Puoi utilizzare Compliance Manager in Google Cloud per assicurarti che la tua Google Cloud infrastruttura, i tuoi carichi di lavoro e i tuoi dati soddisfino i requisiti di sicurezza e normativi della tua organizzazione o del tuo progetto. Compliance Manager ti consente di:
- Definire ed eseguire il deployment di una configurazione conforme e sicura per il tuo Google Cloud ambiente.
- Visualizzare le dashboard che mostrano l'allineamento del tuo ambiente ai requisiti di conformità e sicurezza. report di valutazione.
- (Solo livelli Premium ed Enterprise) Eseguire l'audit degli ambienti cloud, inclusa la raccolta di prove e la generazione di report.
Compliance Manager utilizza controlli software-defined che ti consentono di valutare il supporto per più programmi di conformità e requisiti di sicurezza all'interno di un'organizzazione o di un progetto.Google Cloud
Componenti di Compliance Manager
La tabella seguente descrive i componenti di Compliance Manager.
| Regola | Un elemento tecnico all'interno di un controllo cloud che ti consente di soddisfare un requisito di conformità, sicurezza o privacy. Le regole possono essere policy dell'organizzazione, policy IAM, impostazioni cloud e logica di rilevamento basata su Common Expression Language (CEL). |
|---|---|
| Controllo cloud | Un insieme di regole e metadati associati che puoi utilizzare per definire l'intento di sicurezza o conformità per la tua organizzazione o il tuo progetto. Compliance Manager include una libreria di controlli cloud integrati e ti consente di crearne di tuoi. I metadati in un controllo cloud includono istruzioni di correzione e gravità dei risultati. I controlli cloud hanno le seguenti modalità:
|
| Controllo normativo | Un requisito di conformità normativa o di sicurezza definito dal settore. La mappatura delle relazioni tra controlli cloud e controlli normativi definisce in che modo uno o più controlli cloud soddisfano un requisito di controllo normativo. Considera quanto segue:
|
| Framework | Una raccolta di controlli cloud e controlli normativi che rappresentano le best practice di sicurezza o gli standard definiti dal settore come FedRAMP o NIST. Un framework può includere una mappatura tra i controlli cloud e i controlli normativi. Compliance Manager include una libreria di framework integrati. Puoi personalizzare questi framework o crearne di tuoi. |
| Deployment del framework | Il binding tra un framework specifico e un'organizzazione, una cartella o un progetto quando esegui il deployment del framework. |
Il seguente diagramma mostra i componenti di Compliance Manager.
Framework integrati
Compliance Manager supporta i framework integrati per Google Cloud. Puoi eseguire il deployment di questi framework così come sono oppure personalizzarli in base alle tue esigenze specifiche.
Il framework Security Essentials è disponibile per tutti i livelli di Security Command Center.
I seguenti framework sono disponibili solo nei livelli Premium ed Enterprise:
- AI Protection
- CIS Controls 8.0
- CIS Google Cloud Computing Platform Benchmark v3.0
- CIS Kubernetes Benchmark v1.1.7
- Cloud Controls Matrix (CCM) 4
- Data Security and Privacy Essentials
- Data Security Framework Template
- FedRAMP Low
- International Organization for Standardization (ISO) 27001, 2022
- National Institute of Standards and Technology (NIST) SP 800-53 R5
- NIST AI 600-1 Privacy Controls
- NIST Cybersecurity Framework (CSF) 1.1
- Payment Card Industry Data Security Standard (PCI DSS) 4.0
- Qatar National Information Assurance Standard 2.1
- System and Organization Controls (SOC) 2
Tipi di scansione di Compliance Manager per i controlli di rilevamento
Le scansioni di Compliance Manager vengono eseguite in due modalità:
Scansione batch: tutte le scansioni dei controlli cloud di rilevamento vengono pianificate per essere eseguite periodicamente per tutte le organizzazioni o i progetti registrati.
Per informazioni sulla frequenza delle scansioni, vedi Latenza delle scansioni di Compliance Manager.
Scansione quasi in tempo reale: solo nel livello Premium, i controlli cloud di rilevamento supportati avviano le scansioni ogni volta che viene rilevata una modifica nella configurazione di una risorsa.
Per un elenco dei controlli cloud che non supportano le scansioni quasi in tempo reale, vedi Controlli cloud che supportano solo la scansione batch.
Latenza delle scansioni di Compliance Manager per i controlli di rilevamento
Le sezioni seguenti descrivono il tempo necessario prima che i risultati vengano generati dalla scansione iniziale e la frequenza delle scansioni successive per i controlli cloud di rilevamento di cui è stato eseguito il deployment nel tuo ambiente.
