Puedes usar el Administrador de cumplimiento en Google Cloud para garantizar que tu Google Cloud infraestructura, tus cargas de trabajo y tus datos cumplan con los requisitos de seguridad y reglamentarios de tu organización o proyecto. El Administrador de cumplimiento te permite hacer lo siguiente:
- Definir e implementar una configuración protegida y compatible para tu Google Cloud entorno.
- Ver paneles que muestran la alineación de tu entorno con tus requisitos de cumplimiento y seguridad. informes de evaluación
- (Solo niveles Premium y Enterprise) Auditar tus entornos de nube, incluida la recopilación de evidencia y la generación de informes
El Administrador de cumplimiento usa controles definidos por software que te permiten evaluar la compatibilidad con varios programas de cumplimiento y requisitos de seguridad dentro de una Google Cloud organización o un proyecto.
Componentes del Administrador de cumplimiento
En la siguiente tabla, se describen los componentes del Administrador de cumplimiento.
| Regla | Es un elemento técnico dentro de un control de la nube que te permite cumplir con un requisito de cumplimiento, seguridad o privacidad. Las reglas pueden ser políticas de la organización, políticas de IAM, configuración de la nube y lógica de detección basada en Common Expression Language (CEL). |
|---|---|
| Control de nube | Es un conjunto de reglas y metadatos asociados que puedes usar para definir la intención de seguridad o cumplimiento de tu organización o proyecto. El Administrador de cumplimiento incluye una biblioteca de controles de la nube integrados y te permite crear los tuyos. Los metadatos de un control de la nube incluyen instrucciones de corrección y la gravedad del hallazgo. Los controles de la nube tienen los siguientes modos:
|
| Control regulatorio | Es un requisito de cumplimiento reglamentario o de seguridad definido por la industria. La asignación de relaciones entre los controles de la nube y los controles reglamentarios define cómo uno o más controles de la nube satisfacen un requisito de control reglamentario. Ten en cuenta lo siguiente:
|
| Framework | Es una colección de controles de la nube y controles reglamentarios controles que representan prácticas recomendadas de seguridad o estándares definidos por la industria como FedRAMP o NIST. Un framework puede incluir una asignación entre los controles de la nube y los controles reglamentarios. El Administrador de cumplimiento incluye una biblioteca de frameworks integrados. Puedes personalizar estos frameworks o crear los tuyos. |
| Implementación de frameworks | Es la vinculación entre un framework en particular y una organización, carpeta o proyecto cuando implementas el framework. |
En el siguiente diagrama, se muestran los componentes del Administrador de cumplimiento.
Frameworks integrados
El Administrador de cumplimiento admite frameworks integrados para Google Cloud. Puedes implementar estos frameworks tal como están o personalizarlos para satisfacer tus necesidades particulares.
El framework de Security Essentials está disponible para todos los niveles de Security Command Center.
Los siguientes frameworks solo están disponibles en los niveles Premium y Enterprise:
- AI Protection
- Controles de Center for Information Security (CIS) 8.0
- Comparativa de CIS para Google Cloud Computing Platform v3.0
- Comparativa de CIS en Kubernetes v1.1.7
- Cloud Controls Matrix (CCM) 4
- Aspectos básicos de seguridad y privacidad de los datos
- Plantilla de framework de seguridad de los datos
- FedRAMP Low
- Organización Internacional de Normalización (ISO) 27001, 2022
- Instituto Nacional de Normas y Tecnología (NIST) SP 800-53 R5
- Controles de privacidad de NIST AI 600-1
- Framework de seguridad cibernética (CSF) 1.1 del NIST
- Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0
- Estándar nacional de garantía de información de Qatar 2.1
- Controles de sistemas y organizaciones (SOC) 2
Usa el Administrador de cumplimiento con los servicios y las funciones de Security Command Center
Puedes habilitar otros servicios y funciones de Security Command Center y usarlos en la misma organización o proyecto en el que habilitas el Administrador de cumplimiento. Ten en cuenta lo siguiente:
La mayoría de los detectores de Security Health Analytics también están disponibles como controles de la nube en el Administrador de cumplimiento. Para obtener más información, consulta Asignación de detectores de Security Health Analytics a controles de la nube.
La mayoría de los detectores de Security Health Analytics están activados de forma predeterminada. Cuando habilitas el Administrador de cumplimiento, ciertos frameworks integrados se aplican automáticamente a tu Google Cloud organización. Puedes implementar frameworks adicionales con más controles de la nube según sea necesario.
Puedes inhabilitar los detectores de Security Health Analytics. Para inhabilitar un control de la nube, debes quitarlo de los frameworks personalizados que lo incluyen o anular la asignación del framework integrado implementado.
Security Health Analytics y el Administrador de cumplimiento generan resultados. Sin embargo, Security Health Analytics usa la
securitycenter.googleapis.comAPI para generar resultados, y el Administrador de cumplimiento usa lacloudsecuritycompliance.googleapis.comAPI. Si habilitas Security Health Analytics y el Administrador de cumplimiento en el mismo recurso, es posible que generes resultados duplicados. Los resultados duplicados se producen cuando un detector de Security Health Analytics y un control de la nube del Administrador de cumplimiento verifican la misma configuración (por ejemplo, ambos verifican si CMEK está habilitado para un servicio en particular). En el panel de resultados, los resultados duplicados se muestran con diferentes IDs de proveedor. Para evitar resultados duplicados, completa una de las siguientes acciones:Si los frameworks que implementaste incluyen controles de la nube que se asignan a todos los detectores de Security Health Analytics que se aplican a tu entorno, inhabilita Security Health Analytics para el proyecto o la carpeta.
Si los frameworks no incluyen los detectores de Security Health Analytics necesarios, silencia los resultados duplicados de los detectores de Security Health Analytics .
Si implementaste una postura de seguridad con el servicio de postura de seguridad, es posible que recibas resultados duplicados cuando habilites el Administrador de cumplimiento. Considera implementar un framework que coincida con tu postura de seguridad y borrar la implementación de la postura deployment.
El Administrador de cumplimiento usa el extremo global, no el extremo que puedes especificar cuando habilitas la residencia de datos para Security Command Center. Sin embargo, puedes especificar la ubicación en la que deseas auditar tu entorno. Para obtener más información, consulta Audita tu entorno con el Administrador de cumplimiento.