Présentation du Gestionnaire de conformité

Vous pouvez utiliser le Gestionnaire de conformité dans Google Cloud pour vous assurer que votre infrastructure, vos charges de travail et vos donnéesGoogle Cloud répondent aux exigences de sécurité et réglementaires de votre organisation. Le Gestionnaire de conformité vous permet d'effectuer les opérations suivantes :

• Définissez et déployez une configuration conforme et sécurisée pour votre environnementGoogle Cloud .
• (Aperçu) Affichez des tableaux de bord qui montrent l'alignement de votre environnement avec vos exigences de conformité et de sécurité.
• (Aperçu) Auditez vos environnements cloud, y compris en collectant des preuves et en générant des rapports.

Le Gestionnaire de conformité utilise des contrôles définis par logiciel qui vous permettent d'évaluer la compatibilité avec plusieurs programmes de conformité et exigences de sécurité au sein d'une organisationGoogle Cloud .

Composants de Compliance Manager

Le tableau suivant décrit les composants du Gestionnaire de conformité.

Règle	Élément technique d'un contrôle cloud qui vous permet de répondre à une exigence de conformité, de sécurité ou de confidentialité. Les règles peuvent être des règles d'administration, des règles IAM, des paramètres cloud et une logique de détection basée sur le Common Expression Language (CEL).
Contrôle cloud	Ensemble de règles et de métadonnées associées que vous pouvez utiliser pour définir l'intention de sécurité ou de conformité de votre organisation. Le Gestionnaire de conformité inclut une bibliothèque de contrôles cloud intégrés et vous permet de créer les vôtres. Les métadonnées d'un contrôle cloud incluent des instructions de correction et le niveau de gravité des résultats. Les commandes cloud ont les modes suivants : Détective : Compliance Manager applique le contrôle cloud aux ressources définies à des fins de surveillance. Toute infraction est détectée et des alertes sont générées. Aucune action préventive n'est effectuée automatiquement. Préventif : Compliance Manager applique le contrôle cloud aux ressources définies et applique activement les règles. Toute activité de ressource qui enfreint le contrôle cloud est bloquée, et des alertes sont générées pour les actions bloquées. Certains contrôles cloud nécessitent que vous fournissiez des informations supplémentaires pour fonctionner. Par exemple, si vous souhaitez utiliser un contrôle cloud qui vérifie si vos charges de travail et vos ressources s'exécutent dans des régions spécifiques, vous devez spécifier les régions autorisées lorsque vous créez le contrôle cloud. Audit : Compliance Manager utilise ce contrôle cloud pour auditer votre environnement afin de vérifier qu'il est conforme à vos obligations de conformité. Le Gestionnaire de conformité utilise ce contrôle pour collecter des preuves pour les audits de conformité et identifier les éventuelles lacunes.
Contrôles réglementaires	Exigence de conformité réglementaire ou de sécurité définie par le secteur. Le mappage des relations entre les contrôles cloud et les contrôles réglementaires définit la manière dont un ou plusieurs contrôles cloud répondent à une exigence de contrôle réglementaire. Réfléchissez aux éléments suivants : Un seul contrôle cloud peut être mappé à plusieurs contrôles réglementaires. Un seul contrôle réglementaire peut être mappé à plusieurs contrôles cloud.
Framework	Il s'agit d'un ensemble de contrôles cloud et réglementaires qui représentent les bonnes pratiques de sécurité ou les normes définies par le secteur, telles que FedRAMP ou NIST. Un framework peut inclure un mappage entre les contrôles cloud et les contrôles réglementaires. Compliance Manager inclut une bibliothèque de frameworks intégrés. Vous pouvez personnaliser ces frameworks ou créer les vôtres.
Déploiement du framework	Liaison entre un framework spécifique et une organisation, un dossier ou un projet lorsque vous déployez le framework.

Le schéma suivant montre les composants du Gestionnaire de conformité.

Frameworks intégrés

Le Gestionnaire de conformité est compatible avec les frameworks intégrés pourGoogle Cloud. Vous pouvez déployer ces frameworks tels quels ou les personnaliser pour répondre à vos besoins spécifiques.

Frameworks pour Google Cloud

Les frameworks suivants sont disponibles :

• Protection de l'IA
• CIS Controls 8.0 (Center for Information Security)
• CIS Google Cloud Computing Platform 3.0
• Benchmark CIS de Kubernetes v1.1.7
• Cloud Controls Matrix (CCM) 4
• Principes de base de la sécurité et de la confidentialité des données
• Organisation internationale de normalisation (ISO) 27001, 2022
• NIST (National Institute of Standards and Technology) 800-53 R5
• NIST Cybersecurity Framework (CSF) 1.1
• Principes de base de la sécurité

Utiliser Compliance Manager avec les services et fonctionnalités Security Command Center

Vous pouvez activer d'autres services et fonctionnalités Security Command Center, et les utiliser dans la même organisation que celle dans laquelle vous activez le Gestionnaire de conformité. Réfléchissez aux éléments suivants :

• La plupart des détecteurs Security Health Analytics sont également disponibles en tant que contrôles cloud dans Compliance Manager. Pour en savoir plus, consultez Mappage des détecteurs Security Health Analytics aux contrôles cloud.

• La plupart des détecteurs Security Health Analytics sont activés par défaut. Lorsque vous activez le Gestionnaire de conformité, certains frameworks intégrés sont automatiquement appliqués à votre organisationGoogle Cloud . Vous pouvez déployer des frameworks supplémentaires avec davantage de contrôles cloud, si nécessaire.

• Vous pouvez désactiver les détecteurs Security Health Analytics. Pour désactiver un contrôle cloud, vous devez supprimer le contrôle cloud des frameworks personnalisés qui l'incluent ou dissocier le framework intégré déployé.

• Security Health Analytics et le Gestionnaire de conformité génèrent tous deux des résultats. Toutefois, Security Health Analytics utilise l'API securitycenter.googleapis.com pour générer des résultats, et Compliance Manager utilise l'API cloudsecuritycompliance.googleapis.com. Si vous activez Security Health Analytics et Compliance Manager sur la même ressource, vous risquez de générer des résultats en double. Des résultats en double se produisent lorsqu'un détecteur Security Health Analytics et une vérification du contrôle cloud Compliance Manager vérifient la même configuration (par exemple, les deux vérifient si CMEK est activé pour un service particulier). Dans le tableau de bord des résultats, les résultats en double s'affichent avec des ID de fournisseur différents. Pour éviter les résultats en double, effectuez l'une des opérations suivantes :

  • Si les frameworks que vous avez déployés incluent des contrôles cloud qui correspondent à tous les détecteurs Security Health Analytics applicables à votre environnement, désactivez Security Health Analytics pour le projet ou le dossier.

  • Si les frameworks n'incluent pas les détecteurs Security Health Analytics requis, désactivez les résultats en double des détecteurs Security Health Analytics.

• Si vous avez déployé une posture de sécurité à l'aide du service de posture de sécurité, vous pouvez recevoir des résultats en double lorsque vous activez Compliance Manager. Envisagez de déployer un framework qui correspond à votre stratégie de sécurité et de supprimer le déploiement de la stratégie.

• Le Gestionnaire de conformité utilise le point de terminaison mondial, et non celui que vous pouvez spécifier lorsque vous activez la résidence des données pour Security Command Center. Toutefois, vous pouvez spécifier l'emplacement dans lequel vous souhaitez auditer votre environnement. Pour en savoir plus, consultez Auditer votre environnement avec Compliance Manager (aperçu).

Étapes suivantes

• Activez le gestionnaire de conformité.