Gestor de Cumplimiento incluye muchos controles en la nube integrados que puedes añadir a los marcos e implementar en tu entorno. Si es necesario, puedes crear y gestionar tus propios controles de nube personalizados, así como actualizar los controles de nube integrados.
Antes de empezar
-
Para obtener los permisos que necesitas para gestionar los frameworks de controles de Cloud, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:
-
Administrador de Compliance Manager (
roles/cloudsecuritycompliance.admin) -
Para crear o modificar controles en la nube basados en políticas de la organización, debes cumplir uno de los siguientes requisitos:
-
Administrador de políticas de organización (
roles/orgpolicy.policyAdmin) -
Administrador de Assured Workloads (
roles/assuredworkloads.admin) -
Editor de Assured Workloads (
roles/assuredworkloads.editor)
-
Administrador de políticas de organización (
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
-
Administrador de Compliance Manager (
Ver controles de la nube
Sigue estos pasos para ver los controles en la nube integrados y los controles en la nube personalizados que ya hayas creado.
En la Google Cloud consola, ve a la página Cumplimiento.
Selecciona tu organización.
En la pestaña Configurar, haz clic en Controles en la nube. Se muestran los controles de la nube disponibles.
El panel de control incluye información sobre los frameworks que incluyen el control en la nube y el número de recursos (organizaciones, carpetas y proyectos) a los que se aplica el control en la nube.
Para ver los detalles de un control de la nube, haz clic en su nombre.
Crear un control de nube personalizado
Un control de nube personalizado se aplica a un solo tipo de recurso. El único tipo de datos admitido son los recursos de Inventario de Recursos de Cloud. Los controles en la nube personalizados no admiten parámetros.
En la Google Cloud consola, ve a la página Cumplimiento.
Selecciona tu organización.
En la pestaña Configurar, haz clic en Controles en la nube. Se muestra la lista de controles en la nube disponibles.
Crea un control de nube con Gemini o de forma manual:
Usar Gemini
Pídele a Gemini que genere un control de nube. En función de tu petición, Gemini proporciona un identificador único, un nombre, una lógica de detección asociada y posibles pasos para solucionar el problema.
Revisa las recomendaciones y haz los cambios necesarios.
Guarda tu control de la nube personalizado.
Crear manualmente
En ID de control en la nube, proporciona un identificador único para tu control.
Escribe un nombre y una descripción para que los usuarios de tu organización entiendan la finalidad del control de nube personalizado.
Opcional: Selecciona las categorías del control. Haz clic en Continuar.
Selecciona un tipo de recurso disponible para tu control de nube personalizado. Compliance Manager admite todos los tipos de recursos. Para encontrar el nombre de un recurso, consulta Tipos de recursos.
Proporciona la lógica de detección de tu control en la nube en formato de lenguaje de expresión común (CEL).
Las expresiones CEL te permiten definir cómo quieres evaluar las propiedades de un recurso. Para obtener más información y ejemplos, consulta el artículo Escribir reglas para controles de nube personalizados. Haz clic en Continuar.
Si la regla de evaluación no es válida, se mostrará un error.
Selecciona una gravedad adecuada para las detecciones.
Escribe las instrucciones de corrección de forma que los responsables de responder ante incidentes y los administradores de tu organización puedan resolver cualquier resultado del control de la nube. Haz clic en Continuar.
Revisa las entradas y haz clic en Crear.
Editar un control de nube personalizado
Una vez que hayas creado un control en la nube, podrás cambiar su nombre, descripción, reglas, pasos de corrección y nivel de gravedad. No puedes cambiar la categoría de control en la nube.
En la Google Cloud consola, ve a la página Cumplimiento.
Selecciona tu organización.
En la pestaña Configurar, haz clic en Controles en la nube. Se muestra la lista de controles en la nube disponibles.
Haz clic en el control de nube que quieras editar.
En la página Detalles de los controles de la nube, comprueba que el control de la nube no esté incluido en un marco. Si es necesario, edita el framework para quitar el control en la nube.
Haz clic en Editar.
En la página Editar control en la nube personalizado, cambia el nombre y la descripción según sea necesario. Haz clic en Continuar.
Actualiza las reglas, la gravedad de los resultados y los pasos para corregirlos. Haz clic en Continuar.
Revisa los cambios y haz clic en Guardar.
Actualizar un control en la nube integrado a una versión más reciente
Google publica actualizaciones periódicas de sus controles de nube integrados a medida que los servicios implementan nuevas funciones o surgen nuevas prácticas recomendadas. Las actualizaciones pueden incluir controles nuevos o cambios en los controles actuales.
