Anda dapat menggunakan Compliance Manager di Google Cloud untuk membantu memastikan bahwa Google Cloud infrastruktur, beban kerja, dan data Anda memenuhi persyaratan keamanan dan peraturan organisasi atau project Anda. Compliance Manager memungkinkan Anda melakukan hal berikut:
- Tentukan dan deploy konfigurasi yang sesuai dan aman untuk lingkungan Google Cloud Anda.
- Lihat dasbor yang menunjukkan keselarasan lingkungan Anda dengan persyaratan kepatuhan dan keamanan Anda. laporan penilaian.
- (Hanya tingkat Premium dan Enterprise) Audit lingkungan cloud Anda, termasuk mengumpulkan bukti dan membuat laporan.
Compliance Manager menggunakan kontrol yang ditentukan software yang memungkinkan Anda menilai dukungan untuk beberapa program kepatuhan dan persyaratan keamanan dalamGoogle Cloud organisasi atau project.
Komponen Compliance Manager
Tabel berikut menjelaskan komponen Compliance Manager.
| Aturan | Item teknis dalam kontrol cloud yang memungkinkan Anda memenuhi persyaratan kepatuhan, keamanan, atau privasi. Aturan dapat berupa kebijakan organisasi, kebijakan IAM, setelan cloud, dan logika deteksi berdasarkan Common Expression Language (CEL). |
|---|---|
| Kontrol cloud | Sekumpulan aturan dan metadata terkait yang dapat Anda gunakan untuk menentukan maksud keamanan atau kepatuhan untuk organisasi atau project Anda. Compliance Manager menyertakan library kontrol cloud bawaan dan memungkinkan Anda membuat kontrol Anda sendiri. Metadata dalam kontrol cloud mencakup petunjuk perbaikan dan tingkat keparahan temuan. Kontrol cloud memiliki mode berikut:
|
| Kontrol peraturan | Persyaratan kepatuhan terhadap peraturan atau keamanan yang ditentukan industri. Pemetaan hubungan antara kontrol cloud dan kontrol peraturan menentukan cara satu atau beberapa kontrol cloud memenuhi persyaratan kontrol peraturan. Pertimbangkan hal berikut:
|
| Framework | Kumpulan kontrol cloud dan kontrol peraturan yang mewakili praktik terbaik keamanan atau standar yang ditentukan industri seperti FedRAMP atau NIST. Framework dapat mencakup pemetaan antara kontrol cloud dan kontrol peraturan. Compliance Manager menyertakan library framework bawaan. Anda dapat menyesuaikan framework ini atau membuat framework Anda sendiri. |
| Deployment framework | Pengikatan antara framework tertentu dan organisasi, folder, atau project saat Anda men-deploy framework. |
Diagram berikut menunjukkan komponen Compliance Manager.
Framework bawaan
Compliance Manager mendukung framework bawaan untuk Google Cloud. Anda dapat men-deploy framework ini apa adanya, atau menyesuaikannya untuk memenuhi kebutuhan khusus Anda.
Framework Dasar-Dasar Keamanan tersedia untuk semua paket Security Command Center.
Framework berikut hanya tersedia di tingkat Premium dan Enterprise:
- Perlindungan AI
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Platform Benchmark v3.0
- CIS Kubernetes Benchmark v1.1.7
- Cloud Controls Matrix (CCM) 4
- Dasar-Dasar Keamanan dan Privasi Data
- Template Framework Keamanan Data
- FedRAMP Low
- International Organization for Standardization (ISO) 27001, 2022
- NIST SP 800-53 R5
- NIST AI 600-1 Privacy Controls
- NIST Cybersecurity Framework (CSF) 1.1
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0
- Qatar National Information Assurance Standard 2.1
- System and Organization Controls (SOC) 2
Jenis pemindaian Compliance Manager untuk kontrol detektif
Pemindaian Compliance Manager berjalan dalam dua mode:
Pemindaian batch: Semua kontrol cloud detektif dijadwalkan untuk dijalankan secara berkala untuk semua organisasi atau project yang terdaftar.
Untuk mengetahui informasi tentang frekuensi pemindaian, lihat Latensi pemindaian Compliance Manager.
Pemindaian hampir real-time: Hanya di tingkat Premium, kontrol detektif cloud yang didukung memulai pemindaian setiap kali perubahan terdeteksi dalam konfigurasi resource.
Untuk mengetahui daftar kontrol cloud yang tidak mendukung pemindaian mendekati real-time, lihat Kontrol cloud yang hanya mendukung pemindaian batch.
Latensi pemindaian Compliance Manager untuk kontrol detektif
Bagian berikut menjelaskan jangka waktu sebelum temuan dibuat oleh pemindaian awal dan frekuensi pemindaian berikutnya untuk kontrol detektif cloud yang di-deploy di lingkungan Anda.
