אתם יכולים להשתמש ב-Compliance Manager ב- Google Cloud כדי לוודא שהתשתית, עומסי העבודה והנתונים שלכם עומדים בדרישות האבטחה והרגולציה של הארגון או הפרויקט.Google Cloud התכונה Compliance Manager מאפשרת לכם:
- הגדרה ופריסה של תצורה תואמת ומאובטחת עבור סביבתGoogle Cloud .
- צפייה במרכזי בקרה שמציגים את ההתאמה של הסביבה שלכם לדרישות התאימות והאבטחה שלכם. דוחות הערכה.
- (רק ברמות Premium ו-Enterprise) ביצוע ביקורת בסביבות הענן, כולל איסוף ראיות ויצירת דוחות.
ב-Compliance Manager נעשה שימוש באמצעי בקרה מוגדרים בתוכנה שמאפשרים להעריך את התמיכה במספר תוכניות תאימות ודרישות אבטחה בGoogle Cloud ארגון או בפרויקט.
רכיבים של Compliance Manager
בטבלה הבאה מתוארים הרכיבים של Compliance Manager.
| כלל | פריט טכני בתוך אמצעי בקרה בענן שמאפשר לעמוד בדרישות של תאימות, אבטחה או פרטיות. הכללים יכולים להיות מדיניות הארגון, כללי מדיניות של IAM, הגדרות בענן ולוגיקה של זיהוי שמבוססת על Common Expression Language (CEL). |
|---|---|
| שליטה בענן | קבוצה של כללים ומטא-נתונים משויכים שאפשר להשתמש בהם כדי להגדיר את כוונת האבטחה או התאימות לארגון או לפרויקט. Compliance Manager כולל ספרייה של אמצעי בקרה מובנים בענן, ומאפשר לכם ליצור אמצעי בקרה משלכם. המטא-נתונים באמצעי בקרה בענן כוללים הוראות לתיקון וחומרת הממצא. אמצעי הבקרה בענן פועלים במצבים הבאים:
|
| בקרה רגולטורית | דרישה לאבטחה או לעמידה בדרישות התקנה שמוגדרת בתעשייה. מיפוי הקשרים בין אמצעי הבקרה בענן לבין אמצעי הבקרה הרגולטוריים מגדיר איך אמצעי בקרה אחד או יותר בענן עומדים בדרישה של אמצעי בקרה רגולטורי. כמה נקודות שכדאי לחשוב עליהן:
|
| Framework | אוסף של אמצעי בקרה בענן ואמצעי בקרה רגולטוריים שמייצגים שיטות מומלצות לאבטחה או תקנים שמוגדרים בתעשייה, כמו FedRAMP או NIST. מסגרת יכולה לכלול מיפוי בין אמצעי בקרה בענן לבין אמצעי בקרה רגולטוריים. Compliance Manager כולל ספרייה של מסגרות מובנות. אתם יכולים להתאים אישית את המסגרות האלה או ליצור מסגרות משלכם. |
| פריסת Framework | הקישור בין מסגרת מסוימת לבין ארגון, תיקייה או פרויקט כשפורסים את המסגרת. |
הדיאגרמה הבאה מציגה את הרכיבים של Compliance Manager.
מסגרות מובנות
ב-Compliance Manager יש תמיכה במסגרות מובנות לGoogle Cloud. אפשר להטמיע את המסגרות האלה כמו שהן, או להתאים אותן אישית לצרכים הספציפיים שלכם.
מסגרת Security Essentials זמינה בכל הרמות של Security Command Center.
המסגרות הבאות זמינות רק ברמות Premium ו-Enterprise:
- הגנה מבוססת-AI
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Platform Benchmark v3.0
- CIS Kubernetes Benchmark v1.1.7
- Cloud Controls Matrix (CCM) 4
- היסודות של אבטחת מידע ופרטיות
- Data Security Framework Template
- FedRAMP Low
- International Organization for Standardization (ISO) 27001, 2022
- National Institute of Standards and Technology (NIST) SP 800-53 R5
- אמצעי בקרה על הפרטיות של NIST AI 600-1
- NIST Cybersecurity Framework (CSF) 1.1
- תקן אבטחת הנתונים המקובל בתעשיית כרטיסי תשלום (PCI DSS) 4.0
- Qatar National Information Assurance Standard 2.1
- System and Organization Controls (SOC) 2
סוגי סריקות ב-Compliance Manager לבקרה על זיהוי
סריקות של Compliance Manager פועלות בשני מצבים:
סריקה באצווה: כל אמצעי הבקרה הגילויים ב-Cloud מתוזמנים להפעלה מעת לעת עבור כל הארגונים או הפרויקטים הרשומים.
מידע על תדירות הסריקות זמין במאמר זמן האחזור של סריקות ב-Compliance Manager.
סריקה כמעט בזמן אמת: רק ברמת Premium, אמצעי בקרה נתמכים בענן לזיהוי בעיות מתחילים סריקות בכל פעם שמזוהה שינוי בהגדרות של משאב.
לרשימת אמצעי הבקרה בענן שלא תומכים בסריקות כמעט בזמן אמת, אפשר לעיין במאמר אמצעי בקרה בענן שתומכים רק בסריקות באצווה.
זמן האחזור של סריקת Compliance Manager לבקרות גילוי
בקטעים הבאים מתואר פרק הזמן שחולף עד שהממצאים נוצרים על ידי הסריקה הראשונית, ותדירות הסריקות הבאות של אמצעי בקרה בענן לזיהוי איומים שנפרסים בסביבה שלכם.
