ניהול אמצעי בקרה בענן

הכלי Compliance Manager כולל הרבה אמצעי בקרה מובנים בענן שאפשר להוסיף למסגרות ולפרוס בסביבה שלכם. אם נדרש, אפשר ליצור ולנהל אמצעי בקרה מותאמים אישית בענן ולעדכן אמצעי בקרה מובנים בענן.

לפני שמתחילים

צריך להשלים את המשימות האלה לפני שממשיכים למשימות הנותרות בדף הזה.

הגדרת ההרשאות

הגדרת Google Cloud CLI

במסוף Google Cloud , מפעילים את Cloud Shell.

הפעלת Cloud Shell

בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.

כדי להגדיר את ה-CLI של gcloud כך שיבצע התחזות לחשבון שירות כדי לאמת ל-Google APIs, במקום להשתמש בפרטי הכניסה של המשתמש, מריצים את הפקודה הבאה:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

מידע נוסף מופיע במאמר התחזות לחשבון שירות.

הצגת אמצעי הבקרה בענן

כדי לראות את אמצעי הבקרה המובנים בענן ואת אמצעי הבקרה המותאמים אישית בענן שכבר יצרתם, פועלים לפי השלבים הבאים.

המסוף

  1. נכנסים לדף Compliance במסוף Google Cloud .

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה Configure (הגדרה), לוחצים על Cloud Controls (אמצעי בקרה בענן). מוצגים אמצעי הבקרה הזמינים בענן.

    לוח הבקרה כולל מידע על המסגרות שכוללות את אמצעי הבקרה בענן, ועל מספר המשאבים (ארגון, תיקיות ופרויקטים) שאליהם מוחל אמצעי הבקרה בענן.

  4. כדי לראות פרטים על אמצעי בקרה בענן, לוחצים על שם אמצעי הבקרה.

CLI

אתם יכולים לראות מידע על אמצעי בקרה ספציפי ב-Cloud או לראות רשימה של כל אמצעי הבקרה ב-Cloud בארגון.

הצגת פרטים על אמצעי בקרה בענן

כדי לראות פרטים על אמצעי בקרה ספציפי בענן, מריצים את הפקודה gcloud compliance-manager cloud-controls describe:

gcloud compliance-manager cloud-controls describe CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--major-revision-id=MAJOR_REVISION_ID]

מחליפים את הערכים הבאים:

  • CLOUD_CONTROL: השם של אמצעי הבקרה בענן

  • ORGANIZATION: מזהה הארגון

  • LOCATION: האזור שבו מאוחסן אמצעי הבקרה בענן

  • MAJOR_REVISION_ID הוא דגל אופציונלי שמציין איזו גרסה של אמצעי הבקרה בענן יוצג. אם לא כוללים את הדגל, מוחזרת הגרסה האחרונה.

לדוגמה, כדי להציג אמצעי בקרה בענן עם השם builtin-block-external-ip-addresses-for-vm-access ומספר הגרסה הראשי 1, מריצים את הפקודה הבאה:

gcloud compliance-manager cloud-controls describe \
   builtin-block-external-ip-addresses-for-vm-access \
   --organization=3589215982 \
   --location=global \
   --major-revision-id=1

מידע נוסף זמין במאמר בנושא gcloud compliance-manager cloud-controls describe.

קבלת רשימה של אמצעי בקרה בענן

כדי לקבל את רשימת אמצעי הבקרה בענן בארגון, מריצים את הפקודה gcloud compliance-manager cloud-controls list:

gcloud compliance-manager cloud-controls list \
   --location=LOCATION \
   --organization=ORGANIZATION

מחליפים את הערכים הבאים:

  • ORGANIZATION: מזהה הארגון

  • LOCATION: האזור שבו מאוחסנים אמצעי הבקרה של הענן

לדוגמה, כדי לראות את כל אמצעי הבקרה בענן בארגון 3589215982 שמאוחסנים במיקום הגלובלי, מריצים את הפקודה הבאה:

gcloud compliance-manager cloud-controls list \
   --organization=3589215982 \
   --location=global

מידע על דגלים אופציונליים מופיע במאמר gcloud compliance-manager cloud-controls list.

יצירת אמצעי בקרה מותאם אישית בענן

כשיוצרים אמצעי בקרה מותאם אישית בענן, מחילים כלל על כל סוג משאב במלאי נכסי הענן.

המסוף

כשמשתמשים במסוף, אפשר ליצור אמצעי בקרה מותאמים אישית בענן עם כלל אחד שחל על סוג משאב אחד.

  1. נכנסים לדף Compliance במסוף Google Cloud .

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה Configure (הגדרה), לוחצים על Cloud Controls (אמצעי בקרה בענן). מוצגת רשימה של אמצעי בקרה זמינים בענן.

  4. יוצרים אמצעי בקרה בענן, באמצעות Gemini או באופן ידני:

שימוש ב-Gemini

  1. יש לך שאלה ל-Gemini? ליצירת אמצעי בקרה בענן. על סמך ההנחיה, Gemini מספק מזהה ייחודי, שם, לוגיקת זיהוי משויכת ושלבים אפשריים לתיקון.

  2. בודקים את ההמלצות ומבצעים את השינויים הנדרשים.

  3. שומרים את אמצעי הבקרה המותאם אישית בענן.

יצירה ידנית

  1. בקטע מזהה בקרת הענן, מציינים מזהה ייחודי לבקרה.

  2. מזינים שם ותיאור כדי לעזור למשתמשים בארגון להבין את המטרה של אמצעי הבקרה המותאם אישית בענן.

  3. אופציונלי: בוחרים את הקטגוריות של אמצעי הבקרה. לוחצים על Continue.

  4. בוחרים סוג משאב זמין לאמצעי הבקרה המותאם אישית בענן. ב-Compliance Manager יש תמיכה בכל סוגי המשאבים. כדי למצוא את השם של משאב, אפשר לעיין במאמר סוגי נכסים.

