Pode usar o Gestor de conformidade no Google Cloud Google Cloud para ajudar a garantir que a sua Google Cloud infraestrutura, cargas de trabalho e dados cumprem os requisitos de segurança e regulamentares da sua organização. O Gestor de conformidade permite-lhe fazer o seguinte:
- Defina e implemente uma configuração em conformidade e segura para o seu Google Cloud ambiente.
- (Pré-visualização) Veja painéis de controlo que mostram o alinhamento do seu ambiente com os requisitos de conformidade e segurança, bem como relatórios de avaliação.
- (Pré-visualização) Audite os seus ambientes de nuvem, incluindo a recolha de provas e a geração de relatórios.
O Gestor de conformidade usa controlos definidos por software que lhe permitem avaliar o suporte de vários programas de conformidade e requisitos de segurança numa Google Cloud organização.
Componentes do Gestor de conformidade
A tabela seguinte descreve os componentes do Gestor de conformidade.
| Regra | Um item técnico num controlo na nuvem que lhe permite cumprir um requisito de conformidade, segurança ou privacidade. As regras podem ser políticas organizacionais, políticas IAM, definições da nuvem e lógica de deteção baseada no idioma de expressão comum (CEL). |
|---|---|
| Controlo na nuvem | Um conjunto de regras e metadados associados que pode usar para definir a intenção de segurança ou conformidade da sua organização. O Gestor de conformidade inclui uma biblioteca de controlos na nuvem incorporados e permite-lhe criar os seus próprios controlos. Os metadados num controlo na nuvem incluem instruções de remediação e a gravidade da descoberta. Os controlos na nuvem têm os seguintes modos:
|
| Controlo regulamentar | Um requisito de conformidade regulamentar ou de segurança definido pela indústria. O mapeamento da relação entre os controlos na nuvem e os controlos regulamentares define como um ou mais controlos na nuvem satisfazem um requisito de controlo regulamentar. Considere o seguinte:
|
| Framework | Uma coleção de controlos regulamentares e de nuvem que representam práticas recomendadas de segurança ou normas definidas pela indústria, como o FedRAMP ou o NIST. Uma estrutura pode incluir um mapeamento entre os controlos da nuvem e os controlos regulamentares. O Compliance Manager inclui uma biblioteca de frameworks incorporados. Pode personalizar estas estruturas ou criar as suas próprias estruturas. |
| Implementação de frameworks | A associação entre uma estrutura específica e uma organização, uma pasta ou um projeto quando implementa a estrutura. |
O diagrama seguinte mostra os componentes do Gestor de conformidade.
Frameworks integrados
O Compliance Manager suporta estruturas incorporadas para Google Cloud. Pode implementar estas estruturas tal como estão ou personalizá-las de acordo com as suas necessidades específicas.
Frameworks para Google Cloud
Estão disponíveis as seguintes estruturas:
- Proteção de IA
- Controlos 8.0 do Center for Information Security (CIS)
- CIS Google Cloud Computing Platform 3.0
- CIS Kubernetes Benchmark v1.1.7
- Cloud Controls Matrix (CCM) 4
- Elementos essenciais de segurança e privacidade de dados
- International Organization for Standardization (ISO) 27001, 2022
- National Institute of Standards and Technology (NIST) 800-53 R5
- Framework de cibersegurança (CSF) 1.1 do NIST
- Security Essentials
Usar o Gestor de conformidade com os serviços e as funcionalidades do Security Command Center
Pode ativar outros serviços e funcionalidades do Security Command Center e usá-los na mesma organização onde ativa o Gestor de conformidade. Considere o seguinte:
A maioria dos detetores do Security Health Analytics também está disponível como controlos na nuvem no Gestor de conformidade. Para mais informações, consulte o artigo Mapeamento dos detetores do Security Health Analytics para controlos na nuvem.
A maioria dos detetores do Security Health Analytics está ativada por predefinição. Quando ativa o Compliance Manager, determinadas estruturas incorporadas são automaticamente aplicadas à sua Google Cloud organização. Pode implementar frameworks adicionais com mais controlos na nuvem, conforme necessário.
Pode desativar os detetores do Security Health Analytics. Para desativar um controlo na nuvem, tem de remover o controlo na nuvem das estruturas personalizadas que o incluem ou desatribuir a estrutura incorporada implementada.
O Security Health Analytics e o Gestor de conformidade geram descobertas. No entanto, o Security Health Analytics usa a API
securitycenter.googleapis.compara gerar resultados e o Gestor de conformidade usa a APIcloudsecuritycompliance.googleapis.com. Se ativar o Security Health Analytics e o Compliance Manager no mesmo recurso, pode gerar resultados duplicados. As conclusões duplicadas ocorrem quando um detetor do Security Health Analytics e um controlo na nuvem do Compliance Manager verificam a mesma configuração (por exemplo, ambos verificam se a CMEK está ativada para um serviço específico). No painel de controlo de resultados, os resultados duplicados são apresentados com IDs de fornecedores diferentes. Para evitar resultados duplicados, conclua uma das seguintes ações:Se as frameworks que implementou incluírem controlos na nuvem que mapeiam todos os detetores do Security Health Analytics que se aplicam ao seu ambiente, desative o Security Health Analytics para o projeto ou a pasta.
Se as frameworks não incluírem os detetores do Security Health Analytics necessários, desative as conclusões duplicadas do detetor do Security Health Analytics.
Se implementou uma postura de segurança através do serviço de postura de segurança, pode receber resultados duplicados quando ativa o Gestor de conformidade. Considere implementar uma estrutura que corresponda à sua postura de segurança e elimine a implementação da postura.
O Compliance Manager usa o ponto final global e não o ponto final que pode especificar quando ativa a residência de dados para o Security Command Center. No entanto, pode especificar a localização na qual quer auditar o seu ambiente. Para mais informações, consulte o artigo Audite o seu ambiente com o Gestor de conformidade (pré-visualização).