Monitorize uma pasta do Assured Workloads quanto a violações
O Assured Workloads monitoriza ativamente as suas pastas do Assured Workloads para verificar se existem violações de conformidade, comparando os requisitos de um pacote de controlos de uma pasta com os seguintes detalhes:
- Política da organização: cada pasta do Assured Workloads está configurada com definições de restrições da política da organização específicas que ajudam a garantir a conformidade. Quando estas definições são alteradas de forma não conforme, ocorre uma violação. Consulte a secção Violações da política de organizações monitorizadas para mais informações.
- Recursos: consoante as definições da política da organização da pasta do Assured Workloads, os recursos abaixo da pasta podem ser restritos, como o respetivo tipo e localização. Consulte a secção Violações de recursos monitorizados para mais informações. Se algum recurso não estiver em conformidade, ocorre uma violação.
Quando ocorre uma violação, pode resolvê-la ou criar exceções para a mesma, quando apropriado. Uma violação pode ter um de três estados:
- Não resolvido: a violação não foi resolvida ou foi concedida anteriormente uma exceção antes de terem sido feitas alterações não conformes na pasta ou no recurso.
- Resolvido: a violação foi resolvida através dos passos seguintes para corrigir o problema.
- Exceção: a violação recebeu uma exceção e foi apresentada uma justificação empresarial.
A monitorização do Assured Workloads é ativada automaticamente quando cria uma pasta do Assured Workloads.
Antes de começar
Funções e autorizações de IAM necessárias
Para ver violações de políticas da organização ou violações de recursos, tem de lhe ser atribuído um papel do IAM na pasta do Assured Workloads que contenha as seguintes autorizações:
assuredworkloads.violations.getassuredworkloads.violations.list
Estas autorizações estão incluídas nas seguintes funções IAM do Assured Workloads:
- Administrador do Assured Workloads (
roles/assuredworkloads.admin) - Editor do Assured Workloads (
roles/assuredworkloads.editor) - Leitor do Assured Workloads (
roles/assuredworkloads.reader)
Para ativar a monitorização de violações de recursos, tem de lhe ser atribuída uma função de IAM na pasta do Assured Workloads que contenha as seguintes autorizações:
assuredworkloads.workload.update: esta autorização está incluída nas seguintes funções:- Administrador do Assured Workloads (
roles/assuredworkloads.admin) - Editor do Assured Workloads (
roles/assuredworkloads.editor)
- Administrador do Assured Workloads (
resourcemanager.folders.setIamPolicy: esta autorização está incluída nas funções administrativas, como as seguintes:- Administrador da organização (
roles/resourcemanager.organizationAdmin) - Administrador de segurança (
roles/iam.securityAdmin)
- Administrador da organização (
Para fornecer exceções para violações de conformidade, tem de lhe ser concedida uma função do IAM na pasta do Assured Workloads que contenha a seguinte autorização:
assuredworkloads.violations.update: esta autorização está incluída nas seguintes funções:- Administrador do Assured Workloads (
roles/assuredworkloads.admin) - Editor do Assured Workloads (
roles/assuredworkloads.editor)
- Administrador do Assured Workloads (
Além disso, para resolver violações de políticas da organização e ver registos de auditoria, têm de ser concedidas as seguintes funções do IAM:
- Administrador da política da organização (
roles/orgpolicy.policyAdmin) - Visualizador de registos (
roles/logging.viewer)
Configure notificações por email de violações
Quando ocorre ou é resolvida uma violação de conformidade de uma organização, ou quando é feita uma exceção, os membros da categoria Legal em Contactos essenciais recebem um email por predefinição. Este comportamento é necessário porque a sua equipa jurídica tem de estar atualizada sobre quaisquer problemas de conformidade regulamentar.
A sua equipa que gere as violações, quer seja uma equipa de segurança ou outra, também deve ser adicionada à categoria Legal como contactos. Isto garante que recebem notificações por email à medida que as alterações ocorrem.