  5. צריך לספק את לוגיקת הזיהוי של אמצעי הבקרה בענן בפורמט Common Expression Language ‏ (CEL).

    ביטויים ב-CEL מאפשרים להגדיר איך רוצים להעריך את המאפיינים של משאב. מידע נוסף ודוגמאות זמינים במאמר כתיבת כללים לבקרות ענן בהתאמה אישית. לוחצים על Continue.

    אם כלל ההערכה לא תקין, מוצגת שגיאה.

  6. בוחרים רמת חומרה מתאימה לממצאים.

  7. צריך לכתוב את הוראות התיקון כך שמגיבים לאירועים ואדמינים בארגון יוכלו לפתור את כל הממצאים לגבי אמצעי הבקרה בענן. לוחצים על Continue.

  8. בודקים את הערכים שהזנתם ולוחצים על יצירה.

CLI

כשמשתמשים ב-CLI של gcloud, אפשר ליצור אמצעי בקרה מותאם אישית בענן עם עד שלוש כללים. כל כלל יכול לחול רק על סוג אחד של משאב.

כדי ליצור אמצעי בקרה מותאם אישית בענן, מריצים את הפקודה gcloud compliance-manager cloud-controls create:

gcloud compliance-manager cloud-controls create CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--display-name=DISPLAY_NAME] \
   [--description=DESCRIPTION] \
   [--categories=[CATEGORIES,...]] \
   [--finding-category=FINDING_CATEGORY] \
   [--parameter-spec=[defaultValue=DEFAULTVALUE],[description=DESCRIPTION],[displayName=DISPLAYNAME],[isRequired=ISREQUIRED],[name=NAME],[substitutionRules=SUBSTITUTIONRULES],[validation=VALIDATION],[valueType=VALUETYPE]] \
   [--remediation-steps=REMEDIATION_STEPS] \
   [--rules=[celExpression=CELEXPRESSION],[description=DESCRIPTION],[ruleActionTypes=RULEACTIONTYPES]] \
   [--severity=SEVERITY] \
   [--supported-cloud-providers=[SUPPORTED_CLOUD_PROVIDERS,…]] \
   [--supported-target-resource-types=[SUPPORTED_TARGET_RESOURCE_TYPES,…]]

מחליפים את הערכים הבאים:

  • CLOUD_CONTROL: שם אלפאנומרי ייחודי לאמצעי הבקרה בענן

  • ORGANIZATION: מזהה הארגון

  • LOCATION: האזור שבו מאוחסן אמצעי הבקרה בענן

  • DISPLAY_NAME: שם קריא לאנשים של אמצעי הבקרה בענן

  • DESCRIPTION: תיאור אופציונלי של מטרת אמצעי הבקרה בענן

  • CATEGORIES,…: פרמטר אופציונלי שמגדיר את הקטגוריות שהבקרה בענן היא חלק מהן. רשימת הקטגוריות המותרות מופיעה במאמר בנושא gcloud compliance-manager cloud-controls create.

  • FINDING_CATEGORY: הערך שמוצג בלוח הממצאים של Security Command Center כשבקרת הענן יוצרת ממצא

  • --parameter-spec=[defaultValue=DEFAULTVALUE], \
     [description=DESCRIPTION], \
     [displayName= DISPLAYNAME], \
     [isRequired=ISREQUIRED], \
     [name=NAME], \
     [substitutionRules=SUBSTITUTIONRULES], \
     [validation=VALIDATION], \
     [valueType=VALUETYPE]...]
    

    הוא פרמטר אופציונלי שמכיל מידע על אמצעי הבקרה בענן, בפורמט הבא:

    • DEFAULTVALUE: הנתונים שמוחלים אם המשתמש לא מבצע התאמה אישית של הפרמטר כשפורסים את המסגרת. סוגי הערכים הנתמכים הם boolValue,‏ numberValue,‏ stringListValue או stringValue.

    • DESCRIPTION: תיאור אופציונלי של אמצעי הבקרה

    • ISREQUIRED: true אם אמצעי הבקרה דורש הגדרת פרמטר

    • NAME: שם הפרמטר

    • SUBSTITUTIONRULES: איך ומאיפה Compliance Manager מוסיף את הערך המותאם אישית של הפרמטר. מציינים את נתיב הטירגוט בתוך הכלל באמצעות סימון נקודות פרוטו (לדוגמה, rules[0].org_policy_constraint...). בוחרים באחת מהאפשרויות הבאות:

      • attributeSubstitutionRule כשרוצים להוסיף את ערך הפרמטר ישירות לשדה מבני של הכלל (לדוגמה, מילוי רשימה של ערכים מוגבלים בתוך תבנית של כלל אילוץ במדיניות ארגונית).

      • placeholderSubstitutionRule אם הכלל משתמש במחרוזת טקסט (או בביטוי CEL). המחרוזת חייבת להכיל משתנה placeholder עם התחילית $ (לדוגמה, $deniedServices), והכלל הזה אומר לקומפיילר למפות את הפרמטר ל-placeholder הזה.

