Compliance Manager 總覽

您可以在 Google Cloud 中使用 Compliance Manager,確保基礎架構、工作負載和資料符合貴機構或專案的安全性與法規要求。Google Cloud Compliance Manager 可讓您執行下列操作:

  • 為Google Cloud 環境定義及部署符合規範的安全設定。
  • 查看資訊主頁,瞭解環境是否符合法規遵循和安全防護要求。
  • (僅限 Premium 和 Enterprise 級別) 稽核雲端環境,包括收集證據和產生報表。
Google Cloud

Compliance Manager 會使用軟體定義的控制項,讓您評估Google Cloud 組織或專案是否支援多項法規遵循計畫和安全防護要求。

Compliance Manager 元件

下表說明 Compliance Manager 的元件。

規則 雲端控制項中的技術項目,可協助您滿足法規遵循、安全性或隱私權規定。規則可以是組織政策、IAM 政策、雲端設定,以及以一般運算語言 (CEL) 為基礎的偵測邏輯。
CloudControl

一組規則和相關聯的中繼資料,可用於定義機構或專案的安全或法規遵循意圖。Compliance Manager 內建雲端控制項程式庫,您也可以自行建立。

雲端控制項中的中繼資料包括補救說明和嚴重程度。

雲端控制項有下列模式:

  • 偵測:Compliance Manager 會將雲端控管機制套用至定義的資源,以利監控。系統偵測到任何違規行為,並產生快訊。系統不會自動採取預防措施。
  • (僅限 Premium 和 Enterprise 級方案) 預防性: Compliance Manager 會將雲端控管機制套用至定義的資源,並主動強制執行規則。如果資源活動違反雲端控管機制,系統會封鎖該活動,並針對遭封鎖的動作產生快訊。

    部分雲端控管機制需要您提供額外資訊,才能正常運作。舉例來說,如果您想使用雲端控制項檢查工作負載和資源是否在特定區域中執行,就必須在建立雲端控制項時指定允許的區域。

  • (僅限 Premium 和 Enterprise 方案) 稽核: Compliance Manager 會使用這項雲端控制項 稽核您的環境,確保符合法規遵循義務。 Compliance Manager 會使用這項控制措施收集法規遵循稽核的證據,並找出任何缺口。
法規控管機制

產業定義的安全或法規遵循要求。雲端控管機制與法規控管機制之間的關係對應,定義一或多項雲端控管機制如何滿足法規控管機制要求。請考量下列事項:

  • 單一雲端控制項可對應至多個法規控制項。
  • 單一監管控管措施可對應至多個雲端控管措施。
架構

這類控管措施包括雲端控管措施和法規控管措施,代表安全最佳做法或業界定義的標準,例如 FedRAMP 或 NIST。框架可包含雲端控制項與法規控制項之間的對應關係。

Compliance Manager 內建架構庫,您可以自訂這些架構,也可以自行建立架構。

架構部署 部署架構時,特定架構與機構、資料夾或專案之間的繫結。

下圖顯示法規遵循管理工具的元件。

Compliance Manager 元件。

內建架構

Compliance Manager 支援Google Cloud的內建框架。您可以直接部署這些架構,也可以根據特定需求自訂架構。

安全基本防護架構適用於所有 Security Command Center 方案。

下列架構僅適用於進階版和企業版:

偵測性控制措施的 Compliance Manager 掃描類型

Compliance Manager 掃描作業有兩種模式:

  • 批次掃描:系統會定期排定所有已註冊的機構或專案,執行所有偵測性雲端控制項。

    如要瞭解掃描頻率,請參閱「Compliance Manager 掃描延遲時間」。

  • 近乎即時的掃描:僅限 Premium 方案,只要偵測到資源設定有變,系統就會啟動支援的偵測性雲端控管機制。

如要查看不支援近乎即時掃描的雲端控制項清單,請參閱「僅支援批次掃描的雲端控制項」。

偵測用控管功能的 Compliance Manager 掃描延遲時間

以下各節說明初始掃描產生發現項目所需的時間,以及在環境中部署偵測雲端控制項後續掃描的頻率。

初始掃描

如果是 Premium 和 Enterprise 方案,系統會在啟用後約一小時開始進行初始批次掃描。首次執行 Compliance Manager 掃描作業最多需要 48 小時。

如果是 Security Command Center Standard 級別,批次掃描作業每 96 小時執行一次,因此初始發現項目延遲時間可能為 96 小時。

部署架構後,與偵測性雲端控制項相關的發現項目最多可能需要 6 小時才會顯示。

在初始掃描期間,您可能會在 Google Cloud 控制台中看到一些發現項目,但此時加入程序尚未完成。初步發現結果準確且可做為行動依據,但並不完整。建議不要在 Premium 或 Enterprise 方案的前 48 小時內開始稽核。

後續掃描

初次掃描作業完成後,系統會定期執行後續的批次掃描作業,如下所示:

  • 如果是 Premium 和 Enterprise 方案,系統每 16 小時會執行一次批次掃描。
  • 如果是標準層級,批次掃描作業每 38 小時會執行一次。

透過近乎即時的掃描作業,相關 Google Cloud 資源設定變更可能會導致發現項目更新。視素材資源類型和變更而定,更新程序可能需要幾分鐘。

監控資訊主頁的延遲時間

Compliance Manager 包含監控資訊主頁,可匯總法規遵循程度的資料。「發現」資訊主頁顯示發現項目後,最多可能需要 24 小時,該項目才會影響監控資訊主頁的法規遵循計數。此外,資產變更 (例如建立或更新) 最多可能需要 48 小時,才會顯示在監控資訊主頁上。

搭配 Security Command Center 服務和功能使用 Compliance Manager

您可以在啟用 Compliance Manager 的相同機構或專案中,啟用及使用其他 Security Command Center 服務和功能。請考量下列事項:

後續步驟