Administra los controles de la nube

El Administrador de cumplimiento incluye muchos controles integrados en la nube que puedes agregar a los frameworks y, luego, implementar en tu entorno. Si es necesario, puedes crear y administrar tus propios controles de nube personalizados, y actualizar los controles de nube integrados.

Antes de comenzar

Ver controles de la nube

Completa los siguientes pasos para ver los controles de la nube integrados y los controles de la nube personalizados que ya creaste.

  1. En la consola de Google Cloud , ve a la página Cumplimiento.

    Ir a cumplimiento

  2. Selecciona tu organización.

  3. En la pestaña Configurar, haz clic en Controles de la nube. Se muestran los controles de la nube disponibles.

    El panel incluye información sobre qué frameworks incluyen el control de Cloud y la cantidad de recursos (organización, carpetas y proyectos) a los que se aplica el control de Cloud.

  4. Para ver los detalles de un control de la nube, haz clic en su nombre.

Crear un control de la nube personalizado

Un control de nube personalizado se aplica a un solo tipo de recurso. El único tipo de datos admitido son los recursos de Cloud Asset Inventory. Los controles de nube personalizados no admiten parámetros.

  1. En la consola de Google Cloud , ve a la página Cumplimiento.

    Ir a cumplimiento

  2. Selecciona tu organización.

  3. En la pestaña Configurar, haz clic en Controles de la nube. Se muestra la lista de los controles de nube disponibles.

  4. Crea un control de nube con Gemini o de forma manual:

Usar Gemini

  1. Pídele a Gemini que genere un control de nube para ti. Según tu instrucción, Gemini proporciona un identificador único, un nombre, lógica de detección asociada y posibles pasos de corrección.

  2. Revisa las recomendaciones y realiza los cambios necesarios.

  3. Guarda tu control de nube personalizado.

Crear manualmente

  1. En ID de control de nube, proporciona un identificador único para tu control.

  2. Ingresa un nombre y una descripción para ayudar a los usuarios de tu organización a comprender el propósito del control de nube personalizado.

  3. Opcional: Selecciona las categorías del control. Haz clic en Continuar.

  4. Selecciona un tipo de recurso disponible para tu control de nube personalizado. El Administrador de cumplimiento admite todos los tipos de recursos. Para encontrar el nombre de un recurso, consulta Tipos de recursos.

  5. Proporciona la lógica de detección para tu control de nube en formato de Common Expression Language (CEL).

    Las expresiones CEL te permiten definir cómo deseas evaluar las propiedades de un recurso. Para obtener más información y ejemplos, consulta Escribe reglas para los controles de nube personalizados. Haga clic en Continuar.

    Si tu regla de evaluación no es válida, se mostrará un error.

  6. Selecciona la gravedad adecuada de los hallazgos.

  7. Escribe las instrucciones de corrección para que los administradores y los encargados de responder ante incidentes de tu organización puedan resolver los hallazgos relacionados con el control de la nube. Haz clic en Continuar.

  8. Revisa tus entradas y, luego, haz clic en Crear.

Edita un control de nube personalizado

Después de crear un control de nube, puedes cambiar su nombre, descripción, reglas, pasos de corrección y nivel de gravedad. No puedes cambiar la categoría del control de nube.

  1. En la consola de Google Cloud , ve a la página Cumplimiento.

    Ir a cumplimiento

  2. Selecciona tu organización.

  3. En la pestaña Configurar, haz clic en Controles de la nube. Se mostrará la lista de controles de nube disponibles.

  4. Haz clic en el control de la nube que deseas editar.

  5. En la página Detalles de los controles de Cloud, verifica que el control de Cloud no esté incluido en un framework. Si es necesario, edita el framework para quitar el control de nube.

  6. Haz clic en Editar.

  7. En la página Editar control de nube personalizado, cambia el nombre y la descripción según sea necesario. Haga clic en Continuar.

