Surveiller un dossier Assured Workloads pour détecter les violations

Assured Workloads surveille les contraintes de règle d'administration d'un régime de conformité et signale une violation si une modification apportée à une ressource est non conforme. Vous pouvez ensuite résoudre ces cas de non-respect ou créer des exceptions pour ces cas, le cas échéant.

Une violation des règles peut avoir l'un des trois états suivants :

Avant de commencer

Assurez-vous de disposer des rôles suivants ou ajoutez les autorisations appropriées à un rôle personnalisé avant de surveiller les cas de non-conformité.

Rôle Autorisations associées
Administrateur Assured Workloads (roles/assuredworkloads.admin)
  • assuredworkloads.violations.get
  • assuredworkloads.violations.list
  • assuredworkloads.violations.update
Éditeur Assured Workloads (roles/assuredworkloads.editor)
  • assuredworkloads.violations.get
  • assuredworkloads.violations.list
  • assuredworkloads.violations.update
Lecteur Assured Workloads (roles/assuredworkloads.reader)
  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

De plus, pour corriger les cas de violation des règles d'administration et pour afficher les journaux d'audit, attribuez les rôles suivants à votre compte :

  • Administrateur des règles d'administration (roles/orgpolicy.policyAdmin)
  • Visionneuse de journaux (roles/logging.viewer)

Configurer les notifications par e-mail pour violation des règles

Lorsqu'une violation de conformité se produit ou est résolue ou qu'une exception est générée, les membres de la catégorie "Mentions légales" dans les Contacts essentiels reçoivent un e-mail. En effet, votre équipe juridique doit être informée des problèmes de conformité réglementaire.

Votre équipe qui gère les violations, qu'il s'agisse d'une équipe de sécurité ou autre, doit également être ajoutée à la catégorie "Service juridique". Cela signifie qu'elle reçoit également des notifications par e-mail à mesure que des modifications sont apportées.

Afficher les cas de violation des règles dans votre organisation

Vous pouvez afficher les violations dans votre organisation à la fois dans la console Google Cloud et dans la CLI gcloud.

Console

Vous pouvez rapidement consulter le nombre de violations dans votre organisation depuis la page Assured Workloads de la console Google Cloud.

Accéder à Assured Workloads

Vous pouvez également cliquer sur le nom d'un dossier sur la page Assured Workloads pour afficher ses détails, qui fournissent un aperçu des cas de non-respect pour ce dossier particulier.

gcloud CLI

Pour répertorier les violations de conformité actuels dans votre organisation, exécutez la commande suivante :

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

Où :

La réponse inclut les informations suivantes pour chaque cas de violation :

  • Lien vers le journal d'audit de la violation.
  • Première infraction.
  • Le type de violation.
  • Une description de l'infraction présumée
  • Nom du cas de non-respect, qui peut être utilisé pour récupérer des informations supplémentaires.
  • La règle d'administration concernée et la contrainte de règle associée.
  • État actuel du non-respect. Les valeurs valides sont non résolu, résolu ou exception.

Pour les options facultatives, consultez la documentation du SDK Cloud.

Voir les détails des infractions

Pour afficher les violations de conformité spécifiques et leurs détails, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Monitoring.

    Accéder à Monitoring

  2. Facultatif : Pour afficher un dossier Assured Workloads spécifique, sélectionnez-le dans la liste Tous les dossiers.

  3. Par défaut, tous les cas de non-respect dans l'environnement de charge de travail sélectionné sont visibles. Pour le modifier, sélectionnez un filtre dans la section Filtrer par catégorie.

  4. Cliquez sur un ID de non-conformité pour obtenir des informations plus détaillées.

Sur la page Détails des violations, vous pouvez effectuer les tâches suivantes :

  • Copiez l'ID de violation des règles.

  • Affichez le dossier dans lequel la violation est survenue et l'heure de la première erreur de type
    .

