Surveiller un dossier Assured Workloads pour détecter les violations
Assured Workloads surveille les contraintes de règle d'administration d'un régime de conformité et signale une violation si une modification apportée à une ressource est non conforme. Vous pouvez ensuite résoudre ces cas de non-respect ou créer des exceptions pour ces cas, le cas échéant.
Une violation des règles peut avoir l'un des trois états suivants :
Non résolu : le problème n'a pas été résolu.
Résolu : le problème a été résolu en suivant les étapes pour résoudre le problème.
Exception : la violation a fait l'objet d'une exception et une justification de l'entreprise a été fournie.
Avant de commencer
Assurez-vous de disposer des rôles suivants ou ajoutez les autorisations appropriées à un rôle personnalisé avant de surveiller les cas de non-conformité.
Rôle | Autorisations associées |
---|---|
Administrateur Assured Workloads (roles/assuredworkloads.admin ) |
|
Éditeur Assured Workloads (roles/assuredworkloads.editor ) |
|
Lecteur Assured Workloads (roles/assuredworkloads.reader ) |
|
De plus, pour corriger les cas de violation des règles d'administration et pour afficher les journaux d'audit, attribuez les rôles suivants à votre compte :
- Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin
) - Visionneuse de journaux (
roles/logging.viewer
)
Configurer les notifications par e-mail pour violation des règles
Lorsqu'une violation de conformité se produit ou est résolue ou qu'une exception est générée, les membres de la catégorie "Mentions légales" dans les Contacts essentiels reçoivent un e-mail. En effet, votre équipe juridique doit être informée des problèmes de conformité réglementaire.
Votre équipe qui gère les violations, qu'il s'agisse d'une équipe de sécurité ou autre, doit également être ajoutée à la catégorie "Service juridique". Cela signifie qu'elle reçoit également des notifications par e-mail à mesure que des modifications sont apportées.
Afficher les cas de violation des règles dans votre organisation
Vous pouvez afficher les violations dans votre organisation à la fois dans la console Google Cloud et dans la CLI gcloud.
Console
Vous pouvez rapidement consulter le nombre de violations dans votre organisation depuis la page Assured Workloads de la console Google Cloud.
Vous pouvez également cliquer sur le nom d'un dossier sur la page Assured Workloads pour afficher ses détails, qui fournissent un aperçu des cas de non-respect pour ce dossier particulier.
gcloud CLI
Pour répertorier les violations de conformité actuels dans votre organisation, exécutez la commande suivante :
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Où :
LOCATION est l'emplacement de l'environnement Assured Workloads.
ORGANIZATION_ID est l'ID d'organisation à interroger.
WORKLOAD_ID est l'ID de la charge de travail parent, que vous pouvez trouver en répertoriant vos charges de travail.
La réponse inclut les informations suivantes pour chaque cas de violation :
- Lien vers le journal d'audit de la violation.
- Première infraction.
- Le type de violation.
- Une description de l'infraction présumée
- Nom du cas de non-respect, qui peut être utilisé pour récupérer des informations supplémentaires.
- La règle d'administration concernée et la contrainte de règle associée.
- État actuel du non-respect. Les valeurs valides sont non résolu, résolu ou exception.
Pour les options facultatives, consultez la documentation du SDK Cloud.
Voir les détails des infractions
Pour afficher les violations de conformité spécifiques et leurs détails, procédez comme suit :
Console
Dans Google Cloud Console, accédez à la page Monitoring.
Facultatif : Pour afficher un dossier Assured Workloads spécifique, sélectionnez-le dans la liste Tous les dossiers.
Par défaut, tous les cas de non-respect dans l'environnement de charge de travail sélectionné sont visibles. Pour le modifier, sélectionnez un filtre dans la section Filtrer par catégorie.
Cliquez sur un ID de non-conformité pour obtenir des informations plus détaillées.
Sur la page Détails des violations, vous pouvez effectuer les tâches suivantes :
Copiez l'ID de violation des règles.
Affichez le dossier dans lequel la violation est survenue et l'heure de la première erreur de type
.Affichez la règle d'administration concernée.
Consultez le journal d'audit, qui inclut :
Le moment auquel la violation s'est produite.
quelle règle a été modifiée pour cause de non-respect des règles et quel utilisateur a effectué cette modification ;
Si une exception a été accordée, l'utilisateur qui l'a accordée.
Le cas échéant, affichez la ressource spécifique sur laquelle la violation s'est produite.
Suivez la procédure de résolution pour résoudre l'exception.
CLI gcloud
Pour afficher les détails d'une violation de conformité, exécutez la commande suivante :
gcloud assured workloads violations describe VIOLATION_PATH
Où VIOLATION_PATH est au format suivant :
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Le VIOLATION_PATH est renvoyé dans le champ name
de la réponse list pour chaque violation.
La réponse inclut les informations suivantes :
Lien vers le journal d'audit de la violation.
Première infraction.
Le type de violation.
Une description de l'infraction présumée.
La règle d'administration concernée et la contrainte de règle associée.
Procédure de résolution pour résoudre la violation.
État actuel du non-respect. Les valeurs valides sont
unresolved
,resolved
ouexception
.
Pour les options facultatives, consultez la documentation du SDK Cloud.
Résoudre les cas de violation
Pour résoudre un problème de violation, procédez comme suit :
Console
Dans Google Cloud Console, accédez à la page Monitoring.
Cliquez sur l'ID de violation pour afficher des informations plus détaillées.
