הכלי Compliance Manager כולל הרבה אמצעי בקרה מובנים בענן שאפשר להוסיף למסגרות ולפרוס בסביבה שלכם. אם נדרש, אפשר ליצור ולנהל אמצעי בקרה מותאמים אישית בענן ולעדכן אמצעי בקרה מובנים בענן.
לפני שמתחילים
צריך להשלים את המשימות האלה לפני שממשיכים למשימות הנותרות בדף הזה.
הגדרת ההרשאות
-
כדי לקבל את ההרשאות שדרושות לניהול מסגרות של אמצעי בקרה בענן, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון או בפרויקט:
- אדמין ב-Compliance Manager (
roles/cloudsecuritycompliance.admin) -
כדי ליצור או לשנות אמצעי בקרה בענן שמבוססים על מדיניות הארגון, צריך אחת מההרשאות הבאות:
- אדמין של מדיניות הארגון (
roles/orgpolicy.policyAdmin) - אדמין של Assured Workloads (
roles/assuredworkloads.admin) - עורך Assured Workloads (
roles/assuredworkloads.editor)
- אדמין של מדיניות הארגון (
-
כדי ליצור או לשנות אמצעי בקרה בענן שמבוססים על מדיניות הפרויקט: אדמין IAM של פרויקט (
roles/resourcemanager.projectIamAdmin)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
- אדמין ב-Compliance Manager (
הגדרת Google Cloud CLI
במסוף Google Cloud , מפעילים את Cloud Shell.
בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.
כדי להגדיר את ה-CLI של gcloud כך שיבצע התחזות לחשבון שירות כדי לאמת ל-Google APIs, במקום להשתמש בפרטי הכניסה של המשתמש, מריצים את הפקודה הבאה:
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
מידע נוסף מופיע במאמר התחזות לחשבון שירות.
הצגת אמצעי הבקרה בענן
כדי לראות את אמצעי הבקרה המובנים בענן ואת אמצעי הבקרה המותאמים אישית בענן שכבר יצרתם, פועלים לפי השלבים הבאים.
המסוף
נכנסים לדף Compliance במסוף Google Cloud .
בוחרים את הארגון או הפרויקט.
בכרטיסייה Configure (הגדרה), לוחצים על Cloud Controls (אמצעי בקרה בענן). מוצגים אמצעי הבקרה הזמינים בענן.
לוח הבקרה כולל מידע על המסגרות שכוללות את אמצעי הבקרה בענן, ועל מספר המשאבים (ארגון, תיקיות ופרויקטים) שאליהם מוחל אמצעי הבקרה בענן.
כדי לראות פרטים על אמצעי בקרה בענן, לוחצים על שם אמצעי הבקרה.
CLI
אתם יכולים לראות מידע על אמצעי בקרה ספציפי ב-Cloud או לראות רשימה של כל אמצעי הבקרה ב-Cloud בארגון.
הצגת פרטים על אמצעי בקרה בענן
כדי לראות פרטים על אמצעי בקרה ספציפי בענן, מריצים את הפקודה gcloud
compliance-manager cloud-controls describe:
gcloud compliance-manager cloud-controls describe CLOUD_CONTROL \
--location=LOCATION \
--organization=ORGANIZATION \
[--major-revision-id=MAJOR_REVISION_ID]
מחליפים את הערכים הבאים:
CLOUD_CONTROL: השם של אמצעי הבקרה בענן
ORGANIZATION: מזהה הארגון
LOCATION: האזור שבו מאוחסן אמצעי הבקרה בענן
MAJOR_REVISION_IDהוא דגל אופציונלי שמציין איזו גרסה של אמצעי הבקרה בענן יוצג. אם לא כוללים את הדגל, מוחזרת הגרסה האחרונה.
לדוגמה, כדי להציג אמצעי בקרה בענן עם השם builtin-block-external-ip-addresses-for-vm-access ומספר הגרסה הראשי 1, מריצים את הפקודה הבאה:
gcloud compliance-manager cloud-controls describe \
builtin-block-external-ip-addresses-for-vm-access \
--organization=3589215982 \
--location=global \
--major-revision-id=1
מידע נוסף זמין במאמר בנושא gcloud compliance-manager cloud-controls describe.
קבלת רשימה של אמצעי בקרה בענן
כדי לקבל את רשימת אמצעי הבקרה בענן בארגון, מריצים את הפקודה gcloud
compliance-manager cloud-controls list:
gcloud compliance-manager cloud-controls list \
--location=LOCATION \
--organization=ORGANIZATION
מחליפים את הערכים הבאים:
ORGANIZATION: מזהה הארגון
LOCATION: האזור שבו מאוחסנים אמצעי הבקרה של הענן
לדוגמה, כדי לראות את כל אמצעי הבקרה בענן בארגון 3589215982 שמאוחסנים במיקום הגלובלי, מריצים את הפקודה הבאה:
gcloud compliance-manager cloud-controls list \
--organization=3589215982 \
--location=global
מידע על דגלים אופציונליים מופיע במאמר gcloud compliance-manager cloud-controls list.
