הפעלת Compliance Manager כדי שתוכלו להחיל מסגרות עלGoogle Cloud הארגון.
לפני שמתחילים
צריך להשלים את המשימות האלה לפני שמפעילים את Compliance Manager.
-
כדי לקבל את ההרשאות שדרושות להפעלת Compliance Manager, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:
-
אדמין של מדיניות הארגון (
roles/orgpolicy.policyAdmin) -
עריכה של אדמין ב-Security Center (
roles/securitycenter.adminEditor)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
-
אדמין של מדיניות הארגון (
הפעלת Compliance Manager
כדי להפעיל את Compliance Manager ברמת הארגון:
- מפעילים את Compliance Manager באחת מהשיטות הבאות:
מידע נוסף על רמות השירות של Security Command Center זמין במאמר רמות השירות של Security Command Center. Compliance Manager לא תומך במפתחות הצפנה בניהול הלקוח (CMEK). כשמפעילים את Compliance Manager, גם השירותים הבאים מופעלים:תרחיש הוראות לא הפעלתם את Security Command Center ואתם רוצים להשתמש ברמת Standard של Security Command Center. כדי להפעיל את Compliance Manager, צריך להפעיל את Security Command Center Standard. בארגונים חדשים שמפעילים את רמת Standard, הכלי Compliance Manager מופעל באופן אוטומטי.
כבר יש לכם מינוי למהדורת Standard של Security Command Center. לא נדרשת כל פעולה.
הפעלת Compliance Manager מתבצעת באמצעות שדרוג בקצה העורפי. מידע נוסף זמין במאמר בנושא העברה והפעלה של מסלול Standard.לא הפעלתם את Security Command Center ואתם רוצים להשתמש במסלול Security Command Center Premium. מפעילים את Compliance Manager על ידי הפעלת Security Command Center Premium. לא הפעלתם את Security Command Center ואתם רוצים להשתמש ברמה Security Command Center Enterprise. מפעילים את Compliance Manager על ידי הפעלת Security Command Center Enterprise. הפעלתם בעבר את רמת Premium של Security Command Center ואתם רוצים להפעיל את Compliance Manager. מפעילים את Compliance Manager באמצעות הדף הגדרות. הפעלתם בעבר את רמת השירות Security Command Center Enterprise ואתם רוצים להפעיל את Compliance Manager. מפעילים את Compliance Manager באמצעות הדף הפעלה של Compliance Manager.
- (רק במהדורות Premium ו-Enterprise) Sensitive Data Protection כדי להשתמש באותות רגישות נתונים להערכת סיכוני נתונים כברירת מחדל.
- (מהדורות Premium ו-Enterprise בלבד) Event Threat Detection (חלק מ-Security Command Center) ברמת הארגון.
- Data Security Posture Management לאבטחת מידע.
(מהדורות Premium ו-Enterprise בלבד) הגנה מבוססת-AI למסגרות אבטחה מבוססות-AI.
סוכן השירות של Cloud Security Compliance (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com) נוצר כשמפעילים את Compliance Manager. Compliance Manager משתמש בסוכן שירות זה כדי לגשת למשאבים בארגון שלכם.
ב-Security Command Center Standard, מסגרת Security Essentials מוחלת על הארגון באופן אוטומטי.
ב-Security Command Center Premium, המסגרות לא מוחלות על הארגון באופן אוטומטי.
ב-Security Command Center Enterprise, המסגרות הבאות מוחלות על הארגון באופן אוטומטי:
- המלצות לשימוש ב-AI ב-Google – Vertex AI
- היסודות של אבטחת נתונים ופרטיות
ניהול רמות שירות ב-Compliance Manager
התכונות של Compliance Manager משתנות בהתאם לרמת השירות של Security Command Center. מסלול Standard מספק בסיס אבטחה באמצעות מסגרת Security Essentials. המהדורות Premium ו-Enterprise כוללות יכולות מתקדמות, כמו מסגרות רגולטוריות מובנות, יכולות ביקורת ואמצעי בקרה מותאמים אישית בענן.
שדרוג לאחור למסלול השירות Security Command Center Standard
אם תורידו את רמת המינוי של הארגון למהדורת Standard, תאבדו את הגישה ליכולות מתקדמות כמו מסגרות רגולטוריות מובנות, יכולות ביקורת ואמצעי בקרה מותאמים אישית ב-Cloud. כדאי לבדוק את ההשפעות לפני שמשדרגים לאחור, כי יכול להיות שתאבדו נתונים או שהם ישתנו באופן סופי.
ההשפעה על מסגרות ופריסות
כשמשדרגים לאחור ל-Security Command Center Standard, מתרחשים השינויים הבאים במסגרות ובפריסות:
- המערכת מסירה אוטומטית את כל הפריסות המובנות של המסגרת (לא כולל Security Essentials) ללא אזהרה או התראה.
- אם מסגרת מותאמת אישית מכילה אמצעי בקרה בענן שלא נתמך ברמה Standard, המערכת מסירה את המסגרת כולה.
ההשפעה על הממצאים
כשמשדרגים לאחור ל-Security Command Center Standard, השינויים הבאים מתרחשים בממצאים:
- המערכת מסמנת את הממצאים שמשויכים למסגרות לא נתמכות כלא פעילים.
- יש לכם גישה לקריאה בלבד לממצאים לא פעילים למשך שבעה ימים, ולאחר מכן התוקף שלהם פג והם לא זמינים יותר.
ההשפעה על אמצעי בקרה מותאמים אישית בענן
כשמשדרגים לאחור ל-Security Command Center Standard, השינויים הבאים מתרחשים באמצעי הבקרה המותאמים אישית בענן:
- אי אפשר ליצור או לנהל אמצעי בקרה מותאמים אישית בענן.
- הבקרות המותאמות אישית בענן נשמרות, אבל הן לא פעילות ואי אפשר להשתמש בהן. המערכת מסירה באופן אוטומטי כל פריסה פעילה של מסגרת שמכילה אמצעי בקרה מותאמים אישית בענן.
- אם משדרגים לאחור למסלול Security Command Center Standard, הרשאות ה-IAM שקשורות לבקרות ענן מותאמות אישית לא יהיו תקפות. לא צריך לבטל אותם באופן ידני.
השפעה על יכולות הביקורת
יכולות הביקורת זמינות רק בגרסאות Premium ו-Enterprise של Security Command Center.
דוחות ביקורת וראיות במאגרי Cloud Storage מנוהלים על ידי כללים של ניהול מחזור חיים של אובייקטים, ולא על ידי מדיניות שמירה של Security Command Center.
שדרוג נוסף למהדורות Security Command Center Premium או Enterprise
כשחוזרים לרמות השירות Security Command Center Premium או Enterprise, התכונות המתקדמות משוחזרות. השדרוג ישפיע על הפריסות שלכם באופן הבא:
- אמצעי בקרה מותאמים אישית לא פעילים יהיו זמינים שוב.
- אי אפשר לשחזר פריסות של מסגרות שהוסרו במהלך השדרוג לאחור. צריך לפרוס מחדש את המסגרות באופן ידני.
המאמרים הבאים
- הגדרת תפקידי IAM למשתמשים בתאימות.
- הגדרת תמיכה ב-VPC Service Controls
- ניהול מסגרת
- הגדרה של Data Security Posture Management
- הגדרת ניהול סיכונים במערכות AI