas (roles/resourcemanager.folderIamAdmin)

  Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

  As funções para inscrever uma organização contêm a autorização resourcemanager.organizations.setIamPolicy necessária. As funções para inscrever uma pasta contêm a autorização resourcemanager.folders.setIamPolicy necessária.

  Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

• Identifique ou crie contentores do Cloud Storage onde pode armazenar os dados de auditoria. Para ver instruções, consulte o artigo Crie um contentor.
• Aplique as estruturas que quer auditar à organização, às pastas e aos projetos adequados.
• Se restringir as localizações dos recursos, verifique se a política organizacional inclui as localizações onde quer processar a sua auditoria.
• Se estiver a usar perímetros de serviço dos VPC Service Controls, configure as regras de entrada e saída adequadas.

Inscreva recursos

Antes de poder auditar o seu ambiente, tem de inscrever a organização, as pastas ou os projetos que quer auditar e especificar um contentor do Cloud Storage. O Gestor de conformidade armazena os dados de auditoria no contentor do Cloud Storage.

1. Na consola, aceda à página Conformidade.

   Aceder a Conformidade

2. Selecione a sua organização.

3. No separador Auditoria (pré-visualização), clique em Definições de auditoria.

4. Encontre os projetos ou as pastas que quer auditar.

5. Clique em Inscrever-se. A herança funciona da seguinte forma:

   • Se inscrever uma organização, pode auditar todas as pastas e projetos.
   • Se inscrever uma pasta, pode auditar as pastas e os projetos nessa pasta.

6. Selecione o contentor do Cloud Storage que quer usar para armazenar dados de auditoria ou crie um novo contentor.

7. Clique em Inscrever-se.

Atualize a inscrição de recursos

Pode alterar o contentor do Cloud Storage depois de inscrever um recurso.

1. Na consola, aceda à página Conformidade.

   Aceder a Conformidade

2. Selecione a sua organização.

3. No separador Auditoria (pré-visualização), clique em Definições de auditoria.

4. Encontre o projeto ou a pasta que quer alterar.

5. Clique em Atualizar.

6. Modifique as informações do contentor.

7. Clique em Inscrever-se.

Audite o seu ambiente

Conclua a tarefa seguinte para iniciar uma auditoria de uma pasta ou de um projeto.

1. Na consola, aceda à página Conformidade.

   Aceder a Conformidade

2. Selecione a sua organização.

3. No separador Auditoria (pré-visualização), clique em Executar auditoria.

4. Selecione o recurso que quer auditar. Só pode selecionar uma pasta ou um projeto para cada auditoria.

5. Selecione uma estrutura aplicada.

6. Selecione a localização onde a avaliação da auditoria tem de ser processada. Para ver a lista de localizações suportadas, consulte o artigo Localizações de auditoria para o Gestor de conformidade. Se não vir a localização que procura, selecione global. Clique em Seguinte.

7. Reveja o plano de avaliação. Este plano fornece informações sobre o âmbito da auditoria com base na estrutura que selecionou. Para transferir o ficheiro de folha de cálculo OpenDocument (ODS), clique no link.

8. Clicar em Seguinte.

9. Selecione o contentor do Cloud Storage no qual quer armazenar os seus relatórios de auditoria. Clique em Concluído.

10. Clique em Executar auditoria. A auditoria pode demorar algum tempo a ser concluída. Atualize a página Auditoria principal para ver o progresso.

Para monitorizar alterações ao contentor do Cloud Storage, pode configurar notificações através de uma função baseada em eventos ou do Pub/Sub.

Veja informações de auditoria

Quando uma auditoria é concluída, o Gestor de conformidade cria e armazena os artefactos nos contentores de armazenamento de destino para que os possa ver.

1. Na consola, aceda à página Conformidade.

   Aceder a Conformidade

2. Selecione a sua organização.

3. No separador Auditoria (pré-visualização), para ver o resumo da auditoria, clique no link na coluna Estado.

   A página Informações básicas apresenta as informações sobre os controlos de conformidade no âmbito e o estado da conformidade automatizada:

   • Em conformidade: mostra as configurações que cumprem todos os requisitos.
   • Violações: mostra as configurações incorretas detetadas em relação a um determinado controlo.
   • Revisão manual necessária: mostra as configurações que requerem validação manual para determinar se estão em conformidade.
   • Ignorado: mostra as configurações que o Compliance Manager ignorou para um determinado controlo.

4. Consoante o tipo de informações de auditoria que quer ver, siga as instruções no separador correspondente.

   Relatório de resumo de auditoria

   1. Para ver os detalhes de um estado, clique em Ver.

   2. Para exportar o relatório de resumo da auditoria, clique em file_uploadExportar.

      O relatório de resumo de auditoria é exportado no formato ODS.

   Relatório de vista geral do grupo de controlo

   Pode ver o relatório de vista geral do controlo com base num controlo ou num estado.

   Para ver a página de vista geral do controlo com base num controlo, faça o seguinte:

   1. Na lista filtrada, expanda o controlo necessário.

   2. Clique na hiperligação correspondente. A página de controlo mostra a responsabilidade, as conclusões e os requisitos.

   Para ver o relatório de vista geral do controlo com base num estado, faça o seguinte:

   1. Para o estado necessário, clique em Ver.

   2. Na lista de controlos, clique na hiperligação necessária. A página de vista geral dos controlos mostra a responsabilidade, as conclusões e os requisitos.

