Anda dapat menggunakan Compliance Manager di Google Cloud untuk membantu memastikan bahwa infrastruktur, workload, dan data Anda memenuhi persyaratan keamanan dan peraturan organisasi atau project Anda. Compliance Manager memungkinkan Anda melakukan hal berikut:Google Cloud
- Tentukan dan deploy konfigurasi yang sesuai dan aman untuk lingkungan Google Cloud Anda.
- Lihat dasbor yang menunjukkan keselarasan lingkungan Anda dengan persyaratan kepatuhan dan keamanan Anda. laporan penilaian.
- (Hanya tingkat Premium dan Enterprise) Audit lingkungan cloud Anda, termasuk mengumpulkan bukti dan membuat laporan.
Compliance Manager menggunakan kontrol yang ditentukan software yang memungkinkan Anda menilai dukungan untuk beberapa program kepatuhan dan persyaratan keamanan dalamGoogle Cloud organisasi atau project.
Komponen Compliance Manager
Tabel berikut menjelaskan komponen Compliance Manager.
| Aturan | Item teknis dalam kontrol cloud yang memungkinkan Anda memenuhi persyaratan kepatuhan, keamanan, atau privasi. Aturan dapat berupa kebijakan organisasi, kebijakan IAM, setelan cloud, dan logika deteksi berdasarkan Common Expression Language (CEL). |
|---|---|
| Kontrol cloud | Sekumpulan aturan dan metadata terkait yang dapat Anda gunakan untuk menentukan maksud keamanan atau kepatuhan untuk organisasi atau project Anda. Compliance Manager mencakup library kontrol cloud bawaan dan memungkinkan Anda membuat kontrol Anda sendiri. Metadata dalam kontrol cloud mencakup petunjuk perbaikan dan tingkat keparahan temuan. Kontrol cloud memiliki mode berikut:
|
| Kontrol peraturan | Persyaratan kepatuhan terhadap peraturan atau keamanan yang ditentukan industri. Pemetaan hubungan antara kontrol cloud dan kontrol peraturan menentukan cara satu atau beberapa kontrol cloud memenuhi persyaratan kontrol peraturan. Pertimbangkan hal berikut:
|
| Framework | Kumpulan kontrol cloud dan kontrol peraturan yang mewakili praktik terbaik keamanan atau standar yang ditentukan industri seperti FedRAMP atau NIST. Framework dapat mencakup pemetaan antara kontrol cloud dan kontrol peraturan. Compliance Manager menyertakan pustaka framework bawaan. Anda dapat menyesuaikan framework ini atau membuat framework Anda sendiri. |
| Deployment framework | Pengikatan antara framework tertentu dan organisasi, folder, atau project saat Anda men-deploy framework. |
Diagram berikut menunjukkan komponen Compliance Manager.
Framework bawaan
Compliance Manager mendukung framework bawaan untuk Google Cloud. Anda dapat men-deploy framework ini apa adanya, atau menyesuaikannya untuk memenuhi kebutuhan khusus Anda.
Framework Dasar-Dasar Keamanan tersedia untuk semua paket Security Command Center.
Framework berikut hanya tersedia di tingkat Premium dan Enterprise:
- Perlindungan AI
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Platform Benchmark v3.0
- CIS Kubernetes Benchmark v1.1.7
- Cloud Controls Matrix (CCM) 4
- Dasar-Dasar Keamanan dan Privasi Data
- Template Framework Keamanan Data
- FedRAMP Low
- International Organization for Standardization (ISO) 27001, 2022
- NIST SP 800-53 R5
- NIST AI 600-1 Privacy Controls
- NIST Cybersecurity Framework (CSF) 1.1
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0
- Qatar National Information Assurance Standard 2.1
- System and Organization Controls (SOC) 2
Latensi pemindaian Compliance Manager untuk kontrol detektif
Bagian berikut menjelaskan jangka waktu sebelum temuan dibuat oleh pemindaian awal dan frekuensi pemindaian berikutnya untuk kontrol detektif cloud yang di-deploy di lingkungan Anda. Compliance Manager hanya mendukung pemindaian batch.
Pemindaian awal
Untuk tingkat Premium dan Enterprise, pemindaian awal dimulai sekitar satu jam setelah aktivasi. Pemindaian Compliance Manager pertama dapat memerlukan waktu hingga 48 jam untuk diselesaikan.
Untuk paket Security Command Center Standard, pemindaian dijalankan setiap 96 jam, yang dapat menyebabkan latensi temuan awal 96 jam.