  • Affichez la règle d'administration concernée.

  • Consultez le journal d'audit, qui inclut :

  • Le moment auquel la violation s'est produite.

  • quelle règle a été modifiée pour cause de non-respect des règles et quel utilisateur a effectué cette modification ;

  • Si une exception a été accordée, l'utilisateur qui l'a accordée.

  • Le cas échéant, affichez la ressource spécifique sur laquelle la violation s'est produite.

  • Ajoutez une exception de violation de conformité.

  • Suivez la procédure de résolution pour résoudre l'exception.

CLI gcloud

Pour afficher les détails d'une violation de conformité, exécutez la commande suivante :

gcloud assured workloads violations describe VIOLATION_PATH

VIOLATION_PATH est au format suivant :

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Le VIOLATION_PATH est renvoyé dans le champ name de la réponse list pour chaque violation.

La réponse inclut les informations suivantes :

  • Lien vers le journal d'audit de la violation.

  • Première infraction.

  • Le type de violation.

  • Une description de l'infraction présumée.

  • La règle d'administration concernée et la contrainte de règle associée.

  • Procédure de résolution pour résoudre la violation.

  • État actuel du non-respect. Les valeurs valides sont unresolved, resolved ou exception.

Pour les options facultatives, consultez la documentation du SDK Cloud.

Résoudre les cas de violation

Pour résoudre un problème de violation, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Monitoring.

    Accéder à Monitoring

  2. Cliquez sur l'ID de violation pour afficher des informations plus détaillées.

  3. Dans la section Solution, suivez les instructions de la console Google Cloud ou de la CLI pour résoudre le problème.

gcloud CLI

  1. Affichez les détails de la violation à l'aide de gcloud CLI.

  2. Suivez les étapes de résolution dans la réponse pour résoudre la violation.

Ajouter des exceptions de violation

Parfois, un cas de non-respect des règles peut s'appliquer à une situation particulière. Pour ajouter une exception pour une violation, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Monitoring.

    Accéder à Monitoring

  2. Dans la section Exception, cliquez sur Ajouter.

  3. Saisissez une justification métier, cliquez sur Envoyer, puis confirmez l'exception.

L'état de violation est désormais Exception.

gcloud CLI

Pour ajouter une exception pour une violation, exécutez la commande suivante :

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

BUSINESS_JUSTIFICATION correspond à la raison de l'exception et VIOLATION_PATH est au format suivant :

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Le VIOLATION_PATH est renvoyé dans le champ name de la réponse list pour chaque violation.

Une fois la commande envoyée, l'état de violation est défini sur Exception.

Cas de non-respect surveillés

Assured Workloads surveille différentes infractions liées aux règles d'administration, en fonction du régime de conformité appliqué à votre dossier Assured Workloads.

Contrainte liée aux règles d'administration Type de violation Description Régimes de conformité concernés
Accès non conforme aux données Cloud SQL Accès

Se produit lorsqu'un accès non conforme à des données de diagnostic Cloud SQL non conformes est autorisé.

Cette violation est due à la modification de la valeur compliant du contrôle de la plate-forme pour la contrainte sql.restrictNoncompliantDiagnosticDataAccess .

Régions et assistance dans l'UE
Accès non conforme aux données Compute Engine Accès

Se produit lorsqu'un accès non conforme aux données de l'instance Compute Engine est autorisé.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte compute.disableInstanceDataAccessApis.

Régions et assistance dans l'UE
Types d'authentification Cloud Storage non conformes Accès

Se produit lorsque les types d'authentification non conformes sont autorisés avec Cloud Storage.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte storage.restrictAuthTypes.

Régions et assistance dans l'UE
Accès non conforme aux buckets Cloud Storage Accès

Se produit lorsque un accès non uniforme non conforme au niveau du bucket à Cloud Storage est autorisé.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte storage.uniformBucketLevelAccess.