      בדוגמה הבאה נוצר פרמטר של רשימה בשם deniedServices עם הסוג STRINGLIST. הוא משתמש ב-attributeSubstitutionRule כדי להוסיף שמות של שירותים שסופקו על ידי המשתמש (כמו compute.googleapis.com) ישירות לכלל מבני של מדיניות ארגונית מותאמת אישית (denied_values) בזמן הפריסה:

      --parameter-spec='name=deniedServices,isRequired=true,valueType=STRINGLIST,substitutionRules=[{attributeSubstitutionRule={attribute="rules[0].org_policy_constraint.policy_rules[0].values.denied_values"}}]'
    • VALIDATION הוא קבוצת הערכים המותרים. בוחרים אחת מהאפשרויות הבאות:

      • משתמשים ב-allowedValues כדי לאכוף רשימת היתרים סטטית – לדוגמה, כדי להגביל פרמטרים של מיקום לשדות מחרוזת ספציפיים: validation={allowedValues={values=[{stringValue=us-central1},{stringValue=us-west1}]}}

      • משתמשים ב-intRange כדי לאכוף גבולות מספריים על מספרים שלמים – לדוגמה, כדי להגדיר תקופת שמירה בין 1 ל-365: validation={intRange={min=1,max=365}}

      • משתמשים ב-regexpPattern כדי לאכוף התאמה של ביטוי רגולרי במחרוזת text – לדוגמה, כדי לדרוש שמות אלפאנומריים מדויקים: validation={regexpPattern={pattern="^[a-z][-a-z0-9]*$"}}

    • VALUETYPE: סוג הנתונים או הפורמט של הערך שהמשתמש מספק לפרמטר הזה. סוגי הערכים הנתמכים הם STRING,‏ BOOLEAN,‏ STRINGLIST,‏ NUMBER ו-ONEOF.

    אפשר גם לציין קובץ JSON או YAML שמגדיר את הפרמטרים. לדוגמה, --parameter-spec=path_to_file.(yaml|json). כדי לראות דוגמאות לקובצי JSON ו-YAML, אפשר להרחיב את הקטע הבא.

    קובץ JSON לדוגמה

      [
        {
          "name": "deniedServices",
          "displayName": "Services Requiring CMEK",
          "description": "List of service names that must use Customer-Managed Encryption Keys.",
          "isRequired": true,
          "valueType": "STRINGLIST",
          "substitutionRules": [
            {
              "attributeSubstitutionRule": {
                "attribute": "rules[0].org_policy_constraint.policy_rules[0].values.denied_values"
              }
            }
          ]
        }
      ]
          

    קובץ YAML לדוגמה

      - name: deniedServices
        displayName: "Services Requiring CMEK"
        description: "List of service names that must use Customer-Managed Encryption Keys."
        isRequired: true
        valueType: STRINGLIST
        substitutionRules:
        - attributeSubstitutionRule:
            attribute: "rules[0].org_policy_constraint.policy_rules[0].values.denied_values"
          
  • REMEDIATION_STEPS: השלבים שנדרשים כדי לפתור את הממצאים. המחרוזת הזו מוגבלת ל-400 תווים.

  • --rules=[celExpression=CELEXPRESSION],[description=DESCRIPTION],[ruleActionTypes=RULEACTIONTYPES] הוא הכלל שרוצים לאכוף, בפורמט הבא:

    • CELEXPRESSION: ביטוי של Common Expression Language ‏ (CEL) של הכלל. מידע על כתיבת ביטויי CEL זמין במאמר כתיבת כללים לבקרות ענן בהתאמה אישית. צריך לכלול את הפרטים הבאים:

      • expression: ביטוי CEL, עד 1,000 תווים

      • resourceTypesValues: שם המשאב, בפורמט SERVICE_NAME/type. משתמשים במערך values כדי לפרט את כל סוגי המשאבים שרוצים להחיל עליהם את הכלל – לדוגמה, values=[compute.googleapis.com/Instance].

    • DESCRIPTION: תיאור הכלל

    • RULEACTIONTYPES: הפעולה שהכלל מבצע. הערכים הנתמכים הם rule-action-type-detective,‏ rule-action-type-preventive ו-rule-action-type-audit.

    לדוגמה, כדי לבדוק את תקופת הרוטציה של מפתח Cloud Key Management Service, מזינים את הפקודה הבאה:

    --rules="[
      {
        \"celExpression\": {
          \"expression\": \"has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')\",
          \"resourceTypesValues\": {
            \"values\": [
              \"cloudkms.googleapis.com/CryptoKey\"
            ]
          }
        },
        \"description\": \"Check KMS key rotation period\",
        \"ruleActionTypes\": [
          \"rule-action-type-detective\"
        ]
      }
    ]"
    

    אפשר גם לציין קובץ JSON או YAML שמגדיר את הכלל. לדוגמה, --rules=path_to_file.(yaml|json). כדי לראות דוגמאות לקובצי JSON ו-YAML, מרחיבים את הקטע הבא.

    קובץ JSON לדוגמה

      [
        {
          "celExpression": {
            "expression": "has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')",
            "resourceTypesValues": {
              "values": [
                "cloudkms.googleapis.com/CryptoKey"
              ]
            }
          },
          "description": "Check KMS key rotation period to ensure it is under 60 hours.",
          "ruleActionTypes": [
            "rule-action-type-detective"
          ]
        }
      ]
          

    קובץ YAML לדוגמה

      - celExpression:
          expression: "has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')"
          resourceTypesValues:
            values:
            - cloudkms.googleapis.com/CryptoKey
        description: "Check KMS key rotation period to ensure it is under 60 hours."
        ruleActionTypes:
        - rule-action-type-detective
          
  • SEVERITY: רמת הקריטיות של אמצעי הבקרה בענן. הערכים הנתמכים הם critical,‏ high,‏ medium ו-low.

  • SUPPORTED_CLOUD_PROVIDERS,…: ספקי הענן שהבקרה הזו חלה עליהם. הערך הנתמך היחיד הוא gcp.

  • SUPPORTED_TARGET_RESOURCE_TYPES,…: סוגי המשאבים (ארגון, תיקייה, פרויקט או תיקייה לניהול אפליקציות במרכז האפליקציות) שהבקרה בענן תומכת בהם. הערכים הנתמכים הם target-resource-crm-type-folder,‏ target-resource-crm-type-org,‏ target-resource-crm-type-project ו-target-resource-type-application.