  8. Actualiza las reglas, la gravedad del hallazgo y los pasos de corrección. Haz clic en Continuar.

  9. Revisa los cambios y haz clic en Guardar.

Actualiza un control integrado en la nube a una versión más reciente

Google publica actualizaciones periódicas de sus controles integrados en la nube a medida que los servicios implementan funciones nuevas o surgen prácticas recomendadas nuevas. Las actualizaciones pueden incluir controles nuevos o cambios en los controles existentes.

Puedes ver las versiones de los controles integrados en el panel de controles de la nube en la pestaña Configurar o en la página de detalles del control de la nube.

Google te notifica en las notas de la versión cuando se actualizan los siguientes elementos:

  • Nombre del control de la nube
  • Categoría
  • Cambio en la lógica de detección o prevención de una regla
  • Lógica subyacente de una regla

Para actualizar un control de nube después de recibir una notificación, debes anular la asignación y volver a implementar los marcos que incluyen el control de nube. Para obtener instrucciones, consulta Cómo actualizar un framework a una versión más reciente.

Borra un control de nube personalizado

Borra un control de nube cuando ya no sea necesario. Solo puedes borrar los controles de la nube que crees. No puedes borrar los controles integrados en la nube.

  1. En la consola de Google Cloud , ve a la página Cumplimiento.

    Ir a cumplimiento

  2. Selecciona tu organización.

  3. En la pestaña Configurar, haz clic en Controles de la nube. Se mostrará la lista de controles de nube disponibles.

  4. Haz clic en el control de nube que deseas borrar.

  5. En la página Detalles de los controles de Cloud, verifica que el control de Cloud no esté incluido en un framework. Si es necesario, edita el framework para quitar el control de nube.

  6. Haz clic en Borrar.

  7. En la ventana Borrar, revisa el mensaje. Escribe Delete y haz clic en Confirmar.

Asignación de detectores de Security Health Analytics a controles de la nube

En la siguiente tabla, se muestra cómo se asignan los controles de la nube del Administrador de cumplimiento a los detectores de las estadísticas del estado de seguridad.

Categoría del hallazgo en Security Health Analytics Nombre del control de la nube en el Administrador de cumplimiento

ACCESS_TRANSPARENCY_DISABLED

Habilita la Transparencia de acceso

ADMIN_SERVICE_ACCOUNT

Bloquea los roles de administrador de las cuentas de servicio

ALLOWED_INGRESS_ORG_POLICY

Configura el parámetro de configuración de entrada permitida para la restricción de la política de la organización de Cloud Run

ALLOWED_VPC_EGRESS_ORG_POLICY

Configura el parámetro de configuración de salida de VPC permitido para la restricción de la política de la organización de Cloud Run

ALLOYDB_AUTO_BACKUP_DISABLED

Habilita las copias de seguridad automáticas de AlloyDB en el clúster

ALLOYDB_BACKUPS_DISABLED

Habilita las copias de seguridad de AlloyDB en el clúster

ALLOYDB_CMEK_DISABLED

Habilita la CMEK para los clústeres de AlloyDB

ALLOYDB_LOG_ERROR_VERBOSITY

Cómo establecer la marca de verbosidad de errores de registros para instancias de AlloyDB

ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Configura la marca Log Min Error Statement para las instancias de AlloyDB

ALLOYDB_LOG_MIN_MESSAGES

Configura la marca Log Min Messages para instancias de AlloyDB

ALLOYDB_PUBLIC_IP

Bloquea direcciones IP públicas para instancias de clúster de AlloyDB

ALPHA_CLUSTER_ENABLED

Inhabilita las funciones en versión alfa en los clústeres de GKE

API_KEY_APPS_UNRESTRICTED

Restringe las claves de API solo a las APIs requeridas

API_KEY_EXISTS

No disponible

API_KEY_NOT_ROTATED

Solicitar rotación de la clave de API

AUDIT_CONFIG_NOT_MONITORED

Configura métricas de registros y alertas para los cambios en el registro de auditorías

AUDIT_LOGGING_DISABLED

Implementa el registro de eventos para los servicios de Google Cloud

AUTO_BACKUP_DISABLED

Habilita las copias de seguridad automáticas para las bases de datos de Cloud SQL