Puedes ver las versiones de los controles de nube integrados en el panel de control de nube de la pestaña Configurar o en la página de detalles del control de nube.
Google te avisa en las notas de la versión cuando se actualizan los siguientes elementos:
- Nombre del control de la nube
- Categorías de resultado
- Cambio en la lógica de detección o prevención de una regla
- Lógica subyacente de una regla
Para actualizar un control en la nube después de recibir una notificación, debes desasignar y volver a implementar los frameworks que incluyan el control en la nube. Para obtener instrucciones, consulta Actualizar un framework a una versión más reciente.
Eliminar un control de nube personalizado
Elimina un control en la nube cuando ya no lo necesites. Solo puedes eliminar los controles en la nube que hayas creado. No puedes eliminar los controles en la nube integrados.
En la Google Cloud consola, ve a la página Cumplimiento.
Selecciona tu organización.
En la pestaña Configurar, haz clic en Controles en la nube. Se muestra la lista de controles en la nube disponibles.
Haz clic en el control de nube que quieras eliminar.
En la página Detalles de los controles de la nube, comprueba que el control de la nube no esté incluido en un marco. Si es necesario, edita el framework para quitar el control en la nube.
Haz clic en Eliminar.
En la ventana Eliminar, revisa el mensaje. Escribe
Deletey haz clic en Confirmar.
Asignación de detectores de Security Health Analytics a controles en la nube
En la siguiente tabla se muestra cómo se asignan los controles de nube de Gestor de Cumplimiento a los detectores de Security Health Analytics.
| Categoría de resultados en Security Health Analytics | Nombre del control de la nube en Gestor de cumplimiento |
|---|---|
|
Habilitar Transparencia de acceso |
|
Bloquear roles de administrador de cuentas de servicio |
|
Configurar la restricción de política de la organización de Cloud Run de ajustes de entrada permitidos |
|
Configurar la restricción de la política de organización de ajustes de salida de VPC permitidos de Cloud Run |
|
Habilitar las copias de seguridad automáticas de AlloyDB en el clúster |
|
Habilitar copias de seguridad de AlloyDB en un clúster |
|
Habilitar CMEK para clústeres de AlloyDB |
|
Definir la marca de verbosidad de errores de registro en instancias de AlloyDB |
|
Definir la marca Log Min Error Statement para instancias de AlloyDB |
|
Definir la marca Log Min Messages para instancias de AlloyDB |
|
Bloquear direcciones IP públicas para instancias de clúster de AlloyDB |
|
Inhabilitar las funciones alfa en clústeres de GKE |
|
Restringir las claves de API solo a las APIs necesarias |
|
No disponible |
|
Requerir la rotación de la clave de API |
|
Configurar métricas de registro y alertas para cambios en el registro de auditorías |
|
Implementar el registro de eventos para los servicios de Google Cloud |
|
Habilitar las copias de seguridad automáticas de bases de datos de Cloud SQL |
|
Habilitar la reparación automática en clústeres de GKE |
|
Habilitar la actualización automática en clústeres de GKE |
|
Habilitar CMEK para tablas de BigQuery |
|
Requerir autorización binaria en un clúster |
|
Habilitar CMEK en segmentos de Cloud Storage |
|
Configurar métricas de registro y alertas para cambios en la política de gestión de identidades y accesos de Cloud Storage |
|
Require Cloud Storage Bucket Logging |
|
Habilitar el acceso uniforme a nivel de segmento en segmentos de Cloud Storage |
|
Habilitar el servicio Inventario de Recursos de Cloud |
|
Habilitar Cloud Logging en clústeres de GKE |
|
Habilitar Cloud Monitoring en clústeres de GKE |
|
Habilitar el acceso privado de Google en una instancia |
|
Habilitar el cifrado en clústeres de GKE |
|
Habilitar los nodos de GKE blindados en un clúster |
|
Bloquear claves SSH del proyecto en instancias de Compute Engine |
|
Habilitar el arranque seguro en instancias de Compute Engine |
|
Bloquear puertos serie de instancias de Compute Engine |
|
Habilitar la computación confidencial en instancias de Compute Engine |
|
Requerir Container-Optimized OS para un clúster de GKE |
|
No disponible |
|
Configurar métricas de registro y alertas para cambios en roles personalizados |
