Ative o Compliance Manager para aplicar frameworks à sua organização ou projeto doGoogle Cloud .
Antes de começar
Conclua estas tarefas antes de ativar o Compliance Manager.
Para receber as permissões necessárias para ativar o Compliance Manager, peça ao administrador que conceda a você os seguintes papéis do IAM:
-
Ativar para uma organização:
- Administrador de políticas da organização (
roles/orgpolicy.policyAdmin) na organização - Editor administrador da Central de segurança (
roles/securitycenter.adminEditor) na organização
- Administrador de políticas da organização (
-
Ativar para um projeto:
- Administrador do IAM do projeto (
roles/resourcemanager.projectIamAdmin) no projeto - Administrador da Central de segurança (
roles/securitycenter.admin) no projeto
- Administrador do IAM do projeto (
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Ativar o Compliance Manager
Siga estas etapas para ativar o Compliance Manager no nível da organização ou do projeto:
- Ative o Compliance Manager usando um dos seguintes métodos:
Para mais informações sobre os níveis do Security Command Center, consulte Níveis de serviço do Security Command Center. O Compliance Manager não é compatível com chaves de criptografia gerenciadas pelo cliente (CMEK). Quando você ativa o Compliance Manager, os seguintes serviços também são ativados:Cenário Instruções Você não ativou o Security Command Center e quer usar o Security Command Center Standard. Ative o Compliance Manager ativando o Security Command Center Standard. Para novas organizações que ativarem o nível Standard, o Compliance Manager será ativado automaticamente.
Você já está usando o nível Standard do Security Command Center. Nenhuma ação é necessária.
O Compliance Manager é ativado por um upgrade de back-end. Para mais informações, consulte Migração e ativação do nível Standard.Você não ativou o Security Command Center e quer usar o nível Premium. Ative o Compliance Manager ativando o Security Command Center Premium. Você não ativou o Security Command Center e quer usar o nível Security Command Center Enterprise. Ative o Compliance Manager ativando o Security Command Center Enterprise. Você ativou o Security Command Center Premium anteriormente e quer ativar o Compliance Manager. Ative o Compliance Manager na página Configurações. Você ativou o nível Security Command Center Enterprise anteriormente e quer ativar o Compliance Manager. Ative o Compliance Manager na página Ativar o Compliance Manager. Você ativou um nível de serviço do Security Command Center antes e quer ativar o Compliance Manager para um único projeto. Selecione o escopo do projeto e ative o Compliance Manager na página Configurações.
- (Somente edições Premium e Enterprise) Proteção de Dados Sensíveis para usar indicadores de sensibilidade de dados na avaliação de risco de dados padrão.
- (Somente nos níveis Premium e Enterprise) Event Threat Detection (parte do Security Command Center) no nível da organização.
- Gerenciamento de Postura de Segurança de Dados para estruturas de segurança de dados.
(Somente níveis Premium e Enterprise) Proteção de IA para estruturas de segurança de IA.
O agente de serviço de compliance de segurança do Cloud é criado quando você ativa o Compliance Manager. O Compliance Manager usa um agente de serviço no nível da organização (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com) ou para envolvidos no projeto (service-PROJECT_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com) para acessar recursos, dependendo do escopo de ativação.
No Security Command Center Standard, a estrutura do Security Essentials é aplicada automaticamente à organização.
No Security Command Center Premium, os frameworks não são aplicados automaticamente à organização.
Para o Security Command Center Enterprise, as seguintes estruturas são aplicadas automaticamente à organização:
- Fundamentos da IA recomendados pelo Google: Vertex AI
- Fundamentos de privacidade e segurança de dados
Gerenciar níveis de serviço no Compliance Manager
Os recursos do Compliance Manager variam de acordo com o nível de serviço do Security Command Center. O nível Standard oferece um valor de referência de segurança pelo framework Security Essentials (em inglês). As edições Premium e Enterprise incluem recursos avançados, como estruturas regulatórias integradas, recursos de auditoria e controles personalizados de nuvem.
Fazer downgrade para o nível de serviço Security Command Center Standard
Se você fizer downgrade da organização ou do projeto para o nível Standard, vai perder o acesso a recursos avançados, como estruturas regulatórias integradas, recursos de auditoria e controles personalizados da nuvem. Revise os efeitos antes de fazer downgrade, porque você pode perder ou alterar alguns dados permanentemente.
Impacto em frameworks e implantações
Quando você faz downgrade para o Security Command Center Standard, as seguintes mudanças ocorrem em estruturas e implantações:
- O sistema remove automaticamente todas as implantações de framework integradas (exceto o Security Essentials) sem aviso ou notificação.
- Se uma estrutura personalizada tiver um controle de nuvem que não é compatível com o nível Standard, o sistema vai remover toda a estrutura.
Impacto nas descobertas
Quando você faz downgrade para o Security Command Center Standard, as seguintes mudanças ocorrem nas descobertas:
- O sistema marca como inativos os resultados associados a frameworks não compatíveis.
- Você tem acesso somente leitura a descobertas inativas por sete dias. Depois disso, elas expiram e ficam indisponíveis.
Impacto nos controles de nuvem personalizados
Ao fazer downgrade para o Security Command Center Standard, as seguintes mudanças ocorrem nos controles personalizados da nuvem:
- Não é possível criar nem gerenciar controles de nuvem personalizados.
- Os controles personalizados da nuvem são preservados, mas ficam inativos e inutilizáveis. O sistema remove automaticamente todas as implantações de framework ativas que contêm controles personalizados na nuvem.
- Se você fizer downgrade para o nível Standard do Security Command Center, as permissões do IAM relacionadas aos controles personalizados da nuvem vão ficar ineficazes. Não é necessário revogá-los manualmente.
Impacto nos recursos de auditoria
Os recursos de auditoria são exclusivos dos níveis Premium e Enterprise do Security Command Center.
Os relatórios de auditoria e as evidências nos seus buckets do Cloud Storage são gerenciados por regras de gerenciamento do ciclo de vida de objetos, não por políticas de retenção do Security Command Center.
Fazer upgrade novamente para os níveis de serviço Premium ou Enterprise do Security Command Center
Quando você retornar para os níveis de serviço Premium ou Enterprise do Security Command Center, os recursos avançados serão restaurados. O upgrade tem os seguintes efeitos nas suas implantações:
- Os controles personalizados inativos ficam disponíveis novamente.
- Não é possível recuperar as implantações de framework removidas durante o downgrade. Você precisa reimplantar manualmente seus frameworks.
A seguir
- Configure papéis do IAM para seus usuários de compliance.
- Configure o suporte para o VPC Service Controls.
- Gerenciar um framework.
- Configurar o Gerenciamento de Postura de Segurança de Dados.
- Configurar proteção para IA.