Mit Compliance Manager in Google Cloud können Sie dafür sorgen, dass IhreGoogle Cloud Infrastruktur, Arbeitslasten und Daten die Sicherheits- und behördlichen Anforderungen Ihrer Organisation oder Ihres Projekts erfüllen. Mit Compliance Manager haben Sie folgende Möglichkeiten:
- Definieren und stellen Sie eine konforme und sichere Konfiguration für IhreGoogle Cloud -Umgebung bereit.
- Sehen Sie sich Dashboards an, die zeigen, wie gut Ihre Umgebung Ihren Compliance- und Sicherheitsanforderungen entspricht.
- (Nur Premium- und Enterprise-Tarife) Cloud-Umgebungen prüfen, einschließlich des Sammelns von Nachweisen und des Erstellens von Berichten.
Compliance Manager verwendet softwaredefinierte Kontrollen, mit denen Sie die Unterstützung für mehrere Compliance-Programme und Sicherheitsanforderungen in einerGoogle Cloud -Organisation oder einemGoogle Cloud -Projekt bewerten können.
Compliance Manager-Komponenten
In der folgenden Tabelle werden die Komponenten von Compliance Manager beschrieben.
| Regel | Ein technisches Element innerhalb einer Cloud-Kontrolle, mit dem Sie eine Compliance-, Sicherheits- oder Datenschutzanforderung erfüllen können. Regeln können Organisationsrichtlinien, IAM-Richtlinien, Cloudeinstellungen und Erkennungslogik auf Grundlage der Common Expression Language (CEL) sein. |
|---|---|
| Cloud-Kontrolle | Eine Reihe von Regeln und zugehörigen Metadaten, mit denen Sie die Sicherheits- oder Compliance-Absicht für Ihre Organisation oder Ihr Projekt definieren können. Compliance Manager enthält eine Bibliothek mit integrierten Cloud-Steuerelementen und ermöglicht es Ihnen, eigene zu erstellen. Die Metadaten in einer Cloud-Kontrolle enthalten Anleitungen zur Behebung und den Schweregrad des Problems. Cloud-Steuerelemente haben die folgenden Modi:
|
| Regulatorische Kontrolle | Eine branchenspezifische Sicherheits- oder Compliance-Anforderung. Die Zuordnung von Beziehungen zwischen Cloud-Kontrollen und behördlichen Kontrollen definiert, wie eine oder mehrere Cloud-Kontrollen eine Anforderung für behördliche Kontrollen erfüllen. Berücksichtige Folgendes:
|
| Framework | Eine Sammlung von Cloud- und regulatorischen Kontrollen, die Best Practices für die Sicherheit oder branchenübliche Standards wie FedRAMP oder NIST darstellen. Ein Framework kann eine Zuordnung zwischen Cloud-Kontrollen und den behördlichen Kontrollen enthalten. Compliance Manager enthält eine Bibliothek mit integrierten Frameworks. Sie können diese Frameworks anpassen oder eigene erstellen. |
| Framework-Bereitstellung | Die Bindung zwischen einem bestimmten Framework und einer Organisation, einem Ordner oder einem Projekt, wenn Sie das Framework bereitstellen. |
Das folgende Diagramm zeigt die Komponenten von Compliance Manager.
Integrierte Frameworks
Compliance Manager unterstützt integrierte Frameworks fürGoogle Cloud. Sie können diese Frameworks unverändert bereitstellen oder an Ihre speziellen Anforderungen anpassen.
Das Security Essentials-Framework ist für alle Security Command Center-Stufen verfügbar.
Die folgenden Frameworks sind nur in den Premium- und Enterprise-Versionen verfügbar:
- AI Protection
- CIS Controls 8.0
- CIS Google Cloud Computing Platform Benchmark v3.0
- CIS Kubernetes Benchmark v1.1.7
- Cloud Controls Matrix (CCM) 4
- Grundlagen zu Datensicherheit und Datenschutz
- Vorlage für das Datensicherheits-Framework
- FedRAMP Low
- ISO 27001, 2022
- National Institute of Standards and Technology (NIST) SP 800-53 R5
- NIST AI 600-1 Privacy Controls
- NIST Cybersecurity Framework (CSF) 1.1
- Datensicherheitsstandard der Zahlungskartenindustrie (Payment Card Industry Data Security Standard, PCI DSS) 4.0
- Qatar National Information Assurance Standard 2.1
- System and Organization Controls (SOC) 2
Compliance Manager-Scantypen für präventive Kontrollen
Compliance Manager-Scans werden in zwei Modi ausgeführt:
Batch-Scan:Die Ausführung aller Cloud-Kontrollen zur Erkennung wird für alle registrierten Organisationen oder Projekte regelmäßig geplant.
Informationen zur Häufigkeit von Scans finden Sie unter Compliance Manager-Scanlatenz.
Fast-Echtzeit-Scan: Nur in der Premium-Stufe starten unterstützte Detektiv-Cloud-Kontrollen Scans, wenn eine Änderung in der Konfiguration einer Ressource erkannt wird.
Eine Liste der Cloud-Steuerungen, die keine Scans in Echtzeit unterstützen, finden Sie unter Cloud-Steuerungen, die nur Batch-Scans unterstützen.
Latenz von Compliance Manager-Scans für aufdeckende Kontrollen
In den folgenden Abschnitten wird beschrieben, wie viel Zeit vergeht, bis Ergebnisse durch den ersten Scan generiert werden, und wie häufig nachfolgende Scans für Erkennungs-Cloud-Kontrollen durchgeführt werden, die in Ihrer Umgebung bereitgestellt werden.
