מפעילים את Compliance Manager כדי שתוכלו להחיל מסגרות על הארגון או הפרויקט שלכם ב-Google Cloud .
לפני שמתחילים
צריך להשלים את המשימות האלה לפני שמפעילים את Compliance Manager.
כדי לקבל את ההרשאות שדרושות להפעלת Compliance Manager, אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:
-
הפעלה בארגון:
- Organization Policy Administrator (
roles/orgpolicy.policyAdmin) בארגון - מנהל מערכת בעל הרשאת עריכה להגדרות מרכז האבטחה (
roles/securitycenter.adminEditor) בארגון
- Organization Policy Administrator (
-
הפעלה בפרויקט:
- אדמין IAM של פרויקט (
roles/resourcemanager.projectIamAdmin) בפרויקט - אדמין של Security Center (
roles/securitycenter.admin) בפרויקט
- אדמין IAM של פרויקט (
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
הפעלת Compliance Manager
כדי להפעיל את Compliance Manager ברמת הארגון או הפרויקט:
- מפעילים את Compliance Manager באחת מהשיטות הבאות:
מידע נוסף על רמות השירות של Security Command Center זמין במאמר רמות השירות של Security Command Center. Compliance Manager לא תומך במפתחות הצפנה בניהול הלקוח (CMEK). כשמפעילים את Compliance Manager, מופעלים גם השירותים הבאים:תרחיש הוראות לא הפעלתם את Security Command Center ואתם רוצים להשתמש ברמת Standard של Security Command Center. כדי להפעיל את Compliance Manager, צריך להפעיל את Security Command Center Standard. בארגונים חדשים שמפעילים את רמת Standard, הכלי Compliance Manager מופעל באופן אוטומטי.
כבר יש לכם מינוי למהדורת Standard של Security Command Center. לא נדרשת כל פעולה.
הפעלת Compliance Manager מתבצעת באמצעות שדרוג בקצה העורפי. מידע נוסף זמין במאמר בנושא העברה והפעלה של המסלול הרגיל.לא הפעלתם את Security Command Center ואתם רוצים להשתמש במסלול Security Command Center Premium. מפעילים את Compliance Manager על ידי הפעלת Security Command Center Premium. לא הפעלתם את Security Command Center ואתם רוצים להשתמש ברמה Security Command Center Enterprise. מפעילים את Compliance Manager על ידי הפעלת Security Command Center Enterprise. הפעלתם בעבר את רמת Premium של Security Command Center ואתם רוצים להפעיל את Compliance Manager. מפעילים את Compliance Manager באמצעות הדף הגדרות. הפעלתם בעבר את רמת השירות Security Command Center Enterprise ואתם רוצים להפעיל את Compliance Manager. מפעילים את Compliance Manager באמצעות הדף הפעלת Compliance Manager. הפעלתם בעבר מסלול שירות כלשהו של Security Command Center ואתם רוצים להפעיל את Compliance Manager לפרויקט יחיד. בוחרים את היקף הפרויקט ומפעילים את Compliance Manager באמצעות הדף הגדרות.
- (רק במהדורות Premium ו-Enterprise) Sensitive Data Protection כדי להשתמש באותות רגישות נתונים להערכת סיכוני נתונים כברירת מחדל.
- (מהדורות Premium ו-Enterprise בלבד) Event Threat Detection (חלק מ-Security Command Center) ברמת הארגון.
- Data Security Posture Management לאבטחת מידע.
(מהדורות Premium ו-Enterprise בלבד) הגנה מבוססת-AI למסגרות אבטחה מבוססות-AI.
סוכן השירות של Cloud Security Compliance נוצר כשמפעילים את Compliance Manager. כדי לגשת למשאבים, Compliance Manager משתמש בסוכן שירות ברמת הארגון (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com) או ברמת הפרויקט (service-PROJECT_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com), בהתאם להיקף ההפעלה.
ב-Security Command Center Standard, מסגרת Security Essentials מוחלת על הארגון באופן אוטומטי.
ב-Security Command Center Premium, המסגרות לא מוחלות על הארגון באופן אוטומטי.