Pemindaian awal
Untuk tingkat Premium dan Enterprise, pemindaian batch awal dimulai sekitar satu jam setelah aktivasi. Pemindaian Compliance Manager pertama dapat memerlukan waktu hingga 48 jam untuk diselesaikan.
Untuk paket Security Command Center Standard, pemindaian batch dijalankan setiap 96 jam, yang dapat menyebabkan latensi temuan awal 96 jam.
Setelah Anda men-deploy framework, mungkin perlu waktu hingga 6 jam sebelum temuan terkait kontrol detektif cloud muncul.
Anda mungkin melihat beberapa temuan di konsol Google Cloud saat pemindaian awal sedang berlangsung, tetapi sebelum proses aktivasi selesai. Temuan awal akurat dan dapat ditindaklanjuti, tetapi tidak komprehensif. Memulai audit di tingkat Premium atau Enterprise dalam 48 jam pertama tidak disarankan.
Pemindaian berikutnya
Setelah pemindaian awal, pemindaian batch berikutnya akan berjalan secara berkala, sebagai berikut:
- Untuk tingkat Premium dan Enterprise, pemindaian batch berjalan setiap 16 jam.
- Untuk tingkat Standard, pemindaian batch dijalankan setiap 38 jam.
Dengan pemindaian hampir real-time, perubahan konfigurasi resource Google Cloud yang relevan dapat menghasilkan temuan yang diperbarui. Update mungkin memerlukan waktu beberapa menit, bergantung pada jenis aset dan perubahannya.
Latensi di dasbor pemantauan
Compliance Manager menyertakan dasbor pemantauan yang menggabungkan data tentang tingkat kepatuhan. Setelah temuan muncul di dasbor Temuan, mungkin perlu waktu hingga 24 jam agar temuan tersebut memengaruhi jumlah kepatuhan di dasbor pemantauan. Selain itu, perubahan aset (seperti pembuatan atau pembaruan) dapat memerlukan waktu hingga 48 jam untuk muncul di dasbor pemantauan.
Menggunakan Compliance Manager dengan layanan dan fitur Security Command Center
Anda dapat mengaktifkan layanan dan fitur Security Command Center lainnya serta menggunakannya di organisasi atau project yang sama tempat Anda mengaktifkan Compliance Manager. Pertimbangkan hal berikut:
Sebagian besar detektor Security Health Analytics juga tersedia sebagai kontrol cloud di Compliance Manager. Untuk mengetahui informasi selengkapnya, lihat Pemetaan detektor Security Health Analytics ke kontrol cloud.
Sebagian besar detektor Security Health Analytics diaktifkan secara default. Saat Anda mengaktifkan Compliance Manager, framework bawaan tertentu akan otomatis diterapkan ke Google Cloud organisasi Anda. Anda dapat men-deploy framework tambahan dengan kontrol cloud lainnya sesuai kebutuhan.
Anda dapat menonaktifkan detektor Security Health Analytics. Untuk menonaktifkan kontrol cloud, Anda harus menghapus kontrol cloud dari framework kustom yang menyertakannya atau membatalkan penetapan framework bawaan yang di-deploy.
Security Health Analytics dan Compliance Manager menghasilkan temuan. Namun, Security Health Analytics menggunakan
securitycenter.googleapis.comAPI untuk membuat temuan, dan Compliance Manager menggunakancloudsecuritycompliance.googleapis.comAPI. Jika Anda mengaktifkan Security Health Analytics dan Compliance Manager di resource yang sama, Anda mungkin menghasilkan temuan duplikat. Temuan duplikat terjadi ketika detektor Security Health Analytics dan kontrol cloud Compliance Manager memeriksa konfigurasi yang sama (misalnya, keduanya memeriksa apakah CMEK diaktifkan untuk layanan tertentu.) Di dasbor temuan, temuan duplikat ditampilkan dengan ID penyedia yang berbeda. Untuk menghindari temuan duplikat, selesaikan salah satu tindakan berikut:Jika framework yang telah Anda deploy mencakup kontrol cloud yang dipetakan ke semua detektor Security Health Analytics yang berlaku untuk lingkungan Anda, nonaktifkan Security Health Analytics untuk project atau folder.
Jika framework tidak menyertakan detektor Security Health Analytics yang diperlukan, nonaktifkan temuan detektor Security Health Analytics duplikat.
Jika Anda men-deploy postur keamanan menggunakan layanan postur keamanan, Anda mungkin menerima temuan duplikat saat mengaktifkan Compliance Manager. Pertimbangkan untuk men-deploy framework yang sesuai dengan postur keamanan Anda dan hapus deployment postur.
Compliance Manager menggunakan endpoint global, bukan endpoint yang mungkin Anda tentukan saat mengaktifkan residensi data untuk Security Command Center. Namun, Anda dapat menentukan lokasi yang ingin Anda gunakan untuk mengaudit lingkungan Anda. Untuk mengetahui informasi selengkapnya, lihat Mengaudit lingkungan Anda dengan Compliance Manager.