Memantau folder Assured Workloads untuk mengetahui adanya pelanggaran

Assured Workloads secara aktif memantau folder Assured Workloads Anda untuk mengetahui apakah ada pelanggaran kepatuhan dengan membandingkan persyaratan paket kontrol folder dengan detail berikut:

Kebijakan organisasi: Setiap folder Assured Workloads dikonfigurasi dengan setelan batasan kebijakan organisasi tertentu yang membantu memastikan kepatuhan. Jika setelan ini diubah dengan cara yang tidak mematuhi kebijakan, pelanggaran akan terjadi. Lihat bagian Pelanggaran kebijakan organisasi yang dipantau untuk informasi selengkapnya.
Resource: Bergantung pada setelan kebijakan organisasi folder Assured Workloads Anda, resource di bawah folder dapat dibatasi, seperti jenis dan lokasinya. Lihat bagian Pelanggaran resource yang dimonitor untuk informasi selengkapnya. Jika ada resource yang tidak mematuhi kebijakan, pelanggaran akan terjadi.

Jika terjadi pelanggaran, Anda dapat mengatasinya atau membuat pengecualian untuk pelanggaran tersebut jika perlu. Pelanggaran dapat memiliki salah satu dari tiga status:

Belum diselesaikan: Pelanggaran belum ditangani.
Terselesaikan: Pelanggaran telah ditangani dengan mengikuti langkah-langkah untuk memperbaiki masalah tersebut.
Pengecualian: Pelanggaran telah diberi pengecualian, dan alasan bisnis telah diberikan.

Pemantauan Assured Workloads otomatis diaktifkan saat Anda membuat folder Assured Workloads.

Sebelum memulai

Peran dan izin IAM yang diperlukan

Untuk melihat pelanggaran kebijakan organisasi atau pelanggaran resource, Anda harus diberi peran IAM di folder Assured Workloads yang berisi izin berikut:

assuredworkloads.violations.get
assuredworkloads.violations.list

Izin ini tercakup dalam peran IAM Assured Workloads berikut:

Administrator Assured Workloads (roles/assuredworkloads.admin)
Editor Assured Workloads (roles/assuredworkloads.editor)
Pembaca Assured Workloads (roles/assuredworkloads.reader)

Untuk mengaktifkan pemantauan pelanggaran resource, Anda harus diberi peran IAM di folder Assured Workloads yang berisi izin berikut:

assuredworkloads.workload.update: Izin ini disertakan dalam peran berikut:
- Administrator Assured Workloads (roles/assuredworkloads.admin)
- Editor Assured Workloads (roles/assuredworkloads.editor)
resourcemanager.folders.setIamPolicy: Izin ini disertakan dalam peran administratif, seperti berikut:
- Administrator Organisasi (roles/resourcemanager.organizationAdmin)
- Admin Keamanan (roles/iam.securityAdmin)

Untuk memberikan pengecualian atas pelanggaran kepatuhan, Anda harus diberi peran IAM di folder Assured Workloads yang berisi izin berikut:

assuredworkloads.violations.update: Izin ini disertakan dalam peran berikut:
- Administrator Assured Workloads (roles/assuredworkloads.admin)
- Editor Assured Workloads (roles/assuredworkloads.editor)

Selain itu, untuk mengatasi pelanggaran kebijakan organisasi dan melihat log audit, peran IAM berikut harus diberikan:

Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin)
Viewer Log (roles/logging.viewer)

Siapkan notifikasi email pelanggaran

Jika pelanggaran kepatuhan organisasi terjadi atau diselesaikan, atau saat pengecualian dibuat, anggota kategori Hukum di Kontak Penting akan dikirimi email secara default. Perilaku ini diperlukan karena tim hukum Anda harus terus menerima informasi terbaru terkait masalah kepatuhan terhadap peraturan.

Tim Anda yang mengelola pelanggaran, baik tim keamanan maupun lainnya, juga harus ditambahkan ke kategori Hukum sebagai kontak. Hal ini memastikan bahwa mereka dikirimi notifikasi email saat terjadi perubahan.

Mengaktifkan atau menonaktifkan notifikasi

Guna mengaktifkan atau menonaktifkan notifikasi untuk folder Assured Workloads tertentu:

Buka halaman Assured Workloads di Konsol Google Cloud:

Buka Assured Workloads
Di kolom Name, klik nama folder Assured Workloads yang setelan notifikasinya ingin Anda ubah.
Di kartu Assured Workloads Monitoring, hapus centang pada kotak Enable notifications untuk menonaktifkan notifikasi, atau pilih untuk mengaktifkan notifikasi untuk folder tersebut.

