Monitorar violações nas pastas do Assured Workloads
O Assured Workloads monitora ativamente as pastas do Assured Workloads em busca de violações de compliance comparando os requisitos do pacote de controle de uma pasta com os seguintes detalhes:
- Política da organização: cada pasta do Assured Workloads é configurada. com configurações específicas de restrição de políticas da organização que ajudam a garantir compliance. Quando essas configurações são alteradas de forma não compatível, um em caso de violação. Consulte a seção Violações da política da organização monitorada para mais informações.
- Recursos: dependendo das configurações da política da organização da pasta do Assured Workloads, os recursos abaixo dela podem ser restritos, como o tipo e o local. Consulte a Seção Violações de recursos monitorados para mais informações informações imprecisas ou inadequadas. Se algum recurso não estiver em conformidade, uma violação vai ocorrer.
Quando ocorre uma violação, você pode resolvê-la ou criar exceções para ela quando apropriado. Uma violação pode ter um dos três status a seguir:
- Não resolvida: a violação não foi resolvida ou foi concedida uma exceção antes que as mudanças não em conformidade fossem feitas na pasta ou no recurso.
- Resolvida: a violação foi resolvida seguindo as etapas para corrigir o problema.
- Exceção: uma exceção foi concedida à violação, e uma justificativa comercial foi informada.
O monitoramento do Assured Workloads é ativado automaticamente quando você cria uma pasta do Assured Workloads.
Antes de começar
Permissões e papéis do IAM exigidos
Para acessar violações de políticas ou de recursos da organização, você precisa ser receberam um papel do IAM na pasta do Assured Workloads que contém as seguintes permissões:
assuredworkloads.violations.get
assuredworkloads.violations.list
Essas permissões estão incluídas nos seguintes papéis do IAM para cargas de trabalho garantidas:
- Administrador do Assured Workloads (
roles/assuredworkloads.admin
) - Editor do Assured Workloads (
roles/assuredworkloads.editor
) - Leitor do Assured Workloads (
roles/assuredworkloads.reader
)
Para ativar o monitoramento de violação de recursos, você precisa receber uma função do IAM na pasta "Assured Workloads" que contenha as seguintes permissões:
assuredworkloads.workload.update
: esta permissão está incluída nos seguintes papéis:- Administrador do Assured Workloads (
roles/assuredworkloads.admin
) - Editor do Assured Workloads (
roles/assuredworkloads.editor
)
- Administrador do Assured Workloads (
resourcemanager.folders.setIamPolicy
: essa permissão está incluída em papéis administrativos, como estes:- Administrador da organização (
roles/resourcemanager.organizationAdmin
) - Administrador de segurança (
roles/iam.securityAdmin
)
- Administrador da organização (
Para conceder exceções a violações de conformidade, você precisa receber um Papel do IAM na pasta do Assured Workloads que contém a seguinte permissão:
assuredworkloads.violations.update
: esta permissão está incluída no os seguintes papéis:- Administrador do Assured Workloads (
roles/assuredworkloads.admin
) - Editor do Assured Workloads (
roles/assuredworkloads.editor
)
- Administrador do Assured Workloads (
Além disso, para resolver violações de políticas da organização e visualizar registros de auditoria, os seguintes papéis do IAM precisam ser concedidos:
- Administrador de políticas da organização (
roles/orgpolicy.policyAdmin
) - Visualizador de registros (
roles/logging.viewer
)
Configurar notificações por e-mail de violação
Quando ocorre uma violação de conformidade da organização ou é resolvida, ou quando um for feita uma exceção, os membros da categoria Jurídico em Os Contatos essenciais são enviados por e-mail por padrão. Esse comportamento é necessário porque sua equipe jurídica precisa e ficar por dentro de qualquer problema de conformidade regulatória.
Sua equipe que gerencia as violações, seja uma equipe de segurança ou caso contrário, também devem ser adicionados à categoria "Jurídico" como contatos. Isso garante que as notificações por e-mail sejam enviadas à medida que as mudanças ocorrem.
Ativar ou desativar as notificações
Para ativar ou desativar notificações para um Assured Workloads específico pasta:
Acesse a página Assured Workloads no console do Google Cloud:
Na coluna Nome, clique no nome da pasta "Assurred Workloads" cujas configurações de notificação você quer mudar.
No card Monitoramento do Assured Workloads, limpe a Ativar notificações para desativá-las ou selecioná-las para ativar as notificações da pasta.
