Supervisa una carpeta de Assured Workloads para detectar incumplimientos

Assured Workloads supervisa las restricciones de políticas de la organización de un régimen de cumplimiento y destaca un incumplimiento si un cambio en los recursos no cumple con las normas. Luego, puedes resolver estos incumplimientos o crear excepciones para ellos cuando corresponda.

Un incumplimiento puede tener uno de tres estados:

No resuelto: El incumplimiento no se ha abordado.
Resuelto: El incumplimiento se abordó y se siguieron pasos para solucionar el problema.
Excepción: Se otorgó una excepción al incumplimiento y se proporcionó una justificación de la empresa.

Antes de comenzar

Asegúrate de que se te hayan otorgado los siguientes roles o agrega los permisos relevantes a un rol personalizado antes de supervisar los incumplimientos.

Rol	Permisos asociados
Administrador de Assured Workloads (`roles/assuredworkloads.admin`)	`assuredworkloads.violations.get` `assuredworkloads.violations.list` `assuredworkloads.violations.update`
Editor de Assured Workloads (`roles/assuredworkloads.editor`)	`assuredworkloads.violations.get` `assuredworkloads.violations.list` `assuredworkloads.violations.update`
Lector de Assured Workloads (`roles/assuredworkloads.reader`)	`assuredworkloads.violations.get` `assuredworkloads.violations.list`

Además, para solucionar los incumplimientos de políticas de la organización y ver los registros de auditoría, otorga los siguientes roles a tu cuenta:

Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
Logs Viewer (roles/logging.viewer)

Configura las notificaciones de incumplimiento por correo electrónico

Cuando se produce, se resuelve o se hace una excepción con un incumplimiento, se envía un correo electrónico a los miembros de la categoría Legal en Contactos esenciales. Esto se debe a que tu equipo legal debe mantenerse al día con los problemas de cumplimiento de normas.

El equipo que administra los incumplimientos, ya sea un equipo de seguridad u otro, también debe agregarse a la categoría Legal como contactos. Esto significa que también reciben notificaciones por correo electrónico a medida que se producen cambios.

Visualiza los incumplimientos en tu organización

Puedes ver los incumplimientos en toda tu organización en la consola de Google Cloud y en la CLI de gcloud.

Consola

Puedes dar un vistazo a la cantidad de incumplimientos que hay en tu organización desde la página Assured Workloads en la consola de Google Cloud.

Ir a Assured Workloads

Además, puedes hacer clic en el nombre de una carpeta en la página de Assured Workloads para ver los detalles, lo que proporciona información de incumplimientos en esa carpeta en particular.

CLI de gcloud

Para mostrar una lista de las infracciones de cumplimientos actuales en tu organización, ejecuta el siguiente comando:

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

Aquí:

LOCATION es la ubicación del entorno de Assured Workload.
ORGANIZATION_ID es el ID de la organización que se consulta.
WORKLOAD_ID es el ID de la carga de trabajo superior, que se puede encontrar mediante la enumeración de tus cargas de trabajo.

En la respuesta, se incluye la siguiente información para cada incumplimiento:

Un vínculo del registro de auditoría del incumplimiento.
La primera vez que ocurrió el incumplimiento.
El tipo de incumplimiento.
Una descripción del incumplimiento.
El nombre del incumplimiento, que se puede usar para recuperar más detalles.
La política de la organización afectada y la restricción de política relacionada.
El estado actual del incumplimiento. Los valores válidos son sin resolver, resuelto o con excepción.

Para obtener marcas opcionales, consulta la documentación del SDK de Cloud.

Ver detalles de los incumplimientos

Para ver incumplimientos específicos y sus detalles, completa los siguientes pasos:

Consola

En la consola de Google Cloud, ve a la página Supervisión.

Ir a Monitoring
Opcional: Para ver una carpeta específica de Assured Workloads, selecciónala en la lista Todas las carpetas.
De forma predeterminada, todos los incumplimientos en el entorno de carga de trabajo seleccionado son visibles. Para cambiar esto, selecciona un filtro en la sección Filtrar por categoría.
Haz clic en el ID del incumplimiento para ver información más detallada.