סריקה ראשונית
במהדורות Premium ו-Enterprise, הסריקה הראשונית של קבוצת הקבצים מתחילה כשעה אחרי ההפעלה. הסריקות הראשונות של Compliance Manager עשויות להימשך עד 48 שעות.
במהדורת Standard של Security Command Center, סריקות אצווה מופעלות כל 96 שעות, ולכן יכול להיות שיהיה עיכוב של 96 שעות עד לממצא הראשוני.
אחרי שמפעילים מסגרת, יכולות לחלוף עד 6 שעות לפני שיופיעו ממצאים שקשורים לאמצעי בקרה בענן לזיהוי בעיות.
יכול להיות שתראו ממצאים מסוימים במסוף Google Cloud במהלך הסריקות הראשוניות, אבל לפני השלמת תהליך ההצטרפות. הממצאים הראשוניים מדויקים וניתן לפעול לפיהם, אבל הם לא מקיפים. לא מומלץ להתחיל ביקורת ברמה Premium או Enterprise תוך 48 שעות.
סריקות נוספות
אחרי הסריקה הראשונית, סריקות אצווה עוקבות מופעלות מעת לעת, באופן הבא:
- במהדורות Premium ו-Enterprise, סריקות אצווה מופעלות כל 16 שעות.
- במהדורת Standard, סריקות אצווה מופעלות כל 38 שעות.
בסריקה כמעט בזמן אמת, שינויים רלוונטיים בהגדרות של משאבים עשויים להוביל לעדכון הממצאים. Google Cloud העדכון עשוי להימשך כמה דקות, בהתאם לסוג הנכס ולשינוי.
זמן האחזור בלוחות הבקרה של המעקב
Compliance Manager כולל לוחות בקרה של מעקב שמרכזים נתונים על רמות התאימות. אחרי שממצא מופיע בלוח הבקרה Findings, יכול להיות שיעברו עד 24 שעות עד שהממצא ישפיע על ספירת התאימות בלוחות הבקרה של המעקב. בנוסף, יכול להיות שיחלפו עד 48 שעות עד ששינויים בנכסים (כמו יצירה או עדכונים) יופיעו בלוחות הבקרה של המעקב.
שימוש ב-Compliance Manager עם שירותים ותכונות של Security Command Center
אתם יכולים להפעיל שירותים ותכונות אחרים של Security Command Center ולהשתמש בהם באותו ארגון או פרויקט שבהם הפעלתם את Compliance Manager. כמה נקודות שכדאי לחשוב עליהן:
רוב הגלאים של Security Health Analytics זמינים גם כבקרי ענן ב-Compliance Manager. מידע נוסף מופיע במאמר בנושא מיפוי של גלאים ב-Security Health Analytics לאמצעי בקרה ב-Cloud.
רוב הגלאים של Security Health Analytics מופעלים כברירת מחדל. כשמפעילים את Compliance Manager, מסגרות מסוימות שמוגדרות כברירת מחדל מוחלות באופן אוטומטי עלGoogle Cloud הארגון. אפשר לפרוס מסגרות נוספות עם אמצעי בקרה נוספים בענן לפי הצורך.
אפשר להשבית את אמצעי הזיהוי של Security Health Analytics. כדי להשבית אמצעי בקרה בענן, צריך להסיר את אמצעי הבקרה בענן מהמסגרות המותאמות אישית שכוללות אותו או לבטל את ההקצאה של המסגרת המובנית שנפרסה.
גם Security Health Analytics וגם Compliance Manager יוצרים ממצאים. עם זאת, Security Health Analytics משתמש ב-
securitycenter.googleapis.comAPI כדי ליצור ממצאים, ו-Compliance Manager משתמש ב-cloudsecuritycompliance.googleapis.comAPI. אם מפעילים את Security Health Analytics ואת Compliance Manager באותו משאב, יכול להיות שיווצרו ממצאים כפולים. ממצאים כפולים מתרחשים כשגם גלאי של Security Health Analytics וגם אמצעי בקרה בענן של Compliance Manager בודקים את אותה ההגדרה (לדוגמה, שניהם בודקים אם CMEK מופעל בשירות מסוים). במרכז הבקרה של הממצאים, הממצאים הכפולים מוצגים עם מזהי ספק שונים. כדי להימנע מכפילויות בממצאים, מבצעים אחת מהפעולות הבאות:אם המסגרות שפרסתם כוללות אמצעי בקרה בענן שממופים לכל הגלאים של Security Health Analytics שרלוונטיים לסביבה שלכם, משביתים את Security Health Analytics לפרויקט או לתיקייה.
אם המסגרות לא כוללות את הגלאים הנדרשים של Security Health Analytics, צריך להשתיק את הממצאים הכפולים של הגלאי של Security Health Analytics.
אם פרסתם תצורת אבטחה באמצעות שירות תצורת האבטחה, יכול להיות שתקבלו ממצאים כפולים כשתפעילו את Compliance Manager. כדאי לפרוס מסגרת שתואמת למצב האבטחה שלכם ולמחוק את פריסת מצב האבטחה.
Compliance Manager משתמש בנקודת הקצה הגלובלית, ולא בנקודת הקצה שאולי תציינו כשאתם מפעילים שמירת נתונים ב-Security Command Center. עם זאת, אתם יכולים לציין את המיקום שבו אתם רוצים לבצע ביקורת בסביבה שלכם. מידע נוסף זמין במאמר בנושא ביקורת על הסביבה באמצעות Compliance Manager.