יצירת אמצעי בקרה מותאם אישית בענן
כשיוצרים אמצעי בקרה מותאם אישית בענן, מחילים כלל על כל סוג משאב במלאי נכסי הענן.
המסוף
כשמשתמשים במסוף, אפשר ליצור אמצעי בקרה מותאמים אישית בענן עם כלל אחד שחל על סוג משאב אחד.
נכנסים לדף Compliance במסוף Google Cloud .
בוחרים את הארגון או הפרויקט.
בכרטיסייה Configure (הגדרה), לוחצים על Cloud Controls (אמצעי בקרה בענן). מוצגת רשימה של אמצעי בקרה זמינים בענן.
יוצרים אמצעי בקרה בענן, באמצעות Gemini או באופן ידני:
שימוש ב-Gemini
יש לך שאלה ל-Gemini? ליצירת אמצעי בקרה בענן. על סמך ההנחיה, Gemini מספק מזהה ייחודי, שם, לוגיקת זיהוי משויכת ושלבים אפשריים לתיקון.
בודקים את ההמלצות ומבצעים את השינויים הנדרשים.
שומרים את אמצעי הבקרה המותאם אישית בענן.
יצירה ידנית
בקטע מזהה בקרת הענן, מציינים מזהה ייחודי לבקרה.
מזינים שם ותיאור כדי לעזור למשתמשים בארגון להבין את המטרה של אמצעי הבקרה המותאם אישית בענן.
אופציונלי: בוחרים את הקטגוריות של אמצעי הבקרה. לוחצים על Continue.
בוחרים סוג משאב זמין לאמצעי הבקרה המותאם אישית בענן. ב-Compliance Manager יש תמיכה בכל סוגי המשאבים. כדי למצוא את השם של משאב, אפשר לעיין במאמר סוגי נכסים.
צריך לספק את לוגיקת הזיהוי של אמצעי הבקרה בענן בפורמט Common Expression Language (CEL).
ביטויים ב-CEL מאפשרים להגדיר איך רוצים להעריך את המאפיינים של משאב. מידע נוסף ודוגמאות זמינים במאמר כתיבת כללים לבקרות ענן בהתאמה אישית. לוחצים על Continue.
אם כלל ההערכה לא תקין, מוצגת שגיאה.
בוחרים רמת חומרה מתאימה לממצאים.
צריך לכתוב את הוראות התיקון כך שמגיבים לאירועים ואדמינים בארגון יוכלו לפתור את כל הממצאים לגבי אמצעי הבקרה בענן. לוחצים על Continue.
בודקים את הערכים שהזנתם ולוחצים על יצירה.
CLI
כשמשתמשים ב-CLI של gcloud, אפשר ליצור אמצעי בקרה מותאם אישית בענן עם עד שלוש כללים. כל כלל יכול לחול רק על סוג אחד של משאב.
כדי ליצור אמצעי בקרה מותאם אישית בענן, מריצים את הפקודה gcloud compliance-manager
cloud-controls create:
gcloud compliance-manager cloud-controls create CLOUD_CONTROL \
--location=LOCATION \
--organization=ORGANIZATION \
[--display-name=DISPLAY_NAME] \
[--description=DESCRIPTION] \
[--categories=[CATEGORIES,...]] \
[--finding-category=FINDING_CATEGORY] \
[--parameter-spec=[defaultValue=DEFAULTVALUE],[description=DESCRIPTION],[displayName=DISPLAYNAME],[isRequired=ISREQUIRED],[name=NAME],[substitutionRules=SUBSTITUTIONRULES],[validation=VALIDATION],[valueType=VALUETYPE]] \
[--remediation-steps=REMEDIATION_STEPS] \
[--rules=[celExpression=CELEXPRESSION],[description=DESCRIPTION],[ruleActionTypes=RULEACTIONTYPES]] \
[--severity=SEVERITY] \
[--supported-cloud-providers=[SUPPORTED_CLOUD_PROVIDERS,…]] \
[--supported-target-resource-types=[SUPPORTED_TARGET_RESOURCE_TYPES,…]]
מחליפים את הערכים הבאים:
CLOUD_CONTROL: שם אלפאנומרי ייחודי לאמצעי הבקרה בענן
ORGANIZATION: מזהה הארגון
LOCATION: האזור שבו מאוחסן אמצעי הבקרה בענן
DISPLAY_NAME: שם קריא לאנשים של אמצעי הבקרה בענן
DESCRIPTION: תיאור אופציונלי של מטרת אמצעי הבקרה בענן
CATEGORIES,…: פרמטר אופציונלי שמגדיר את הקטגוריות שהבקרה בענן היא חלק מהן. רשימת הקטגוריות המותרות מופיעה במאמר בנושא gcloud compliance-manager cloud-controls create.