ב-Security Command Center Enterprise, המסגרות הבאות מוחלות על הארגון באופן אוטומטי:
- המלצות לשימוש ב-AI מבית Google – Vertex AI
- היסודות של אבטחת נתונים ופרטיות
ניהול רמות שירות ב-Compliance Manager
התכונות של Compliance Manager משתנות בהתאם לרמת השירות של Security Command Center. חבילת Standard מספקת בסיס אבטחה באמצעות מסגרת Security Essentials. המהדורות Premium ו-Enterprise כוללות יכולות מתקדמות, כמו מסגרות רגולטוריות מובנות, יכולות ביקורת ואמצעי בקרה מותאמים אישית בענן.
שדרוג לאחור למסלול השירות Security Command Center Standard
אם תעברו למהדורת Standard בארגון או בפרויקט, תאבדו את הגישה ליכולות מתקדמות כמו מסגרות רגולטוריות מובנות, יכולות ביקורת ואמצעי בקרה מותאמים אישית ב-Cloud. לפני שדרוג לאחור, כדאי לבדוק את ההשפעות כי יכול להיות שתאבדו נתונים או שהם ישתנו באופן סופי.
ההשפעה על מסגרות ופריסות
כשמשדרגים לאחור ל-Security Command Center Standard, השינויים הבאים מתרחשים במסגרות ובפריסות:
- המערכת מסירה אוטומטית את כל הפריסות של מסגרות מובנות (לא כולל Security Essentials) בלי אזהרה או התראה.
- אם מסגרת מותאמת אישית מכילה אמצעי בקרה בענן שלא נתמך ברמת Standard, המערכת מסירה את המסגרת כולה.
ההשפעה על הממצאים
כשמשדרגים לאחור ל-Security Command Center Standard, השינויים הבאים מתרחשים בממצאים:
- המערכת מסמנת את הממצאים שמשויכים למסגרות לא נתמכות כלא פעילים.
- יש לכם גישה לקריאה בלבד לממצאים לא פעילים למשך שבעה ימים, ולאחר מכן התוקף שלהם פג והם לא זמינים יותר.
ההשפעה על אמצעי בקרה בענן בהתאמה אישית
כשמשדרגים לאחור ל-Security Command Center Standard, השינויים הבאים מתרחשים באמצעי הבקרה המותאמים אישית בענן:
- אי אפשר ליצור או לנהל אמצעי בקרה מותאמים אישית בענן.
- הבקרות המותאמות אישית בענן נשמרות, אבל הן הופכות ללא פעילות ולא ניתן להשתמש בהן. המערכת מסירה באופן אוטומטי כל פריסה פעילה של מסגרת שמכילה אמצעי בקרה מותאמים אישית בענן.
- אם משדרגים לאחור למסלול Security Command Center Standard, הרשאות ה-IAM שקשורות לבקרות ענן מותאמות אישית לא יהיו תקפות. לא צריך לבטל אותם באופן ידני.
ההשפעה על יכולות הביקורת
יכולות הביקורת זמינות רק ברמות Premium ו-Enterprise של Security Command Center.
דוחות ביקורת וראיות במאגרי Cloud Storage מנוהלים על ידי כללים לניהול מחזור החיים של אובייקטים, ולא על ידי מדיניות שמירת נתונים ב-Security Command Center.
שדרוג נוסף למהדורות Premium או Enterprise של Security Command Center
כשחוזרים לרמות השירות Security Command Center Premium או Enterprise, התכונות המתקדמות משוחזרות. לשדרוג תהיה השפעה על הפריסות שלכם בדרכים הבאות:
- אמצעי בקרה מותאמים אישית שהיו לא פעילים יהיו זמינים שוב.
- אי אפשר לשחזר פריסות של מסגרות שהוסרו במהלך השדרוג לאחור. צריך לפרוס מחדש את המסגרות באופן ידני.
המאמרים הבאים
- הגדרת תפקידי IAM למשתמשים שמוגדרים לצורך תאימות.
- הגדרת תמיכה ב-VPC Service Controls
- ניהול מסגרת
- הגדרת Data Security Posture Management
- הגדרת הגנה מבוססת-AI