Você pode usar o Compliance Manager no Google Cloud para garantir que sua infraestrutura, cargas de trabalho e dadosGoogle Cloud atendam aos requisitos de segurança e regulamentares da sua organização. Com o Compliance Manager, você pode:
- Defina e implante uma configuração compatível e segura para seu ambienteGoogle Cloud .
- (Prévia) Veja painéis que mostram o alinhamento do seu ambiente com os requisitos de conformidade e segurança, além de relatórios de avaliação.
- (Prévia) Audite seus ambientes de nuvem, incluindo a coleta de evidências e a geração de relatórios.
O Compliance Manager usa controles definidos por software que permitem avaliar o suporte a vários programas de compliance e requisitos de segurança em uma organização doGoogle Cloud .
Componentes do Compliance Manager
A tabela a seguir descreve os componentes do Compliance Manager.
| Regra | Um item técnico em um controle de nuvem que permite atender a um requisito de compliance, segurança ou privacidade. As regras podem ser políticas da organização, políticas do IAM, configurações da nuvem e lógica de detecção baseada na Common Expression Language (CEL). |
|---|---|
| Controle de nuvem | Um conjunto de regras e metadados associados que podem ser usados para definir a intenção de segurança ou compliance da sua organização. O Compliance Manager inclui uma biblioteca de controles de nuvem integrados e permite criar seus próprios controles. Os metadados em um controle de nuvem incluem instruções de correção e gravidade da descoberta. Os controles do Cloud têm os seguintes modos:
|
| Controle regulatório | Um requisito de conformidade regulatória ou de segurança definido pelo setor. O mapeamento de relacionamento entre controles de nuvem e controles regulatórios define como um ou mais controles de nuvem atendem a um requisito de controle regulatório. Considere o seguinte:
|
| Framework | Uma coleção de controles regulamentares e de nuvem que representam práticas recomendadas de segurança ou padrões definidos pelo setor, como FedRAMP ou NIST. Um framework pode incluir um mapeamento entre controles de nuvem e controles regulatórios. O Compliance Manager inclui uma biblioteca de frameworks integrados. Você pode personalizar esses frameworks ou criar os seus próprios. |
| Implantação de framework | A vinculação entre um framework específico e uma organização, pasta ou projeto ao implantar o framework. |
O diagrama a seguir mostra os componentes do Gerenciador de compliance.
Frameworks integrados
O Compliance Manager oferece suporte a frameworks integrados para Google Cloud. É possível implantar esses frameworks como estão ou personalizá-los para atender às suas necessidades específicas.
Frameworks para Google Cloud
Os seguintes frameworks estão disponíveis:
- Proteção de IA
- Controles 8.0 do Center for Information Security (CIS) (em inglês)
- CIS Google Cloud Computing Platform 3.0
- Comparativo de mercado CIS do Kubernetes v1.1.7
- Cloud Controls Matrix (CCM) 4 (em inglês)
- Fundamentos da segurança de dados e privacidade
- Organização Internacional de Normalização (ISO) 27001, 2022
- Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5 (em inglês)
- Framework de segurança cibernética (CSF) 1.1 do NIST
- Security Essentials
Como usar o Compliance Manager com serviços e recursos do Security Command Center
É possível ativar outros serviços e recursos do Security Command Center e usá-los na mesma organização em que você ativa o Gerenciador de compliance. Considere o seguinte:
A maioria dos detectores do Security Health Analytics também está disponível como controles de nuvem no Gerenciador de compliance. Para mais informações, consulte Mapeamento dos detectores da Análise de integridade da segurança para controles de nuvem.
A maioria dos detectores do Security Health Analytics é ativada por padrão. Quando você ativa o Compliance Manager, algumas estruturas integradas são aplicadas automaticamente à suaGoogle Cloud organização. É possível implantar outros frameworks com mais controles de nuvem, conforme necessário.
É possível desativar os detectores da Análise de integridade da segurança. Para desativar um controle de nuvem, remova-o dos frameworks personalizados que o incluem ou desvincule o framework integrado implantado.
O Security Health Analytics e o Compliance Manager geram descobertas. No entanto, o Security Health Analytics usa a API
securitycenter.googleapis.compara gerar descobertas, e o Gerenciador de compliance usa a APIcloudsecuritycompliance.googleapis.com. Se você ativar o Security Health Analytics e o Compliance Manager no mesmo recurso, poderá gerar descobertas duplicadas. As descobertas duplicadas ocorrem quando um detector da Análise de integridade da segurança e um controle na nuvem do Gerenciador de compliance verificam a mesma configuração. Por exemplo, ambos verificam se o CMEK está ativado para um serviço específico. No painel de descobertas, as descobertas duplicadas aparecem com IDs de provedor diferentes. Para evitar resultados duplicados, faça uma das seguintes ações:Se as estruturas implantadas incluírem controles de nuvem que mapeiam todos os detectores do Security Health Analytics aplicáveis ao seu ambiente, desative o Security Health Analytics para o projeto ou a pasta.
Se os frameworks não incluírem os detectores necessários do Security Health Analytics, silencie as descobertas duplicadas do detector do Security Health Analytics.
Se você implantou uma postura de segurança usando o serviço de postura de segurança, poderá receber descobertas duplicadas ao ativar o Compliance Manager. Considere implantar um framework que corresponda à sua postura de segurança e exclua a implantação da postura.
O Compliance Manager usa o endpoint global, não o endpoint que você especifica ao ativar a residência de dados para o Security Command Center. No entanto, é possível especificar o local em que você quer auditar seu ambiente. Para mais informações, consulte Auditar seu ambiente com o Compliance Manager (prévia).