Scansione iniziale
Per i livelli Premium ed Enterprise, la scansione batch iniziale inizia circa un'ora dopo l'attivazione. Il completamento delle prime scansioni di Compliance Manager può richiedere fino a 48 ore.
Per il livello Security Command Center Standard, le scansioni batch vengono eseguite ogni 96 ore, il che può comportare una latenza iniziale dei risultati di 96 ore.
Dopo aver eseguito il deployment di un framework, potrebbero essere necessarie fino a 6 ore prima che vengano visualizzati i risultati relativi ai controlli cloud di rilevamento.
Potresti visualizzare alcuni risultati nella Google Cloud console durante l'esecuzione delle scansioni iniziali sono in corso, ma prima che il processo di onboarding sia completato. I risultati preliminari sono accurati e utilizzabili, ma non sono esaustivi. Non è consigliabile avviare un audit nel livello Premium o Enterprise entro le prime 48 ore.
Scansioni successive
Dopo la scansione iniziale, le scansioni batch successive vengono eseguite periodicamente, come segue:
- Per i livelli Premium ed Enterprise, le scansioni batch vengono eseguite ogni 16 ore.
- Per il livello Standard, le scansioni batch vengono eseguite ogni 38 ore.
Con la scansione quasi in tempo reale, le modifiche alla configurazione delle risorse pertinenti potrebbero comportare risultati aggiornati. Google Cloud L'aggiornamento potrebbe richiedere alcuni minuti, a seconda del tipo di asset e della modifica.
Latenza nelle dashboard di monitoraggio
Compliance Manager include dashboard di monitoraggio che aggregano i dati sui livelli di conformità. Dopo che un risultato viene visualizzato nella dashboard Risultati, possono essere necessarie fino a 24 ore prima che influisca sui conteggi di conformità nelle dashboard di monitoraggio. Inoltre, la visualizzazione delle modifiche agli asset (ad esempio la creazione o gli aggiornamenti) nelle dashboard di monitoraggio può richiedere fino a 48 ore.
Utilizzo di Compliance Manager con i servizi e le funzionalità di Security Command Center
Puoi attivare altri servizi e funzionalità di Security Command Center e utilizzarli nella stessa organizzazione o nello stesso progetto in cui attivi Compliance Manager. Considera quanto segue:
La maggior parte dei rilevatori di Security Health Analytics è disponibile anche come controlli cloud in Compliance Manager. Per ulteriori informazioni, vedi Mappatura dei rilevatori di Security Health Analytics ai controlli cloud.
La maggior parte dei rilevatori di Security Health Analytics è attiva per impostazione predefinita. Quando attivi Compliance Manager, alcuni framework integrati vengono applicati automaticamente alla tua Google Cloud organizzazione. Se necessario, puoi eseguire il deployment di framework aggiuntivi con altri controlli cloud.
Puoi disattivare i rilevatori di Security Health Analytics. Per disattivare un controllo cloud, devi rimuoverlo dai framework personalizzati che lo includono o annullare l'assegnazione del framework integrato di cui è stato eseguito il deployment.
Sia Security Health Analytics sia Compliance Manager generano risultati. Tuttavia, Security Health Analytics utilizza l'
securitycenter.googleapis.comAPI per generare i risultati, mentre Compliance Manager utilizza l'cloudsecuritycompliance.googleapis.comAPI. Se attivi Security Health Analytics e Compliance Manager sulla stessa risorsa, potresti generare risultati duplicati. I risultati duplicati si verificano quando sia un rilevatore di Security Health Analytics sia un controllo cloud di Compliance Manager verificano la stessa configurazione (ad esempio, entrambi verificano se CMEK è abilitato per un servizio specifico). Nella dashboard dei risultati, i risultati duplicati vengono visualizzati con ID provider diversi. Per evitare risultati duplicati, completa una delle seguenti operazioni:Se i framework di cui hai eseguito il deployment includono controlli cloud che eseguono il mapping a tutti i rilevatori di Security Health Analytics applicabili al tuo ambiente, disattiva Security Health Analytics per il progetto o la cartella.
Se i framework non includono i rilevatori di Security Health Analytics richiesti, disattiva i risultati duplicati dei rilevatori di Security Health Analytics findings.
Se hai eseguito il deployment di una strategia di sicurezza utilizzando il servizio di strategia di sicurezza, potresti ricevere risultati duplicati quando attivi Compliance Manager. Valuta la possibilità di eseguire il deployment di un framework che corrisponda alla tua strategia di sicurezza ed elimina il deployment della strategia.
Compliance Manager utilizza l'endpoint globale, non l'endpoint che potresti specificare quando attivi la residenza dei dati per Security Command Center. Tuttavia, puoi specificare la località in cui vuoi eseguire l'audit del tuo ambiente. Per ulteriori informazioni, vedi Eseguire l'audit dell' ambiente con Compliance Manager.