|
Requerir CMEK en clústeres de Dataproc |
|
Usar las versiones de imagen más recientes en clústeres de Dataproc |
|
Habilitar CMEK para conjuntos de datos de BigQuery |
|
Usar redes con reglas de cortafuegos personalizadas |
|
Usar cuentas de servicio personalizadas para instancias de Compute Engine |
|
Configurar la política de organización Inhabilitar uso de IPv6 externo de VPC |
|
Configurar la política de organización Inhabilitar uso de IPv6 externo de VPC |
|
Configurar la política de organización para inhabilitar el registro al puerto serie de las VMs a Stackdriver |
|
Habilitar CMEK en discos persistentes de Compute Engine |
|
Habilitar CSEK en discos persistentes de Compute Engine |
|
Habilitar la monitorización de registros de Cloud DNS |
|
Habilitar DNSSEC en Cloud DNS |
|
Aplicar la regla de cortafuegos de salida Denegar todo |
|
Definir contactos esenciales |
|
Configurar métricas de registro y alertas para cambios en cortafuegos de redes VPC |
|
Habilitar el registro de reglas de cortafuegos |
|
Habilitar registros de flujo para una subred de VPC |
|
Restringir el acceso a las APIs de Google Cloud para las instancias de Compute Engine |
|
Aplicar solo el tráfico HTTPS |
|
Definir perímetros de servicio en Controles de Servicio de VPC |
|
Habilitar OS Login |
|
Habilita la monitorización de integridad en los clústeres de GKE |
|
Habilitar la visibilidad intranodo en clústeres de GKE |
|
Habilitar el intervalo de alias de IP en clústeres de GKE |
|
Evitar el reenvío de IP en instancias de Compute Engine |
|
Definir el periodo de rotación de las claves de Cloud KMS |
|
No disponible |
|
No disponible |
|
Implementar obligatoriamente la separación de obligaciones |
|
Bloquear la autorización antigua en clústeres de GKE |
|
Inhabilitar los antiguos endpoints del servidor de metadatos en Compute Engine |
|
No usar redes antiguas |
|
Habilitar el registro del balanceador de carga |
|
Bloquear las políticas de retención de los segmentos de almacenamiento |
|
Configurar sumideros de registro |
|
Habilita las redes autorizadas del plano de control en los clústeres de GKE |
|
No disponible |
|
Configurar métricas de registro y alertas para cambios en redes de VPC |
|
Habilitar la política de red en clústeres de GKE |
|
Habilitar CMEK en los discos de arranque de grupos de nodos de GKE |
|
Habilita el arranque seguro en los nodos de GKE blindados |
|
No disponible |
|
Habilitar la gestión de versiones de objetos en los segmentos |
|
Bloquear las conexiones a los puertos de Cassandra desde todas las direcciones IP |
|
Bloquear conexiones a puertos CiscoSecure/WebSM desde todas las direcciones IP Addresses |
|
Bloquear las conexiones a los puertos de servicios de directorio de todas las direcciones IP |
|
Bloquear las conexiones a los puertos DNS de todas las direcciones IP |
|
Bloquear las conexiones a los puertos de Elasticsearch desde todas las direcciones IP |
|
No disponible |
|
Bloquear conexiones a puertos FTP desde todas las direcciones IP |
|
No disponible |
|
Bloquear las conexiones a puertos HTTP desde todas las direcciones IP |
|
Bloquear las conexiones a puertos LDAP desde todas las direcciones IP |
|
Bloquear las conexiones a los puertos de Memcached desde todas las direcciones IP |
|
Bloquear las conexiones a los puertos de MongoDB desde todas las direcciones IP |
|
Bloquear las conexiones a los puertos de MySQL desde todas las direcciones IP |
|
Bloquear las conexiones a puertos NetBIOS desde todas las direcciones IP |
|
Bloquear las conexiones a los puertos de la base de datos de Oracle desde todas las direcciones IP |
|
Bloquear las conexiones a los puertos del servidor POP3 desde todas las direcciones IP |
|
Bloquear las conexiones a los puertos del servidor PostgreSQL desde todas las direcciones IP |
|
Bloquear el acceso al puerto RDP |
|
Bloquear las conexiones a los puertos del servidor Redis desde todas las direcciones IP |
|
Bloquear las conexiones a los puertos del servidor SMTP desde todas las direcciones IP |
|
Bloquear el acceso al puerto SSH |
|
Bloquear las conexiones a los puertos del servidor Telnet desde todas las direcciones IP |
|
Habilitar la restricción de política de organización de VM confidenciales |