לדוגמה, כדי ליצור אמצעי בקרה בענן שמחיל מיקומי משאבים, מריצים את הפקודה הבאה:

  gcloud compliance-manager cloud-controls create \
     restrict-resource-locations \
     --organization=3589215982 \
     --location=global \
     --display-name="Restrict Resource Locations" \
     --description="Enforces checks to ensure resources are only deployed in approved cloud regions." \
     --severity=high \
     --finding-category="LOCATION_VIOLATION" \
     --supported-cloud-providers="gcp" \
     --supported-target-resource-types="target-resource-crm-type-project" \
     --parameter-spec='name=allowedLocations,isRequired=true,valueType=STRINGLIST,substitutionRules=[{placeholderSubstitutionRule={attribute="rules[0].cel_expression.expression"}}]' \
     --rules="[{\"celExpression\": {\"expression\": \"resource.location in \$allowedLocations\", \"resourceTypesValues\": {\"values\": [\"compute.googleapis.com/Instance\"]}}, \"description\": \"Check Compute Engine instance locations\", \"ruleActionTypes\": [\"rule-action-type-detective\"]}]"

כדי ליצור את אותו אמצעי בקרה אבל להשתמש בקובצי YAML כדי להגדיר את הפרמטרים והכללים, מריצים את הפקודה:

     gcloud compliance-manager cloud-controls create \
     restrict-resource-locations \
     --organization=3589215982 \
     --location=global \
     --display-name="Restrict Resource Locations" \
     --description="Enforces checks to ensure resources are only deployed in approved cloud regions." \
     --severity=high \
     --finding-category="LOCATION_VIOLATION" \
     --supported-cloud-providers="gcp" \
     --supported-target-resource-types="target-resource-crm-type-project" \
     --parameter-spec=parameters.yaml \
     --rules=rules.yaml

מידע נוסף זמין במאמר gcloud compliance-manager cloud-controls create.

Terraform

כשמשתמשים ב-Terraform, אפשר ליצור אמצעי בקרה מותאם אישית בענן עם עד שלושה כללים. כל כלל יכול לחול רק על סוג אחד של משאב.

בדוגמה הבאה אפשר לראות איך ליצור אמצעי בקרה מותאם אישית בענן באמצעות Terraform.

resource "google_cloud_security_compliance_cloud_control" "example" {
  parent              = "organizations/123456789"
  location            = "global"
  cloud_control_id    = "example-cloudcontrol"

  display_name      = "TF test CloudControl Name"
  description       = "A test cloud control for security compliance"
  categories        = ["CC_CATEGORY_INFRASTRUCTURE"]
  severity          = "HIGH"
  finding_category  = "SECURITY_POLICY"
  remediation_steps = "Review and update the security configuration according to best practices."

  supported_cloud_providers        = ["GCP"]

  rules {
    description         = "Ensure compute instances have secure boot enabled"
    rule_action_types   = ["RULE_ACTION_TYPE_DETECTIVE"]

    cel_expression {
      expression = "resource.data.shieldedInstanceConfig.enableSecureBoot == true"
      resource_types_values {
        values = ["compute.googleapis.com/Instance"]
      }
    }
  }

  parameter_spec {
    name         = "location"
    display_name = "Resource Location"
    description  = "The location where the resource should be deployed"
    value_type   = "STRING"
    is_required  = true

    default_value {
      string_value = "us-central1"
    }

    validation {
      regexp_pattern {
        pattern = "^[a-z]+-[a-z]+[0-9]$"
      }
    }
  }

  parameter_spec {
    name         = "enable_secure_boot"
    display_name = "Enable Secure Boot"
    description  = "Whether to enable secure boot for instances"
    value_type   = "BOOLEAN"
    is_required  = true

    default_value {
      bool_value = true
    }

    substitution_rules {
      attribute_substitution_rule {
        attribute = "rules[0].cel_expression.expression"
      }
    }

    validation {
      allowed_values {
        values {
          bool_value = true
        }
      }
    }
  }

  parameter_spec {
    name         = "max_instances"
    display_name = "Maximum Instances"
    description  = "Maximum number of instances allowed"
    value_type   = "NUMBER"
    is_required  = false

    default_value {
      number_value = 10
    }

    substitution_rules {
      placeholder_substitution_rule {
        attribute = "rules[0].description"
      }
    }

    validation {
      int_range {
        min = "1"
        max = "100"
      }
    }
  }

  parameter_spec {
    name         = "allowed_regions"
    display_name = "Allowed Regions"
    description  = "List of regions where resources can be deployed"
    value_type   = "STRINGLIST"
    is_required  = true

    default_value {
      string_list_value {
        values = ["us-central1", "us-east1", "us-west1"]
      }
    }

    validation {
      allowed_values {
        values {
          string_list_value {
            values = ["us-central1", "us-east1"]
          }
        }
        values {
          string_list_value {
            values = ["us-west1", "us-west2"]
          }
        }
      }
    }
  }

  parameter_spec {
    name         = "environment_type"
    display_name = "Environment Type"
    description  = "The type of environment"
    value_type   = "STRING"
    is_required  = true

    default_value {
      string_value = "production"
    }

    validation {
      allowed_values {
        values {
          string_value = "production"
        }
        values {
          string_value = "staging"
        }
        values {
          number_value = 1
        }
      }
    }
  }
}

עריכה של אמצעי בקרה מותאם אישית בענן

אחרי שיוצרים אמצעי בקרה בענן, אפשר לשנות את השם, התיאור, הכללים, שלבי התיקון ורמת החומרה שלו. אי אפשר לשנות את הקטגוריה של השליטה בענן.

  1. נכנסים לדף Compliance במסוף Google Cloud .

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה Configure (הגדרה), לוחצים על Cloud Controls (אמצעי בקרה בענן). מוצגת רשימה של אמצעי בקרה זמינים בענן.

  4. לוחצים על אמצעי הבקרה בענן שרוצים לערוך.

  5. בדף Cloud controls details, מוודאים שהבקרה בענן לא נכללת במסגרת. אם נדרש, עורכים את המסגרת כדי להסיר את אמצעי הבקרה של הענן.

