סקירה כללית של Compliance Manager

אתם יכולים להשתמש ב-Compliance Manager ב- Google Cloud כדי לוודא שהתשתית, עומסי העבודה והנתונים שלכם עומדים בדרישות האבטחה והרגולציה של הארגון.Google Cloud הכלי Compliance Manager מאפשר לכם:

הגדרה ופריסה של תצורה תואמת ומאובטחת עבור סביבתGoogle Cloud .
צפייה במרכזי בקרה שמציגים את ההתאמה של הסביבה שלכם לדרישות התאימות והאבטחה שלכם. דוחות הערכה.
(רק בתוכניות Premium ו-Enterprise) ביצוע ביקורת בסביבות הענן, כולל איסוף ראיות ויצירת דוחות.

ב-Compliance Manager נעשה שימוש באמצעי בקרה מוגדרים בתוכנה שמאפשרים להעריך את התמיכה במספר תוכניות תאימות ודרישות אבטחה בתוךGoogle Cloud הארגון.

רכיבים של Compliance Manager

בטבלה הבאה מתוארים הרכיבים של Compliance Manager.

כלל	פריט טכני בתוך אמצעי בקרה בענן שמאפשר לעמוד בדרישות של תאימות, אבטחה או פרטיות. הכללים יכולים להיות כללי מדיניות ארגונית, מדיניות IAM, הגדרות ענן ולוגיקת זיהוי שמבוססת על Common Expression Language ‏ (CEL).
שליטה בענן	קבוצה של כללים ומטא-נתונים משויכים שאפשר להשתמש בהם כדי להגדיר את כוונת הארגון בנוגע לאבטחה או לתאימות. ‫Compliance Manager כולל ספרייה של אמצעי בקרה מובנים בענן, ומאפשר לכם ליצור אמצעי בקרה משלכם. המטא-נתונים באמצעי בקרה בענן כוללים הוראות לתיקון וחומרת הממצא. אמצעי הבקרה בענן פועלים במצבים הבאים: גילוי: Compliance Manager מחיל את אמצעי הבקרה בענן על המשאבים המוגדרים למטרות מעקב. מערכת מזהה הפרות ויוצרת התראות. לא מתבצעות פעולות מניעה באופן אוטומטי. (רלוונטי רק לרמות Premium ו-Enterprise) מניעתי: הכלי Compliance Manager מחיל את אמצעי הבקרה בענן על המשאבים המוגדרים ומאכף את הכללים באופן פעיל. כל פעילות של משאב שמפרה את אמצעי הבקרה בענן נחסמת, ונוצרים התראות לגבי פעולות חסומות. חלק מהאמצעים לבקרה על הענן דורשים לספק מידע נוסף כדי שהם יוכלו לפעול. לדוגמה, אם רוצים להשתמש באמצעי בקרה בענן שבודק אם עומסי העבודה והמשאבים פועלים באזורים מסוימים, צריך לציין את האזורים המותרים כשיוצרים את אמצעי הבקרה בענן. (רק ברמות Premium ו-Enterprise) ביקורת: כלי Compliance Manager משתמש באמצעי הבקרה הזה בענן כדי לבצע ביקורת בסביבה שלכם ולבדוק אם היא עומדת בהתחייבויות שלכם בנושא תאימות. הכלי Compliance Manager משתמש באמצעי הבקרה הזה כדי לאסוף הוכחות לביקורות תאימות ולזהות פערים.
בקרה רגולטורית	דרישה לאבטחה או לעמידה בדרישות התקנה שמוגדרת בתעשייה. מיפוי הקשרים בין אמצעי בקרה בענן לבין אמצעי בקרה רגולטוריים מגדיר איך אמצעי בקרה בענן אחד או יותר עומדים בדרישה של אמצעי בקרה רגולטורי. כמה נקודות שכדאי לחשוב עליהן: אמצעי בקרה אחד בענן יכול להיות ממופה לכמה אמצעי בקרה רגולטוריים. אמצעי בקרה רגולטורי אחד יכול להיות ממופה לכמה אמצעי בקרה בענן.
Framework	אוסף של אמצעי בקרה בענן ואמצעי בקרה רגולטוריים שמייצגים שיטות מומלצות לאבטחה או תקנים שמוגדרים בתעשייה, כמו FedRAMP או NIST. מסגרת יכולה לכלול מיפוי בין אמצעי בקרה בענן לבין אמצעי בקרה רגולטוריים. ‫Compliance Manager כולל ספרייה של מסגרות מובנות. אתם יכולים להתאים אישית את המסגרות האלה או ליצור מסגרות משלכם. הערה: מהדורת Standard תומכת רק במסגרת Security Essentials. כדי להשתמש במסגרות מובנות אחרות, צריך מינוי לרמות Premium או Enterprise. מידע נוסף זמין במאמר בנושא מסגרות ל- Google Cloud.
פריסת Framework	הקישור בין מסגרת מסוימת לבין ארגון, תיקייה או פרויקט כשפורסים את המסגרת.