AUTO_REPAIR_DISABLED

Habilita la reparación automática para clústeres de GKE

AUTO_UPGRADE_DISABLED

Habilita la actualización automática en clústeres de GKE

BIGQUERY_TABLE_CMEK_DISABLED

Habilita la CMEK para las tablas de BigQuery

BINARY_AUTHORIZATION_DISABLED

Cómo exigir la autorización binaria en un clúster

BUCKET_CMEK_DISABLED

Habilita la CMEK para los buckets de Cloud Storage

BUCKET_IAM_NOT_MONITORED

Configura métricas y alertas de registros para los cambios en la política de IAM de Cloud Storage

BUCKET_LOGGING_DISABLED

Exige el registro del bucket de Cloud Storage

BUCKET_POLICY_ONLY_DISABLED

Habilita el acceso uniforme a nivel de bucket en los buckets de Cloud Storage

CLOUD_ASSET_API_DISABLED

Habilita el servicio de Cloud Asset Inventory

CLUSTER_LOGGING_DISABLED

Habilita Cloud Logging en clústeres de GKE

CLUSTER_MONITORING_DISABLED

Habilita Cloud Monitoring en clústeres de GKE

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Habilita el Acceso privado a Google en una instancia

CLUSTER_SECRETS_ENCRYPTION_DISABLED

Habilita la encriptación en clústeres de GKE

CLUSTER_SHIELDED_NODES_DISABLED

Habilita los nodos de GKE protegidos en un clúster

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Bloquea las claves SSH de todo el proyecto en las instancias de Compute Engine

COMPUTE_SECURE_BOOT_DISABLED

Habilita el inicio seguro en instancias de Compute Engine

COMPUTE_SERIAL_PORTS_ENABLED

Cómo bloquear puertos seriales para instancias de Compute Engine

CONFIDENTIAL_COMPUTING_DISABLED

Habilita Confidential Computing para instancias de Compute Engine

COS_NOT_USED

Cómo requerir Container-Optimized OS para un clúster de GKE

CUSTOM_ORG_POLICY_VIOLATION

No disponible

CUSTOM_ROLE_NOT_MONITORED

Configura las métricas y alertas de registros para los cambios de roles personalizados

DATAPROC_CMEK_DISABLED

Cómo requerir la CMEK en clústeres de Dataproc

DATAPROC_IMAGE_OUTDATED

Usa las versiones de imagen más recientes en los clústeres de Dataproc

DATASET_CMEK_DISABLED

Habilita las CMEK para los conjuntos de datos de BigQuery

DEFAULT_NETWORK

Usa redes con reglas de firewall personalizadas

DEFAULT_SERVICE_ACCOUNT_USED

Usa cuentas de servicio personalizadas para instancias de Compute Engine

DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

Configura la política de la organización Inhabilitar el uso de IPv6 externa de VPC

DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

Configura la política de la organización Inhabilitar el uso de IPv6 externa de VPC

DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

Configura la política de la organización para inhabilitar el registro de puertos en serie de VM en Stackdriver

DISK_CMEK_DISABLED

Habilita la CMEK en los discos persistentes de Compute Engine

DISK_CSEK_DISABLED

Habilita la CSEK en los discos persistentes de Compute Engine

DNS_LOGGING_DISABLED

Habilita el monitoreo de registros de Cloud DNS

DNSSEC_DISABLED

Habilita DNSSEC para Cloud DNS

EGRESS_DENY_RULE_NOT_SET

Aplica la regla de firewall de salida Deny All

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Cómo definir contactos esenciales

FIREWALL_NOT_MONITORED

Configura métricas de registros y alertas para los cambios en el firewall de la red de VPC

FIREWALL_RULE_LOGGING_DISABLED

Habilita el registro de reglas de firewall

FLOW_LOGS_DISABLED

Habilita los registros de flujo para la subred de VPC

FULL_API_ACCESS

Restringe el acceso a las APIs de Google Cloud para las instancias de Compute Engine

