合规管理器概览

您可以使用 Google Cloud 中的合规管理器来帮助确保您的Google Cloud 基础架构、工作负载和数据符合贵组织的安全和监管要求。借助合规管理器，您可以执行以下操作：

• 为您的Google Cloud 环境定义并部署合规且安全的配置。
• （预览版）查看信息中心，了解您的环境是否符合合规性和安全性要求。
• （预览版）审核云环境，包括收集证据和生成报告。

合规管理器使用软件定义的控件，让您能够在Google Cloud 组织内评估对多个合规计划和安全要求的支持情况。

合规管理器组件

下表介绍了合规管理器的组件。

规则	云控制措施中的一个技术项，可让您满足合规性、安全性或隐私保护要求。规则可以是组织政策、IAM 政策、云设置以及基于通用表达式语言 (CEL) 的检测逻辑。
云控制措施	一组规则和关联的元数据，可用于定义组织的安全或合规意图。合规管理器包含一个内置云控制措施库，并允许您定义自己的云控制措施。 云控制措施中的元数据包括修复说明和发现结果严重程度。 云控制措施具有以下模式： 侦测：合规管理器会将云控制措施应用于定义的资源，以便进行监控。系统会检测所有违规行为并生成提醒。系统不会自动采取任何预防措施。 预防性：合规管理器会将云控制措施应用于定义的资源，并主动强制执行规则。任何违反云控制措施的资源活动都将被屏蔽，并且系统会针对被屏蔽的操作生成提醒。 某些云控制措施需要您提供额外信息才能正常运作。例如，如果您想使用一种云控制措施来检查工作负载和资源是否在特定区域中运行，则必须在创建该云控制措施时指定允许的区域。 审核：合规管理器使用此云控制措施 审核您的环境，以确保其符合您的合规义务。 合规管理器会使用此控制措施来收集合规性审核的证据，并找出任何不足之处。
监管控制	行业定义的安全或法规遵从要求。云控制措施与监管控制措施之间的关系映射定义了一个或多个云控制措施如何满足监管控制措施要求。请考虑以下事项： 单个云控制措施可以映射到多个监管控制措施。 单个监管控制措施可以映射到多个云控制措施。
框架	云控制措施和监管控制措施的集合，代表安全最佳实践或行业定义的标准（如 FedRAMP 或 NIST）。框架可以包含云控制措施与监管控制措施之间的映射。 合规管理器包含一个内置框架库。您可以自定义这些框架，也可以创建自己的框架。
框架部署	部署框架时，特定框架与组织、文件夹或项目之间的绑定。

下图显示了合规管理器的组件。

内置框架

Compliance Manager 支持Google Cloud的内置框架。您可以按原样部署这些框架，也可以根据您的特定需求对其进行自定义。

Google Cloud框架

以下框架可供使用：

• AI 保护
• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Platform 3.0
• CIS Kubernetes 基准 v1.1.7
• Cloud Controls Matrix (CCM) 4
• 数据安全和隐私权基本框架
• 国际标准化组织 (ISO) 27001，2022
• 美国国家标准与技术研究院 (NIST) 800-53 R5
• NIST Cybersecurity Framework (CSF) 1.1
• 安全基础知识

将合规管理器与 Security Command Center 服务和功能搭配使用

您可以在启用合规管理器的同一组织中启用其他 Security Command Center 服务和功能并使用它们。请考虑以下事项：

• 大多数 Security Health Analytics 检测器也可作为 Compliance Manager 中的云控制项使用。如需了解详情，请参阅将 Security Health Analytics 检测器映射到云控制措施。

• 大多数 Security Health Analytics 检测器默认处于开启状态。启用合规性管理工具后，系统会自动将某些内置框架应用于您的Google Cloud 组织。您可以根据需要部署具有更多云控制措施的其他框架。

• 您可以停用 Security Health Analytics 检测器。 如需停用云控制措施，您必须从包含该云控制措施的自定义框架中移除该云控制措施，或取消分配已部署的内置框架。

• Security Health Analytics 和 Compliance Manager 都会生成发现结果。不过，Security Health Analytics 使用 securitycenter.googleapis.com API 生成发现结果，而合规性管理工具使用 cloudsecuritycompliance.googleapis.com API。如果您在同一资源上同时启用 Security Health Analytics 和 Compliance Manager，则可能会生成重复的发现结果。当 Security Health Analytics 检测器和 Compliance Manager 云控制检查都检查同一配置时（例如，两者都检查是否为特定服务启用了 CMEK），就会出现重复的发现结果。在“发现结果”信息中心内，重复的发现结果会显示不同的提供方 ID。为避免发现结果重复，请完成以下任一操作：

  • 如果您部署的框架包含与适用于您环境的所有 Security Health Analytics 检测器对应的云控制措施，请为相应项目或文件夹停用 Security Health Analytics。

  • 如果框架不包含所需的 Security Health Analytics 检测器，请屏蔽重复的 Security Health Analytics 检测器发现结果。

• 如果您使用安全状况服务部署了安全状况，则在启用合规管理器后，可能会收到重复的发现结果。考虑部署与您的安全状况相符的框架，并删除安全状况部署。

• 合规管理器使用全球端点，而不是您在为 Security Command Center 启用数据驻留时可能指定的端点。不过，您可以指定要审核环境的位置。如需了解详情，请参阅使用合规管理器审核您的环境（预览版）。

后续步骤

• 启用合规性管理器。