En la página Detalles del incumplimiento, puedes realizar las siguientes tareas:

Copiar el ID del incumplimiento.
Ver la carpeta en la que se produjo el incumplimiento y a qué hora ocurrió
primero.
Consultar la política de la organización afectada.
Ver el registro de auditoría, que incluye lo siguiente:
Cuándo ocurrió el incumplimiento.
Qué política se modificó que causó el incumplimiento y qué usuario realizó esa modificación.
Si se otorgó una excepción, qué usuario la otorgó.
Cuando corresponda, ver el recurso específico en el que se produjo el incumplimiento.
Agrega una excepción de incumplimiento.
Sigue los pasos de corrección para resolver la excepción.

CLI de gcloud

Para ver los detalles de un incumplimiento, ejecuta el siguiente comando:

gcloud assured workloads violations describe VIOLATION_PATH

En el ejemplo anterior, VIOLATION_PATH está en el siguiente formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Se muestra el VIOLATION_PATH en el campo name de la respuesta de la lista para cada incumplimiento.

La respuesta incluye la siguiente información:

Un vínculo del registro de auditoría del incumplimiento.
La primera vez que ocurrió el incumplimiento.
El tipo de incumplimiento.
Una descripción del incumplimiento.
La política de la organización afectada y la restricción de política relacionada.
Pasos de corrección para resolver el incumplimiento.
El estado actual del incumplimiento. Los valores válidos son unresolved, resolved o exception.

Para obtener marcas opcionales, consulta la documentación del SDK de Cloud.

Resuelve incumplimientos

Para corregir un incumplimiento, sigue estos pasos:

Consola

En la consola de Google Cloud, ve a la página Supervisión.

Ir a Monitoring
Haz clic en el ID del incumplimiento para ver información más detallada.
En la sección Corrección, sigue las instrucciones de la consola de Google Cloud o la CLI para abordar el problema.

CLI de gcloud

Ve los detalles del incumplimiento con la CLI de gcloud.
Sigue los pasos de corrección en la respuesta para resolver el incumplimiento.

Agrega excepciones de incumplimiento

A veces, un incumplimiento puede ser válido para un caso en particular. Para agregar una excepción a un incumplimiento, completa los siguientes pasos:

Consola

En la consola de Google Cloud, ve a la página Supervisión.

Ir a Monitoring
En la sección Excepción, haz clic en Agregar.
Ingresa una justificación empresarial, haz clic en Enviar y, luego, confirma la excepción.

El estado de incumplimiento ahora está configurado como Excepción.

CLI de gcloud

Para agregar una excepción a un incumplimiento, ejecuta el siguiente comando:

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

En el ejemplo anterior, BUSINESS_JUSTIFICATION es el motivo de la excepción, y VIOLATION_PATH está en el siguiente formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Se muestra el VIOLATION_PATH en el campo name de la respuesta de la lista para cada incumplimiento.

Después de enviar el comando correctamente, el estado del incumplimiento se establece como Excepción.

Incumplimientos supervisados

Assured Workloads supervisa los diferentes incumplimientos de las restricciones de las políticas de la organización, según el régimen de cumplimiento aplicado a la carpeta de Assured Workloads.