   Para exportar o relatório Vista geral do controlo, clique em file_uploadExportar. O relatório de vista geral de controlo é exportado no formato ODS.

   Provas

   Pode ver as provas com base no controlo ou no estado.

   Para ver as provas com base num controlo, faça o seguinte:

   1. Expanda o controlo necessário.

   2. Para ver a avaliação detalhada da conformidade com cada regra, clique na hiperligação correspondente.

   A página de controlos mostra a responsabilidade, as conclusões e os requisitos.

   Para ver as provas com base num estado, faça o seguinte:

   1. Para o estado necessário, clique em Ver.

   2. Na lista de controlos, clique na hiperligação necessária.

   A página de controlos mostra a responsabilidade, as conclusões e os requisitos.

   Para ver as provas de uma descoberta, na lista filtrada, clique em Clique aqui para abrir as provas. A página Detalhes do objeto com os detalhes das provas é aberta num separador separado.

   Para transferir as provas, clique em download Transferir. As provas são transferidas no formato JSON.

Em alternativa, pode transferir o relatório e as provas necessários diretamente do contentor de armazenamento de destino. Para mais informações, consulte o artigo Transfira um objeto de um contentor.

Relatório de resumo de auditoria

O relatório de resumo da auditoria é um relatório abrangente que oferece uma vista geral de todos os controlos de conformidade e uma matriz de responsabilidades para ajudar a compreender a conformidade da pasta ou do projeto. Google Cloud O relatório de resumo de auditoria está disponível no formato de folha de cálculo OpenDocument (ODS).

No contentor de armazenamento de destino, o relatório de resumo da auditoria usa a seguinte convenção de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

Os valores são os seguintes:

• FRAMEWORK_NAME: o nome da framework.
• TIMESTAMP: uma data/hora que indica quando o relatório foi gerado.
• UNIQUE_ID: um ID exclusivo para o relatório.

Para cada tipo de controlo aplicável, os seguintes campos são preenchidos no relatório de resumo da auditoria:

Tipo de controlo	Descrição
Informações de controlo	Uma descrição e um requisito para o controlo.
Responsabilidade da Google	Google Cloud responsabilidade e detalhes de implementação.
Responsabilidade do cliente	A sua responsabilidade e detalhes de implementação.
Estado da avaliação	Estado de conformidade do controlo. O estado pode ser um dos seguintes tipos: Não em conformidade: foi detetada uma deriva da conformidade. Em conformidade: o sistema está em conformidade. Revisão manual necessária: os artefactos são produzidos, mas é necessária a introdução de dados do utilizador para finalizar o estado de conformidade. Ignorado: o Gestor de conformidade não consegue avaliar o controlo na nuvem.
Link do relatório de controlo	Um link para o relatório de vista geral dos controlos.

Relatório de vista geral do grupo de controlo

Um relatório de vista geral dos controlos contém uma descrição detalhada da avaliação de conformidade para um único controlo. O relatório fornece detalhes de avaliação para cada verificação de conformidade com observações e valores esperados.

No contentor de armazenamento de destino, o relatório de vista geral do grupo de controlo usa a seguinte convenção de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

Os valores são os seguintes:

• FRAMEWORK_NAME: o nome da framework.
• TIMESTAMP: uma data/hora em que o relatório foi gerado.
• UNIQUE_ID: um ID exclusivo para o relatório.
• CONTROL_ID: o ID do grupo de controlo.

No relatório, as datas usam o formato MM/DD/AAAA.

Um relatório de vista geral dos controlos tem um aspeto semelhante ao seguinte exemplo:

Controlo ID: EM CONFORMIDADE
Nome do serviço	# de recursos	Estado	Detalhes da avaliação de recursos
			ID do recurso	Campo medido	Valor atual	Valor esperado	Estado	URI do recurso de provas	Data/hora das provas	Provas para o projeto/pasta	Link de provas
Total de serviços no âmbito deste controlo	Total de recursos no âmbito da auditoria	Estado de conformidade	Identificador de recursos	Configuração a ser medida para auditoria	Valores observados	Valores em conformidade	Estado de conformidade individual		Indicação de tempo de quando as provas foram recolhidas
product1.googleapis.com	2	EM CONFORMIDADE	folder_123456	abc	10	>=10	EM CONFORMIDADE	Recurso 1	01/01/2025 12:55:16	Projeto 1	Link 1
				def	15	=15	EM CONFORMIDADE	Recurso 4	05/12/2024 13:55:16	Projeto 1	Link 4
			project_123456	xyz	20	=20	EM CONFORMIDADE	Recurso 2	12/05/2024 14:55:16	Projeto 1	Link 2
product2.googleapis.com	1	EM CONFORMIDADE	project_123456	def	5	>=5	EM CONFORMIDADE	Recurso 3	12/05/2024 15:55:16	Projeto 1	Link 3

Provas

As provas incluem todos os recursos avaliados para cada controlo, incluindo uma descarga não processada dos dados dos recursos, juntamente com o comando que foi executado para produzir o resultado.

No contentor de armazenamento de destino, as provas estão no formato JSON e usam a seguinte convenção de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

Os valores são os seguintes:

• FRAMEWORK_NAME: o nome da framework.
• TIMESTAMP: uma data/hora em que o relatório foi gerado.
• UNIQUE_ID: um ID exclusivo para o relatório.
• EVIDENCE_ID: um ID exclusivo para as provas.

O que se segue?

• Resolva as conclusões da auditoria através das instruções em Conclusões de vulnerabilidades.