Di halaman Assured Workloads folder, folder yang notifikasinya dinonaktifkan akan menampilkan Monitoring email notifications disabled.

Melihat pelanggaran di organisasi Anda

Anda dapat melihat pelanggaran di seluruh organisasi baik di Google Cloud Console maupun gcloud CLI.

Konsol

Anda dapat melihat jumlah pelanggaran yang ada di seluruh organisasi Anda di halaman Assured Workloads di bagian Kepatuhan pada Konsol Google Cloud atau halaman Monitoring di bagian Kepatuhan.

Halaman Assured Workloads

Buka halaman Assured Workloads untuk melihat sekilas pelanggaran:

Buka Assured Workloads

Di bagian atas halaman, ringkasan pelanggaran kebijakan organisasi dan pelanggaran resource akan ditampilkan. Klik link View untuk membuka halaman Monitoring.

Untuk setiap folder Assured Workloads dalam daftar, semua pelanggaran akan ditampilkan di kolom Pelanggaran kebijakan Org dan Pelanggaran resource. Pelanggaran yang belum terselesaikan memiliki ikon aktif, dan pengecualian memiliki ikon aktif. Anda dapat memilih pelanggaran atau pengecualian untuk melihat detail selengkapnya.

Jika pemantauan pelanggaran resource tidak diaktifkan pada folder, ikon akan aktif di kolom Updates dengan link Aktifkan pemantauan pelanggaran Resource. Klik link untuk mengaktifkan fitur tersebut. Anda juga dapat mengaktifkannya dengan mengklik tombol Enable di halaman detail folder Assured Workloads.

Halaman Pemantauan

Buka halaman Monitoring untuk melihat pelanggaran secara lebih mendetail:

Buka Monitoring

Dua tab ditampilkan: Pelanggaran Kebijakan Organisasi dan Pelanggaran Resource. Jika ada lebih dari satu pelanggaran yang belum terselesaikan, ikon akan aktif di tab.

Di kedua tab, pelanggaran yang belum terselesaikan akan ditampilkan secara default. Lihat bagian Melihat detail pelanggaran di bawah untuk informasi selengkapnya.

gcloud CLI

Untuk menampilkan daftar pelanggaran kepatuhan saat ini di organisasi Anda, jalankan perintah berikut:

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

Dengan keterangan:

LOCATION adalah lokasi folder Assured Workloads.
ORGANIZATION_ID adalah ID organisasi yang akan dikueri.
WORKLOAD_ID adalah ID beban kerja induk, yang dapat ditemukan dengan mendaftarkan beban kerja Anda.

Respons tersebut menyertakan informasi berikut untuk setiap pelanggaran:

Link log audit untuk pelanggaran.
Pertama kali pelanggaran terjadi.
Jenis pelanggaran.
Deskripsi pelanggaran.
Nama pelanggaran, yang dapat digunakan untuk mengambil detail selengkapnya.
Kebijakan organisasi yang terpengaruh, dan batasan kebijakan terkait.
Status pelanggaran saat ini. Nilai yang valid adalah nilai yang belum terselesaikan, di-resolve, atau pengecualian.

Untuk flag opsional, lihat dokumentasi Cloud SDK.

Lihat detail pelanggaran

Untuk melihat pelanggaran kepatuhan tertentu dan detailnya, selesaikan langkah-langkah berikut:

Konsol

Di konsol Google Cloud, buka halaman Monitoring.

Buka Monitoring

Di halaman Monitoring, tab Organization Policy Pelanggarans dipilih secara default. Tab ini menampilkan semua pelanggaran kebijakan organisasi yang belum terselesaikan di seluruh folder Assured Workloads di organisasi.

Tab Resource Pelanggarans menampilkan semua pelanggaran yang belum terselesaikan terkait resource di semua folder Assured Workloads dalam organisasi.
Untuk salah satu tab, gunakan opsi Filter cepat untuk memfilter berdasarkan status pelanggaran, jenis pelanggaran, jenis paket kontrol, jenis pelanggaran, folder tertentu, batasan kebijakan organisasi tertentu, atau jenis resource tertentu.
Untuk kedua tab, jika sudah terdapat pelanggaran, klik ID pelanggaran untuk melihat informasi yang lebih mendetail.