Ative ou desative as notificações
Para ativar ou desativar as notificações de uma pasta específica do Assured Workloads:
Aceda à página Assured Workloads na Google Cloud consola:
Na coluna Nome, clique no nome da pasta do Assured Workloads cujas definições de notificação quer alterar.
No cartão Monitorização de cargas de trabalho seguras, desmarque a caixa de verificação Ativar notificações para desativar as notificações ou selecione-a para ativar as notificações para a pasta.
Na página Pastas do Assured Workloads, as pastas com as notificações desativadas mostram Notificações por email de monitorização desativadas.
Veja as violações na sua organização
Pode ver as violações na sua organização na Google Cloud consola e na CLI gcloud.
Consola
Pode ver o número de violações na sua organização na página Assured Workloads na secção Conformidade da Google Cloud consola ou na página Monitorização na secção Conformidade.
Página do Assured Workloads
Aceda à página Assured Workloads para ver as violações rapidamente:
Na parte superior da página, é apresentado um resumo das violações de políticas de organização e das violações de recursos. Clique no link Ver para aceder à página Monitorização.
Para cada pasta do Assured Workloads na lista, as violações são apresentadas nas colunas Violações da política da organização e Violações de recursos. As violações não resolvidas têm o ícone ativo e as exceções têm o ícone ativo. Pode selecionar uma violação ou uma exceção para ver mais detalhes.
Se a monitorização de violações de recursos não estiver ativada numa pasta, o ícone está ativo na coluna Atualizações com um link Ativar monitorização de violações de recursos. Clique no link para ativar a funcionalidade. Também pode ativá-lo clicando no botão Ativar na página de detalhes da pasta Assured Workloads.
Página de monitorização
Aceda à página Monitorização para ver as violações com mais detalhes:
São apresentados dois separadores: Violações de políticas da organização e Violações de recursos. Se existir mais do que uma violação não resolvida, o ícone está ativo no separador.
Em qualquer um dos separadores, as violações não resolvidas são apresentadas por predefinição. Consulte a secção Veja os detalhes da violação abaixo para mais informações.
CLI gcloud
Para apresentar uma lista das violações de conformidade atuais na sua organização, execute o seguinte comando:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Onde:
LOCATION é a localização da pasta do Assured Workloads.
ORGANIZATION_ID é o ID da organização para consultar.
WORKLOAD_ID é o ID da carga de trabalho principal, que pode encontrar listando as suas cargas de trabalho.
A resposta inclui as seguintes informações para cada violação:
- Um link para o registo de auditoria da violação.
- A primeira vez que a violação ocorreu.
- O tipo de violação.
- Uma descrição da violação.
- O nome da violação, que pode ser usado para obter mais detalhes.
- A política da organização afetada e a restrição de política relacionada.
- O estado atual da violação. Os valores válidos são unresolved, resolved ou exception.
Para ver flags opcionais, consulte a documentação do Cloud SDK.
Veja os detalhes da violação
Para ver violações de conformidade específicas e os respetivos detalhes, conclua os seguintes passos:
Consola
Na Google Cloud consola, aceda à página Monitorização.
Na página Monitorização, o separador Violações da política da organização está selecionado por predefinição. Este separador apresenta todas as violações da política da organização não resolvidas nas pastas do Assured Workloads na organização.
O separador Violações de recursos apresenta todas as violações não resolvidas associadas ao recurso em todas as pastas do Assured Workloads na organização.
Para qualquer um dos separadores, use as opções de Filtros rápidos para filtrar por estado da violação, tipo de violação, tipo de pacote de controlos, tipo de violação, pastas específicas, restrições específicas da política da organização ou tipos de recursos específicos.
Em qualquer um dos separadores, se existirem violações, clique num ID de violação para ver informações mais detalhadas.
Na página Detalhes da violação, pode realizar as seguintes tarefas:
Copie o ID da violação.
Veja a pasta do Assured Workloads onde ocorreu a violação e a hora em que ocorreu pela primeira vez.
Ver o registo de auditoria, que inclui:
Quando ocorreu a violação.
Que política foi modificada para causar a violação e que utilizador fez essa modificação.