HTTP_LOAD_BALANCER

Aplicar solo el tráfico HTTPS

INCORRECT_BQ4G_SERVICE_PERIMETER

Define perímetros de servicio en los Controles del servicio de VPC

INSTANCE_OS_LOGIN_DISABLED

Habilitar el Acceso al SO

INTEGRITY_MONITORING_DISABLED

Habilita la supervisión de integridad en los clústeres de GKE

INTRANODE_VISIBILITY_DISABLED

Habilita la visibilidad dentro de los nodos para los clústeres de GKE

IP_ALIAS_DISABLED

Habilita el rango de alias de IP para clústeres de GKE

IP_FORWARDING_ENABLED

Cómo evitar el reenvío de IP en instancias de Compute Engine

KMS_KEY_NOT_ROTATED

Define el período de rotación para las claves de Cloud KMS

KMS_PROJECT_HAS_OWNER

No disponible

KMS_PUBLIC_KEY

No disponible

KMS_ROLE_SEPARATION

Aplicar la separación de obligaciones

LEGACY_AUTHORIZATION_ENABLED

Bloquea la autorización heredada en los clústeres de GKE

LEGACY_METADATA_ENABLED

Inhabilita los extremos heredados del servidor de metadatos en Compute Engine

LEGACY_NETWORK

No usar redes heredadas

LOAD_BALANCER_LOGGING_DISABLED

Habilita el registro del balanceador de cargas

LOCKED_RETENTION_POLICY_NOT_SET

Bloquea las políticas de retención de buckets de almacenamiento

LOG_NOT_EXPORTED

Configura receptores de registros

MASTER_AUTHORIZED_NETWORKS_DISABLED

Habilita las redes autorizadas del plano de control en los clústeres de GKE

MFA_NOT_ENFORCED

No disponible

NETWORK_NOT_MONITORED

Configura métricas y alertas de registros para los cambios en la red de VPC

NETWORK_POLICY_DISABLED

Habilita la política de red en los clústeres de GKE

NODEPOOL_BOOT_CMEK_DISABLED

Habilita la CMEK en los discos de arranque del grupo de nodos de GKE

NODEPOOL_SECURE_BOOT_DISABLED

Habilita el arranque seguro para los nodos de GKE protegidos

NON_ORG_IAM_MEMBER

No disponible

OBJECT_VERSIONING_DISABLED

Habilita el control de versiones de objetos en buckets

OPEN_CASSANDRA_PORT

Bloquea las conexiones a los puertos de Cassandra desde todas las direcciones IP

OPEN_CISCOSECURE_WEBSM_PORT

Bloquea las conexiones a los puertos de CiscoSecure/WebSM desde todas las direcciones IP

OPEN_DIRECTORY_SERVICES_PORT

Bloquea las conexiones a los puertos de los servicios de directorio desde todas las direcciones IP

OPEN_DNS_PORT

Bloquea las conexiones a los puertos DNS desde todas las direcciones IP

OPEN_ELASTICSEARCH_PORT

Bloquea las conexiones a los puertos de Elasticsearch desde todas las direcciones IP

OPEN_FIREWALL

No disponible

OPEN_FTP_PORT

Bloqueo de conexiones a puertos FTP desde todas las direcciones IP

OPEN_GROUP_IAM_MEMBER

No disponible

OPEN_HTTP_PORT

Bloquea las conexiones a puertos HTTP desde todas las direcciones IP

OPEN_LDAP_PORT

Bloquea las conexiones a los puertos LDAP desde todas las direcciones IP

OPEN_MEMCACHED_PORT

Bloquea las conexiones a los puertos de Memcached desde todas las direcciones IP

OPEN_MONGODB_PORT

Bloquea las conexiones a los puertos de MongoDB desde todas las direcciones IP

OPEN_MYSQL_PORT

Bloquea las conexiones a los puertos de MySQL desde todas las direcciones IP

OPEN_NETBIOS_PORT

Bloquea las conexiones a los puertos de NetBIOS desde todas las direcciones IP

OPEN_ORACLEDB_PORT

Bloquea las conexiones a los puertos de la base de datos de Oracle desde todas las direcciones IP