FINDING_CATEGORY: הערך שמוצג בלוח הממצאים של Security Command Center כשבקרת הענן יוצרת ממצא--parameter-spec=[defaultValue=DEFAULTVALUE], \ [description=DESCRIPTION], \ [displayName= DISPLAYNAME], \ [isRequired=ISREQUIRED], \ [name=NAME], \ [substitutionRules=SUBSTITUTIONRULES], \ [validation=VALIDATION], \ [valueType=VALUETYPE]...]
הוא פרמטר אופציונלי שמכיל מידע על אמצעי הבקרה בענן, בפורמט הבא:
DEFAULTVALUE: הנתונים שמוחלים אם המשתמש לא מבצע התאמה אישית של הפרמטר כשפורסים את המסגרת. סוגי הערכים הנתמכים הםboolValue,numberValue,stringListValueאוstringValue.DESCRIPTION: תיאור אופציונלי של אמצעי הבקרה
ISREQUIRED:trueאם אמצעי הבקרה דורש הגדרת פרמטר
NAME: שם הפרמטרSUBSTITUTIONRULES: איך ומאיפה Compliance Manager מוסיף את הערך המותאם אישית של הפרמטר. מציינים את נתיב הטירגוט בתוך הכלל באמצעות סימון נקודות פרוטו (לדוגמה,rules[0].org_policy_constraint...). בוחרים באחת מהאפשרויות הבאות:
attributeSubstitutionRuleכשרוצים להוסיף את ערך הפרמטר ישירות לשדה מבני של הכלל (לדוגמה, מילוי רשימה של ערכים מוגבלים בתוך תבנית של כלל אילוץ במדיניות ארגונית).placeholderSubstitutionRuleאם הכלל משתמש במחרוזת טקסט (או בביטוי CEL). המחרוזת חייבת להכיל משתנה placeholder עם התחילית$(לדוגמה,$deniedServices), והכלל הזה אומר לקומפיילר למפות את הפרמטר ל-placeholder הזה.
בדוגמה הבאה נוצר פרמטר של רשימה בשם
deniedServicesעם הסוגSTRINGLIST. הוא משתמש ב-attributeSubstitutionRuleכדי להוסיף שמות של שירותים שסופקו על ידי המשתמש (כמוcompute.googleapis.com) ישירות לכלל מבני של מדיניות ארגונית מותאמת אישית (denied_values) בזמן הפריסה:--parameter-spec='name=deniedServices,isRequired=true,valueType=STRINGLIST,substitutionRules=[{attributeSubstitutionRule={attribute="rules[0].org_policy_constraint.policy_rules[0].values.denied_values"}}]'
VALIDATIONהוא קבוצת הערכים המותרים. בוחרים אחת מהאפשרויות הבאות:משתמשים ב-
allowedValuesכדי לאכוף רשימת היתרים סטטית – לדוגמה, כדי להגביל פרמטרים של מיקום לשדות מחרוזת ספציפיים:validation={allowedValues={values=[{stringValue=us-central1},{stringValue=us-west1}]}}משתמשים ב-
intRangeכדי לאכוף גבולות מספריים על מספרים שלמים – לדוגמה, כדי להגדיר תקופת שמירה בין 1 ל-365:validation={intRange={min=1,max=365}}משתמשים ב-
regexpPatternכדי לאכוף התאמה של ביטוי רגולרי במחרוזת text – לדוגמה, כדי לדרוש שמות אלפאנומריים מדויקים:validation={regexpPattern={pattern="^[a-z][-a-z0-9]*$"}}
VALUETYPE: סוג הנתונים או הפורמט של הערך שהמשתמש מספק לפרמטר הזה. סוגי הערכים הנתמכים הםSTRING,BOOLEAN,STRINGLIST,NUMBERו-ONEOF.