Na página Pastas do Assured Workloads, as pastas com notificações desativadas mostram
Notificações por e-mail do monitoramento desativadas.Acessar violações na sua organização
É possível acessar violações em toda a organização no console do Google Cloud e na CLI gcloud.
Console
É possível ver quantas violações existem na sua organização no página Assured Workloads da seção Compliance do o console do Google Cloud ou a página Monitoramento em Compliance nesta seção.
Página do Assured Workloads
Acesse a página Assured Workloads para ver um resumo das violações:
Na parte de cima da página, há um resumo das violações da política da organização e as violações de recursos são exibidas. Clique no link Ver para acessar a página Monitoramento.
Para cada pasta Assured Workloads na lista, todas as violações são mostradas nas colunas Violações da política da organização e Violações de recursos. As violações não resolvidas têm o O ícone mais detalhes.
está ativo, e as exceções têm o O ícone está ativo. Você pode selecionar uma violação ou exceção para conferirSe o monitoramento de violações de recursos não estiver ativado em uma pasta, o O ícone
está ativo nas Atualizações com um link Ativar monitoramento de violações de recursos. Clique no link para ativar o recurso. Também é possível ativar clicando no botão Ativar na página de detalhes da pasta Assured Workloads.Página de monitoramento
Acesse a página Monitoramento para conferir mais detalhes sobre as violações:
Duas guias são exibidas: Violações da política da organização e Violações de Recursos. Se houver mais de uma violação não resolvida, o O ícone
está ativo na guia.Em qualquer uma das guias, as violações não resolvidas são mostradas por padrão. Consulte a seção Conferir detalhes da violação abaixo para mais informações.
CLI da gcloud
Para listar as violações de compliance atuais na sua organização, execute o seguinte comando:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Em que:
LOCATION é o local do a pasta do Assured Workloads.
ORGANIZATION_ID é o ID da organização a ser consultado.
WORKLOAD_ID é o ID da carga de trabalho mãe, que pode ser encontrado listando suas cargas de trabalho.
A resposta inclui as seguintes informações para cada violação:
- Um link do registro de auditoria para a violação.
- A primeira vez que ocorreu a violação.
- O tipo de violação.
- Uma descrição da violação.
- Nome da violação, que pode ser usado para recuperar mais detalhes.
- A política da organização afetada e a restrição da política relacionada.
- O estado atual da violação. Os valores válidos são: não resolvidos, resolvidos ou exceção.
Para sinalizações opcionais, consulte a Documentação do SDK Cloud.
Mostrar detalhes da violação
Para acessar violações de compliance específicas e os detalhes delas, siga estas etapas:
Console
No Console do Google Cloud, acesse a página Monitoring.
Na página Monitoramento, a guia Violações da política da organização está selecionadas por padrão. Essa guia mostra todas as violações de política da organização não resolvidas nas pastas do Assured Workloads na organização.
A guia Resource Violations mostra todas as violações não resolvidas associadas ao recurso em todas as pastas do Assured Workloads na organização.
Em qualquer uma das guias, use as opções de Filtros rápidos para filtrar por status de violação, tipo de violação, tipo de pacote de controle, pastas específicas, restrições de política da organização ou tipos de recurso específicos.
Para qualquer guia, se houver violações, clique em um ID de violação para acessar informações mais detalhadas.
Na página Detalhes da violação, é possível realizar as seguintes tarefas:
Copie o ID da violação.
Confira a pasta do Assured Workloads em que a violação ocorreu e a hora em que ela ocorreu.
Confira o registro de auditoria, que inclui:
Quando ocorreu a violação.
Qual política foi modificada para causar a violação e qual usuário realizou essa modificação.
Se uma exceção foi concedida, qual usuário a concedeu.
Quando aplicável, confira o recurso específico em que a violação ocorreu.
Confira a política da organização afetada.
Acesse e adicione exceções de violação de compliance. Uma lista de exceções anteriores para a pasta ou o recurso é mostrada, incluindo o usuário que concedeu a exceção e a justificativa fornecida pelo usuário.
- Siga as etapas de correção para resolver a exceção.
Para violações de políticas da organização, também é possível verificar o seguinte:
- Política da organização afetada: para conferir a política específica associada à violação de compliance, clique em Ver política.
- Violações de recursos filhos: as violações de políticas da organização com base em recursos podem causar violações de recursos filhos. Para conferir ou resolver violações de recursos filhosos, clique no ID da violação.