Restricción de las políticas de la organización	Tipo de incumplimiento	Descripción	Régimen de cumplimiento afectado
Acceso a los datos de Cloud SQL que no cumple con las normas	Acceso	Ocurre cuando se permite un acceso que no cumple con las normas a los datos de diagnóstico de Cloud SQL. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `sql.restrictNoncompliantDiagnosticDataAccess`.	Regiones de la UE y compatibilidad
Acceso que no cumple con las normas a datos de Compute Engine	Acceso	Ocurre cuando se permite el acceso que no cumple con las normas a los datos de la instancia de Compute Engine. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `compute.disableInstanceDataAccessApis`.	Regiones de la UE y compatibilidad
Tipos de autenticación de Cloud Storage que no cumplen con las normas	Acceso	Ocurre cuando se permiten los tipos de autenticación que no cumplen con las normas para su uso con Cloud Storage. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `storage.restrictAuthTypes`.	Regiones de la UE y compatibilidad
Acceso no compatible a los buckets de Cloud Storage	Acceso	Ocurre cuando se permite el acceso no uniforme que no cumple con las normas a nivel de bucket a Cloud Storage. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `storage.uniformBucketLevelAccess`.	Regiones de la UE y compatibilidad
Acceso web global de IAP que no cumple con las normas	Acceso	Ocurre cuando se permite el acceso web global de IAP que no cumple con las normas. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `iap.requireGlobalIapWebDisabled`.	Regiones de la UE y compatibilidad
Acceso a los datos de GKE que no cumple con las normas	Acceso	Ocurre cuando se permite el acceso que no cumple con las normas a los datos de diagnóstico de GKE. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `container.restrictNoncompliantDiagnosticDataAccess`.	Regiones de la UE y compatibilidad
Registro de puertos en serie de Compute Engine que no cumple con las normas	Configuración	Ocurre cuando se habilita el registro de puertos en serie de Compute Engine que no cumple con las normas. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `compute.disableSerialPortLogging`.	Regiones de la UE y compatibilidad
Características del diagnóstico de Compute Engine que no cumple con las normas	Configuración	Ocurre cuando se habilitan las funciones de diagnóstico de Compute Engine que no cumplen con las normas. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `compute.enableComplianceMemoryProtection`.	Regiones de la UE y compatibilidad
Configuración de SSL de Compute Engine que no cumple con las normas	Configuración	Ocurre cuando se establece un valor que no cumple con las normas para los certificados autoadministrados globales. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `compute.disableGlobalSelfManagedSslCertificate`.	Regiones de la UE y compatibilidad ITAR
Conexión SSH de Compute Engine que no cumple con las normas en la configuración del navegador	Configuración	Ocurre cuando se establece un valor que no cumple con las normas para la conexión SSH en la función de navegador de Compute Engine. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `compute.disableSshInBrowser`.	Regiones de la UE y asistencia con controles de soberanía
Creación de recursos de Cloud SQL que no cumplen con las normas	Configuración	Ocurre cuando se permite la creación de recursos de Cloud SQL que no cumplen con las normas. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `sql.restrictNoncompliantResourceCreation`.	Regiones de la UE y compatibilidad
Falta la restricción de clave de Cloud KMS	Encriptación	Ocurre cuando no se especifica ningún proyecto que proporcione claves de encriptación para CMEK. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `gcp.restrictCmekCryptoKeyProjects`, que ayuda a evitar que las carpetas o los proyectos no aprobados proporcionen claves de encriptación.	Asistencia y regiones de la UE<\td>
Servicio sin CMEK habilitada y que no cumple con las normas	Encriptación	Ocurre cuando un servicio que no admite CMEK está habilitado para la carga de trabajo. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `gcp.restrictNonCmekServices`.	Regiones de la UE y compatibilidad
Niveles de protección de Cloud KMS que no cumplen con las normas	Encriptación	Ocurre cuando se especifican niveles de protección que no cumplen con las normas para el uso de Cloud Key Management Service (Cloud KMS). Consulta la referencia de Cloud KMS para obtener más información. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `cloudkms.allowedProtectionLevels`.	Regiones de la UE y asistencia con controles de soberanía IL4/IL5
Ubicaciones de recursos que no cumplen con las normas	Ubicación del recurso	Ocurre cuando los recursos de servicios compatibles para un control de plataforma determinado de Assured Workloads se crean fuera de la región permitida para la carga de trabajo o se mueven de una ubicación permitida a una ubicación no permitida. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `gcp.resourceLocations`.	FedRAMP Moderate FedRAMP High CJIS IL4/IL5 Regiones de EE.UU. y compatibilidad HIPAA/HITRUST Regiones de la UE y compatibilidad
Servicios que no cumplen con las normas	Uso del servicio	Ocurre cuando un usuario habilita un servicio que no es compatible con un control de plataforma de Assured Workloads determinado en una carpeta de Assured Workloads. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del control de la plataforma para la restricción `gcp.restrictServiceUsage`.	FedRAMP Moderate FedRAMP High CJIS IL4/IL5 Regiones de EE.UU. y compatibilidad HIPAA/HITRUST Regiones de la UE y compatibilidad

¿Qué sigue?

Comprende los controles de plataforma para Assured Workloads.