Descripción general de Compliance Manager

Puedes usar Gestor de Cumplimiento en Google Cloud para asegurarte de que tu infraestructura, tus cargas de trabajo y tus datos cumplan los requisitos de seguridad y normativos de tu organización.Google Cloud Gestor de Cumplimiento le permite hacer lo siguiente:

• Define e implementa una configuración segura y conforme para tu entorno deGoogle Cloud .
• Consulta los paneles de control que muestran el grado de cumplimiento de tu entorno con los requisitos de cumplimiento y seguridad, así como los informes de evaluación.
• Audita tus entornos de nube, lo que incluye recoger pruebas y generar informes.

Gestor de Cumplimiento usa controles definidos por software que te permiten evaluar la compatibilidad con varios programas de cumplimiento y requisitos de seguridad en unaGoogle Cloud organización.

Componentes de Compliance Manager

En la siguiente tabla se describen los componentes de Gestor de Cumplimiento.

Regla	Elemento técnico de un control de la nube que te permite cumplir un requisito de cumplimiento, seguridad o privacidad. Las reglas pueden ser políticas de la organización, políticas de gestión de identidades y accesos, ajustes de la nube y lógica de detección basada en el lenguaje de expresión común (CEL).
Control de la nube	Conjunto de reglas y metadatos asociados que puedes usar para definir la intención de seguridad o cumplimiento de tu organización. Gestor de Cumplimiento incluye una biblioteca de controles de nube integrados y te permite crear los tuyos propios. Los metadatos de un control de nube incluyen instrucciones de corrección y la gravedad de la detección. Los controles de Cloud tienen los siguientes modos: Detective: Compliance Manager aplica el control en la nube a los recursos definidos con fines de monitorización. Se detectan las infracciones y se generan alertas. No se toman medidas preventivas automáticamente. Preventivo: Gestor de Cumplimiento aplica el control de la nube a los recursos definidos y aplica las reglas de forma activa. Se bloquea cualquier actividad de recursos que infrinja el control en la nube y se generan alertas para las acciones bloqueadas. Algunos controles en la nube requieren que proporciones información adicional para que puedan funcionar. Por ejemplo, si quieres usar un control de nube que compruebe si tus cargas de trabajo y recursos se ejecutan en regiones concretas, debes especificar las regiones permitidas al crear el control de nube. Auditoría: Compliance Manager usa este control de la nube para auditar tu entorno y comprobar si se ajusta a tus obligaciones de cumplimiento. Gestor de Cumplimiento usa este control para recoger pruebas de las auditorías de cumplimiento e identificar las posibles carencias.
Control normativo	Un requisito de cumplimiento de normativas o de seguridad definido por el sector. La asignación de relaciones entre los controles de la nube y los controles normativos define cómo cumplen uno o varios controles de la nube un requisito de control normativo. Ten en cuenta lo siguiente: Un solo control de nube puede asignarse a varios controles normativos. Un solo control normativo puede asignarse a varios controles de la nube.
Framework	Conjunto de controles en la nube y controles normativos que representan las prácticas recomendadas de seguridad o los estándares definidos por el sector, como FedRAMP o NIST. Un marco puede incluir una asignación entre los controles de la nube y los controles normativos. Gestor de cumplimiento incluye una biblioteca de frameworks integrados. Puedes personalizar estos frameworks o crear los tuyos propios.
Implementación de frameworks	La vinculación entre un marco concreto y una organización, una carpeta o un proyecto al implementar el marco.

En el siguiente diagrama se muestran los componentes de Gestor de Cumplimiento.

Frameworks integrados

Compliance Manager admite frameworks integrados paraGoogle Cloud. Puedes implementar estos frameworks tal cual o personalizarlos para que se adapten a tus necesidades concretas.

Frameworks para Google Cloud

Están disponibles los siguientes frameworks:

• Protección de la IA
• Controles 8.0 del Centro de Seguridad de la Información (CIS)
• CIS Google Cloud Computing Platform 3.0
• CIS Kubernetes Benchmark v1.1.7
• Cloud Controls Matrix (CCM) 4
• Aspectos básicos de la seguridad y la privacidad de los datos
• Organización Internacional de Normalización (ISO) 27001:2022
• NIST 800-53 R5
• Marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST CSF) 1.1
• Security Essentials

Usar Gestor de Cumplimiento con los servicios y las funciones de Security Command Center

Puedes habilitar otros servicios y funciones de Security Command Center y usarlos en la misma organización en la que habilites Gestor de Cumplimiento. Ten en cuenta lo siguiente:

• La mayoría de los detectores de Security Health Analytics también están disponibles como controles en la nube en Compliance Manager. Para obtener más información, consulta la asignación de detectores de Security Health Analytics a controles en la nube.

• La mayoría de los detectores de Security Health Analytics están activados de forma predeterminada. Cuando habilita Compliance Manager, determinados marcos de trabajo integrados se aplican automáticamente a suGoogle Cloud organización. Puedes desplegar marcos adicionales con más controles en la nube según sea necesario.

• Puedes inhabilitar los detectores de Security Health Analytics. Para inhabilitar un control en la nube, debes quitarlo de los frameworks personalizados que lo incluyan o desasignar el framework integrado desplegado.

• Tanto Security Health Analytics como Gestor de Cumplimiento generan resultados. Sin embargo, Security Health Analytics usa la API securitycenter.googleapis.com para generar resultados, y Gestor de Cumplimiento usa la API cloudsecuritycompliance.googleapis.com. Si habilitas Security Health Analytics y Gestor de Cumplimiento en el mismo recurso, es posible que se generen resultados duplicados. Los resultados duplicados se producen cuando tanto un detector de Security Health Analytics como un control en la nube de Gestor de Cumplimiento comprueban la misma configuración (por ejemplo, ambos comprueban si CMEK está habilitado en un servicio concreto). En el panel de control de resultados, los resultados duplicados se muestran con IDs de proveedor diferentes. Para evitar que se dupliquen los resultados, haz una de las siguientes acciones:

  • Si los frameworks que has implementado incluyen controles en la nube que se asignan a todos los detectores de Security Health Analytics que se aplican a tu entorno, inhabilita Security Health Analytics en el proyecto o la carpeta.

  • Si los frameworks no incluyen los detectores de Security Health Analytics necesarios, silencia los resultados de los detectores de Security Health Analytics duplicados.

• Si has implementado una postura de seguridad mediante el servicio de postura de seguridad, es posible que recibas resultados duplicados al habilitar Gestor de cumplimiento. Considera la posibilidad de implementar un framework que se ajuste a tu estrategia de seguridad y elimina la implementación de la estrategia.

• Compliance Manager usa el endpoint global, no el endpoint que puedes especificar al habilitar la residencia de datos en Security Command Center. Sin embargo, puedes especificar la ubicación en la que quieres auditar tu entorno. Para obtener más información, consulta Auditar tu entorno con Gestor de Cumplimiento.

Siguientes pasos

• Habilita Compliance Manager.