Anda dapat menggunakan Compliance Manager in Google Cloud untuk membantu memastikan bahwa Google Cloud infrastruktur, workload, dan data Anda memenuhi persyaratan keamanan dan peraturan organisasi atau project Anda. Compliance Manager memungkinkan Anda melakukan hal berikut:
- Menentukan dan men-deploy konfigurasi yang sesuai dan aman untuk Google Cloud lingkungan Anda.
- Melihat dasbor yang menunjukkan kesesuaian lingkungan Anda dengan persyaratan kepatuhan dan keamanan Anda. laporan penilaian.
- (Khusus paket Premium dan Enterprise) Mengaudit lingkungan cloud Anda, termasuk mengumpulkan bukti dan membuat laporan.
Compliance Manager menggunakan kontrol yang ditentukan software yang memungkinkan Anda menilai dukungan untuk beberapa program kepatuhan dan persyaratan keamanan dalam Google Cloud organisasi atau project.
Komponen Compliance Manager
Tabel berikut menjelaskan komponen Compliance Manager.
| Aturan | Item teknis dalam kontrol cloud yang memungkinkan Anda memenuhi persyaratan kepatuhan, keamanan, atau privasi. Aturan dapat berupa kebijakan organisasi, kebijakan IAM, setelan cloud, dan logika deteksi berdasarkan Common Expression Language (CEL). |
|---|---|
| Kontrol cloud | Kumpulan aturan dan metadata terkait yang dapat Anda gunakan untuk menentukan tujuan keamanan atau kepatuhan untuk organisasi atau project Anda. Compliance Manager menyertakan library kontrol cloud bawaan dan memungkinkan Anda membuat kontrol cloud sendiri. Metadata dalam kontrol cloud mencakup petunjuk perbaikan dan tingkat keparahan temuan. Kontrol cloud memiliki mode berikut:
|
| Kontrol peraturan | Persyaratan kepatuhan peraturan atau keamanan yang ditentukan industri. Pemetaan hubungan antara kontrol cloud dan kontrol peraturan menentukan cara satu atau beberapa kontrol cloud memenuhi persyaratan kontrol peraturan. Pertimbangkan hal berikut:
|
| Framework | Kumpulan kontrol cloud dan kontrol peraturan yang mewakili praktik terbaik keamanan atau standar yang ditentukan industri seperti FedRAMP atau NIST. Framework dapat mencakup pemetaan antara kontrol cloud dan kontrol peraturan. Compliance Manager menyertakan library framework bawaan. Anda dapat menyesuaikan framework ini atau membuat framework Anda sendiri. |
| Deployment framework | Pengikatan antara framework tertentu dan organisasi, folder, atau project saat Anda men-deploy framework. |
Diagram berikut menunjukkan komponen Compliance Manager.
Framework bawaan
Compliance Manager mendukung framework bawaan untuk Google Cloud. Anda dapat men-deploy framework ini apa adanya, atau menyesuaikannya untuk memenuhi kebutuhan khusus Anda.
Framework Security Essentials tersedia untuk semua paket Security Command Center.
Framework berikut hanya tersedia di paket Premium dan Enterprise:
- AI Protection
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Platform Benchmark v3.0
- CIS Kubernetes Benchmark v1.1.7
- Cloud Controls Matrix (CCM) 4
- Data Security and Privacy Essentials
- Data Security Framework Template
- FedRAMP Low
- International Organization for Standardization (ISO) 27001, 2022
- National Institute of Standards and Technology (NIST) SP 800-53 R5
- NIST AI 600-1 Privacy Controls
- NIST Cybersecurity Framework (CSF) 1.1
- Payment Card Industry Data Security Standard (PCI DSS) 4.0
- Qatar National Information Assurance Standard 2.1
- System and Organization Controls (SOC) 2
Latensi pemindaian Compliance Manager untuk kontrol detektif
Bagian berikut menjelaskan jumlah waktu sebelum temuan dibuat oleh pemindaian awal dan frekuensi pemindaian berikutnya untuk kontrol cloud detektif yang di-deploy di lingkungan Anda. Compliance Manager hanya mendukung pemindaian batch.
Pemindaian awal
Untuk paket Premium dan Enterprise, pemindaian awal dimulai sekitar satu jam setelah aktivasi. Pemindaian Compliance Manager pertama dapat memerlukan waktu hingga 48 jam untuk diselesaikan.