  6. לוחצים על Edit.

  7. בדף Edit custom cloud control (עריכת אמצעי בקרה מותאם אישית בענן), משנים את השם והתיאור לפי הצורך. לוחצים על Continue.

  8. עדכון הכללים, ממצאי החומרה ושלבי התיקון. לוחצים על Continue.

  9. בודקים את השינויים ולוחצים על שמירה.

עדכון של אמצעי בקרה מובנה בענן לגרסה חדשה יותר

‫Google מפרסמת עדכונים שוטפים לאמצעי הבקרה המובנים שלה בענן, כששירותים פורסים תכונות חדשות או כשמתגלות שיטות מומלצות חדשות. העדכונים יכולים לכלול אמצעי בקרה חדשים או שינויים באמצעי בקרה קיימים.

אפשר לראות את הגרסאות של אמצעי הבקרה המובנים בענן במרכז הבקרה של אמצעי הבקרה בענן בכרטיסייה Configure או בדף הפרטים של אמצעי הבקרה בענן.

‫Google מודיעה לכם בנתוני הגרסה כשהפריטים הבאים מתעדכנים:

  • שם אמצעי הבקרה בענן
  • קטגוריית התוצאות
  • שינוי בלוגיקה של זיהוי או מניעה בכלל
  • הלוגיקה הבסיסית של כלל

כדי לעדכן אמצעי בקרה בענן אחרי שמתקבלת התראה, צריך לבטל את ההקצאה ולפרוס מחדש את המסגרות שכוללות את אמצעי הבקרה בענן. הוראות מפורטות מופיעות במאמר בנושא עדכון של מסגרת לגרסה חדשה יותר.

מחיקה של אמצעי בקרה מותאם אישית בענן

למחוק אמצעי בקרה בענן כשכבר לא צריך אותו. אתם יכולים למחוק רק אמצעי בקרה בענן שאתם יצרתם. אי אפשר למחוק פקדים מוטמעים בענן.

המסוף

  1. נכנסים לדף Compliance במסוף Google Cloud .

    לתאימות

  2. בוחרים את הארגון או הפרויקט.

  3. בכרטיסייה Configure (הגדרה), לוחצים על Cloud Controls (אמצעי בקרה בענן). מוצגת רשימה של אמצעי בקרה זמינים בענן.

  4. לוחצים על אמצעי הבקרה בענן שרוצים למחוק.

  5. בדף Cloud controls details, מוודאים שהבקרה בענן לא נכללת במסגרת. אם נדרש, עורכים את המסגרת כדי להסיר את אמצעי הבקרה של הענן.

  6. לוחצים על Delete.

  7. בחלון מחיקה, קוראים את ההודעה. מקלידים Delete ולוחצים על אישור.

CLI

כדי למחוק אמצעי בקרה מותאם אישית בענן, מריצים את הפקודה gcloud compliance-manager cloud-controls delete:

gcloud compliance-manager cloud-controls delete CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION

מחליפים את הערכים הבאים:

  • CLOUD_CONTROL: השם של אמצעי הבקרה בענן

  • ORGANIZATION: מזהה הארגון

  • LOCATION: האזור שבו מאוחסן אמצעי הבקרה בענן

לדוגמה, כדי למחוק אמצעי בקרה בענן בשם restrict-resource-locations, מריצים את הפקודה הבאה:

gcloud compliance-manager cloud-controls delete \
   restrict-resource-locations \
   --organization=3589215982 \
   --location=global

מידע נוסף זמין במאמר בנושא gcloud compliance-manager cloud-controls delete.

מיפוי של גלאים ב-Security Health Analytics לאמצעי בקרה בענן

בטבלה הבאה אפשר לראות איך אמצעי בקרה בענן ב-Compliance Manager ממופים לגלאים ב-Security Health Analytics.

קטגוריית התוצאות ב-Security Health Analytics שם אמצעי הבקרה ב-Cloud ב-Compliance Manager

ACCESS_TRANSPARENCY_DISABLED

הפעלת Access Transparency

ADMIN_SERVICE_ACCOUNT

חסימת תפקידי אדמין מחשבונות שירות

ALLOWED_INGRESS_ORG_POLICY

הגדרת האילוץ Allowed Ingress Settings (הגדרות של תעבורת נתונים נכנסת מותרת) במדיניות הארגון של Cloud Run

ALLOWED_VPC_EGRESS_ORG_POLICY

הגדרת האילוץ של מדיניות הארגון 'הגדרות מותרות של תעבורת נתונים יוצאת (egress) של VPC' ב-Cloud Run

