סקירה כללית של Compliance Manager

אתם יכולים להשתמש ב-Compliance Manager ב- Google Cloud כדי לוודא שהתשתית, עומסי העבודה והנתונים שלכם עומדים בדרישות האבטחה והרגולציה של הארגון או הפרויקט.Google Cloud התכונה Compliance Manager מאפשרת לכם:

  • הגדרה ופריסה של תצורה תואמת ומאובטחת עבור סביבתGoogle Cloud .
  • צפייה במרכזי בקרה שמציגים את ההתאמה של הסביבה שלכם לדרישות התאימות והאבטחה שלכם. דוחות הערכה.
  • (רק ברמות Premium ו-Enterprise) ביצוע ביקורת בסביבות הענן, כולל איסוף ראיות ויצירת דוחות.

ב-Compliance Manager נעשה שימוש באמצעי בקרה מוגדרים בתוכנה שמאפשרים להעריך את התמיכה במספר תוכניות תאימות ודרישות אבטחה בGoogle Cloud ארגון או בפרויקט.

רכיבים של Compliance Manager

בטבלה הבאה מתוארים הרכיבים של Compliance Manager.

כלל פריט טכני בתוך אמצעי בקרה בענן שמאפשר לעמוד בדרישות של תאימות, אבטחה או פרטיות. הכללים יכולים להיות מדיניות הארגון, כללי מדיניות של IAM, הגדרות בענן ולוגיקה של זיהוי שמבוססת על Common Expression Language (CEL).
שליטה בענן

קבוצה של כללים ומטא-נתונים משויכים שאפשר להשתמש בהם כדי להגדיר את כוונת האבטחה או התאימות לארגון או לפרויקט. ‫Compliance Manager כולל ספרייה של אמצעי בקרה מובנים בענן, ומאפשר לכם ליצור אמצעי בקרה משלכם.

המטא-נתונים באמצעי בקרה בענן כוללים הוראות לתיקון וחומרת הממצא.

אמצעי הבקרה בענן פועלים במצבים הבאים:

  • גילוי: כלי Compliance Manager מחיל את אמצעי הבקרה בענן על המשאבים שהוגדרו למטרות מעקב. מערכת מזהה הפרות ושולחת התראות. לא מתבצעות פעולות מניעה באופן אוטומטי.
  • (רלוונטי רק לרמות Premium ו-Enterprise) מניעתי: כלי Compliance Manager מחיל את אמצעי הבקרה בענן על המשאבים המוגדרים ומאכף באופן פעיל את הכללים. כל פעילות של משאב שמפרה את אמצעי הבקרה בענן נחסמת, ונוצרים התראות לגבי פעולות חסומות.

    חלק מהאמצעים לבקרה על הענן דורשים לספק מידע נוסף כדי שהם יוכלו לפעול. לדוגמה, אם רוצים להשתמש באמצעי בקרה בענן שבודק אם עומסי העבודה והמשאבים פועלים באזורים מסוימים, צריך לציין את האזורים המותרים כשיוצרים את אמצעי הבקרה בענן.

  • (רק ברמות Premium ו-Enterprise) ביקורת: כלי Compliance Manager משתמש באמצעי הבקרה הזה בענן כדי לבצע ביקורת בסביבה שלכם ולבדוק אם היא עומדת בהתחייבויות שלכם בנושא תאימות. Compliance Manager משתמש באמצעי הבקרה הזה כדי לאסוף הוכחות לביקורות תאימות ולזהות פערים.
בקרה רגולטורית

דרישה לאבטחה או לעמידה בדרישות התקנה שמוגדרת בתעשייה. מיפוי הקשרים בין אמצעי הבקרה בענן לבין אמצעי הבקרה הרגולטוריים מגדיר איך אמצעי בקרה אחד או יותר בענן עומדים בדרישה של אמצעי בקרה רגולטורי. כמה נקודות שכדאי לחשוב עליהן:

  • אמצעי בקרה אחד בענן יכול להיות ממופה לכמה אמצעי בקרה רגולטוריים.
  • אמצעי בקרה רגולטורי אחד יכול להיות ממופה לכמה אמצעי בקרה בענן.
Framework

אוסף של אמצעי בקרה בענן ואמצעי בקרה רגולטוריים שמייצגים שיטות מומלצות לאבטחה או תקנים שמוגדרים בתעשייה, כמו FedRAMP או NIST. מסגרת יכולה לכלול מיפוי בין אמצעי בקרה בענן לבין אמצעי בקרה רגולטוריים.