Setelah Anda men-deploy framework, mungkin perlu waktu hingga 6 jam sebelum temuan terkait kontrol cloud detektif muncul.
Anda mungkin melihat beberapa temuan di konsol Google Cloud saat pemindaian awal sedang berlangsung, tetapi sebelum proses aktivasi selesai. Temuan awal akurat dan dapat ditindaklanjuti, tetapi tidak komprehensif. Memulai audit di tingkat Premium atau Enterprise dalam 48 jam pertama tidak disarankan.
Pemindaian berikutnya
Setelah pemindaian awal, pemindaian berikutnya akan berjalan secara berkala dalam mode batch, sebagai berikut:
- Untuk tingkat Premium dan Enterprise, pemindaian batch dijalankan setiap 16 jam.
- Untuk tingkat Standard, pemindaian batch dijalankan setiap 38 jam.
Latensi di dasbor pemantauan
Compliance Manager menyertakan dasbor pemantauan yang menggabungkan data tentang tingkat kepatuhan. Setelah temuan muncul di dasbor Temuan, mungkin diperlukan waktu hingga 24 jam agar temuan tersebut memengaruhi jumlah kepatuhan di dasbor pemantauan. Selain itu, perubahan aset (seperti pembuatan atau pembaruan) dapat memerlukan waktu hingga 48 jam untuk muncul di dasbor pemantauan.
Menggunakan Compliance Manager dengan layanan dan fitur Security Command Center
Anda dapat mengaktifkan layanan dan fitur Security Command Center lainnya serta menggunakannya di organisasi atau project yang sama tempat Anda mengaktifkan Compliance Manager. Pertimbangkan hal berikut:
Sebagian besar detektor Security Health Analytics juga tersedia sebagai kontrol cloud di Compliance Manager. Untuk mengetahui informasi selengkapnya, lihat Pemetaan detektor Security Health Analytics ke kontrol cloud.
Sebagian besar detektor Security Health Analytics diaktifkan secara default. Saat Anda mengaktifkan Compliance Manager, framework bawaan tertentu akan otomatis diterapkan ke Google Cloud organisasi Anda. Anda dapat men-deploy framework tambahan dengan kontrol cloud lainnya sesuai kebutuhan.
Anda dapat menonaktifkan detektor Security Health Analytics. Untuk menonaktifkan kontrol cloud, Anda harus menghapus kontrol cloud dari framework kustom yang menyertakannya atau membatalkan penetapan framework bawaan yang di-deploy.
Security Health Analytics dan Compliance Manager menghasilkan temuan. Namun, Security Health Analytics menggunakan
securitycenter.googleapis.comAPI untuk menghasilkan temuan, dan Compliance Manager menggunakancloudsecuritycompliance.googleapis.comAPI. Jika Anda mengaktifkan Security Health Analytics dan Compliance Manager di resource yang sama, Anda mungkin menghasilkan temuan duplikat. Temuan duplikat terjadi saat detektor Security Health Analytics dan kontrol cloud Compliance Manager memeriksa konfigurasi yang sama (misalnya, keduanya memeriksa apakah CMEK diaktifkan untuk layanan tertentu.) Di dasbor temuan, temuan duplikat ditampilkan dengan ID penyedia yang berbeda. Untuk menghindari temuan duplikat, selesaikan salah satu hal berikut:Jika framework yang telah Anda deploy mencakup kontrol cloud yang dipetakan ke semua detektor Security Health Analytics yang berlaku untuk lingkungan Anda, nonaktifkan Security Health Analytics untuk project atau folder.
Jika framework tidak menyertakan detektor Security Health Analytics yang diperlukan, nonaktifkan temuan detektor Security Health Analytics duplikat.
Jika Anda men-deploy postur keamanan menggunakan layanan postur keamanan, Anda mungkin menerima temuan duplikat saat mengaktifkan Compliance Manager. Pertimbangkan untuk men-deploy framework yang sesuai dengan postur keamanan Anda dan hapus deployment postur.
Compliance Manager menggunakan endpoint global, bukan endpoint yang mungkin Anda tentukan saat mengaktifkan residensi data untuk Security Command Center. Namun, Anda dapat menentukan lokasi yang ingin Anda gunakan untuk mengaudit lingkungan Anda. Untuk mengetahui informasi selengkapnya, lihat Mengaudit lingkungan Anda dengan Compliance Manager.