法規遵循管理員總覽

您可以使用 Compliance Manager Google Cloud ，確保基礎架構、工作負載和資料符合貴機構的安全性與法規要求。Google Cloud 合規性管理員可讓您執行下列操作：

• 為Google Cloud 環境定義及部署符合規定且安全的設定。
• (預覽版) 查看資訊主頁，瞭解環境是否符合法規遵循和安全需求。
• (預覽版) 稽核雲端環境，包括收集證據和產生報表。

法規遵循管理工具採用軟體定義的控制項，可讓您評估Google Cloud 機構內多項法規遵循計畫和安全防護要求的支援情形。

Compliance Manager 元件

下表說明法規遵循管理員的元件。

規則	雲端控制項中的技術項目，可協助您滿足法規遵循、安全性或隱私權要求。規則可以是機構政策、IAM 政策、雲端設定，以及以一般運算式語言 (CEL) 為基礎的偵測邏輯。
CloudControl	一組規則和相關聯的中繼資料，可用於定義貴機構的安全或法規遵循意圖。法規遵循管理員內建雲端控制項程式庫，您也可以自行建立。 雲端控制項中的中繼資料包括補救說明和發現嚴重程度。 雲端控制項有下列模式： 偵測：合規管理員會將雲端控管機制套用至定義的資源，以進行監控。系統偵測到任何違規行為，並產生快訊。系統不會自動採取任何預防措施。 預防性： 法規遵循管理員會將雲端控制項套用至定義的資源，並主動強制執行規則。如果任何資源活動違反雲端控管機制，系統會封鎖該活動，並針對遭封鎖的動作產生快訊。 某些雲端控管機制需要您提供額外資訊，才能正常運作。舉例來說，如果您想使用雲端控管措施，檢查工作負載和資源是否在特定區域中執行，就必須在建立雲端控管措施時指定允許的區域。 稽核： 法規遵循管理員會使用這項雲端控制項 稽核您的環境，確保符合法規遵循義務。 法規遵循管理員會使用這項控制項，收集法規遵循稽核的證據，並找出任何缺口。
法規控管機制	業界定義的安全或法規遵循規定。雲端控管機制與法規控管機制之間的關係對應，定義了一或多個雲端控管機制如何滿足法規控管機制要求。請考量下列事項： 單一雲端控制項可對應至多個法規控制項。 單一監管控管措施可對應至多個雲端控管措施。
架構	這類控制措施包括雲端控制措施和法規控制措施，代表安全性最佳做法或業界定義的標準，例如 FedRAMP 或 NIST。架構可以包含雲端控制措施與法規控制措施之間的對應關係。 法規遵循管理工具內建架構庫，您可以自訂這些架構，也可以自行建立架構。
架構部署	部署架構時，特定架構與機構、資料夾或專案之間的繫結。

下圖顯示 Compliance Manager 的元件。

內建架構

法規遵循管理工具支援Google Cloud的內建架構。您可以直接部署這些架構，也可以根據特定需求自訂架構。

Google Cloud的架構

可用的架構如下：

• AI 保護
• 資訊安全中心 (CIS) Controls 8.0
• CIS Google Cloud Computing Platform 3.0
• CIS Kubernetes 基準政策 v1.1.7
• Cloud Controls Matrix (CCM) 4
• 資料安全與隱私權基本知識
• 國際標準化組織 (ISO) 27001:2022
• 美國國家標準暨技術研究院 (NIST) 800-53 R5
• NIST 網路安全架構 (CSF) 1.1
• Security Essentials

搭配 Security Command Center 服務和功能使用 Compliance Manager

您可以在啟用法規遵循管理員的同一個機構中，啟用並使用其他 Security Command Center 服務和功能。請考量下列事項：

• 您也可以在法規遵循管理工具中，將大多數的安全性狀態分析偵測工具做為雲端控制項。詳情請參閱「將 Security Health Analytics 偵測器對應至雲端控制項」。

• 大多數安全狀態分析偵測工具預設為開啟。啟用法規遵循管理工具後，系統會自動將特定內建架構套用至您的Google Cloud 機構。您可以視需要部署其他架構，並使用更多雲端控制項。

• 您可以停用安全狀態分析偵測工具。 如要停用雲端控制項，請從包含該控制項的自訂架構中移除雲端控制項，或取消指派已部署的內建架構。

• Security Health Analytics 和 Compliance Manager 都會產生發現項目。不過，Security Health Analytics 會使用 securitycenter.googleapis.com API 產生調查結果，而 Compliance Manager 則會使用 cloudsecuritycompliance.googleapis.com API。如果您在同一項資源上啟用 Security Health Analytics 和 Compliance Manager，可能會產生重複的發現項目。如果安全狀態分析偵測工具和法規遵循管理員雲端控制項都檢查相同的設定 (例如，兩者都檢查特定服務是否已啟用 CMEK)，就會出現重複的發現項目。在調查結果資訊主頁中，重複的調查結果會顯示不同的供應商 ID。為避免取得重複的發現項目，請完成下列任一操作：

  • 如果您部署的架構包含雲端控制項，且這些控制項會對應至適用於您環境的所有安全狀態分析偵測工具，請為專案或資料夾停用安全狀態分析。

  • 如果架構未納入必要的 Security Health Analytics 偵測工具，請將重複的 Security Health Analytics 偵測工具發現項目設為靜音。

• 如果您使用安全狀況服務部署安全狀況，啟用法規遵循管理工具時，可能會收到重複的發現項目。請考慮部署符合安全防護機制的架構，並刪除安全防護機制部署作業。

• Compliance Manager 使用的是全域端點，而非您為 Security Command Center 啟用資料落地功能時指定的端點。不過，您可以指定要稽核環境的位置。詳情請參閱「使用 Compliance Manager 稽核環境 (預覽版)」。

後續步驟

• 啟用法規遵循管理工具。