אפשר גם לציין קובץ JSON או YAML שמגדיר את הפרמטרים. לדוגמה,
--parameter-spec=path_to_file.(yaml|json). כדי לראות דוגמאות לקובצי JSON ו-YAML, אפשר להרחיב את הקטע הבא.קובץ JSON לדוגמה
[ { "name": "deniedServices", "displayName": "Services Requiring CMEK", "description": "List of service names that must use Customer-Managed Encryption Keys.", "isRequired": true, "valueType": "STRINGLIST", "substitutionRules": [ { "attributeSubstitutionRule": { "attribute": "rules[0].org_policy_constraint.policy_rules[0].values.denied_values" } } ] } ]קובץ YAML לדוגמה
- name: deniedServices displayName: "Services Requiring CMEK" description: "List of service names that must use Customer-Managed Encryption Keys." isRequired: true valueType: STRINGLIST substitutionRules: - attributeSubstitutionRule: attribute: "rules[0].org_policy_constraint.policy_rules[0].values.denied_values"REMEDIATION_STEPS: השלבים שנדרשים כדי לפתור את הממצאים. המחרוזת הזו מוגבלת ל-400 תווים.
--rules=[celExpression=CELEXPRESSION],[description=DESCRIPTION],[ruleActionTypes=RULEACTIONTYPES]הוא הכלל שרוצים לאכוף, בפורמט הבא:
CELEXPRESSION: ביטוי של Common Expression Language (CEL) של הכלל. מידע על כתיבת ביטויי CEL זמין במאמר כתיבת כללים לבקרות ענן בהתאמה אישית. צריך לכלול את הפרטים הבאים:
expression: ביטוי CEL, עד 1,000 תווים
resourceTypesValues: שם המשאב, בפורמטSERVICE_NAME/type. משתמשים במערךvaluesכדי לפרט את כל סוגי המשאבים שרוצים להחיל עליהם את הכלל – לדוגמה,values=[compute.googleapis.com/Instance].
DESCRIPTION: תיאור הכלל
RULEACTIONTYPES: הפעולה שהכלל מבצע. הערכים הנתמכים הםrule-action-type-detective,rule-action-type-preventiveו-rule-action-type-audit.
לדוגמה, כדי לבדוק את תקופת הרוטציה של מפתח Cloud Key Management Service, מזינים את הפקודה הבאה:
--rules="[ { \"celExpression\": { \"expression\": \"has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')\", \"resourceTypesValues\": { \"values\": [ \"cloudkms.googleapis.com/CryptoKey\" ] } }, \"description\": \"Check KMS key rotation period\", \"ruleActionTypes\": [ \"rule-action-type-detective\" ] } ]"אפשר גם לציין קובץ JSON או YAML שמגדיר את הכלל. לדוגמה,
--rules=path_to_file.(yaml|json). כדי לראות דוגמאות לקובצי JSON ו-YAML, מרחיבים את הקטע הבא.קובץ JSON לדוגמה
[ { "celExpression": { "expression": "has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')", "resourceTypesValues": { "values": [ "cloudkms.googleapis.com/CryptoKey" ] } }, "description": "Check KMS key rotation period to ensure it is under 60 hours.", "ruleActionTypes": [ "rule-action-type-detective" ] } ]קובץ YAML לדוגמה
- celExpression: expression: "has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')" resourceTypesValues: values: - cloudkms.googleapis.com/CryptoKey description: "Check KMS key rotation period to ensure it is under 60 hours." ruleActionTypes: - rule-action-type-detective
SEVERITY: רמת הקריטיות של אמצעי הבקרה בענן. הערכים הנתמכים הםcritical,high,mediumו-low.
SUPPORTED_CLOUD_PROVIDERS,…: ספקי הענן שהבקרה הזו חלה עליהם. הערך הנתמך היחיד הואgcp.
SUPPORTED_TARGET_RESOURCE_TYPES,…: סוגי המשאבים (ארגון, תיקייה, פרויקט או תיקייה לניהול אפליקציות במרכז האפליקציות) שהבקרה בענן תומכת בהם. הערכים הנתמכים הםtarget-resource-crm-type-folder,target-resource-crm-type-org,target-resource-crm-type-projectו-target-resource-type-application.