Se foi concedida uma exceção e que utilizador a concedeu.
Quando aplicável, veja o recurso específico no qual ocorreu a violação.
Veja a política da organização afetada.
Ver e adicionar exceções de violação de conformidade. É apresentada uma lista das exceções anteriores para a pasta ou o recurso, incluindo o utilizador que concedeu a exceção e a respetiva justificação fornecida pelo utilizador.
- Siga os passos de remediação para resolver a exceção.
Para violações de políticas organizacionais, também pode ver o seguinte:
- Política da organização afetada: para ver a política específica associada à violação de conformidade, clique em Ver política.
- Violações de recursos secundários: as violações da política da organização baseadas em recursos podem causar violações de recursos secundários. Para ver ou resolver violações de recursos secundários, clique no ID da violação.
No caso de violações de recursos, também pode ver o seguinte:
- Violações de políticas da organização principal: quando as violações de políticas da organização principal são a causa de uma violação de recursos secundários, têm de ser resolvidas ao nível principal. Para ver os detalhes da violação principal, clique em Ver violação.
- Também são visíveis outras violações no recurso específico que está a causar a violação do recurso.
CLI gcloud
Para ver os detalhes de uma violação de conformidade, execute o seguinte comando:
gcloud assured workloads violations describe VIOLATION_PATH
Em que VIOLATION_PATH está no seguinte formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
O VIOLATION_PATH é devolvido no campo name da resposta list para cada violação.
A resposta inclui as seguintes informações:
Um link para o registo de auditoria da violação.
A primeira vez que a violação ocorreu.
O tipo de violação.
Uma descrição da violação.
A política da organização afetada e a restrição de política relacionada.
Passos de remediação para resolver a violação.
O estado atual da violação. Os valores válidos são
unresolved,resolvedouexception.
Para ver flags opcionais, consulte a documentação do Cloud SDK.
Resolva violações
Para corrigir uma violação, conclua os seguintes passos:
Consola
Na Google Cloud consola, aceda à página Monitorização.
Clique no ID da violação para ver informações mais detalhadas.
Na secção Remediação, siga as instruções para a Google Cloud consola ou a CLI para resolver o problema.
CLI gcloud
Siga os passos de remediação na resposta para resolver a violação.
Adicione exceções de violação
Por vezes, uma violação pode ser válida para uma situação específica. Pode adicionar uma ou mais exceções para uma violação concluindo os seguintes passos.
Consola
Na Google Cloud consola, aceda à página Monitorização.
Na coluna ID da violação, clique na violação à qual quer adicionar a exceção.
Na secção Exceções, clique em Adicionar novo.
Introduza uma justificação empresarial para a exceção. Se quiser que a exceção se aplique a todos os recursos secundários, selecione a caixa de verificação Aplicar a todas as violações de recursos secundários existentes e clique em Enviar.
Pode adicionar exceções adicionais, conforme necessário, repetindo estes passos e clicando em Adicionar novo.
O estado da violação é agora definido como Exceção.
CLI gcloud
Para adicionar uma exceção para uma violação, execute o seguinte comando:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Em que BUSINESS_JUSTIFICATION é o motivo da exceção e VIOLATION_PATH está no seguinte formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
O VIOLATION_PATH é devolvido no campo name da resposta list para cada violação.
Depois de enviar o comando com êxito, o estado da violação é definido como Exceção.
Violações de políticas de organizações monitorizadas
O Assured Workloads monitoriza diferentes violações de restrições de políticas da organização, consoante o pacote de controlos aplicado à sua pasta do Assured Workloads. Use a lista seguinte para filtrar as violações pelo respetivo pacote de controlos afetado.