Dari halaman Detail pelanggaran, Anda dapat melakukan tugas berikut:

Salin ID pelanggaran.
Lihat folder Assured Workloads tempat pelanggaran terjadi, dan waktu terjadinya pertama kali.
Lihat log audit, yang mencakup:
- Waktu pelanggaran terjadi.
- Kebijakan mana yang diubah dan menyebabkan pelanggaran, dan pengguna yang membuat perubahan tersebut.
- Jika pengecualian diberikan, pengguna mana yang memberikan pengecualian.
- Jika ada, lihat referensi spesifik tempat pelanggaran terjadi.
Lihat kebijakan organisasi yang terpengaruh.
Melihat dan menambahkan pengecualian pelanggaran kepatuhan.
Ikuti langkah-langkah perbaikan untuk menyelesaikan pengecualian.

Untuk pelanggaran kebijakan organisasi, Anda juga dapat melihat hal berikut:

Kebijakan organisasi yang terpengaruh: Untuk melihat kebijakan tertentu yang terkait dengan pelanggaran kepatuhan, klik Lihat Kebijakan.
Pelanggaran resource turunan: Pelanggaran kebijakan organisasi berbasis resource dapat menyebabkan pelanggaran resource turunan. Untuk melihat atau menyelesaikan pelanggaran resource turunan, klik ID Pelanggaran.

Untuk pelanggaran resource, Anda juga dapat melihat hal berikut:

Pelanggaran kebijakan organisasi induk: Jika pelanggaran kebijakan organisasi induk adalah penyebab pelanggaran resource turunan, pelanggaran tersebut harus ditangani di tingkat induk. Untuk melihat detail pelanggaran induk, klik Lihat Pelanggaran.
Pelanggaran lain pada resource tertentu yang saat ini menyebabkan pelanggaran resource juga dapat dilihat.

gcloud CLI

Untuk melihat detail pelanggaran kepatuhan, jalankan perintah berikut:

gcloud assured workloads violations describe VIOLATION_PATH

Dengan VIOLATION_PATH dalam format berikut:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

VIOLATION_PATH ditampilkan dalam kolom name respons daftar untuk setiap pelanggaran.

Respons mencakup informasi berikut:

Link log audit untuk pelanggaran.
Pertama kali pelanggaran terjadi.
Jenis pelanggaran.
Deskripsi pelanggaran.
Kebijakan organisasi yang terpengaruh, dan batasan kebijakan terkait.
Langkah-langkah perbaikan untuk menyelesaikan pelanggaran.
Status pelanggaran saat ini. Nilai yang valid adalah unresolved, resolved, atau exception.

Untuk flag opsional, lihat dokumentasi Cloud SDK.

Selesaikan pelanggaran

Untuk memperbaiki pelanggaran, selesaikan langkah-langkah berikut:

Konsol

Di konsol Google Cloud, buka halaman Monitoring.

Buka Monitoring
Klik ID pelanggaran untuk melihat informasi yang lebih mendetail.
Di bagian Perbaikan, ikuti petunjuk untuk Google Cloud Console atau CLI guna mengatasi masalah tersebut.

gcloud CLI

Lihat detail pelanggaran menggunakan gcloud CLI.
Ikuti langkah-langkah perbaikan dalam respons untuk menyelesaikan pelanggaran.

Tambahkan pengecualian pelanggaran

Terkadang pelanggaran mungkin valid untuk situasi tertentu. Anda dapat menambahkan satu atau beberapa pengecualian untuk pelanggaran dengan menyelesaikan langkah-langkah berikut:

Konsol

Di konsol Google Cloud, buka halaman Monitoring.

Buka Monitoring
Di kolom ID Pelanggaran, klik pelanggaran yang ingin Anda tambahi pengecualian.
Di bagian Pengecualian, klik Add New.
Masukkan justifikasi bisnis untuk pengecualian tersebut. Jika Anda ingin pengecualian berlaku untuk semua resource turunan, centang kotak Terapkan ke semua pelanggaran resource turunan yang ada, lalu klik Kirim.
Anda dapat menambahkan pengecualian lain yang diperlukan dengan mengulangi langkah-langkah ini dan mengklik Add New.