לדוגמה, כדי ליצור אמצעי בקרה בענן שמחיל מיקומי משאבים, מריצים את הפקודה הבאה:
gcloud compliance-manager cloud-controls create \
restrict-resource-locations \
--organization=3589215982 \
--location=global \
--display-name="Restrict Resource Locations" \
--description="Enforces checks to ensure resources are only deployed in approved cloud regions." \
--severity=high \
--finding-category="LOCATION_VIOLATION" \
--supported-cloud-providers="gcp" \
--supported-target-resource-types="target-resource-crm-type-project" \
--parameter-spec='name=allowedLocations,isRequired=true,valueType=STRINGLIST,substitutionRules=[{placeholderSubstitutionRule={attribute="rules[0].cel_expression.expression"}}]' \
--rules="[{\"celExpression\": {\"expression\": \"resource.location in \$allowedLocations\", \"resourceTypesValues\": {\"values\": [\"compute.googleapis.com/Instance\"]}}, \"description\": \"Check Compute Engine instance locations\", \"ruleActionTypes\": [\"rule-action-type-detective\"]}]"
כדי ליצור את אותו אמצעי בקרה אבל להשתמש בקובצי YAML כדי להגדיר את הפרמטרים והכללים, מריצים את הפקודה:
gcloud compliance-manager cloud-controls create \
restrict-resource-locations \
--organization=3589215982 \
--location=global \
--display-name="Restrict Resource Locations" \
--description="Enforces checks to ensure resources are only deployed in approved cloud regions." \
--severity=high \
--finding-category="LOCATION_VIOLATION" \
--supported-cloud-providers="gcp" \
--supported-target-resource-types="target-resource-crm-type-project" \
--parameter-spec=parameters.yaml \
--rules=rules.yaml
מידע נוסף זמין במאמר gcloud compliance-manager cloud-controls create.
Terraform
כשמשתמשים ב-Terraform, אפשר ליצור אמצעי בקרה מותאם אישית בענן עם עד שלושה כללים. כל כלל יכול לחול רק על סוג אחד של משאב.
בדוגמה הבאה אפשר לראות איך ליצור אמצעי בקרה מותאם אישית בענן באמצעות Terraform.
עריכה של אמצעי בקרה מותאם אישית בענן
אחרי שיוצרים אמצעי בקרה בענן, אפשר לשנות את השם, התיאור, הכללים, שלבי התיקון ורמת החומרה שלו. אי אפשר לשנות את הקטגוריה של השליטה בענן.
נכנסים לדף Compliance במסוף Google Cloud .
בוחרים את הארגון או הפרויקט.
בכרטיסייה Configure (הגדרה), לוחצים על Cloud Controls (אמצעי בקרה בענן). מוצגת רשימה של אמצעי בקרה זמינים בענן.
לוחצים על אמצעי הבקרה בענן שרוצים לערוך.
בדף Cloud controls details, מוודאים שהבקרה בענן לא נכללת במסגרת. אם נדרש, עורכים את המסגרת כדי להסיר את אמצעי הבקרה של הענן.
לוחצים על Edit.
בדף Edit custom cloud control (עריכת אמצעי בקרה מותאם אישית בענן), משנים את השם והתיאור לפי הצורך. לוחצים על Continue.
עדכון הכללים, ממצאי החומרה ושלבי התיקון. לוחצים על Continue.
בודקים את השינויים ולוחצים על שמירה.
עדכון של אמצעי בקרה מובנה בענן לגרסה חדשה יותר
Google מפרסמת עדכונים שוטפים לאמצעי הבקרה המובנים שלה בענן, כששירותים פורסים תכונות חדשות או כשמתגלות שיטות מומלצות חדשות. העדכונים יכולים לכלול אמצעי בקרה חדשים או שינויים באמצעי בקרה קיימים.
אפשר לראות את הגרסאות של אמצעי הבקרה המובנים בענן במרכז הבקרה של אמצעי הבקרה בענן בכרטיסייה Configure או בדף הפרטים של אמצעי הבקרה בענן.
Google מודיעה לכם בנתוני הגרסה כשהפריטים הבאים מתעדכנים:
- שם אמצעי הבקרה בענן
- קטגוריית התוצאות
- שינוי בלוגיקה של זיהוי או מניעה בכלל
- הלוגיקה הבסיסית של כלל
כדי לעדכן אמצעי בקרה בענן אחרי שמתקבלת התראה, צריך לבטל את ההקצאה ולפרוס מחדש את המסגרות שכוללות את אמצעי הבקרה בענן. הוראות מפורטות מופיעות במאמר בנושא עדכון של מסגרת לגרסה חדשה יותר.
מחיקה של אמצעי בקרה מותאם אישית בענן
למחוק אמצעי בקרה בענן כשכבר לא צריך אותו. אתם יכולים למחוק רק אמצעי בקרה בענן שאתם יצרתם. אי אפשר למחוק פקדים מוטמעים בענן.
המסוף
נכנסים לדף Compliance במסוף Google Cloud .
בוחרים את הארגון או הפרויקט.
בכרטיסייה Configure (הגדרה), לוחצים על Cloud Controls (אמצעי בקרה בענן). מוצגת רשימה של אמצעי בקרה זמינים בענן.
לוחצים על אמצעי הבקרה בענן שרוצים למחוק.
בדף Cloud controls details, מוודאים שהבקרה בענן לא נכללת במסגרת. אם נדרש, עורכים את המסגרת כדי להסיר את אמצעי הבקרה של הענן.
