Compliance Manager 總覽

您可以在 Google Cloud 中使用 Compliance Manager，確保基礎架構、工作負載和資料符合貴機構或專案的安全與法規要求。Compliance Manager 可讓您執行下列操作：Google Cloud

• 為Google Cloud 環境定義及部署符合規範的安全設定。
• 查看資訊主頁，瞭解環境是否符合法規遵循和安全防護要求。
• (僅限 Premium 和 Enterprise 級別) 稽核雲端環境，包括收集證據和產生報表。

Compliance Manager 會使用軟體定義的控制項，讓您評估Google Cloud 組織或專案是否支援多項法規遵循計畫和安全防護要求。

Compliance Manager 元件

下表說明 Compliance Manager 的元件。

規則	雲端控管機制中的技術項目，可協助您滿足法規遵循、安全性或隱私權需求。規則可以是組織政策、IAM 政策、雲端設定，以及根據通用運算式語言 (CEL) 的偵測邏輯。
CloudControl	一組規則和相關聯的中繼資料，可用於定義貴機構或專案的安全或法規遵循意圖。Compliance Manager 包含內建雲端控制選項的程式庫，並允許您建立自己的控制選項。 雲端控制項中的中繼資料包括補救說明和發現項目嚴重程度。 雲端控制項有下列模式： 偵測：Compliance Manager 會將雲端控管機制套用至定義的資源，以利監控。系統偵測到任何違規行為，並產生快訊。系統不會自動採取預防措施。 (僅限 Premium 和 Enterprise 級方案) 預防性： Compliance Manager 會將雲端控管機制套用至定義的資源，並主動強制執行規則。如果資源活動違反雲端控管機制，系統會封鎖該活動，並針對遭封鎖的動作產生快訊。 部分雲端控管機制需要您提供額外資訊，才能正常運作。舉例來說，如果您想使用雲端控管機制檢查工作負載和資源是否在特定區域中執行，就必須在建立雲端控管機制時指定允許的區域。 (僅限 Premium 和 Enterprise 方案) 稽核： Compliance Manager 會使用這項雲端控制項 稽核您的環境，確保符合法規遵循義務。Compliance Manager 會使用這項控制項收集法規遵循稽核的證據，並找出任何缺口。
法規控管機制	產業定義的安全或法規遵循要求。雲端控管機制與法規控管機制之間的關係對應，定義一或多項雲端控管機制如何滿足法規控管機制要求。請考量下列事項： 單一雲端控管措施可對應多項法規控管措施。 單一監管控管措施可對應至多個雲端控管措施。
架構	這類架構包含雲端控管措施和法規控管措施，代表安全最佳做法或產業定義的標準，例如 FedRAMP 或 NIST。架構可包含雲端控管措施與法規控管措施之間的對應關係。 Compliance Manager 內建架構庫，您可以自訂這些架構，也可以自行建立架構。
架構部署	部署架構時，特定架構與機構、資料夾或專案之間的繫結。

下圖顯示法規遵循管理工具的元件。

內建架構

Compliance Manager 支援Google Cloud的內建架構。您可以直接部署這些架構，也可以根據特定需求自訂架構。

安全基本原則架構適用於所有 Security Command Center 方案。

下列架構僅適用於進階版和企業版：

• AI 保護
• 資訊安全中心 (CIS) Controls 8.0
• CIS Google Cloud Computing Platform Benchmark v3.0
• CIS Kubernetes 基準政策 v1.1.7
• Cloud Controls Matrix (CCM) 4
• 資料安全與隱私權基本知識
• 資料安全架構範本
• FedRAMP 低度影響
• 國際標準化組織 (ISO) 27001，2022 年
• 美國國家標準暨技術研究院 (NIST) SP 800-53 R5
• NIST AI 600-1 隱私權控管
• NIST 網路安全架構 (CSF) 1.1
• 付款卡產業資料安全標準 (PCI DSS) 4.0
• 卡達國家資訊保障標準 2.1 版
• 系統與組織控管 (SOC) 2