OPEN_POP3_PORT

Bloquea las conexiones a los puertos del servidor POP3 desde todas las direcciones IP

OPEN_POSTGRESQL_PORT

Bloquea las conexiones a los puertos del servidor de PostgreSQL desde todas las direcciones IP

OPEN_RDP_PORT

Bloquea el acceso al puerto RDP

OPEN_REDIS_PORT

Bloquea las conexiones a los puertos del servidor de Redis desde todas las direcciones IP

OPEN_SMTP_PORT

Bloquea las conexiones a los puertos del servidor SMTP desde todas las direcciones IP

OPEN_SSH_PORT

Bloquea el acceso al puerto SSH

OPEN_TELNET_PORT

Bloquea las conexiones a los puertos del servidor Telnet desde todas las direcciones IP

ORG_POLICY_CONFIDENTIAL_VM_POLICY

Habilita la restricción de política de la organización de Confidential VM

OS_LOGIN_DISABLED

Habilita el Acceso al SO para todas las instancias a nivel del proyecto

OVER_PRIVILEGED_ACCOUNT

Usa cuentas de servicio con privilegios mínimos para los clústeres de GKE

OVER_PRIVILEGED_SCOPES

Crea clústeres de GKE con permisos de acceso de cuentas de servicio limitados

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Bloquea los roles de administrador de las cuentas de servicio

OWNER_NOT_MONITORED

No disponible

POD_SECURITY_POLICY_DISABLED

No disponible

PRIMITIVE_ROLES_USED

Restringe los roles de IAM heredados

PRIVATE_CLUSTER_DISABLED

Habilita los clústeres privados para GKE

PRIVATE_GOOGLE_ACCESS_DISABLED

Habilita el Acceso privado a Google para subredes de VPC

PUBLIC_BUCKET_ACL

Restringe el acceso público a los buckets de Cloud Storage

PUBLIC_COMPUTE_IMAGE

Restringe el acceso público a las imágenes de Compute

PUBLIC_DATASET

Restringe el acceso público a los conjuntos de datos de BigQuery

PUBLIC_IP_ADDRESS

Restringe las direcciones IP públicas a las instancias de Compute Engine

PUBLIC_LOG_BUCKET

Restringe el acceso público a los buckets de Cloud Storage

PUBLIC_SQL_INSTANCE

Restringe el acceso público a las instancias de bases de datos de Cloud SQL

PUBSUB_CMEK_DISABLED

Encripta el tema de Pub/Sub con CMEK

QL_LOG_STATEMENT_STATS_ENABLED

Habilita la marca Log Statement para PostgreSQL

REDIS_ROLE_USED_ON_ORG

No disponible

RELEASE_CHANNEL_DISABLED

Suscribe un clúster de GKE a un canal de versiones

REQUIRE_OS_LOGIN_ORG_POLICY

Habilitar el Acceso al SO

REQUIRE_VPC_CONNECTOR_ORG_POLICY

Define la salida del conector de VPC para Cloud Run Functions

RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

Habilita la restricción de política de la organización Restrict Authorized Networks on Cloud SQL Instances

ROUTE_NOT_MONITORED

Configura métricas y alertas de registros para los cambios de ruta de VPC

RSASHA1_FOR_SIGNING

Evita RSASHA1 para la firma de DNSSEC

S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

No disponible

S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

No disponible

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Exige la rotación de claves de la cuenta de servicio

SERVICE_ACCOUNT_ROLE_SEPARATION

Aplicar la separación de obligaciones

SHIELDED_VM_DISABLED

Habilita la VM protegida para las instancias de Compute Engine

SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

Restringe la creación de redes predeterminadas para las instancias de Compute Engine