לוחצים על Delete.
בחלון מחיקה, קוראים את ההודעה. מקלידים
Deleteולוחצים על אישור.
CLI
כדי למחוק אמצעי בקרה מותאם אישית בענן, מריצים את הפקודה gcloud compliance-manager
cloud-controls delete:
gcloud compliance-manager cloud-controls delete CLOUD_CONTROL \
--location=LOCATION \
--organization=ORGANIZATION
מחליפים את הערכים הבאים:
CLOUD_CONTROL: השם של אמצעי הבקרה בענן
ORGANIZATION: מזהה הארגון
LOCATION: האזור שבו מאוחסן אמצעי הבקרה בענן
לדוגמה, כדי למחוק אמצעי בקרה בענן בשם restrict-resource-locations, מריצים את הפקודה הבאה:
gcloud compliance-manager cloud-controls delete \
restrict-resource-locations \
--organization=3589215982 \
--location=global
מידע נוסף זמין במאמר בנושא gcloud compliance-manager cloud-controls delete.
מיפוי של גלאים ב-Security Health Analytics לאמצעי בקרה בענן
בטבלה הבאה אפשר לראות איך אמצעי בקרה בענן ב-Compliance Manager ממופים לגלאים ב-Security Health Analytics.
| קטגוריית התוצאות ב-Security Health Analytics | שם אמצעי הבקרה ב-Cloud ב-Compliance Manager |
|---|---|
|
הפעלת Access Transparency |
|
חסימת תפקידי אדמין מחשבונות שירות |
|
הגדרת האילוץ Allowed Ingress Settings (הגדרות של תעבורת נתונים נכנסת מותרת) במדיניות הארגון של Cloud Run |
|
הגדרת האילוץ של מדיניות הארגון 'הגדרות מותרות של תעבורת נתונים יוצאת (egress) של VPC' ב-Cloud Run |
|
הפעלת גיבויים אוטומטיים של AlloyDB באשכול |
|
הפעלת גיבויים של AlloyDB באשכול |
|
הפעלת CMEK באשכולות AlloyDB |
|
הגדרת דגל של רמת פירוט של שגיאות ביומן למופעי AlloyDB |
|
הגדרת הדגל Log Min Error Statement למופעי AlloyDB |
|
הגדרת הדגל Log Min Messages למופעי AlloyDB |
|
חסימה של כתובות IP ציבוריות למכונות של אשכול AlloyDB |
|
השבתת תכונות בשלב אלפא באשכולות GKE |
|
הגבלת מפתחות API לממשקי API נדרשים בלבד |
|
לא זמין |
|
דרישה להחלפת מפתח API |
|
הגדרה של מדדי יומן והתראות לשינויים ביומן הביקורת |
|
הטמעה של רישום אירועים בשירותי Google Cloud |
|
הפעלת גיבויים אוטומטיים למסדי נתונים של Cloud SQL |
|
הפעלת תיקון אוטומטי באשכולות GKE |
|
הפעלת שדרוג אוטומטי באשכולות GKE |
|
הפעלת CMEK לטבלאות BigQuery |
|
דרישה להרשאת Binary Authorization באשכול |
|
הפעלת CMEK לקטגוריות ב-Cloud Storage |
|
הגדרת מדדי יומנים והתראות לשינויים במדיניות IAM של Cloud Storage |
|
דרישה לרישום ביומן של קטגוריות Cloud Storage |
|
הפעלת גישה אחידה ברמת הקטגוריה בקטגוריות של Cloud Storage |
|
הפעלת שירות מאגר משאבי הענן |
|
הפעלת Cloud Logging באשכולות GKE |
|
הפעלת Cloud Monitoring באשכולות GKE |
|
הפעלת גישה פרטית ל-Google במופע |
|
הפעלת הצפנה באשכולות GKE |
|
הפעלת צומתי GKE מוגנים באשכול |
|
חסימת מפתחות SSH ברמת הפרויקט במכונות של Compute Engine |
|
הפעלת אתחול מאובטח במכונות של Compute Engine |
|
חסימת יציאות טוריות במכונות Compute Engine |
|
הפעלת Confidential Computing במכונות של Compute Engine |
|
דרישה לשימוש במערכת הפעלה שמותאמת לקונטיינרים באשכול GKE |
|
לא זמין |
|
הגדרת מדדים והתראות ביומן לשינויים בתפקידים מותאמים אישית |
|
דרישה לשימוש ב-CMEK באשכולות Dataproc |
|
שימוש בגרסאות התמונות העדכניות ביותר באשכולות Dataproc |
|
הפעלת CMEK למערכי נתונים ב-BigQuery |
|
שימוש ברשתות עם כללי חומת אש בהתאמה אישית |
|