Para violações de recursos, você também pode conferir o seguinte:
- Violações da política da organização mãe: quando a política da organização mãe forem a causa de uma violação de recurso filho, elas precisam ser no nível dos pais. Para conferir os detalhes da violação principal, clique em Ver violação.
- Todas as outras violações no recurso específico que está causando a violação do recurso também são visíveis.
CLI da gcloud
Para acessar os detalhes de uma violação de compliance, execute o seguinte comando:
gcloud assured workloads violations describe VIOLATION_PATH
Em que VIOLATION_PATH está no seguinte formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
O VIOLATION_PATH é retornado no campo name
da resposta da lista para cada violação.
A resposta inclui as seguintes informações:
Um link do registro de auditoria para a violação.
A primeira vez que ocorreu a violação.
O tipo de violação.
Uma descrição da violação.
A política da organização afetada e a restrição da política relacionada.
Etapas de correção para resolver a violação.
O estado atual da violação. Os valores válidos são
unresolved
,resolved
ouexception
.
Para acessar sinalizações opcionais, consulte a documentação do SDK do Cloud.
Resolver violações
Para corrigir uma violação, siga estas etapas:
Console
No Console do Google Cloud, acesse a página Monitoring.
Clique no ID da violação para acessar informações mais detalhadas.
Na seção Corrigir, siga as instruções do console do Google Cloud ou da CLI para resolver o problema.
CLI da gcloud
Siga as etapas de correção na resposta para resolver a violação.
Adicionar exceções de violação
Às vezes, uma violação é válida para uma situação específica. Você pode adicionar um ou mais exceções para uma violação completando as etapas a seguir.
Console
No Console do Google Cloud, acesse a página Monitoring.
Na coluna ID da violação, clique na violação para adicionar a exceção.
Na seção Exceções, clique em Adicionar novo.
Insira uma justificativa comercial para a exceção. Se você quiser que a ser aplicada a todos os recursos filhos, selecione a Aplicar a todas as violações de recursos filhos atuais e clique na caixa de seleção Envie.
Para adicionar outras exceções, repita essas etapas e clique em Adicionar novo.
Agora o status da violação está definido como Exceção.
CLI da gcloud
Para adicionar uma exceção a uma violação, execute o seguinte comando:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Em que BUSINESS_JUSTIFICATION é o motivo da exceção e VIOLATION_PATH está no seguinte formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
O VIOLATION_PATH é retornado no campo name
da resposta da lista para cada violação.
Depois de enviar o comando, o status da violação é definido como Exceção.
Violações da política da organização monitoradas
O Assured Workloads monitora diferentes restrições de políticas da organização violações, dependendo do pacote de controle aplicado aos pasta do Assured Workloads. Use a lista a seguir para filtrar as violações pelo pacote de controle afetado.
Restrição da política da organização | Tipo de violação | Descrição | Pacotes de controle afetados | |||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Acesso sem compliance aos dados do Cloud SQL | Acesso |
Isso ocorre quando o acesso sem compliance a dados de diagnóstico do Cloud SQL que não estão em compliance é permitido. Essa violação é causada pela mudança do valor
em conformidade do pacote de controle da restrição
|
|
|||||||||||||||||||||||||||||||||||
Acesso sem compliance aos dados do Compute Engine | Acesso |
Ocorre quando o acesso à instância do Compute Engine não está em conformidade são permitidos. Essa violação é causada pela alteração do código
valor compatível para o valor
|
|
|||||||||||||||||||||||||||||||||||
Tipos de autenticação do Cloud Storage não compatíveis | Acesso |
Ocorre quando tipos de autenticação não compatíveis podem ser usados com o Cloud Storage. Essa violação é causada pela alteração do código
valor compatível para o atributo |
|
|||||||||||||||||||||||||||||||||||
Acesso sem compliance aos buckets do Cloud Storage | Acesso |
Ocorre quando acesso não uniforme no nível do bucket e não compatível com Cloud Storage é permitido. Essa violação é causada pela mudança do valor
de conformidade do pacote de controle para a
restrição |
|
|||||||||||||||||||||||||||||||||||
Acesso sem compliance aos dados do GKE | Acesso |
Isso ocorre quando o acesso sem compliance aos dados de diagnóstico do GKE é permitido. Essa violação é causada pela mudança do valor
de conformidade do pacote de controle para a restrição
|
|
|||||||||||||||||||||||||||||||||||
Recursos de diagnóstico do Compute Engine não compatíveis | Configuração |