| Restrição de política da organização | Tipo de violação | Descrição | Pacotes de controlos afetados | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Acesso não em conformidade aos dados do Cloud SQL | Acesso |
Ocorre quando é permitido o acesso não em conformidade a dados de diagnóstico do Cloud SQL não em conformidade. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Acesso não conforme aos dados do Compute Engine | Acesso |
Ocorre quando é permitido o acesso não conforme aos dados da instância do Compute Engine. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Tipos de autenticação do armazenamento na nuvem não conformes | Acesso |
Ocorre quando os tipos de autenticação não conformes são permitidos para utilização com o Cloud Storage. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Acesso não conforme a contentores do Cloud Storage | Acesso |
Ocorre quando é permitido o acesso de nível de contentor não uniforme não conforme ao Cloud Storage. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Acesso não em conformidade aos dados do GKE | Acesso |
Ocorre quando o acesso não em conformidade aos dados de diagnóstico do GKE é permitido. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Funcionalidades de diagnóstico do Compute Engine não conformes | Configuração |
Ocorre quando foram ativadas funcionalidades de diagnóstico do Compute Engine não conformes. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Definição de balanceamento de carga global do Compute Engine não conforme | Configuração |
Ocorre quando foi definido um valor não conforme para a definição de equilíbrio de carga global no Compute Engine. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Definição FIPS do Compute Engine não compatível | Configuração |
Ocorre quando foi definido um valor não compatível para a definição FIPS no Compute Engine. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Definição de SSL do Compute Engine não compatível | Configuração |
Ocorre quando foi definido um valor não conforme para certificados autogeridos globais. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Definição de SSH no navegador do Compute Engine não compatível | Configuração |
Ocorre quando foi definido um valor não compatível para a funcionalidade SSH no navegador no Compute Engine. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Criação de recursos do Cloud SQL não em conformidade | Configuração |
Ocorre quando a criação de recursos do Cloud SQL não em conformidade é permitida. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Restrição de chave do Cloud KMS em falta | Encriptação |
Ocorre quando não são especificados projetos para fornecer chaves de encriptação para CMEK . Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Serviço não conforme sem a funcionalidade CMEK ativada | Encriptação |
Ocorre quando um serviço que não suporta CMEK está ativado para a carga de trabalho. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Níveis de proteção do Cloud KMS não conformes | Encriptação |
Ocorre quando são especificados níveis de proteção não conformes para utilização com o Cloud Key Management Service (Cloud KMS). Consulte a referência do Cloud KMS para mais informações. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
||||||||||||||||||||||||||||||||||||||
| Localizações de recursos não conformes | Localização do recurso |
Ocorre quando os recursos dos serviços suportados para um determinado pacote de controlos do Assured Workloads são criados fora da região permitida para a carga de trabalho ou movidos de uma localização permitida para uma localização não permitida.
Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição
|
|
||||||||||||||||||||||||||||||||||||||
| Serviços não conformes | Utilização do serviço |
Ocorre quando um utilizador ativa um serviço que não é suportado por um determinado pacote de controlos do Assured Workloads numa pasta do Assured Workloads. Esta violação é causada pela alteração do valor em conformidade do pacote de controlo para a restrição |
|
Violações de recursos monitorizados
O Assured Workloads monitoriza diferentes violações de recursos, consoante o pacote de controlos aplicado à sua pasta do Assured Workloads. Para ver que tipos de recursos são monitorizados, consulte Tipos de recursos suportados na documentação do Cloud Asset Inventory. Use a seguinte lista para filtrar as violações pelo respetivo pacote de controlos afetado:
| Restrição de política da organização | Descrição | Pacotes de controlos afetados | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Localização de recursos não em conformidade |
Ocorre quando a localização de um recurso está numa região que não está em conformidade. Esta violação é causada pela restrição
|
|
|||||||||||||||||||||||||||||||||||||
| Recursos não conformes na pasta |
Ocorre quando é criado um recurso para um serviço não suportado na pasta do Assured Workloads. Esta violação é causada pela restrição
|
|
|||||||||||||||||||||||||||||||||||||
| Recursos não encriptados (não CMEK) |
Ocorre quando um recurso é criado sem encriptação CMEK para um serviço que requer encriptação CMEK. Esta violação é causada pela restrição
|
|
O que se segue?
- Compreenda os pacotes de controlos para o Assured Workloads.
- Saiba que produtos são suportados para cada pacote de controlos.