שימוש בחשבונות שירות בהתאמה אישית למכונות Compute Engine |
|
הגדרת מדיניות הארגון Disable VPC External IPv6 Usage (השבתת השימוש ב-IPv6 חיצוני ב-VPC) |
|
הגדרת מדיניות הארגון Disable VPC External IPv6 Usage (השבתת השימוש ב-IPv6 חיצוני ב-VPC) |
|
הגדרת המדיניות 'השבתת הרישום של יציאה טורית של מכונת VM ב-Stackdriver' |
|
הפעלת CMEK בדיסקים לאחסון מתמיד ב-Compute Engine |
|
הפעלת CSEK בדיסקים לאחסון מתמיד ב-Compute Engine |
|
הפעלת מעקב אחר יומנים של Cloud DNS |
|
הפעלת DNSSEC ב-Cloud DNS |
|
אכיפת כלל חומת אש לדחיית כל התעבורה היוצאת |
|
הגדרת אנשי קשר חיוניים |
|
הגדרת מדדים של יומנים והתראות לשינויים בחומת אש של רשת VPC |
|
הפעלת רישום ביומן של כללים לחומת אש |
|
הפעלת יומני זרימה עבור רשת משנה של VPC |
|
הגבלת הגישה לממשקי API של Google Cloud למכונות של Compute Engine |
|
אכיפה של תנועת HTTPS בלבד |
|
הגדרת גבולות גזרה לשירות ב-VPC Service Controls |
|
הפעלה של OS Login |
|
הפעלת מעקב אחר תקינות באשכולות GKE |
|
הפעלת חשיפה של צמתים באשכולות GKE |
|
הפעלת טווח של כתובות IP וירטואליות באשכולות GKE |
|
מניעת העברת IP במכונות Compute Engine |
|
הגדרת תקופת רוטציה למפתחות Cloud KMS |
|
לא זמין |
|
לא זמין |
|
אכיפת הפרדת תפקידים |
|
חסימת הרשאות מדור קודם באשכולות GKE |
|
השבתת נקודות הקצה הקודמות של שרת המטא-נתונים ב-Compute Engine |
|
לא להשתמש ברשתות מדור קודם |
|
הפעלת רישום ביומן של מאזן העומסים |
|
נעילה של מדיניות שמירת נתונים בקטגוריות אחסון |
|
הגדרת פריטי Sink ביומן |
|
הפעלת רשתות מורשות במישור הבקרה באשכולות GKE |
|
לא זמין |
|
הגדרת מדדי יומן והתראות לשינויים ברשת VPC |
|
הפעלת מדיניות רשת באשכולות GKE |
|
הפעלת CMEK בדיסקים של אתחול מאגר הצמתים ב-GKE |
|
הפעלת אתחול מאובטח לצומתי GKE מוגנים |
|
לא זמין |
|
הפעלת ניהול גרסאות של אובייקטים בקטגוריות |
|
חסימת חיבורים ליציאות של Cassandra מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות CiscoSecure/WebSM מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות של שירותי ספרייה מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות DNS מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות Elasticsearch מכל כתובות ה-IP |
|
לא זמין |
|
חסימת חיבורים ליציאות FTP מכל כתובות ה-IP |
|
לא זמין |
|
חסימת חיבורים ליציאות HTTP מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות LDAP מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות Memcached מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות MongoDB מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות MySQL מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות NetBIOS מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות של מסד הנתונים של Oracle מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות של שרתי POP3 מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות של שרת PostgreSQL מכל כתובות ה-IP |
|
חסימת הגישה ליציאת RDP |
|
חסימת חיבורים ליציאות של שרת Redis מכל כתובות ה-IP |
|
חסימת חיבורים ליציאות של שרת SMTP מכל כתובות ה-IP |
|
חסימת הגישה ליציאת SSH |
|
חסימת חיבורים ליציאות של שרתי Telnet מכל כתובות ה-IP |
|
הפעלת ההגבלה של מדיניות הארגון בנושא מכונות וירטואליות חסויות |
|
הפעלת OS Login לכל המופעים ברמת הפרויקט |
|
שימוש בחשבונות שירות עם הרשאות מינימליות באשכולות GKE |