Isso ocorre quando os recursos de diagnóstico do Compute Engine sem compliance são ativados. Essa violação é causada pela mudança do valor
de conformidade do pacote de controle para a
restrição |
|
|||||||||||||||||||||||||||||||||||
Configuração de balanceamento de carga global do Compute Engine sem compliance | Configuração |
Ocorre quando um valor que não está em compliance é definido para o balanceamento de carga global no Compute Engine. Essa violação é causada pela alteração do código
valor compatível para o valor
|
|
|||||||||||||||||||||||||||||||||||
Configuração do FIPS do Compute Engine sem compliance | Configuração |
Ocorre quando um valor incompatível é definido para a configuração dos FIPS no Compute Engine. Essa violação é causada pela alteração do código
valor compatível para o atributo |
|
|||||||||||||||||||||||||||||||||||
Configuração de SSL do Compute Engine sem compliance | Configuração |
Ocorre quando um valor que não está em compliance é definido para certificados autogerenciados globais. Essa violação é causada pela mudança do valor
de conformidade do pacote de controle para a restrição
|
|
|||||||||||||||||||||||||||||||||||
SSH do Compute Engine sem compliance na configuração do navegador | Configuração |
Isso ocorre quando um valor que não está em compliance é definido para o recurso SSH no navegador no Compute Engine. Essa violação é causada pela alteração do código
valor compatível para o atributo |
|
|||||||||||||||||||||||||||||||||||
Criação de recursos do Cloud SQL sem compliance | Configuração |
Ocorre quando a criação de recursos do Cloud SQL não compatível é permitido. Essa violação é causada pela alteração do código
valor compatível para o valor
|
|
|||||||||||||||||||||||||||||||||||
Restrição de chave do Cloud KMS ausente | Encryption |
Ocorre quando nenhum projeto é especificado para fornecer chaves de criptografia de CMEK . Essa violação é causada pela alteração do código
valor compatível para o atributo |
|
|||||||||||||||||||||||||||||||||||
Serviço de CMEK não ativado sem compliance | Encryption |
Ocorre quando um serviço que não oferece suporte CMEK está ativado para a carga de trabalho. Essa violação é causada pela mudança do valor
de conformidade do pacote de controle para a restrição
|
|
|||||||||||||||||||||||||||||||||||
Níveis de proteção do Cloud KMS sem compliance | Encryption |
Ocorre quando níveis de proteção não compatíveis são especificados para uso com o Cloud Key Management Service (Cloud KMS). Consulte a referência do Cloud KMS para mais informações. Essa violação é causada pela mudança do valor
de conformidade do pacote de controle para a restrição
|
|
|||||||||||||||||||||||||||||||||||
Locais dos recursos que não estão em conformidade | Local do recurso |
Ocorre quando os recursos dos serviços com suporte para um determinado O pacote de controle do Assured Workloads é criado fora da região permitida para a carga de trabalho ou movidos de um local permitido para um local não permitido.
Essa violação é causada pela alteração do código
valor compatível para o valor
|
|
|||||||||||||||||||||||||||||||||||
Serviços que não estão em compliance | Service Usage |
Ocorre quando um usuário ativa um serviço que não tem suporte de uma o pacote de controle do Assured Workloads em uma pasta do Assured Workloads. Essa violação é causada pela alteração do código
valor compatível para o atributo |
|
Violações de recursos monitorados
O Assured Workloads monitora diferentes violações de recursos, dependendo o pacote de controle aplicado à sua pasta do Assured Workloads. Para saber quais tipos de recursos são monitorados, consulte Tipos de recursos compatíveis na documentação do Inventário de recursos do Cloud. Use a lista a seguir para filtrar pelo pacote de controle afetado:
Restrição da política da organização | Descrição | Pacotes de controle afetados | |||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Local do recurso que não está em conformidade |
Ocorre quando o local de um recurso está em uma região sem compliance. Essa violação é causada pela restrição
|
|
|||||||||||||||||||||||||||||||||||
Recursos que não estão em conformidade na pasta |
Ocorre quando um recurso de um serviço sem suporte é criado na pasta Assured Workloads. Essa violação é causada pelo
|
|
|||||||||||||||||||||||||||||||||||
Recursos não criptografados (sem CMEK) |
Ocorre quando um recurso é criado sem criptografia CMEK para um serviço que exige essa criptografia. Essa violação é causada pela restrição
|
|
A seguir
- Entenda os pacotes de controle para o Assured Workloads.
- Saiba quais produtos têm suporte para cada pacote de controle.