ALLOYDB_AUTO_BACKUP_DISABLED

הפעלת גיבויים אוטומטיים של AlloyDB באשכול

ALLOYDB_BACKUPS_DISABLED

הפעלת גיבויים של AlloyDB באשכול

ALLOYDB_CMEK_DISABLED

הפעלת CMEK באשכולות AlloyDB

ALLOYDB_LOG_ERROR_VERBOSITY

הגדרת דגל של רמת פירוט של שגיאות ביומן למופעי AlloyDB

ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

הגדרת הדגל Log Min Error Statement למופעי AlloyDB

ALLOYDB_LOG_MIN_MESSAGES

הגדרת הדגל Log Min Messages למופעי AlloyDB

ALLOYDB_PUBLIC_IP

חסימה של כתובות IP ציבוריות למכונות של אשכול AlloyDB

ALPHA_CLUSTER_ENABLED

השבתת תכונות בשלב אלפא באשכולות GKE

API_KEY_APPS_UNRESTRICTED

הגבלת מפתחות API לממשקי API נדרשים בלבד

API_KEY_EXISTS

לא זמין

API_KEY_NOT_ROTATED

דרישה להחלפת מפתח API

AUDIT_CONFIG_NOT_MONITORED

הגדרה של מדדי יומן והתראות לשינויים ביומן הביקורת

AUDIT_LOGGING_DISABLED

הטמעה של רישום אירועים בשירותי Google Cloud

AUTO_BACKUP_DISABLED

הפעלת גיבויים אוטומטיים למסדי נתונים של Cloud SQL

AUTO_REPAIR_DISABLED

הפעלת תיקון אוטומטי באשכולות GKE

AUTO_UPGRADE_DISABLED

הפעלת שדרוג אוטומטי באשכולות GKE

BIGQUERY_TABLE_CMEK_DISABLED

הפעלת CMEK לטבלאות BigQuery

BINARY_AUTHORIZATION_DISABLED

דרישה להרשאת Binary Authorization באשכול

BUCKET_CMEK_DISABLED

הפעלת CMEK לקטגוריות ב-Cloud Storage

BUCKET_IAM_NOT_MONITORED

הגדרת מדדי יומנים והתראות לשינויים במדיניות IAM של Cloud Storage

BUCKET_LOGGING_DISABLED

דרישה לרישום ביומן של קטגוריות Cloud Storage

BUCKET_POLICY_ONLY_DISABLED

הפעלת גישה אחידה ברמת הקטגוריה בקטגוריות של Cloud Storage

CLOUD_ASSET_API_DISABLED

הפעלת שירות מאגר משאבי הענן

CLUSTER_LOGGING_DISABLED

הפעלת Cloud Logging באשכולות GKE

CLUSTER_MONITORING_DISABLED

הפעלת Cloud Monitoring באשכולות GKE

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

הפעלת גישה פרטית ל-Google במופע

CLUSTER_SECRETS_ENCRYPTION_DISABLED

הפעלת הצפנה באשכולות GKE

CLUSTER_SHIELDED_NODES_DISABLED

הפעלת צומתי GKE מוגנים באשכול

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

חסימת מפתחות SSH ברמת הפרויקט במכונות של Compute Engine

COMPUTE_SECURE_BOOT_DISABLED

הפעלת אתחול מאובטח במכונות של Compute Engine

COMPUTE_SERIAL_PORTS_ENABLED

חסימת יציאות טוריות במכונות Compute Engine

CONFIDENTIAL_COMPUTING_DISABLED

הפעלת Confidential Computing במכונות של Compute Engine

COS_NOT_USED

דרישה לשימוש במערכת הפעלה שמותאמת לקונטיינרים באשכול GKE

CUSTOM_ORG_POLICY_VIOLATION

לא זמין

CUSTOM_ROLE_NOT_MONITORED

הגדרת מדדים והתראות ביומן לשינויים בתפקידים מותאמים אישית

DATAPROC_CMEK_DISABLED

דרישה לשימוש ב-CMEK באשכולות Dataproc

DATAPROC_IMAGE_OUTDATED

שימוש בגרסאות התמונות העדכניות ביותר באשכולות Dataproc

DATASET_CMEK_DISABLED

הפעלת CMEK למערכי נתונים ב-BigQuery

DEFAULT_NETWORK

שימוש ברשתות עם כללי חומת אש בהתאמה אישית

DEFAULT_SERVICE_ACCOUNT_USED

שימוש בחשבונות שירות בהתאמה אישית למכונות Compute Engine

DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

הגדרת מדיניות הארגון Disable VPC External IPv6 Usage (השבתת השימוש ב-IPv6 חיצוני ב-VPC)

DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

הגדרת מדיניות הארגון Disable VPC External IPv6 Usage (השבתת השימוש ב-IPv6 חיצוני ב-VPC)

DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

הגדרת המדיניות 'השבתת הרישום של יציאה טורית של מכונת VM ב-Stackdriver'

