Descripción general del Administrador de cumplimiento

Puedes usar el Administrador de cumplimiento en Google Cloud para asegurarte de que tu infraestructura, tus cargas de trabajo y tus datos cumplan con los requisitos de seguridad y reglamentarios de tu organización.Google Cloud El Administrador de cumplimiento te permite hacer lo siguiente:

• Define e implementa una configuración segura y que cumpla con los requisitos para tu entorno deGoogle Cloud .
• (Versión preliminar) Consulta los paneles que muestran la alineación de tu entorno con los informes de evaluación de tus requisitos de cumplimiento y seguridad.
• (Versión preliminar) Audita tus entornos de nube, lo que incluye recopilar evidencia y generar informes.

El Administrador de cumplimiento usa controles definidos por software que te permiten evaluar la compatibilidad con varios programas de cumplimiento y requisitos de seguridad dentro de una organización deGoogle Cloud .

Componentes de Compliance Manager

En la siguiente tabla, se describen los componentes del Administrador de cumplimiento.

Regla	Es un elemento técnico dentro de un control de la nube que te permite cumplir con un requisito de cumplimiento, seguridad o privacidad. Las reglas pueden ser políticas de la organización, políticas de IAM, configuración de la nube y lógica de detección basada en el Common Expression Language (CEL).
Control de nube	Es un conjunto de reglas y metadatos asociados que puedes usar para definir la intención de cumplimiento o seguridad de tu organización. Compliance Manager incluye una biblioteca de controles integrados en la nube y te permite crear los tuyos. Los metadatos de un control de la nube incluyen instrucciones de corrección y la gravedad del hallazgo. Los controles de la nube tienen los siguientes modos: Detective: El Administrador de cumplimiento aplica el control de nube a los recursos definidos para fines de supervisión. Se detectan incumplimientos y se generan alertas. No se toman medidas preventivas automáticamente. Preventivo: Compliance Manager aplica el control de la nube a los recursos definidos y aplica las reglas de forma activa. Se bloquea cualquier actividad de recursos que incumpla el control de la nube y se generan alertas para las acciones bloqueadas. Algunos controles de la nube requieren que proporciones información adicional para que puedan funcionar. Por ejemplo, si deseas usar un control de Cloud que verifique si tus cargas de trabajo y recursos se ejecutan en regiones específicas, debes especificar las regiones permitidas cuando crees el control de Cloud. Auditoría: Compliance Manager usa este control de Cloud para auditar tu entorno y verificar si cumple con tus obligaciones de cumplimiento. El Administrador de cumplimiento usa este control para recopilar evidencia para las auditorías de cumplimiento y detectar cualquier brecha.
Control regulatorio	Un requisito de cumplimiento normativo o de seguridad definido por la industria La asignación de relaciones entre los controles de la nube y los controles reglamentarios define cómo uno o más controles de la nube satisfacen un requisito de control reglamentario. Ten en cuenta lo siguiente: Un solo control de la nube se puede asignar a varios controles reglamentarios. Un solo control reglamentario se puede asignar a varios controles de la nube.
Framework	Es una colección de controles de la nube y controles regulatorios que representan las prácticas recomendadas de seguridad o los estándares definidos por la industria, como FedRAMP o NIST. Un framework puede incluir una asignación entre los controles de la nube y los controles reglamentarios. El Administrador de cumplimiento incluye una biblioteca de frameworks integrados. Puedes personalizar estos marcos de trabajo o crear los tuyos propios.
Implementación del framework	Es la vinculación entre un marco de trabajo específico y una organización, una carpeta o un proyecto cuando implementas el marco de trabajo.

En el siguiente diagrama, se muestran los componentes del Administrador de cumplimiento.

Frameworks integrados

El Administrador de cumplimiento admite frameworks integrados paraGoogle Cloud. Puedes implementar estos frameworks tal como están o personalizarlos para satisfacer tus necesidades particulares.

Frameworks para Google Cloud

Los siguientes frameworks están disponibles:

• Protección de la IA
• Controles 8.0 del Center for Information Security (CIS)
• CIS Google Cloud Computing Platform 3.0
• Comparativas de CIS en Kubernetes v1.1.7
• Cloud Controls Matrix (CCM) 4
• Aspectos básicos de la seguridad y la privacidad de los datos
• Organización Internacional de Normalización (ISO) 27001, 2022
• Instituto Nacional de Normas y Tecnología (NIST) 800-53 R5
• NIST Cybersecurity Framework (CSF) 1.1
• Aspectos básicos de la seguridad

Cómo usar Compliance Manager con los servicios y las funciones de Security Command Center

Puedes habilitar otros servicios y funciones de Security Command Center y usarlos en la misma organización en la que habilites el Administrador de cumplimiento. Ten en cuenta lo siguiente:

• La mayoría de los detectores de Security Health Analytics también están disponibles como controles de la nube en el Administrador de cumplimiento. Para obtener más información, consulta Asignación de detectores de Security Health Analytics a controles de la nube.

• La mayoría de los detectores de Security Health Analytics están activados de forma predeterminada. Cuando habilitas Compliance Manager, ciertos marcos integrados se aplican automáticamente a tu organización deGoogle Cloud . Puedes implementar frameworks adicionales con más controles de nube según sea necesario.

• Puedes inhabilitar los detectores de Security Health Analytics. Para inhabilitar un control de Cloud, debes quitarlo de los marcos personalizados que lo incluyen o anular la asignación del marco integrado implementado.

• Tanto Security Health Analytics como Compliance Manager generan resultados. Sin embargo, Security Health Analytics usa la API de securitycenter.googleapis.com para generar resultados, y el Administrador de cumplimiento usa la API de cloudsecuritycompliance.googleapis.com. Si habilitas Security Health Analytics y Compliance Manager en el mismo recurso, es posible que se generen resultados duplicados. Los resultados duplicados se producen cuando un detector de Security Health Analytics y un control de nube de Compliance Manager verifican la misma configuración (por ejemplo, ambos verifican si la CMEK está habilitada para un servicio en particular). En el panel de hallazgos, los hallazgos duplicados se muestran con diferentes IDs de proveedor. Para evitar hallazgos duplicados, completa una de las siguientes acciones:

  • Si los marcos de trabajo que implementaste incluyen controles de nube que se asignan a todos los detectores de Security Health Analytics que se aplican a tu entorno, inhabilita Security Health Analytics para el proyecto o la carpeta.

  • Si los frameworks no incluyen los detectores de Security Health Analytics requeridos, inhabilita los resultados duplicados de los detectores de Security Health Analytics.

• Si implementaste una postura de seguridad con el servicio de postura de seguridad, es posible que recibas resultados duplicados cuando habilites Compliance Manager. Considera implementar un framework que coincida con tu postura de seguridad y borra la implementación de la postura.

• Compliance Manager usa el extremo global, no el extremo que podrías especificar cuando habilitas la residencia de datos para Security Command Center. Sin embargo, puedes especificar la ubicación en la que deseas auditar tu entorno. Para obtener más información, consulta Audita tu entorno con Compliance Manager (versión preliminar).

¿Qué sigue?

• Habilita Compliance Manager.