您可以在 Google Cloud 中使用 Compliance Manager,確保基礎架構、工作負載和資料符合貴機構或專案的安全性與法規要求。Google Cloud Compliance Manager 可讓您執行下列操作:
- 為Google Cloud 環境定義及部署符合規範的安全設定。
- 查看資訊主頁,瞭解環境是否符合法規遵循和安全防護要求。
- (僅限 Premium 和 Enterprise 級別) 稽核雲端環境,包括收集證據和產生報表。
Compliance Manager 會使用軟體定義的控制項,讓您評估Google Cloud 組織或專案是否支援多項法規遵循計畫和安全防護要求。
Compliance Manager 元件
下表說明 Compliance Manager 的元件。
| 規則 | 雲端控制項中的技術項目,可協助您滿足法規遵循、安全性或隱私權規定。規則可以是組織政策、IAM 政策、雲端設定,以及以一般運算語言 (CEL) 為基礎的偵測邏輯。 |
|---|---|
| CloudControl | 一組規則和相關聯的中繼資料,可用於定義機構或專案的安全或法規遵循意圖。Compliance Manager 內建雲端控制項程式庫,您也可以自行建立。 雲端控制項中的中繼資料包括補救說明和嚴重程度。 雲端控制項有下列模式:
|
| 法規控管機制 | 產業定義的安全或法規遵循要求。雲端控管機制與法規控管機制之間的關係對應,定義一或多項雲端控管機制如何滿足法規控管機制要求。請考量下列事項:
|
| 架構 | 這類控管措施包括雲端控管措施和法規控管措施,代表安全最佳做法或業界定義的標準,例如 FedRAMP 或 NIST。框架可包含雲端控制項與法規控制項之間的對應關係。 Compliance Manager 內建架構庫,您可以自訂這些架構,也可以自行建立架構。 |
| 架構部署 | 部署架構時,特定架構與機構、資料夾或專案之間的繫結。 |
下圖顯示法規遵循管理工具的元件。
內建架構
Compliance Manager 支援Google Cloud的內建框架。您可以直接部署這些架構,也可以根據特定需求自訂架構。
安全基本防護架構適用於所有 Security Command Center 方案。
下列架構僅適用於進階版和企業版:
- AI 保護
- 資訊安全中心 (CIS) Controls 8.0
- CIS Google Cloud Computing Platform Benchmark v3.0
- CIS Kubernetes 基準政策 v1.1.7
- Cloud Controls Matrix (CCM) 4
- 資料安全與隱私權基本知識
- 資料安全架構範本
- FedRAMP 低度影響
- 國際標準化組織 (ISO) 27001, 2022
- 美國國家標準暨技術研究院 (NIST) SP 800-53 R5
- NIST AI 600-1 隱私權控管
- NIST 網路安全架構 (CSF) 1.1
- 付款卡產業資料安全標準 (PCI DSS) 4.0
- 卡達國家資訊保障標準 2.1 版
- 系統與組織控管 (SOC) 2
偵測性控制措施的 Compliance Manager 掃描類型
Compliance Manager 掃描作業有兩種模式:
批次掃描:系統會定期排定所有已註冊的機構或專案,執行所有偵測性雲端控制項。
如要瞭解掃描頻率,請參閱「Compliance Manager 掃描延遲時間」。
近乎即時的掃描:僅限 Premium 方案,只要偵測到資源設定有變,系統就會啟動支援的偵測性雲端控管機制。
如要查看不支援近乎即時掃描的雲端控制項清單,請參閱「僅支援批次掃描的雲端控制項」。
偵測用控管功能的 Compliance Manager 掃描延遲時間
以下各節說明初始掃描產生發現項目所需的時間,以及在環境中部署偵測雲端控制項後續掃描的頻率。
初始掃描
如果是 Premium 和 Enterprise 方案,系統會在啟用後約一小時開始進行初始批次掃描。首次執行 Compliance Manager 掃描作業最多需要 48 小時。
如果是 Security Command Center Standard 級別,批次掃描作業每 96 小時執行一次,因此初始發現項目延遲時間可能為 96 小時。
部署架構後,與偵測性雲端控制項相關的發現項目最多可能需要 6 小時才會顯示。
在初始掃描期間,您可能會在 Google Cloud 控制台中看到一些發現項目,但此時加入程序尚未完成。初步發現結果準確且可做為行動依據,但並不完整。建議不要在 Premium 或 Enterprise 方案的前 48 小時內開始稽核。
後續掃描
初次掃描作業完成後,系統會定期執行後續的批次掃描作業,如下所示:
- 如果是 Premium 和 Enterprise 方案,系統每 16 小時會執行一次批次掃描。
- 如果是標準層級,批次掃描作業每 38 小時會執行一次。
透過近乎即時的掃描作業,相關 Google Cloud 資源設定變更可能會導致發現項目更新。視素材資源類型和變更而定,更新程序可能需要幾分鐘。
監控資訊主頁的延遲時間
Compliance Manager 包含監控資訊主頁,可匯總法規遵循程度的資料。「發現」資訊主頁顯示發現項目後,最多可能需要 24 小時,該項目才會影響監控資訊主頁的法規遵循計數。此外,資產變更 (例如建立或更新) 最多可能需要 48 小時,才會顯示在監控資訊主頁上。
搭配 Security Command Center 服務和功能使用 Compliance Manager
您可以在啟用 Compliance Manager 的相同機構或專案中,啟用及使用其他 Security Command Center 服務和功能。請考量下列事項:
大多數安全狀態分析偵測工具也以雲端控制項的形式,提供於 Compliance Manager 中。詳情請參閱「將安全狀態分析偵測工具對應至雲端控制項」。
大多數安全狀態分析偵測工具預設為開啟。啟用 Compliance Manager後,系統會自動將特定內建架構套用至您的Google Cloud 機構。您可以視需要部署其他架構,並使用更多雲端控制項。
您可以停用安全狀態分析偵測工具。 如要停用雲端控制項,請從包含該控制項的自訂框架中移除雲端控制項,或取消指派已部署的內建框架。
安全狀態分析和 Compliance Manager 都會產生發現項目。不過,安全狀態分析會使用
securitycenter.googleapis.comAPI 產生發現項目,而 Compliance Manager 則會使用cloudsecuritycompliance.googleapis.comAPI。如果對同一項資源啟用安全狀態分析和 Compliance Manager,可能會產生重複的發現項目。如果安全狀態分析偵測工具和 Compliance Manager 雲端控制項都檢查相同的設定 (例如,兩者都檢查特定服務是否已啟用 CMEK),就會出現重複的發現項目。在調查結果資訊主頁中,重複的調查結果會顯示不同的供應商 ID。為避免取得重複的發現項目,請完成下列任一操作:如果您部署的架構包含雲端控制項,且這些控制項會對應至適用於您環境的所有安全狀態分析偵測工具,請為專案或資料夾停用安全狀態分析。
如果架構未納入必要的安全狀態分析偵測工具,請將重複的安全狀態分析偵測工具發現項目設為靜音。
如果您使用資安態勢服務部署資安態勢,啟動 Compliance Manager 時,可能會收到重複的發現項目。請考慮部署符合安全防護機制的架構,並刪除防護機制部署作業。
Compliance Manager 使用的是全域端點,而非您為 Security Command Center 啟用資料落地時指定的端點。不過,您可以指定要稽核環境的位置。詳情請參閱「使用 Compliance Manager 稽核環境」。