SQL_CMEK_DISABLED

Habilita las CMEK para las bases de datos de Cloud SQL

SQL_CONTAINED_DATABASE_AUTHENTICATION

Desactiva la marca de autenticación de base de datos contenida para SQL Server

SQL_CROSS_DB_OWNERSHIP_CHAINING

Desactiva la marca de encadenamiento de propiedad de bases de datos cruzadas para SQL Server

SQL_EXTERNAL_SCRIPTS_ENABLED

Desactiva la marca de secuencias de comandos externas para SQL Server

SQL_INSTANCE_NOT_MONITORED

Configura métricas y alertas de registros para los cambios en la configuración de Cloud SQL

SQL_LOCAL_INFILE

Desactiva la marca local_infile para MySQL

SQL_LOG_CHECKPOINTS_DISABLED

Habilita la marca Log Checkpoints para PostgreSQL

SQL_LOG_CONNECTIONS_DISABLED

Habilita la marca Log Connections para PostgreSQL

SQL_LOG_DISCONNECTIONS_DISABLED

Habilita la marca Log Disconnections para PostgreSQL

SQL_LOG_DURATION_DISABLED

Habilita la marca Log Duration para la instancia de PostgreSQL

SQL_LOG_ERROR_VERBOSITY

Habilita la marca de detalle de errores de registro para PostgreSQL

SQL_LOG_EXECUTOR_STATS_ENABLED

Desactiva la marca Log Executor Stats para PostgreSQL

SQL_LOG_HOSTNAME_ENABLED

Desactiva la marca Log Hostname para PostgreSQL

SQL_LOG_LOCK_WAITS_DISABLED

Habilita la marca de espera de bloqueos de registro para la instancia de PostgreSQL

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Desactiva la marca de la instrucción de duración mínima del registro para PostgreSQL

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Habilita la marca Log Min Error Statement para PostgreSQL

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

No disponible

SQL_LOG_MIN_MESSAGE

Habilita la marca Log Min Messages para PostgreSQL

SQL_LOG_PARSER_STATS_ENABLED

Desactiva la marca de estadísticas del analizador de registros para PostgreSQL

SQL_LOG_PLANNER_STATS_ENABLED

Desactiva la marca Log Planner Stats para PostgreSQL

SQL_LOG_STATEMENT

Habilita la marca Log Statement para PostgreSQL

SQL_LOG_TEMP_FILES

Habilita la marca Log Temp Files para la instancia de PostgreSQL

SQL_NO_ROOT_PASSWORD

No disponible

SQL_PUBLIC_IP

Bloquea las direcciones IP públicas para las instancias de Cloud SQL

SQL_REMOTE_ACCESS_ENABLED

Desactiva la marca de acceso remoto para SQL Server

SQL_SCANNER

Habilita la encriptación SSL en instancias de AlloyDB

SQL_SKIP_SHOW_DATABASE_DISABLED

Habilita la marca Skip Show Database para MySQL

SQL_TRACE_FLAG_3625

Habilita la marca de base de datos de seguimiento 3625 para SQL Server

SQL_USER_CONNECTIONS_CONFIGURED

No uses la marca de conexiones de usuario para SQL Server

SQL_USER_OPTIONS_CONFIGURED

No uses la marca de opciones de usuario para SQL Server

SQL_WEAK_ROOT_PASSWORD

No disponible

SSL_NOT_ENFORCED

Aplica SSL para todas las conexiones entrantes a la base de datos

TOO_MANY_KMS_USERS

Limita a tres la cantidad de usuarios de claves criptográficas de KMS

UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

Habilita el acceso uniforme a nivel de bucket en los buckets de Cloud Storage

USER_MANAGED_SERVICE_ACCOUNT_KEY

Restringe las claves de cuentas de servicio administradas por el usuario

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

No disponible

WEAK_SSL_POLICY

Restringe las políticas de SSL no seguras para las instancias de Compute Engine

WEB_UI_ENABLED

No uses la IU web de Kubernetes

WORKLOAD_IDENTITY_DISABLED

Habilita la federación de identidades para cargas de trabajo para GKE en clústeres

¿Qué sigue?