Untuk paket Security Command Center Standard, pemindaian berjalan setiap 96 jam, yang dapat menghasilkan latensi temuan awal selama 96 jam.
Setelah Anda men-deploy framework, mungkin perlu waktu hingga 6 jam sebelum temuan terkait kontrol cloud detektif muncul.
Anda mungkin melihat beberapa temuan di Google Cloud konsol saat pemindaian awal berlangsung, tetapi sebelum proses orientasi selesai. Temuan awal akurat dan dapat ditindaklanjuti, tetapi tidak komprehensif. Sebaiknya jangan memulai audit di paket Premium atau Enterprise dalam waktu 48 jam pertama.
Pemindaian berikutnya
Setelah pemindaian awal, pemindaian berikutnya berjalan secara berkala dalam mode batch, sebagai berikut:
- Untuk paket Premium dan Enterprise, pemindaian batch berjalan setiap 16 jam.
- Untuk paket Standard, pemindaian batch berjalan setiap 38 jam.
Latensi di dasbor pemantauan
Compliance Manager menyertakan pemantauan dasbor yang menggabungkan data tentang tingkat kepatuhan. Setelah temuan muncul di dasbor Temuan, mungkin perlu waktu hingga 24 jam agar temuan tersebut memengaruhi jumlah kepatuhan di dasbor pemantauan. Selain itu, perubahan aset (seperti pembuatan atau pembaruan) dapat memerlukan waktu hingga 48 jam untuk muncul di dasbor pemantauan.
Menggunakan Compliance Manager dengan layanan dan fitur Security Command Center
Anda dapat mengaktifkan layanan dan fitur Security Command Center lainnya dan menggunakannya di organisasi atau project yang sama tempat Anda mengaktifkan Compliance Manager. Pertimbangkan hal berikut:
Sebagian besar detektor Security Health Analytics juga tersedia sebagai kontrol cloud di Compliance Manager. Untuk mengetahui informasi selengkapnya, lihat Pemetaan detektor Security Health Analytics ke kontrol cloud.
Sebagian besar detektor Security Health Analytics diaktifkan secara default. Saat Anda mengaktifkan Compliance Manager, framework bawaan tertentu akan otomatis diterapkan ke Google Cloud organisasi Anda. Anda dapat men-deploy framework tambahan dengan lebih banyak kontrol cloud sesuai kebutuhan.
Anda dapat menonaktifkan Security Health Analytics detektor. Untuk menonaktifkan kontrol cloud, Anda harus menghapus kontrol cloud dari framework kustom yang menyertakannya atau membatalkan penetapan framework bawaan yang di-deploy .
Security Health Analytics dan Compliance Manager membuat temuan. Namun, Security Health Analytics menggunakan
securitycenter.googleapis.comAPI untuk membuat temuan, dan Compliance Manager menggunakancloudsecuritycompliance.googleapis.comAPI. Jika Anda mengaktifkan Security Health Analytics dan Compliance Manager di resource yang sama, Anda mungkin membuat temuan duplikat. Temuan duplikat terjadi saat detektor Security Health Analytics dan kontrol cloud Compliance Manager memeriksa konfigurasi yang sama (misalnya, keduanya memeriksa apakah CMEK diaktifkan untuk layanan tertentu). Di dasbor temuan, temuan duplikat ditampilkan dengan ID penyedia yang berbeda. Untuk menghindari temuan duplikat, selesaikan salah satu hal berikut:Jika framework yang telah Anda deploy menyertakan kontrol cloud yang dipetakan ke semua detektor Security Health Analytics yang berlaku untuk lingkungan Anda, nonaktifkan Security Health Analytics untuk project atau folder.
Jika framework tidak menyertakan detektor Security Health Analytics yang diperlukan, nonaktifkan temuan detektor Security Health Analytics duplikat.
Jika Anda men-deploy postur keamanan menggunakan layanan postur keamanan, Anda mungkin menerima temuan duplikat saat mengaktifkan Compliance Manager. Pertimbangkan untuk men-deploy framework yang sesuai dengan postur keamanan Anda dan menghapus deployment postur.
Compliance Manager menggunakan endpoint global, bukan endpoint yang mungkin Anda tentukan saat mengaktifkan data residency untuk Security Command Center. Namun, Anda dapat menentukan lokasi yang ingin Anda audit di lingkungan Anda. Untuk mengetahui informasi selengkapnya, lihat Mengaudit lingkungan Anda dengan Compliance Manager.