DISK_CMEK_DISABLED

הפעלת CMEK בדיסקים לאחסון מתמיד ב-Compute Engine

DISK_CSEK_DISABLED

הפעלת CSEK בדיסקים לאחסון מתמיד ב-Compute Engine

DNS_LOGGING_DISABLED

הפעלת מעקב אחר יומנים של Cloud DNS

DNSSEC_DISABLED

הפעלת DNSSEC ב-Cloud DNS

EGRESS_DENY_RULE_NOT_SET

אכיפת כלל חומת אש לדחיית כל התעבורה היוצאת

ESSENTIAL_CONTACTS_NOT_CONFIGURED

הגדרת אנשי קשר חיוניים

FIREWALL_NOT_MONITORED

הגדרת מדדים של יומנים והתראות לשינויים בחומת אש של רשת VPC

FIREWALL_RULE_LOGGING_DISABLED

הפעלת רישום ביומן של כללים לחומת אש

FLOW_LOGS_DISABLED

הפעלת יומני זרימה עבור רשת משנה של VPC

FULL_API_ACCESS

הגבלת הגישה לממשקי API של Google Cloud למכונות של Compute Engine

HTTP_LOAD_BALANCER

אכיפה של תנועת HTTPS בלבד

INCORRECT_BQ4G_SERVICE_PERIMETER

הגדרת גבולות גזרה לשירות ב-VPC Service Controls

INSTANCE_OS_LOGIN_DISABLED

הפעלה של OS Login

INTEGRITY_MONITORING_DISABLED

הפעלת מעקב אחר תקינות באשכולות GKE

INTRANODE_VISIBILITY_DISABLED

הפעלת חשיפה של צמתים באשכולות GKE

IP_ALIAS_DISABLED

הפעלת טווח של כתובות IP וירטואליות באשכולות GKE

IP_FORWARDING_ENABLED

מניעת העברת IP במכונות Compute Engine

KMS_KEY_NOT_ROTATED

הגדרת תקופת רוטציה למפתחות Cloud KMS

KMS_PROJECT_HAS_OWNER

לא זמין

KMS_PUBLIC_KEY

לא זמין

KMS_ROLE_SEPARATION

אכיפת הפרדת תפקידים

LEGACY_AUTHORIZATION_ENABLED

חסימת הרשאות מדור קודם באשכולות GKE

LEGACY_METADATA_ENABLED

השבתת נקודות הקצה הקודמות של שרת המטא-נתונים ב-Compute Engine

LEGACY_NETWORK

לא להשתמש ברשתות מדור קודם

LOAD_BALANCER_LOGGING_DISABLED

הפעלת רישום ביומן של מאזן העומסים

LOCKED_RETENTION_POLICY_NOT_SET

נעילה של מדיניות שמירת נתונים בקטגוריות אחסון

LOG_NOT_EXPORTED

הגדרת פריטי Sink ביומן

MASTER_AUTHORIZED_NETWORKS_DISABLED

הפעלת רשתות מורשות במישור הבקרה באשכולות GKE

MFA_NOT_ENFORCED

לא זמין

NETWORK_NOT_MONITORED

הגדרת מדדי יומן והתראות לשינויים ברשת VPC

NETWORK_POLICY_DISABLED

הפעלת מדיניות רשת באשכולות GKE

NODEPOOL_BOOT_CMEK_DISABLED

הפעלת CMEK בדיסקים של אתחול מאגר הצמתים ב-GKE

NODEPOOL_SECURE_BOOT_DISABLED

הפעלת אתחול מאובטח לצומתי GKE מוגנים

NON_ORG_IAM_MEMBER

לא זמין

OBJECT_VERSIONING_DISABLED

הפעלת ניהול גרסאות של אובייקטים בקטגוריות

OPEN_CASSANDRA_PORT

חסימת חיבורים ליציאות של Cassandra מכל כתובות ה-IP

OPEN_CISCOSECURE_WEBSM_PORT

חסימת חיבורים ליציאות CiscoSecure/WebSM מכל כתובות ה-IP

OPEN_DIRECTORY_SERVICES_PORT

חסימת חיבורים ליציאות של שירותי ספרייה מכל כתובות ה-IP

OPEN_DNS_PORT

חסימת חיבורים ליציאות DNS מכל כתובות ה-IP

OPEN_ELASTICSEARCH_PORT

חסימת חיבורים ליציאות Elasticsearch מכל כתובות ה-IP

OPEN_FIREWALL

לא זמין

OPEN_FTP_PORT

חסימת חיבורים ליציאות FTP מכל כתובות ה-IP

OPEN_GROUP_IAM_MEMBER

לא זמין

OPEN_HTTP_PORT

חסימת חיבורים ליציאות HTTP מכל כתובות ה-IP

OPEN_LDAP_PORT

חסימת חיבורים ליציאות LDAP מכל כתובות ה-IP

OPEN_MEMCACHED_PORT

חסימת חיבורים ליציאות Memcached מכל כתובות ה-IP

OPEN_MONGODB_PORT

חסימת חיבורים ליציאות MongoDB מכל כתובות ה-IP

OPEN_MYSQL_PORT

חסימת חיבורים ליציאות MySQL מכל כתובות ה-IP

OPEN_NETBIOS_PORT

חסימת חיבורים ליציאות NetBIOS מכל כתובות ה-IP

OPEN_ORACLEDB_PORT

חסימת חיבורים ליציאות של מסד הנתונים של Oracle מכל כתובות ה-IP

OPEN_POP3_PORT

חסימת חיבורים ליציאות של שרתי POP3 מכל כתובות ה-IP

OPEN_POSTGRESQL_PORT

חסימת חיבורים ליציאות של שרת PostgreSQL מכל כתובות ה-IP

OPEN_RDP_PORT

חסימת הגישה ליציאת RDP

OPEN_REDIS_PORT

חסימת חיבורים ליציאות של שרת Redis מכל כתובות ה-IP

OPEN_SMTP_PORT

חסימת חיבורים ליציאות של שרת SMTP מכל כתובות ה-IP

OPEN_SSH_PORT

חסימת הגישה ליציאת SSH

OPEN_TELNET_PORT

חסימת חיבורים ליציאות של שרתי Telnet מכל כתובות ה-IP

ORG_POLICY_CONFIDENTIAL_VM_POLICY

הפעלת ההגבלה של מדיניות הארגון בנושא מכונות וירטואליות חסויות

OS_LOGIN_DISABLED

הפעלת OS Login לכל המופעים ברמת הפרויקט

OVER_PRIVILEGED_ACCOUNT

שימוש בחשבונות שירות עם הרשאות מינימליות באשכולות GKE

OVER_PRIVILEGED_SCOPES

יצירת אשכולות GKE עם היקפי גישה מוגבלים לחשבונות שירות

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

חסימת תפקידי אדמין מחשבונות שירות

OWNER_NOT_MONITORED

לא זמין

POD_SECURITY_POLICY_DISABLED

לא זמין

PRIMITIVE_ROLES_USED

הגבלת תפקידים מדור קודם ב-IAM

PRIVATE_CLUSTER_DISABLED

הפעלת אשכולות פרטיים ב-GKE

PRIVATE_GOOGLE_ACCESS_DISABLED

הפעלת גישה פרטית ל-Google עבור רשתות משנה של VPC

PUBLIC_BUCKET_ACL

הגבלת הגישה הציבורית לקטגוריות של Cloud Storage

PUBLIC_COMPUTE_IMAGE

