Ative o Compliance Manager para aplicar frameworks à suaGoogle Cloud organização.
Antes de começar
Conclua estas tarefas antes de ativar o Compliance Manager.
-
Para receber as permissões necessárias para ativar o Compliance Manager, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:
-
Administrador de políticas da organização (
roles/orgpolicy.policyAdmin) -
Editor administrador da Central de segurança (
roles/securitycenter.adminEditor)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
-
Administrador de políticas da organização (
Ativar o Compliance Manager
Siga estas etapas para ativar o Compliance Manager no nível da organização:
- Ative o Compliance Manager usando um dos seguintes métodos:
Para mais informações sobre os níveis do Security Command Center, consulte Níveis de serviço do Security Command Center. O Compliance Manager não é compatível com chaves de criptografia gerenciadas pelo cliente (CMEK). Quando você ativa o Compliance Manager, os seguintes serviços também são ativados:Cenário Instruções Você não ativou o Security Command Center e quer usar o nível Standard. Ative o Compliance Manager ativando o Security Command Center Standard. Para novas organizações que ativam o nível Standard, o Compliance Manager é ativado automaticamente.
Você já está usando o nível Standard do Security Command Center. Nenhuma ação é necessária.
O Compliance Manager é ativado por um upgrade de back-end. Para mais informações, consulte Migração e ativação do nível Standard.Você não ativou o Security Command Center e quer usar o nível Premium. Ative o Compliance Manager ativando o Security Command Center Premium. Você não ativou o Security Command Center e quer usar o nível Enterprise. Ative o Gerenciador de compliance ativando o Security Command Center Enterprise. Você ativou o nível Premium do Security Command Center e quer ativar o Compliance Manager. Ative o Compliance Manager na página Configurações. Você ativou o nível Security Command Center Enterprise e quer ativar o Compliance Manager. Ative o Compliance Manager na página Ativar o Compliance Manager.
- (Somente edições Premium e Enterprise) Proteção de Dados Sensíveis para usar indicadores de sensibilidade de dados na avaliação de risco de dados padrão.
- (Somente nos níveis Premium e Enterprise) Event Threat Detection (parte do Security Command Center) no nível da organização.
- Gerenciamento da postura de segurança de dados para estruturas de segurança de dados.
(Somente níveis Premium e Enterprise) Proteção de IA para estruturas de segurança de IA.
O agente de serviço de compliance de segurança do Cloud (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com) é criado quando você ativa o Compliance Manager. O Compliance Manager usa esse agente de serviço para acessar recursos na sua organização.
No Security Command Center Standard, a estrutura do Security Essentials é aplicada automaticamente à organização.
No Security Command Center Premium, as estruturas não são aplicadas automaticamente à organização.
Para o Security Command Center Enterprise, as seguintes estruturas são aplicadas automaticamente à organização:
- Fundamentos da IA recomendados pelo Google: Vertex AI
- Fundamentos da segurança de dados e privacidade
Gerenciar níveis de serviço no Compliance Manager
Os recursos do Compliance Manager variam de acordo com o nível de serviço do Security Command Center. O nível Standard oferece um valor de referência de segurança pelo framework Security Essentials (em inglês). Os níveis Premium e Enterprise incluem recursos avançados, como estruturas regulatórias integradas, recursos de auditoria e controles personalizados de nuvem.
Fazer downgrade para o nível de serviço Standard do Security Command Center
Se você fizer downgrade da sua organização para o nível Standard, vai perder o acesso a recursos avançados, como estruturas regulatórias integradas, recursos de auditoria e controles personalizados da nuvem. Analise os efeitos antes de fazer downgrade, porque você pode perder ou alterar permanentemente alguns dados.
Impacto em frameworks e implantações
Quando você faz downgrade para o Security Command Center Standard, as seguintes mudanças ocorrem em estruturas e implantações:
- O sistema remove automaticamente todas as implantações de framework integradas (exceto o Security Essentials) sem aviso ou notificação.
- Se uma estrutura personalizada tiver um controle de nuvem que não é compatível com o nível Standard, o sistema vai remover toda a estrutura.
Impacto nas descobertas
Quando você faz downgrade para o Security Command Center Standard, as seguintes mudanças ocorrem nas descobertas:
- O sistema marca como inativas as descobertas associadas a frameworks não compatíveis.
- Você tem acesso somente leitura a descobertas inativas por sete dias. Depois disso, elas expiram e ficam indisponíveis.
Impacto nos controles de nuvem personalizados
Ao fazer downgrade para o Security Command Center Standard, as seguintes mudanças ocorrem nos controles personalizados da nuvem:
- Não é possível criar nem gerenciar controles de nuvem personalizados.
- Os controles personalizados da nuvem são preservados, mas ficam inativos e inutilizáveis. O sistema remove automaticamente todas as implantações de framework ativas que contêm controles personalizados da nuvem.
- Se você fizer downgrade para o nível Standard do Security Command Center, as permissões do IAM relacionadas aos controles personalizados da nuvem vão ficar ineficazes. Não é necessário revogá-los manualmente.
Impacto nos recursos de auditoria
Os recursos de auditoria são exclusivos dos níveis Premium e Enterprise do Security Command Center.
Os relatórios de auditoria e as evidências nos seus buckets do Cloud Storage são gerenciados por regras de gerenciamento do ciclo de vida de objetos, não por políticas de retenção do Security Command Center.
Fazer upgrade novamente para os níveis de serviço Premium ou Enterprise do Security Command Center
Quando você voltar para os níveis de serviço Premium ou Enterprise do Security Command Center, os recursos avançados serão restaurados. O upgrade tem os seguintes efeitos nas suas implantações:
- Os controles personalizados inativos ficam disponíveis novamente.
- Não é possível recuperar as implantações de framework removidas durante o downgrade. Você precisa reimplantar manualmente seus frameworks.
A seguir
- Configure papéis do IAM para seus usuários de compliance.
- Configure o suporte para o VPC Service Controls.
- Gerenciar um framework.
- Configure o gerenciamento da postura de segurança de dados.
- Configure a proteção de IA.