偵測性控制項的 Compliance Manager 掃描延遲時間

以下各節說明初始掃描產生發現項目所需的時間，以及部署在環境中的偵測雲端控制項後續掃描的頻率。Compliance Manager 僅支援批次掃描。

初始掃描

如果是 Premium 和 Enterprise 方案，系統會在啟用後約一小時開始進行首次掃描。首次 Compliance Manager 掃描作業最多可能需要 48 小時才能完成。

如果是 Security Command Center Standard 級別，掃描作業每 96 小時執行一次，因此初始發現項目延遲時間可能為 96 小時。

部署架構後，與偵測性雲端控制項相關的發現項目最多可能需要 6 小時才會顯示。

在完成新手上路程序前，您可能會在 Google Cloud 控制台中看到初步掃描結果。初步結果準確且可做為行動依據，但並不完整。建議不要在前 48 小時內，在 Premium 或 Enterprise 層級啟動稽核。

後續掃描

初次掃描作業完成後，後續掃描作業會定期以批次模式執行，如下所示：

• 如果是 Premium 和 Enterprise 方案，批次掃描每 16 小時執行一次。
• 如果是標準層級，批次掃描作業每 38 小時會執行一次。

監控資訊主頁的延遲時間

Compliance Manager 包含監控資訊主頁，可匯總法規遵循程度的資料。「發現」資訊主頁顯示發現項目後，最多可能需要 24 小時，該項目才會影響監控資訊主頁的法規遵循計數。此外，資產變更 (例如建立或更新) 最多可能需要 48 小時才會顯示在監控資訊主頁上。

搭配 Security Command Center 服務和功能使用 Compliance Manager

您可以在啟用 Compliance Manager 的相同機構或專案中，啟用及使用其他 Security Command Center 服務和功能。請考量下列事項：

• 大多數安全狀態分析偵測工具也以雲端控制項的形式，提供於 Compliance Manager 中。詳情請參閱「將安全狀態分析偵測工具對應至雲端控制項」。

• 預設會啟用大多數安全狀態分析偵測器。啟動 Compliance Manager後，系統會自動將特定內建框架套用至您的Google Cloud 機構。您可以視需要部署更多框架，並搭配更多雲端控管機制。

• 您可以停用安全狀態分析偵測工具。 如要停用雲端控制項，請從包含該控制項的自訂框架中移除雲端控制項，或取消指派已部署的內建框架。

• 安全狀態分析和 Compliance Manager 都會產生發現項目。不過，安全狀態分析會使用 securitycenter.googleapis.com API 產生發現項目，而 Compliance Manager 則會使用 cloudsecuritycompliance.googleapis.com API。如果對同一項資源啟用安全狀態分析和 Compliance Manager，可能會產生重複的發現項目。如果安全狀態分析偵測工具和 Compliance Manager 雲端控制項都檢查相同的設定 (例如，兩者都檢查特定服務是否已啟用 CMEK)，就會出現重複的發現項目。在調查結果資訊主頁中，重複的調查結果會顯示不同的供應商 ID。為避免取得重複的發現項目，請完成下列任一操作：

  • 如果您部署的架構包含雲端控制項，且這些控制項會對應至適用於您環境的所有安全狀態分析偵測工具，請為專案或資料夾停用安全狀態分析。

  • 如果架構未納入必要的安全狀態分析偵測工具，請將重複的安全狀態分析偵測工具發現項目設為靜音。

• 如果您使用資安態勢服務部署資安態勢，啟動 Compliance Manager 時，可能會收到重複的發現項目。請考慮部署符合安全防護機制的架構，並刪除防護機制部署作業。

• Compliance Manager 會使用全域端點，而非您為 Security Command Center 啟用資料落地時指定的端點。不過，您可以指定要稽核環境的位置。詳情請參閱「使用 Compliance Manager 稽核環境」。

後續步驟

• 啟用 Compliance Manager。