|
יצירת אשכולות GKE עם היקפי גישה מוגבלים לחשבונות שירות |
|
חסימת תפקידי אדמין מחשבונות שירות |
|
לא זמין |
|
לא זמין |
|
הגבלת תפקידים מדור קודם ב-IAM |
|
הפעלת אשכולות פרטיים ב-GKE |
|
הפעלת גישה פרטית ל-Google עבור רשתות משנה של VPC |
|
הגבלת הגישה הציבורית לקטגוריות של Cloud Storage |
|
הגבלת הגישה הציבורית לתמונות Compute |
|
הגבלת גישה ציבורית למערכי נתונים ב-BigQuery |
|
הגבלת כתובות IP ציבוריות למכונות Compute Engine |
|
הגבלת הגישה הציבורית לקטגוריות של Cloud Storage |
|
הגבלת הגישה הציבורית למכונות של מסדי נתונים ב-Cloud SQL |
|
הצפנת נושא Pub/Sub באמצעות CMEK |
|
הפעלת הדגל Log Statement ל-PostgreSQL |
|
לא זמין |
|
הרשמה של אשכול GKE לערוץ הפצה |
|
הפעלה של OS Login |
|
הגדרת תעבורת נתונים יוצאת (egress) של מחבר VPC לפונקציות Cloud Run |
|
הפעלת האילוץ 'הגבלת רשתות מורשות במכונות Cloud SQL' במדיניות הארגון |
|
הגדרה של מדדי יומן והתראות לשינויים בנתיבי VPC |
|
הימנעות משימוש ב-RSASHA1 לחתימה על DNSSEC |
|
לא זמין |
|
לא זמין |
|
דרישה לרוטציה של מפתחות לחשבונות שירות |
|
אכיפת הפרדת תפקידים |
|
הפעלת מכונה וירטואלית מוגנת למכונות וירטואליות ב-Compute Engine |
|
הגבלת יצירת רשתות ברירת מחדל למכונות Compute Engine |
|
הפעלת CMEK למסדי נתונים של Cloud SQL |
|
השבתת הדגל של אימות מסד נתונים עצמאי ב-SQL Server |
|
השבתה של הדגל Cross Database Ownership Chaining ל-SQL Server |
|
השבתת הדגל של סקריפטים חיצוניים ב-SQL Server |
|
הגדרת מדדי יומן והתראות לשינויים בהגדרות של Cloud SQL |
|
השבתת הדגל Local Infile ל-MySQL |
|
הפעלת הדגל Log Checkpoints ל-PostgreSQL |
|
הפעלת הדגל Log Connections ל-PostgreSQL |
|
הפעלת הדגל Log Disconnections ל-PostgreSQL |
|
הפעלת הדגל של משך היומן במכונת PostgreSQL |
|
הפעלת הדגל של רמת הפירוט של שגיאות ביומן עבור PostgreSQL |
|
השבתה של התכונה הניסיונית Log Executor Stats Flag for PostgreSQL |
|
השבתה של הדגל Log Hostname ב-PostgreSQL |
|
הפעלת הדגל Log Locks Wait במכונת PostgreSQL |
|
השבתה של הדגל Log Min Duration Statement ל-PostgreSQL |
|
הפעלת הדגל Log Min Error Statement ל-PostgreSQL |
|
לא זמין |
|
הפעלת הדגל Log Min Messages ל-PostgreSQL |
|
השבתה של Log Parser Stats Flag ל-PostgreSQL |
|
השבתה של Log Planner Stats Flag ל-PostgreSQL |
|
הפעלת הדגל Log Statement ל-PostgreSQL |
|
הפעלת הדגל Log Temp Files (רישום קבצים זמניים ביומן) למכונת PostgreSQL |
|
לא זמין |
|
חסימת כתובות IP ציבוריות למכונות Cloud SQL |
|
השבתת הדגל של גישה מרחוק ל-SQL Server |
|
הפעלת הצפנת SSL במכונות AlloyDB |
|
הפעלת האפשרות Skip Show Database Flag for MySQL (דילוג על סימון של הצגת מסד נתונים) ב-MySQL |
|
הפעלת הדגל 3625 Trace Database ל-SQL Server |
|
לא להשתמש בדגל של חיבורי משתמשים ל-SQL Server |
|
לא להשתמש בדגל של אפשרויות משתמש ל-SQL Server |
|
לא זמין |
|
אכיפת SSL לכל החיבורים הנכנסים למסד הנתונים |
|
הגבלת מספר המשתמשים במפתחות הצפנה של KMS לשלושה |
|
הפעלת גישה אחידה ברמת הקטגוריה בקטגוריות של Cloud Storage |
|
הגבלת מפתחות של חשבונות שירות בניהול המשתמשים |
|
לא זמין |
|
הגבלת מדיניות SSL לא מאובטחת למכונות של Compute Engine |
|
לא להשתמש בממשק האינטרנט של Kubernetes |
|
הפעלה של איחוד זהויות של עומסי עבודה ל-GKE באשכולות |