הגבלת הגישה הציבורית לתמונות Compute

PUBLIC_DATASET

הגבלת גישה ציבורית למערכי נתונים ב-BigQuery

PUBLIC_IP_ADDRESS

הגבלת כתובות IP ציבוריות למכונות Compute Engine

PUBLIC_LOG_BUCKET

הגבלת הגישה הציבורית לקטגוריות של Cloud Storage

PUBLIC_SQL_INSTANCE

הגבלת הגישה הציבורית למכונות של מסדי נתונים ב-Cloud SQL

PUBSUB_CMEK_DISABLED

הצפנת נושא Pub/Sub באמצעות CMEK

QL_LOG_STATEMENT_STATS_ENABLED

הפעלת הדגל Log Statement ל-PostgreSQL

REDIS_ROLE_USED_ON_ORG

לא זמין

RELEASE_CHANNEL_DISABLED

הרשמה של אשכול GKE לערוץ הפצה

REQUIRE_OS_LOGIN_ORG_POLICY

הפעלה של OS Login

REQUIRE_VPC_CONNECTOR_ORG_POLICY

הגדרת תעבורת נתונים יוצאת (egress) של מחבר VPC לפונקציות Cloud Run

RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

הפעלת האילוץ 'הגבלת רשתות מורשות במכונות Cloud SQL' במדיניות הארגון

ROUTE_NOT_MONITORED

הגדרה של מדדי יומן והתראות לשינויים בנתיבי VPC

RSASHA1_FOR_SIGNING

הימנעות משימוש ב-RSASHA1 לחתימה על DNSSEC

S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

לא זמין

S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

לא זמין

SERVICE_ACCOUNT_KEY_NOT_ROTATED

דרישה לרוטציה של מפתחות לחשבונות שירות

SERVICE_ACCOUNT_ROLE_SEPARATION

אכיפת הפרדת תפקידים

SHIELDED_VM_DISABLED

הפעלת מכונה וירטואלית מוגנת למכונות וירטואליות ב-Compute Engine

SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

הגבלת יצירת רשתות ברירת מחדל למכונות Compute Engine

SQL_CMEK_DISABLED

הפעלת CMEK למסדי נתונים של Cloud SQL

SQL_CONTAINED_DATABASE_AUTHENTICATION

השבתת הדגל של אימות מסד נתונים עצמאי ב-SQL Server

SQL_CROSS_DB_OWNERSHIP_CHAINING

השבתה של הדגל Cross Database Ownership Chaining ל-SQL Server

SQL_EXTERNAL_SCRIPTS_ENABLED

השבתת הדגל של סקריפטים חיצוניים ב-SQL Server

SQL_INSTANCE_NOT_MONITORED

הגדרת מדדי יומן והתראות לשינויים בהגדרות של Cloud SQL

SQL_LOCAL_INFILE

השבתת הדגל Local Infile ל-MySQL

SQL_LOG_CHECKPOINTS_DISABLED

הפעלת הדגל Log Checkpoints ל-PostgreSQL

SQL_LOG_CONNECTIONS_DISABLED

הפעלת הדגל Log Connections ל-PostgreSQL

SQL_LOG_DISCONNECTIONS_DISABLED

הפעלת הדגל Log Disconnections ל-PostgreSQL

SQL_LOG_DURATION_DISABLED

הפעלת הדגל של משך היומן במכונת PostgreSQL

SQL_LOG_ERROR_VERBOSITY

הפעלת הדגל של רמת הפירוט של שגיאות ביומן עבור PostgreSQL

SQL_LOG_EXECUTOR_STATS_ENABLED

השבתה של התכונה הניסיונית Log Executor Stats Flag for PostgreSQL

SQL_LOG_HOSTNAME_ENABLED

השבתה של הדגל Log Hostname ב-PostgreSQL

SQL_LOG_LOCK_WAITS_DISABLED

הפעלת הדגל Log Locks Wait במכונת PostgreSQL

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

השבתה של הדגל Log Min Duration Statement ל-PostgreSQL

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

הפעלת הדגל Log Min Error Statement ל-PostgreSQL

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

לא זמין

SQL_LOG_MIN_MESSAGE

הפעלת הדגל Log Min Messages ל-PostgreSQL

SQL_LOG_PARSER_STATS_ENABLED

השבתה של Log Parser Stats Flag ל-PostgreSQL

SQL_LOG_PLANNER_STATS_ENABLED

השבתה של Log Planner Stats Flag ל-PostgreSQL

SQL_LOG_STATEMENT

הפעלת הדגל Log Statement ל-PostgreSQL

SQL_LOG_TEMP_FILES

הפעלת הדגל Log Temp Files (רישום קבצים זמניים ביומן) למכונת PostgreSQL

SQL_NO_ROOT_PASSWORD

לא זמין

SQL_PUBLIC_IP

חסימת כתובות IP ציבוריות למכונות Cloud SQL

SQL_REMOTE_ACCESS_ENABLED

השבתת הדגל של גישה מרחוק ל-SQL Server

SQL_SCANNER

הפעלת הצפנת SSL במכונות AlloyDB

SQL_SKIP_SHOW_DATABASE_DISABLED

הפעלת האפשרות Skip Show Database Flag for MySQL (דילוג על סימון של הצגת מסד נתונים) ב-MySQL

SQL_TRACE_FLAG_3625

הפעלת הדגל 3625 Trace Database ל-SQL Server

SQL_USER_CONNECTIONS_CONFIGURED

לא להשתמש בדגל של חיבורי משתמשים ל-SQL Server

SQL_USER_OPTIONS_CONFIGURED

לא להשתמש בדגל של אפשרויות משתמש ל-SQL Server

SQL_WEAK_ROOT_PASSWORD

לא זמין

SSL_NOT_ENFORCED

אכיפת SSL לכל החיבורים הנכנסים למסד הנתונים

TOO_MANY_KMS_USERS

הגבלת מספר המשתמשים במפתחות הצפנה של KMS לשלושה

UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

הפעלת גישה אחידה ברמת הקטגוריה בקטגוריות של Cloud Storage

USER_MANAGED_SERVICE_ACCOUNT_KEY

הגבלת מפתחות של חשבונות שירות בניהול המשתמשים

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

לא זמין

WEAK_SSL_POLICY

הגבלת מדיניות SSL לא מאובטחת למכונות של Compute Engine

WEB_UI_ENABLED

לא להשתמש בממשק האינטרנט של Kubernetes

WORKLOAD_IDENTITY_DISABLED

הפעלה של איחוד זהויות של עומסי עבודה ל-GKE באשכולות

המאמרים הבאים