Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Compliance Manager – Übersicht

Mit dem Compliance-Manager können Sie dafür sorgen, dass Ihre Google Cloud Infrastruktur, Arbeitslasten und Daten die Sicherheits- und Compliance-Anforderungen Ihrer Organisation oder Ihres Projekts erfüllen. Google Cloud Mit dem Compliance-Manager können Sie Folgendes tun:

Eine konforme und sichere Konfiguration für Ihre Google Cloud Umgebung definieren und bereitstellen.
Dashboards mit Informationen zur Übereinstimmung Ihrer Umgebung mit Ihren Compliance- und Sicherheitsanforderungen sowie Berichte zu Bewertungen ansehen.
(Nur Dienststufen „Premium“ und „Enterprise“) Ihre Cloud-Umgebungen prüfen, einschließlich des Erfassens von Beweisen und des Generierens von Berichten.

Der Compliance-Manager verwendet softwaredefinierte Kontrollen, mit denen Sie die Unterstützung für mehrere Compliance-Programme und Sicherheitsanforderungen in einer Google Cloud Organisation oder einem Projekt bewerten können.

Compliance-Manager-Komponenten

In der folgenden Tabelle werden die Komponenten des Compliance-Managers beschrieben.

Regel	Ein technisches Element in einer Cloud Kontrolle, mit dem Sie eine Compliance-, Sicherheits- oder Datenschutzanforderung erfüllen können. Regeln können Organisationsrichtlinien, IAM-Richtlinien, Cloud-Einstellungen und Erkennungslogik basierend auf Common Expression Language (CEL) sein.
Cloud-Kontrolle	Eine Reihe von Regeln und zugehörigen Metadaten, mit denen Sie die Sicherheits- oder Compliance-Absicht für Ihre Organisation oder Ihr Projekt definieren können. Der Compliance-Manager enthält eine Bibliothek mit integrierten Cloud-Kontrollen und ermöglicht Ihnen, eigene zu erstellen. Die Metadaten in einer Cloud-Kontrolle enthalten Anweisungen zur Behebung und den Schweregrad der Ergebnisse. Cloud-Kontrollen haben die folgenden Modi: Erkennend: Der Compliance-Manager wendet die Cloud-Kontrolle zu Überwachungszwecken auf die definierten Ressourcen an. Alle Verstöße werden erkannt und Benachrichtigungen werden generiert. Es werden keine präventiven Maßnahmen automatisch ergriffen. (Nur Dienststufen „Premium“ und „Enterprise“) Präventiv: Der Compliance-Manager wendet die Cloud-Kontrolle auf die definierten Ressourcen an und erzwingt die Regeln aktiv. Alle Ressourcen Aktivitäten, die gegen die Cloud-Kontrolle verstoßen, werden blockiert und Benachrichtigungen für blockierte Aktionen werden generiert. Für einige Cloud-Kontrollen müssen Sie zusätzliche Informationen angeben, so dass sie funktionieren. Wenn Sie beispielsweise eine Cloud-Kontrolle verwenden möchten, mit der geprüft wird, ob Ihre Arbeitslasten und Ressourcen in bestimmten Regionen ausgeführt werden, müssen Sie die zulässigen Regionen angeben, wenn Sie die Cloud Kontrolle erstellen. (Nur Dienststufen „Premium“ und „Enterprise“) Audit: Der Compliance-Manager verwendet diese Cloud-Kontrolle, um Ihre Umgebung auf Übereinstimmung mit Ihren Compliance-Verpflichtungen zu prüfen. Der Compliance-Manager verwendet diese Kontrolle, um Beweise für Compliance-Audits zu sammeln und Lücken zu identifizieren.
Regulatorische Kontrolle	Eine branchenweit definierte Anforderung an die Sicherheits- oder Compliance-Vorschriften. Die Zuordnung zwischen Cloud-Kontrollen und regulatorischen Kontrollen definiert, wie eine oder mehrere Cloud-Kontrollen eine Anforderung an die regulatorische Kontrolle erfüllen. Berücksichtige Folgendes: Eine einzelne Cloud-Kontrolle kann mehreren regulatorischen Kontrollen zugeordnet werden. Eine einzelne regulatorische Kontrolle kann mehreren Cloud-Kontrollen zugeordnet werden.
Framework	Eine Sammlung von Cloud-Kontrollen und regulatorischen Kontrollen, die Best Practices für die Sicherheit oder branchenweit definierte Standards wie FedRAMP oder NIST darstellen. Ein Framework kann eine Zuordnung zwischen Cloud Kontrollen und den regulatorischen Kontrollen enthalten. Der Compliance-Manager enthält eine Bibliothek mit integrierten Frameworks. Sie können diese Frameworks anpassen oder eigene erstellen. Hinweis: Die Dienststufe „Standard“ unterstützt nur das Framework „Security Essentials“. Für andere integrierte Frameworks sind die Dienststufen Premium oder Enterprise erforderlich. Weitere Informationen finden Sie unter Frameworks für Google Cloud.
Framework-Bereitstellung	Die Verknüpfung zwischen einem bestimmten Framework und einer Organisation, einem Ordner oder einem Projekt, wenn Sie das Framework bereitstellen.

