Compliance Manager 總覽

您可以在 Google Cloud 中使用 Compliance Manager，確保基礎架構、工作負載和資料符合貴機構或專案的安全與法規要求。Google Cloud Compliance Manager 可讓您執行下列操作：

• 為Google Cloud 環境定義及部署符合規定且安全的設定。
• 查看資訊主頁，瞭解環境是否符合法規遵循和安全防護要求。
• (僅限 Premium 和 Enterprise 級別) 稽核雲端環境，包括收集證據和產生報表。

Google Cloud

Compliance Manager 會使用軟體定義的控制項，讓您評估Google Cloud 組織或專案是否支援多項法規遵循計畫和安全防護要求。

Compliance Manager 元件

下表說明 Compliance Manager 的元件。

規則	雲端控制項中的技術項目，可協助您滿足法規遵循、安全性或隱私權規定。規則可以是組織政策、IAM 政策、雲端設定，以及以一般運算式語言 (CEL) 為基礎的偵測邏輯。
CloudControl	一組規則和相關聯的中繼資料，可用於定義機構或專案的安全或法規遵循意圖。Compliance Manager 內建雲端控制項程式庫，您也可以自行建立。 雲端控制項中的中繼資料包括補救說明和發現項目嚴重程度。 雲端控制項有下列模式： 偵測：Compliance Manager 會將雲端控管機制套用至定義的資源，以進行監控。系統偵測到任何違規事項，並產生快訊。系統不會自動採取預防措施。 (僅限 Premium 和 Enterprise 級方案) 預防性： Compliance Manager 會將雲端控管機制套用至定義的資源，並主動強制執行規則。如果資源活動違反雲端控管機制，系統會封鎖該活動，並針對遭封鎖的動作產生快訊。 部分雲端控管機制需要您提供額外資訊，才能正常運作。舉例來說，如果您想使用雲端控管措施，檢查工作負載和資源是否在特定區域中執行，就必須在建立雲端控管措施時指定允許的區域。 (僅限 Premium 和 Enterprise 層級) 稽核： Compliance Manager 會使用這項雲端控制項 稽核您的環境，確保符合法規遵循義務。 Compliance Manager 會使用這項控制措施收集法規遵循稽核的證據，並找出任何缺口。
法規控管機制	產業定義的安全或法規遵循要求。雲端控管機制與法規控管機制之間的關係對應，定義一或多項雲端控管機制如何滿足法規控管機制要求。請考量下列事項： 單一雲端控管措施可對應至多個法規控管措施。 單一法規控管措施可對應至多個雲端控管措施。
架構	這類控管措施包括雲端控管措施和法規控管措施，代表安全最佳做法或業界定義的標準，例如 FedRAMP 或 NIST。框架可包含雲端控制措施與法規控制措施之間的對應關係。 Compliance Manager 內建架構庫，您可以自訂這些架構，也可以自行建立架構。
架構部署	部署架構時，特定架構與機構、資料夾或專案之間的繫結。

下圖顯示 Compliance Manager 的元件。

內建架構

Compliance Manager 支援Google Cloud的內建架構。您可以直接部署這些架構，也可以根據特定需求自訂架構。

Security Essentials架構適用於所有 Security Command Center 方案。

下列架構僅適用於進階版和企業版：

• AI 保護
• 資訊安全中心 (CIS) Controls 8.0
• CIS Google Cloud Computing Platform Benchmark v3.0
• CIS Kubernetes 基準政策 v1.1.7
• Cloud Controls Matrix (CCM) 4
• 資料安全與隱私權基本知識
• 資料安全性架構範本
• FedRAMP 低度影響
• 國際標準化組織 (ISO) 27001:2022
• 美國國家標準暨技術研究院 (NIST) SP 800-53 R5
• NIST AI 600-1 隱私權控管
• NIST 網路安全架構 (CSF) 1.1 版
• 付款卡產業資料安全標準 (PCI DSS) 4.0 版
• 卡達國家資訊保障標準 2.1 版
• 系統與組織控管 (SOC) 2

搭配 Security Command Center 服務和功能使用 Compliance Manager

您可以在啟用 Compliance Manager 的相同機構或專案中，啟用及使用其他 Security Command Center 服務和功能。請考量下列事項：

• 大多數安全狀態分析偵測工具也以雲端控制項的形式，提供於 Compliance Manager 中。詳情請參閱「安全狀態分析偵測工具與雲端控制項的對應關係」。

• 大多數安全狀態分析偵測工具預設為開啟。啟用 Compliance Manager後，系統會自動將特定內建架構套用至您的Google Cloud 機構。您可以視需要部署其他架構，並使用更多雲端控制項。

• 您可以停用安全狀態分析偵測工具。 如要停用雲端控制項，請從包含該控制項的自訂框架中移除雲端控制項，或取消指派已部署的內建框架。

• 安全狀態分析和 Compliance Manager 都會產生發現項目。不過，安全狀態分析 會使用 securitycenter.googleapis.com API 產生發現項目，而 Compliance Manager 則會使用 cloudsecuritycompliance.googleapis.com API。如果您在同一項資源上啟用安全狀態分析和 Compliance Manager，可能會產生重複的發現項目。如果安全狀態分析偵測工具和 Compliance Manager 雲端控制項檢查的設定相同 (例如兩者都檢查特定服務是否已啟用 CMEK)，就會出現重複的發現項目。在調查結果資訊主頁中，重複的調查結果會顯示不同的供應商 ID。為避免取得重複的發現項目，請完成下列任一操作：

  • 如果您部署的架構包含雲端控制項，且這些控制項會對應至適用於您環境的所有安全狀態分析偵測工具，請為專案或資料夾停用安全狀態分析。

  • 如果架構未納入必要的安全狀態分析偵測工具，請將重複的安全狀態分析偵測工具發現項目設為靜音。

• 如果您使用安全態勢服務部署安全態勢，啟用 Compliance Manager 時可能會收到重複的發現項目。請考慮部署符合資安態勢的架構，並刪除資安態勢部署作業。

• Compliance Manager 使用的是全域端點，而非您為 Security Command Center 啟用資料落地時指定的端點。不過，您可以指定要稽核環境的位置。詳情請參閱「使用 Compliance Manager 稽核環境」。

後續步驟

• 啟用 Compliance Manager。