Erster Scan
Bei Premium- und Enterprise-Abos beginnt der erste Batch-Scan etwa eine Stunde nach der Aktivierung. Die ersten Compliance Manager-Scans können bis zu 48 Stunden dauern.
In der Security Command Center Standard-Stufe werden Batchscans alle 96 Stunden ausgeführt, was zu einer anfänglichen Latenz von 96 Stunden führen kann.
Nachdem Sie ein Framework bereitgestellt haben, kann es bis zu 6 Stunden dauern, bis Ergebnisse zu detektiven Cloud-Steuerelementen angezeigt werden.
Während der erste Scan durchgeführt wird, können Sie jedoch einige Ergebnisse in der Google Cloud Konsole sehen, noch bevor der Einrichtungsprozess abgeschlossen ist. Vorläufige Ergebnisse sind präzise und praktisch, aber sie sind nicht aussagekräftig. Es wird nicht empfohlen, innerhalb der ersten 48 Stunden eine Prüfung in der Premium- oder Enterprise-Stufe zu starten.
Nachfolgende Scans
Nach dem ersten Scan werden nachfolgende Batchscans regelmäßig ausgeführt:
- Bei der Premium- und Enterprise-Stufe werden Batch-Scans alle 16 Stunden ausgeführt.
- Im Standard-Tarif werden Batch-Scans alle 38 Stunden ausgeführt.
Bei der Echtzeitüberprüfung können relevante Änderungen an der Google Cloud Ressourcenkonfiguration zu aktualisierten Ergebnissen führen. Die Aktualisierung kann je nach Asset-Typ und Änderung einige Minuten dauern.
Latenz in Monitoring-Dashboards
Compliance Manager enthält Monitoring-Dashboards, in denen Daten zu Compliance-Levels zusammengefasst werden. Nachdem ein Ergebnis im Dashboard „Ergebnisse“ angezeigt wird, kann es bis zu 24 Stunden dauern, bis es sich auf die Compliance-Zahlen in den Monitoring-Dashboards auswirkt. Außerdem kann es bis zu 48 Stunden dauern, bis Änderungen an Assets (z. B. Erstellung oder Aktualisierung) in den Überwachungsdashboards angezeigt werden.
Compliance Manager mit Security Command Center-Diensten und ‑Funktionen verwenden
Sie können andere Security Command Center-Dienste und ‑Funktionen aktivieren und in derselben Organisation oder demselben Projekt verwenden, in dem Sie Compliance Manager aktivieren. Berücksichtige Folgendes:
Die meisten Security Health Analytics-Detektoren sind auch als Cloud-Kontrollen in Compliance Manager verfügbar. Weitere Informationen finden Sie unter Zuordnung von Security Health Analytics-Detektoren zu Cloud-Steuerelementen.
Die meisten Security Health Analytics-Detektoren sind standardmäßig aktiviert. Wenn Sie Compliance Manager aktivieren, werden bestimmte integrierte Frameworks automatisch auf IhreGoogle Cloud -Organisation angewendet. Sie können bei Bedarf zusätzliche Frameworks mit weiteren Cloud-Steuerelementen bereitstellen.
Sie können Security Health Analytics-Detektoren deaktivieren. Wenn Sie eine Cloud-Steuerung deaktivieren möchten, müssen Sie sie aus den benutzerdefinierten Frameworks entfernen, die sie enthalten, oder die zugewiesene integrierte Framework-Bereitstellung aufheben.
Sowohl Security Health Analytics als auch Compliance Manager generieren Ergebnisse. Security Health Analytics verwendet jedoch die
securitycenter.googleapis.comAPI, um Ergebnisse zu generieren, und Compliance Manager verwendet diecloudsecuritycompliance.googleapis.comAPI. Wenn Sie Security Health Analytics und Compliance Manager für dieselbe Ressource aktivieren, können doppelte Ergebnisse generiert werden. Doppelte Ergebnisse treten auf, wenn sowohl ein Security Health Analytics-Detektor als auch eine Compliance Manager-Cloud-Kontrolle dieselbe Konfiguration prüfen (z. B. beide prüfen, ob CMEK für einen bestimmten Dienst aktiviert ist). Im Dashboard für Ergebnisse werden die doppelten Ergebnisse mit unterschiedlichen Anbieter-IDs angezeigt. Führen Sie einen der folgenden Schritte aus, um doppelte Ergebnisse zu vermeiden:Wenn die von Ihnen bereitgestellten Frameworks Cloud-Steuerelemente enthalten, die allen Security Health Analytics-Detektoren entsprechen, die für Ihre Umgebung gelten, deaktivieren Sie Security Health Analytics für das Projekt oder den Ordner.
Wenn die Frameworks nicht die erforderlichen Security Health Analytics-Detektoren enthalten, blenden Sie die doppelten Security Health Analytics-Detektorergebnisse aus.
Wenn Sie einen Sicherheitsstatus mit dem Sicherheitsstatus-Dienst bereitgestellt haben, erhalten Sie möglicherweise doppelte Ergebnisse, wenn Sie Compliance Manager aktivieren. Stellen Sie ein Framework bereit, das Ihrem Sicherheitsstatus entspricht, und löschen Sie die Bereitstellung des Status.
Compliance Manager verwendet den globalen Endpunkt und nicht den Endpunkt, den Sie möglicherweise angeben, wenn Sie den Datenstandort für Security Command Center aktivieren. Sie können jedoch den Standort angeben, an dem Sie Ihre Umgebung prüfen möchten. Weitere Informationen finden Sie unter Umgebung mit dem Compliance Manager prüfen.