Das folgende Diagramm zeigt die Komponenten des Compliance-Managers.

Compliance Manager-Komponenten.

Integrierte Frameworks

Der Compliance-Manager unterstützt integrierte Frameworks für Google Cloud. Sie können diese Frameworks unverändert bereitstellen oder sie an Ihre spezifischen Anforderungen anpassen.

Das Security Essentials Framework ist für alle Security Command Center-Dienststufen verfügbar.

Die folgenden Frameworks sind nur in den Dienststufen „Premium“ und „Enterprise“ verfügbar:

Scan-Latenz des Compliance-Managers für erkennende Kontrollen

In den folgenden Abschnitten wird beschrieben, wie viel Zeit vergeht, bis Ergebnisse durch den ersten Scan generiert werden, und wie oft nachfolgende Scans für erkennende Cloud-Kontrollen ausgeführt werden, die in Ihrer Umgebung bereitgestellt werden. Der Compliance-Manager unterstützt nur Batch-Scans.

Erster Scan

Bei den Dienststufen „Premium“ und „Enterprise“ beginnt der erste Scan etwa eine Stunde nach der Aktivierung. Die ersten Compliance-Manager-Scans können bis zu 48 Stunden dauern.

Bei der Security Command Center Standard-Dienststufe werden Scans alle 96 Stunden ausgeführt, was zu einer anfänglichen Ergebnis-Latenz von 96 Stunden führen kann.

Nachdem Sie ein Framework bereitgestellt haben, kann es bis zu 6 Stunden dauern, bis Ergebnisse im Zusammenhang mit erkennenden Cloud-Kontrollen angezeigt werden.

Während der erste Scan durchgeführt wird, können Sie jedoch einige Ergebnisse in der Google Cloud Console sehen, noch bevor der Einrichtungsprozess abgeschlossen ist. Vorläufige Ergebnisse sind präzise und praktisch, aber sie sind nicht aussagekräftig. Es wird nicht empfohlen, innerhalb der ersten 48 Stunden ein Audit in der Dienststufe „Premium“ oder „Enterprise“ zu starten.

Nachfolgende Scans

Nach dem ersten Scan werden nachfolgende Scans regelmäßig im Batch-Modus ausgeführt:

Bei den Dienststufen „Premium“ und „Enterprise“ werden Batch-Scans alle 16 Stunden ausgeführt.
Bei der Dienststufe „Standard“ werden Batch-Scans alle 38 Stunden ausgeführt.