Dans la section Solution, suivez les instructions de la console Google Cloud ou de la CLI pour résoudre le problème.
gcloud CLI
Affichez les détails de la violation à l'aide de gcloud CLI.
Suivez les étapes de résolution dans la réponse pour résoudre la violation.
Ajouter des exceptions de violation
Parfois, un cas de non-respect des règles peut s'appliquer à une situation particulière. Pour ajouter une exception pour une violation, procédez comme suit :
Console
Dans Google Cloud Console, accédez à la page Monitoring.
Dans la section Exception, cliquez sur Ajouter.
Saisissez une justification métier, cliquez sur Envoyer, puis confirmez l'exception.
L'état de violation est désormais Exception.
gcloud CLI
Pour ajouter une exception pour une violation, exécutez la commande suivante :
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Où BUSINESS_JUSTIFICATION correspond à la raison de l'exception et VIOLATION_PATH est au format suivant :
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Le VIOLATION_PATH est renvoyé dans le champ name
de la réponse list pour chaque violation.
Une fois la commande envoyée, l'état de violation est défini sur Exception.
Cas de non-respect surveillés
Assured Workloads surveille différentes infractions liées aux règles d'administration, en fonction du régime de conformité appliqué à votre dossier Assured Workloads.
Contrainte liée aux règles d'administration | Type de violation | Description | Régimes de conformité concernés |
---|---|---|---|
Accès non conforme aux données Cloud SQL | Accès |
Se produit lorsqu'un accès non conforme à des données de diagnostic Cloud SQL non conformes est autorisé. Cette violation est due à la modification de la valeur compliant du contrôle de la plate-forme pour la contrainte
| Régions et assistance dans l'UE |
Accès non conforme aux données Compute Engine | Accès |
Se produit lorsqu'un accès non conforme aux données de l'instance Compute Engine est autorisé. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte |
Régions et assistance dans l'UE |
Types d'authentification Cloud Storage non conformes | Accès |
Se produit lorsque les types d'authentification non conformes sont autorisés avec Cloud Storage. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte |
Régions et assistance dans l'UE |
Accès non conforme aux buckets Cloud Storage | Accès |
Se produit lorsque un accès non uniforme non conforme au niveau du bucket à Cloud Storage est autorisé. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte |
Régions et assistance dans l'UE |
Accès Web global IAP non conforme | Accès |
Se produit lorsque l'accès Web mondial non conforme à l'IAP est autorisé. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte |
Régions et assistance dans l'UE |
Accès non conforme aux données GKE | Accès |
Se produit lorsque l'accès aux données de diagnostic GKE non conformes est autorisé. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte
|
Régions et assistance dans l'UE |
Journalisation du port série Compute Engine non conforme | Configuration |
Se produit lorsque la journalisation du port série Compute Engine non conforme a été activée. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte |
Régions et assistance dans l'UE |
Fonctionnalités de diagnostic Compute Engine non conformes | Configuration |
Se produit lorsque les fonctionnalités de diagnostic de Compute Engine non conformes ont été activées. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte | Régions et assistance dans l'UE |
Paramètre SSL Compute Engine non conforme | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour les certificats autogérés au niveau mondial. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte
|
Régions et assistance dans l'UE
ITAR |
Paramètre SSH de Compute Engine non conforme dans les paramètres du navigateur | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour la fonctionnalité SSH dans le navigateur dans Compute Engine. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte |
Régions de l'UE et assistance pour les contrôles de souveraineté |
Création de ressources Cloud SQL non conformes | Configuration |
Se produit lorsque la création de ressources Cloud SQL non conformes est autorisée. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte |
Régions et assistance dans l'UE |
Restriction de clé Cloud KMS manquante | Chiffrement |
Se produit lorsqu'aucun projet n'est spécifié pour fournir des clés de chiffrement pour CMEK . Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte |
Régions de l'UE et assistance<\td> |
Service non CMEK non conforme | Chiffrement |
Se produit lorsqu'un service non compatible avec CMEK est activé pour la charge de travail. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte |
Régions et assistance dans l'UE |
Niveaux de protection Cloud KMS non conformes | Chiffrement |
Se produit lorsque des niveaux de protection non conformes sont spécifiés pour être utilisés avec Cloud Key Management Service (Cloud KMS). Pour en savoir plus, consultez la documentation de référence sur Cloud KMS . Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte |
Régions de l'UE et assistance pour les contrôles de souveraineté IL4/IL5 |
Emplacements des ressources non conformes | Emplacement de la ressource |
Se produit lorsque des ressources de services compatibles avec une commande Assured Workloads de la plate-forme sont créées en dehors de la région autorisée pour la charge de travail ou déplacées d'un emplacement autorisé vers un emplacement non autorisé.
Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte
|
Niveau d'impact modéré du FedRAMP Niveau d'impact élevé du FedRAMP CJIS IL4/IL5 Régions et assistance aux États-Unis HIPAA/HITRUST Régions et assistance dans l'UE |
Services non conformes | Utilisation du service |
Se produit lorsqu'un utilisateur active un service non compatible avec un contrôle de plateforme Assured Workloads donné dans un dossier Assured Workloads. Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte |
Niveau d'impact modéré du FedRAMP Niveau d'impact élevé du FedRAMP CJIS IL4/IL5 Régions et assistance aux États-Unis HIPAA/HITRUST Régions et assistance dans l'UE |
Étapes suivantes
- Comprendre les contrôles de plate-forme pour Assured Workloads.