‫Compliance Manager כולל ספרייה של מסגרות מובנות. אתם יכולים להתאים אישית את המסגרות האלה או ליצור מסגרות משלכם.

פריסת Framework הקישור בין מסגרת מסוימת לבין ארגון, תיקייה או פרויקט כשפורסים את המסגרת.

הדיאגרמה הבאה מציגה את הרכיבים של Compliance Manager.

רכיבים של Compliance Manager.

מסגרות מובנות

ב-Compliance Manager יש תמיכה במסגרות מובנות לGoogle Cloud. אפשר להטמיע את המסגרות האלה כמו שהן, או להתאים אותן אישית לצרכים הספציפיים שלכם.

מסגרת Security Essentials זמינה בכל הרמות של Security Command Center.

המסגרות הבאות זמינות רק ברמות Premium ו-Enterprise:

סוגי סריקות ב-Compliance Manager לבקרה על זיהוי

סריקות של Compliance Manager פועלות בשני מצבים:

  • סריקה באצווה: כל אמצעי הבקרה הגילויים ב-Cloud מתוזמנים להפעלה מעת לעת עבור כל הארגונים או הפרויקטים הרשומים.

    מידע על תדירות הסריקות זמין במאמר זמן האחזור של סריקות ב-Compliance Manager.

  • סריקה כמעט בזמן אמת: רק ברמת Premium, אמצעי בקרה נתמכים בענן לזיהוי בעיות מתחילים סריקות בכל פעם שמזוהה שינוי בהגדרות של משאב.

לרשימת אמצעי הבקרה בענן שלא תומכים בסריקות כמעט בזמן אמת, אפשר לעיין במאמר אמצעי בקרה בענן שתומכים רק בסריקות באצווה.

זמן האחזור של סריקת Compliance Manager לבקרות גילוי

בקטעים הבאים מתואר פרק הזמן שחולף עד שהממצאים נוצרים על ידי הסריקה הראשונית, ותדירות הסריקות הבאות של אמצעי בקרה בענן לזיהוי איומים שנפרסים בסביבה שלכם.

סריקה ראשונית

במהדורות Premium ו-Enterprise, הסריקה הראשונית של קבוצת הקבצים מתחילה כשעה אחרי ההפעלה. הסריקות הראשונות של Compliance Manager עשויות להימשך עד 48 שעות.

במהדורת Standard של Security Command Center, סריקות אצווה מופעלות כל 96 שעות, ולכן יכול להיות שיהיה עיכוב של 96 שעות עד לממצא הראשוני.

אחרי שמפעילים מסגרת, יכולות לחלוף עד 6 שעות לפני שיופיעו ממצאים שקשורים לאמצעי בקרה בענן לזיהוי בעיות.

יכול להיות שתראו ממצאים מסוימים במסוף Google Cloud במהלך הסריקות הראשוניות, אבל לפני השלמת תהליך ההצטרפות. הממצאים הראשוניים מדויקים וניתן לפעול לפיהם, אבל הם לא מקיפים. לא מומלץ להתחיל ביקורת ברמה Premium או Enterprise תוך 48 שעות.

סריקות נוספות

אחרי הסריקה הראשונית, סריקות אצווה עוקבות מופעלות מעת לעת, באופן הבא:

  • במהדורות Premium ו-Enterprise, סריקות אצווה מופעלות כל 16 שעות.
  • במהדורת Standard, סריקות אצווה מופעלות כל 38 שעות.

בסריקה כמעט בזמן אמת, שינויים רלוונטיים בהגדרות של משאבים עשויים להוביל לעדכון הממצאים. Google Cloud העדכון עשוי להימשך כמה דקות, בהתאם לסוג הנכס ולשינוי.

זמן האחזור בלוחות הבקרה של המעקב

‫Compliance Manager כולל לוחות בקרה של מעקב שמרכזים נתונים על רמות התאימות. אחרי שממצא מופיע בלוח הבקרה Findings, יכול להיות שיעברו עד 24 שעות עד שהממצא ישפיע על ספירת התאימות בלוחות הבקרה של המעקב. בנוסף, יכול להיות שיחלפו עד 48 שעות עד ששינויים בנכסים (כמו יצירה או עדכונים) יופיעו בלוחות הבקרה של המעקב.

שימוש ב-Compliance Manager עם שירותים ותכונות של Security Command Center

אתם יכולים להפעיל שירותים ותכונות אחרים של Security Command Center ולהשתמש בהם באותו ארגון או פרויקט שבהם הפעלתם את Compliance Manager. כמה נקודות שכדאי לחשוב עליהן:

המאמרים הבאים