Latenz auf Monitoring-Dashboards

Der Compliance-Manager enthält Monitoring Dashboards, auf denen Daten zu Compliance-Levels zusammengefasst werden. Nachdem ein Ergebnis im Dashboard Ergebnisse angezeigt wird, kann es bis zu 24 Stunden dauern, bis sich dieses Ergebnis auf die Compliance-Zahlen auf den Monitoring-Dashboards auswirkt. Außerdem kann es bis zu 48 Stunden dauern, bis Änderungen an Assets (z. B. Erstellung oder Aktualisierungen) auf den Monitoring-Dashboards angezeigt werden.

Compliance-Manager mit Security Command Center-Diensten und ‑Funktionen verwenden

Sie können andere Security Command Center-Dienste und ‑Funktionen aktivieren und in derselben Organisation oder demselben Projekt verwenden, in dem Sie den Compliance-Manager aktivieren. Berücksichtige Folgendes:

Die meisten Security Health Analytics-Detektoren sind auch als Cloud-Kontrollen im Compliance-Manager verfügbar. Weitere Informationen finden Sie unter Zuordnung von Security Health Analytics-Detektoren zu Cloud- Kontrollen.
Die meisten Security Health Analytics-Detektoren sind standardmäßig aktiviert. Wenn Sie den Compliance-Manager aktivieren, werden bestimmte integrierte Frameworks automatisch auf Ihre Google Cloud Organisation angewendet. Sie können bei Bedarf zusätzliche Frameworks mit weiteren Cloud-Kontrollen bereitstellen.
Sie können Security Health Analytics-Detektoren deaktivieren. Wenn Sie eine Cloud-Kontrolle deaktivieren möchten, müssen Sie sie aus den benutzerdefinierten Frameworks entfernen, die sie enthalten, oder die Zuweisung des bereitgestellten integrierten Frameworksaufheben.
Sowohl Security Health Analytics als auch der Compliance-Manager generieren Ergebnisse. Security Health Analytics verwendet jedoch die securitycenter.googleapis.com API, um Ergebnisse zu generieren, und der Compliance-Manager verwendet die cloudsecuritycompliance.googleapis.com API. Wenn Sie Security Health Analytics und den Compliance-Manager für dieselbe Ressource aktivieren, können doppelte Ergebnisse generiert werden. Doppelte Ergebnisse treten auf, wenn sowohl ein Security Health Analytics-Detektor als auch eine Cloud-Kontrolle des Compliance-Managers dieselbe Konfiguration prüfen (z. B. prüfen beide, ob CMEK für einen bestimmten Dienst aktiviert ist). Im Dashboard „Ergebnisse“ werden die doppelten Ergebnisse mit unterschiedlichen Anbieter-IDs angezeigt. Führen Sie einen der folgenden Schritte aus, um doppelte Ergebnisse zu vermeiden:
- Wenn die von Ihnen bereitgestellten Frameworks Cloud-Kontrollen enthalten, die allen Security Health Analytics-Detektoren zugeordnet sind, die für Ihre Umgebung gelten, deaktivieren Sie Security Health Analytics für das Projekt oder den Ordner.
- Wenn die Frameworks nicht die erforderlichen Security Health Analytics-Detektoren enthalten, blenden Sie die doppelten Security Health Analytics-Detektor ergebnisse aus.
Wenn Sie einen Sicherheitsstatus mit dem Dienst für den Sicherheitsstatus bereitgestellt haben, erhalten Sie möglicherweise doppelte Ergebnisse, wenn Sie den Compliance-Manager aktivieren. Stellen Sie ein Framework bereit, das Ihrem Sicherheitsstatus entspricht, und löschen Sie die Bereitstellung des Sicherheitsstatus.
Der Compliance-Manager verwendet den globalen Endpunkt, nicht den Endpunkt , den Sie möglicherweise angeben, wenn Sie den Daten standort für Security Command Center aktivieren. Sie können jedoch den Standort angeben, an dem Sie Ihre Umgebung prüfen möchten. Weitere Informationen finden Sie unter Umgebung mit dem Compliance-Manager prüfen.

Nächste Schritte

Compliance-Manager aktivieren.