Régions et assistance dans l'UE
Accès Web global IAP non conforme Accès

Se produit lorsque l'accès Web mondial non conforme à l'IAP est autorisé.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte iap.requireGlobalIapWebDisabled.

Régions et assistance dans l'UE
Accès non conforme aux données GKE Accès

Se produit lorsque l'accès aux données de diagnostic GKE non conformes est autorisé.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte container.restrictNoncompliantDiagnosticDataAccess .

Régions et assistance dans l'UE
Journalisation du port série Compute Engine non conforme Configuration

Se produit lorsque la journalisation du port série Compute Engine non conforme a été activée.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte compute.disableSerialPortLogging.

Régions et assistance dans l'UE
Fonctionnalités de diagnostic Compute Engine non conformes Configuration

Se produit lorsque les fonctionnalités de diagnostic de Compute Engine non conformes ont été activées.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte compute.enableComplianceMemoryProtection.

Régions et assistance dans l'UE
Paramètre SSL Compute Engine non conforme Configuration

Se produit lorsqu'une valeur non conforme a été définie pour les certificats autogérés au niveau mondial.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte compute.disableGlobalSelfManagedSslCertificate .

Régions et assistance dans l'UE

ITAR

Paramètre SSH de Compute Engine non conforme dans les paramètres du navigateur Configuration

Se produit lorsqu'une valeur non conforme a été définie pour la fonctionnalité SSH dans le navigateur dans Compute Engine.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte compute.disableSshInBrowser.

Régions de l'UE et assistance pour les contrôles de souveraineté

Création de ressources Cloud SQL non conformes Configuration

Se produit lorsque la création de ressources Cloud SQL non conformes est autorisée.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte sql.restrictNoncompliantResourceCreation.

Régions et assistance dans l'UE
Restriction de clé Cloud KMS manquante Chiffrement

Se produit lorsqu'aucun projet n'est spécifié pour fournir des clés de chiffrement pour CMEK .

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte gcp.restrictCmekCryptoKeyProjects, ce qui permet d'empêcher les dossiers ou projets non approuvés de fournir des clés de chiffrement.

Régions de l'UE et assistance<\td>
Service non CMEK non conforme Chiffrement

Se produit lorsqu'un service non compatible avec CMEK est activé pour la charge de travail.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte gcp.restrictNonCmekServices.

Régions et assistance dans l'UE
Niveaux de protection Cloud KMS non conformes Chiffrement

Se produit lorsque des niveaux de protection non conformes sont spécifiés pour être utilisés avec Cloud Key Management Service (Cloud KMS). Pour en savoir plus, consultez la documentation de référence sur Cloud KMS .

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte cloudkms.allowedProtectionLevels.

Régions de l'UE et assistance pour les contrôles de souveraineté

IL4/IL5

Emplacements des ressources non conformes Emplacement de la ressource

Se produit lorsque des ressources de services compatibles avec une commande Assured Workloads de la plate-forme sont créées en dehors de la région autorisée pour la charge de travail ou déplacées d'un emplacement autorisé vers un emplacement non autorisé.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte gcp.resourceLocations .

Niveau d'impact modéré du FedRAMP

Niveau d'impact élevé du FedRAMP

CJIS

IL4/IL5

Régions et assistance aux États-Unis

HIPAA/HITRUST

Régions et assistance dans l'UE

Services non conformes Utilisation du service

Se produit lorsqu'un utilisateur active un service non compatible avec un contrôle de plateforme Assured Workloads donné dans un dossier Assured Workloads.

Cette violation est due à la modification de la valeur compliant de la commande de plate-forme pour la contrainte gcp.restrictServiceUsage.

Niveau d'impact modéré du FedRAMP

Niveau d'impact élevé du FedRAMP

CJIS

IL4/IL5

Régions et assistance aux États-Unis

HIPAA/HITRUST

Régions et assistance dans l'UE

Étapes suivantes