|
Habilitar OS Login para todas las instancias a nivel de proyecto |
|
Usar cuentas de servicio con el mínimo de privilegios para clústeres de GKE |
|
Crear clústeres de GKE con permisos de acceso limitados a la cuenta de servicio |
|
Bloquear roles de administrador de cuentas de servicio |
|
No disponible |
|
No disponible |
|
Restringir roles antiguos de gestión de identidades y accesos |
|
Habilitar clústeres privados en GKE |
|
Habilitar el acceso privado de Google en subredes de VPC |
|
Restringir el acceso público a los segmentos de Cloud Storage |
|
Restringir el acceso público a imágenes de Compute |
|
Restringir el acceso público a conjuntos de datos de BigQuery |
|
Restringir las direcciones IP públicas a las instancias de Compute Engine |
|
Restringir el acceso público a los segmentos de Cloud Storage |
|
Restringir el acceso público a instancias de bases de datos de Cloud SQL |
|
Cifrar un tema de Pub/Sub con CMEK |
|
Habilitar la marca de instrucción de registro para PostgreSQL |
|
No disponible |
|
Suscribir un clúster de GKE a un canal de lanzamiento |
|
Habilitar OS Login |
|
Definir la salida del conector de VPC para funciones de Cloud Run |
|
Habilita la restricción de la política de organización Restrict Authorized Networks on Cloud SQL Instances (Restringir las redes autorizadas en las instancias de Cloud SQL). |
|
Configurar métricas de registro y alertas para cambios en rutas de VPC |
|
Evitar RSASHA1 para la firma de DNSSEC |
|
No disponible |
|
No disponible |
|
Requerir rotación de claves de cuenta de servicio |
|
Implementar obligatoriamente la separación de obligaciones |
|
Habilitar VM blindada en instancias de Compute Engine |
|
Restringir la creación de redes predeterminadas para instancias de Compute Engine |
|
Habilitar CMEK para bases de datos de Cloud SQL |
|
Desactivar la marca de autenticación de base de datos contenida en SQL Server |
|
Desactivar la marca de encadenamiento de propiedad entre bases de datos en SQL Server |
|
Desactivar la marca de scripts externos para SQL Server |
|
Configurar métricas de registro y alertas para cambios en la configuración de Cloud SQL |
|
Desactivar la marca local_infile de MySQL |
|
Habilitar la marca Log Checkpoints en PostgreSQL |
|
Habilitar la marca Log Connections en PostgreSQL |
|
Habilitar la marca Log Disconnections en PostgreSQL |
|
Habilitar la marca de duración de registro en una instancia de PostgreSQL |
|
Habilitar la marca de verbosidad de errores de registro para PostgreSQL |
|
Desactivar la marca de estadísticas del ejecutor de registros en PostgreSQL |
|
Desactivar la marca Log Hostname en PostgreSQL |
|
Habilitar la marca de espera de bloqueos de registro en una instancia de PostgreSQL |
|
Desactivar la marca de instrucción de duración mínima de registro en PostgreSQL |
|
Habilitar la marca Log Min Error Statement en PostgreSQL |
|
No disponible |
|
Habilitar la marca Log Min Messages en PostgreSQL |
|
Desactivar la marca de estadísticas del analizador de registros de PostgreSQL |
|
Desactivar la marca Estadísticas del planificador de registros de PostgreSQL |
|
Habilitar la marca de instrucción de registro para PostgreSQL |
|
Habilitar la marca Log Temp Files en una instancia de PostgreSQL |
|
No disponible |
|
Bloquear direcciones IP públicas para instancias de Cloud SQL |
|
Desactivar la marca de acceso remoto para SQL Server |
|
Habilitar el cifrado SSL en instancias de AlloyDB |
|
Habilitar la marca de base de datos Skip Show para MySQL |
|
Habilitar la marca de base de datos de seguimiento 3625 en SQL Server |
|
No usar la marca de conexiones de usuario para SQL Server |
|
No usar la marca de opciones de usuario para SQL Server |
|
No disponible |
|
Aplicar SSL a todas las conexiones de bases de datos entrantes |
|
Limitar a tres el número de usuarios de claves criptográficas de KMS |
|
Habilitar el acceso uniforme a nivel de segmento en segmentos de Cloud Storage |
|
Restringir las claves de las cuentas de servicio gestionadas por el usuario |
|
No disponible |
|
Restringir las políticas de SSL no seguras para las instancias de Compute Engine |
|
No uses la interfaz web de Kubernetes |
|
Habilitar Workload Identity Federation para GKE en clústeres |