בתרשים הבא מוצגים הרכיבים של Compliance Manager.

רכיבים של Compliance Manager.

מסגרות מובנות

ב-Compliance Manager יש תמיכה במסגרות מובנות לGoogle Cloud. אפשר להטמיע את המסגרות האלה כמו שהן, או להתאים אותן אישית לצרכים הספציפיים שלכם.

מסגרות עבודה ל Google Cloud

אלה המסגרות שזמינות:

Framework	רמת שירות
Framework	רגילה	פרימיום	Enterprise
Security Essentials
ניהול סיכונים במערכות AI
Center for Information Security (CIS) Controls 8.0
CIS Google Cloud Computing Platform 3.0
CIS Kubernetes Benchmark v1.1.7
Cloud Controls Matrix (CCM) 4
היסודות של אבטחת מידע ופרטיות
‫International Organization for Standardization (ISO) 27001, 2022
‫National Institute of Standards and Technology (NIST) 800-53 R5
NIST Cybersecurity Framework (CSF) 1.1

שימוש ב-Compliance Manager עם שירותים ותכונות של Security Command Center

אתם יכולים להפעיל שירותים ותכונות אחרים של Security Command Center ולהשתמש בהם באותו ארגון שבו הפעלתם את Compliance Manager. כמה נקודות שכדאי לחשוב עליהן:

רוב הגלאים של Security Health Analytics זמינים גם כאמצעי בקרה בענן ב-Compliance Manager. מידע נוסף זמין במאמר בנושא מיפוי של גלאים ב-Security Health Analytics לאמצעי בקרה ב-Cloud.
רוב הגלאים של Security Health Analytics מופעלים כברירת מחדל. כשמפעילים את Compliance Manager, מסגרות מסוימות שמוגדרות כברירת מחדל מוחלות באופן אוטומטי עלGoogle Cloud הארגון. אפשר לפרוס מסגרות נוספות עם אמצעי בקרה נוספים בענן לפי הצורך.
אפשר להשבית את אמצעי הזיהוי של Security Health Analytics. כדי להשבית אמצעי בקרה בענן, צריך להסיר את אמצעי הבקרה בענן מהמסגרות המותאמות אישית שכוללות אותו או לבטל את ההקצאה של המסגרת המובנית שנפרסה.
גם Security Health Analytics וגם Compliance Manager יוצרים ממצאים. עם זאת, Security Health Analytics משתמש ב-securitycenter.googleapis.com API כדי ליצור ממצאים, ו-Compliance Manager משתמש ב-cloudsecuritycompliance.googleapis.com API. אם מפעילים את Security Health Analytics ואת Compliance Manager באותו משאב, יכול להיות שיווצרו ממצאים כפולים. ממצאים כפולים מתרחשים כשגם גלאי של Security Health Analytics וגם אמצעי בקרה בענן של Compliance Manager בודקים את אותה ההגדרה (לדוגמה, שניהם בודקים אם CMEK מופעל בשירות מסוים). במרכז הבקרה של הממצאים, הממצאים הכפולים מוצגים עם מזהי ספק שונים. כדי להימנע מכפילויות בממצאים, אפשר לבצע אחת מהפעולות הבאות:
- אם המסגרות שפרסתם כוללות אמצעי בקרה בענן שממופים לכל הגלאים של Security Health Analytics שרלוונטיים לסביבה שלכם, משביתים את Security Health Analytics עבור הפרויקט או התיקייה.
- אם המסגרות לא כוללות את הגלאים הנדרשים של Security Health Analytics, צריך להשתיק את הממצאים הכפולים של הגלאי של Security Health Analytics.
אם פרסתם תצורת אבטחה באמצעות שירות תצורת האבטחה, יכול להיות שתקבלו ממצאים כפולים כשתפעילו את Compliance Manager. כדאי לפרוס מסגרת שתואמת למצב האבטחה שלכם ולמחוק את פריסת מצב האבטחה.
ב-Compliance Manager נעשה שימוש בנקודת הקצה הגלובלית, ולא בנקודת הקצה שאולי תציינו כשאתם מפעילים שמירת נתונים ב-Security Command Center. עם זאת, אתם יכולים לציין את המיקום שבו אתם רוצים לבצע ביקורת בסביבה שלכם. מידע נוסף זמין במאמר בנושא ביקורת על הסביבה באמצעות Compliance Manager.

המאמרים הבאים

הפעלת Compliance Manager