Présentation de Compliance Manager

Vous pouvez utiliser Compliance Manager dans Google Cloud pour vous assurer que votre infrastructure, vos charges de travail et vos donnéesGoogle Cloud répondent aux exigences de sécurité et réglementaires de votre organisation. Compliance Manager vous permet d'effectuer les opérations suivantes :

• Définir et déployer une configuration conforme et sécurisée pour votre environnementGoogle Cloud
• Afficher des tableaux de bord qui démontrent l'alignement de votre environnement avec vos exigences de conformité et de sécurité
• Auditer vos environnements cloud, y compris en collectant des preuves et en générant des rapports

Compliance Manager utilise des contrôles définis par logiciel qui vous permettent d'évaluer l'alignement vis-à-vis de plusieurs programmes de conformité et exigences de sécurité au sein d'une organisationGoogle Cloud .

Composants de Compliance Manager

Le tableau suivant décrit les composants de Compliance Manager.

Règle	Élément technique d'un contrôle cloud qui vous permet de répondre à une exigence de conformité, de sécurité ou de confidentialité. Les règles peuvent être définies sous la forme de règles d'administration, de stratégies IAM, de paramètres cloud ou d'une logique de détection basée sur des expressions CEL (Common Expression Language).
Contrôle cloud	Ensemble de règles et de métadonnées associées que vous pouvez utiliser pour définir l'objectif de sécurité ou de conformité de votre organisation. Compliance Manager offre une bibliothèque de contrôles cloud intégrés et vous permet de créer vos propres contrôles. Les métadonnées d'un contrôle cloud incluent des instructions de correction et le niveau de gravité des résultats. Les contrôles cloud offrent les modes suivants : Mode détective : Compliance Manager applique le contrôle cloud aux ressources définies à des fins de surveillance. Tous les cas de non-respect des règles sont détectés et des alertes sont générées. Aucune action préventive n'est opérée automatiquement. Mode préventif : Compliance Manager applique le contrôle cloud aux ressources définies et force l'application des règles. Toute activité liée aux ressources qui ne respecte pas le contrôle cloud est bloquée. Des alertes sont générées pour les actions bloquées. Certains contrôles cloud nécessitent que vous fournissiez des informations supplémentaires pour fonctionner. Par exemple, si vous souhaitez utiliser un contrôle cloud qui vérifie si vos charges de travail et vos ressources s'exécutent dans des régions spécifiques, vous devez préciser les régions autorisées lorsque vous créez le contrôle cloud. Mode d'audit : Compliance Manager utilise ce contrôle cloud pour auditer votre environnement afin de vérifier qu'il respecte vos obligations de conformité. Compliance Manager utilise ce contrôle pour collecter des preuves pour les audits de conformité et identifier les éventuelles lacunes.
Contrôle réglementaire	Exigence de conformité réglementaire ou de sécurité définie par le secteur. Le mappage des relations entre les contrôles cloud et les contrôles réglementaires définit la façon dont un ou plusieurs contrôles cloud peuvent répondre à une exigence de contrôle réglementaire. Tenez compte des points suivants : Un seul contrôle cloud peut être mappé à plusieurs contrôles réglementaires. Un seul contrôle réglementaire peut être mappé à plusieurs contrôles cloud.
Framework	Ensemble de contrôles cloud et réglementaires qui représentent les bonnes pratiques de sécurité ou les normes définies par le secteur, par exemple FedRAMP ou NIST. Un framework peut inclure un mappage entre des contrôles cloud et des contrôles réglementaires. Compliance Manager offre une bibliothèque de frameworks intégrés. Vous pouvez personnaliser ces frameworks ou créer les vôtres.
Déploiement de framework	Liaison s'établissant entre un framework particulier et une organisation, un dossier ou un projet lorsque vous déployez le framework.

Le schéma suivant présente les composants de Compliance Manager.

Frameworks intégrés

Compliance Manager est compatible avec les frameworks intégrés pourGoogle Cloud. Vous pouvez déployer ces frameworks en l'état, ou les personnaliser pour gérer vos besoins spécifiques.

Frameworks pour Google Cloud

Les frameworks suivants sont disponibles :

• Protection de l'IA
• CIS (Center for Information Security) Controls 8.0
• CIS Google Cloud Computing Platform 3.0
• Benchmark CIS de Kubernetes v1.1.7
• Cloud Controls Matrix (CCM) 4
• Principes essentiels de sécurité et de confidentialité des données
• Norme ISO (Organisation internationale de normalisation) 27001, 2022
• NIST (National Institute of Standards and Technology) 800-53 R5
• Cybersecurity Framework (CSF) du NIST 1.1
• Principes essentiels de sécurité

Utiliser Compliance Manager avec les services et fonctionnalités Security Command Center

Vous pouvez activer d'autres services et fonctionnalités Security Command Center, et les utiliser dans l'organisation où vous activez Compliance Manager. Tenez compte des points suivants :

• La plupart des détecteurs Security Health Analytics sont également disponibles en tant que contrôles cloud dans Compliance Manager. Pour en savoir plus, consultez Mappage des détecteurs Security Health Analytics aux contrôles cloud.

• La plupart des détecteurs Security Health Analytics sont activés par défaut. Lorsque vous activez Compliance Manager, certains frameworks intégrés sont automatiquement appliqués à votre organisationGoogle Cloud . Si nécessaire, vous pouvez déployer des frameworks supplémentaires avec davantage de contrôles cloud.

• Vous pouvez désactiver les détecteurs Security Health Analytics. Pour désactiver un contrôle cloud, vous devez retirer le contrôle cloud des frameworks personnalisés qui l'incluent ou dissocier le framework intégré déployé.

• Security Health Analytics et Compliance Manager génèrent tous deux des résultats. Toutefois, Security Health Analytics utilise l'API securitycenter.googleapis.com pour générer des résultats, tandis que Compliance Manager utilise l'API cloudsecuritycompliance.googleapis.com. Si vous activez Security Health Analytics et Compliance Manager sur la même ressource, vous risquez de générer des résultats en double. Des résultats en double sont générés lorsqu'un détecteur Security Health Analytics et un contrôle cloud Compliance Manager vérifient la même configuration (par exemple, les deux vérifient si CMEK est activé pour un service particulier). Dans le tableau de bord des résultats, les résultats en double s'affichent avec des ID de fournisseur différents. Pour éviter les résultats en double, effectuez l'une des opérations suivantes :

  • Si les frameworks que vous avez déployés incluent des contrôles cloud qui correspondent à tous les détecteurs Security Health Analytics applicables à votre environnement, désactivez Security Health Analytics pour le projet ou le dossier concerné.

  • Si les frameworks n'incluent pas les détecteurs Security Health Analytics requis, ignorez les résultats en double des détecteurs Security Health Analytics.

• Si vous avez déployé une stratégie de sécurité à l'aide du service "security posture", vous pouvez recevoir des résultats en double lorsque vous activez Compliance Manager. Envisagez de déployer un framework qui correspond à votre stratégie de sécurité et supprimez le déploiement de la stratégie.

• Compliance Manager utilise le point de terminaison global, et non celui que vous pouvez spécifier lorsque vous activez la résidence des données pour Security Command Center. Toutefois, vous pouvez spécifier l'emplacement dans lequel vous souhaitez auditer votre environnement. Pour en savoir plus, consultez Auditer votre environnement avec Compliance Manager.

Étape suivante

• Activez Compliance Manager.