Status pelanggaran sekarang disetel ke Pengecualian.

gcloud CLI

Untuk menambahkan pengecualian atas pelanggaran, jalankan perintah berikut:

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

Dengan BUSINESS_JUSTIFICATION adalah alasan pengecualian, dan VIOLATION_PATH memiliki format berikut:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

VIOLATION_PATH ditampilkan dalam kolom name respons daftar untuk setiap pelanggaran.

Setelah berhasil mengirim perintah, status pelanggaran akan ditetapkan ke Exception.

Pelanggaran kebijakan organisasi yang dipantau

Assured Workloads memantau berbagai pelanggaran batasan kebijakan organisasi, bergantung pada paket kontrol yang diterapkan ke folder Assured Workloads Anda. Gunakan daftar berikut untuk memfilter pelanggaran menurut paket kontrolnya yang terpengaruh.

Batasan kebijakan organisasi Jenis pelanggaran Deskripsi Paket kontrol yang terpengaruh

Akses yang tidak mematuhi kebijakan ke data Cloud SQL

Akses

Terjadi saat akses yang tidak mematuhi kebijakan ke data diagnostik Cloud SQL yang tidak mematuhi kebijakan diizinkan.

Pelanggaran ini disebabkan oleh perubahan nilai yang sesuai pada paket kontrol untuk batasan sql.restrictNoncompliantDiagnosticDataAccess .


Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan

Akses yang tidak mematuhi kebijakan ke data Compute Engine

Akses

Terjadi saat akses yang tidak mematuhi kebijakan ke data instance Compute Engine diizinkan.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan compute.disableInstanceDataAccessApis.


CJIS
Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan
ITAR

Jenis autentikasi Cloud Storage yang tidak mematuhi kebijakan

Akses

Terjadi saat jenis autentikasi yang tidak mematuhi kebijakan diizinkan untuk digunakan dengan Cloud Storage.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan storage.restrictAuthTypes.


Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan

Akses yang tidak mematuhi kebijakan ke bucket Cloud Storage

Akses

Terjadi saat akses level bucket tidak seragam yang tidak mematuhi kebijakan ke Cloud Storage diizinkan.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan storage.uniformBucketLevelAccess.


Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan

Akses yang tidak mematuhi kebijakan ke data GKE

Akses

Terjadi saat akses yang tidak mematuhi kebijakan ke data diagnostik GKE diizinkan.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan container.restrictNoncompliantDiagnosticDataAccess.


Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan
IL4
IL5
ITAR

Fitur diagnostik Compute Engine yang tidak mematuhi kebijakan

Konfigurasi

Terjadi saat fitur diagnostik Compute Engine yang tidak mematuhi kebijakan diaktifkan.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan compute.enableComplianceMemoryProtection.


Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan
ITAR

Setelan load balancing global Compute Engine yang tidak mematuhi kebijakan

Konfigurasi

Terjadi saat nilai yang tidak mematuhi kebijakan telah ditetapkan untuk setelan load balancing global di Compute Engine.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan compute.disableGlobalLoadBalancing.


ITAR

Setelan FIPS Compute Engine yang tidak mematuhi kebijakan

Konfigurasi

Terjadi saat nilai yang tidak mematuhi kebijakan telah ditetapkan untuk setelan FIPS di Compute Engine.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan compute.disableNonFIPSMachineTypes.


ITAR

Setelan SSL Compute Engine yang tidak mematuhi kebijakan

Konfigurasi

Terjadi saat nilai yang tidak mematuhi kebijakan telah ditetapkan untuk sertifikat yang dikelola sendiri secara global.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan compute.disableGlobalSelfManagedSslCertificate.


ITAR

SSH Compute Engine yang tidak mematuhi kebijakan di setelan browser

Konfigurasi

Terjadi saat nilai yang tidak mematuhi kebijakan telah ditetapkan untuk SSH di fitur browser di Compute Engine.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan compute.disableSshInBrowser.


Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan

Pembuatan resource Cloud SQL yang tidak mematuhi kebijakan

Konfigurasi

Terjadi saat pembuatan resource Cloud SQL yang tidak mematuhi diizinkan.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan sql.restrictNoncompliantResourceCreation.


Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan

Pembatasan kunci Cloud KMS tidak ada

Enkripsi

Terjadi saat tidak ada project yang ditentukan guna memberikan kunci enkripsi untuk CMEK .

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan gcp.restrictCmekCryptoKeyProjects, yang membantu mencegah folder atau project yang tidak disetujui menyediakan kunci enkripsi.


Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan
ITAR
CJIS

Layanan yang tidak mematuhi kebijakan non-CMEK

Enkripsi

Terjadi saat layanan yang tidak mendukung CMEK diaktifkan untuk workload.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan gcp.restrictNonCmekServices.


Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan
ITAR
CJIS

Level perlindungan Cloud KMS yang tidak mematuhi kebijakan

Enkripsi

Terjadi saat tingkat perlindungan yang tidak mematuhi kebijakan ditentukan untuk digunakan dengan Cloud Key Management Service (Cloud KMS). Baca referensi Cloud KMS untuk mengetahui informasi selengkapnya.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan cloudkms.allowedProtectionLevels.


Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan

Lokasi resource yang tidak mematuhi kebijakan

Lokasi resource

Terjadi saat resource layanan yang didukung untuk paket kontrol Assured Workloads tertentu dibuat di luar region yang diizinkan untuk workload atau dipindahkan dari lokasi yang diizinkan ke lokasi yang tidak diizinkan.

Pelanggaran ini disebabkan oleh perubahan nilai yang sesuai pada paket kontrol untuk batasan gcp.resourceLocations .


Wilayah Australia dengan Dukungan Terjamin
Dilindungi B. Kanada
Dukungan dan Region Kanada
CJIS
Region dan Dukungan Uni Eropa
Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan
FedRAMP Menengah
FedRAMP Tinggi
HIPAA (Pratinjau)
HITRUST (Pratinjau)
IL4
IL5
Region dan Dukungan Israel
ITAR
Region Jepang
Dukungan dan Region Amerika Serikat

Layanan yang tidak mematuhi kebijakan

Service usage

Terjadi saat pengguna mengaktifkan layanan yang tidak didukung oleh paket kontrol Assured Workloads tertentu di folder Assured Workloads.

Pelanggaran ini disebabkan oleh perubahan nilai paket kontrol yang sesuai untuk batasan gcp.restrictServiceUsage.


Wilayah Australia dengan Dukungan Terjamin
Dilindungi B. Kanada
Dukungan dan Region Kanada
CJIS
Region dan Dukungan Uni Eropa
Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan
FedRAMP Menengah
FedRAMP Tinggi
HIPAA (Pratinjau)
HITRUST (Pratinjau)
IL4
IL5
Region dan Dukungan Israel
ITAR
Region Jepang
Dukungan dan Region Amerika Serikat

Pelanggaran resource yang dipantau

Assured Workloads memantau berbagai pelanggaran resource, bergantung pada paket kontrol yang diterapkan ke folder Assured Workloads Anda. Gunakan daftar berikut untuk memfilter pelanggaran menurut paket kontrolnya yang terpengaruh:

Batasan kebijakan organisasi Deskripsi Paket kontrol yang terpengaruh

Lokasi resource yang tidak mematuhi kebijakan

Terjadi saat lokasi resource berada di wilayah yang tidak mematuhi kebijakan.

Pelanggaran ini disebabkan oleh batasan gcp.resourceLocations .


Wilayah Australia dengan Dukungan Terjamin
Dilindungi B. Kanada
Dukungan dan Region Kanada
CJIS
Region dan Dukungan Uni Eropa
Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan
FedRAMP Menengah
FedRAMP Tinggi
HIPAA (Pratinjau)
HITRUST (Pratinjau)
IL4
IL5
Region dan Dukungan Israel
ITAR
Region Jepang
Dukungan dan Region Amerika Serikat

Resource yang tidak mematuhi kebijakan dalam folder

Terjadi saat resource untuk layanan yang tidak didukung dibuat di folder Assured Workloads.

Pelanggaran ini disebabkan oleh batasan gcp.restrictServiceUsage .


Wilayah Australia dengan Dukungan Terjamin
Dilindungi B. Kanada
Dukungan dan Region Kanada
CJIS
Region dan Dukungan Uni Eropa
Dukungan dan Region Uni Eropa dengan Kontrol Kedaulatan
FedRAMP Menengah
FedRAMP Tinggi
HIPAA (Pratinjau)
HITRUST (Pratinjau)
IL4
IL5
Region dan Dukungan Israel
ITAR
Region Jepang
Dukungan dan Region Amerika Serikat

Langkah selanjutnya

Pahami paket kontrol untuk Assured Workloads.
Pelajari produk yang didukung untuk setiap paket kontrol.