Surveiller un dossier Assured Workloads pour détecter les violations
Assured Workloads surveille activement vos dossiers Assured Workloads pour détecter les cas de non-respect de la conformité en comparant les exigences du package de contrôle d'un dossier avec les informations suivantes :
- Règle d'administration : chaque dossier Assured Workloads est configuré avec des paramètres de contrainte de règle d'administration spécifiques qui aident à garantir la conformité. Lorsque ces paramètres sont modifiés d'une manière non conforme, une ou non. Pour en savoir plus, consultez la section Non-respect des règles d'administration surveillé.
- Ressources: en fonction de Assured Workloads des paramètres de règle d'administration, les ressources situées sous le dossier peuvent être limitées, comme leur type et leur emplacement. Consultez le Section Cas de non-conformité des ressources surveillées des informations. Si l'une des ressources n'est pas conforme, un cas de non-respect se produit.
En cas de non-respect, vous pouvez les résoudre ou créer des exceptions. le cas échéant. Une violation des règles peut avoir l'un des trois états suivants :
- Non résolu : le non-respect n'a pas été résolu ou une exception a été accordée précédemment avant que des modifications non conformes ne soient apportées au dossier ou à la ressource.
- Résolu : le problème a été résolu en suivant les étapes pour résoudre le problème.
- Exception : la violation a fait l'objet d'une exception et une justification de l'entreprise a été fournie.
La surveillance Assured Workloads est automatiquement activée lorsque vous créez un dossier Assured Workloads.
Avant de commencer
Rôles et autorisations IAM requis
Pour afficher les cas de non-respect des règles d'administration ou de non-conformité des ressources, vous devez : un rôle IAM sur le dossier Assured Workloads contient les autorisations suivantes:
assuredworkloads.violations.getassuredworkloads.violations.list
Ces autorisations sont incluses dans les charges de travail Assured Workloads suivantes Rôles IAM:
- Administrateur Assured Workloads (
roles/assuredworkloads.admin) - Éditeur Assured Workloads (
roles/assuredworkloads.editor) - Lecteur Assured Workloads (
roles/assuredworkloads.reader)
Pour activer la surveillance des cas de non-conformité des ressources, vous devez disposer d'un rôle IAM sur le dossier Assured Workloads qui contient les autorisations suivantes:
assuredworkloads.workload.update: cette autorisation est incluse dans le rôles suivants:- Administrateur Assured Workloads (
roles/assuredworkloads.admin) - Éditeur Assured Workloads (
roles/assuredworkloads.editor)
- Administrateur Assured Workloads (
resourcemanager.folders.setIamPolicy: cette autorisation est incluse dans les rôles administratifs, par exemple :- Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin) - Administrateur de sécurité (
roles/iam.securityAdmin)
- Administrateur de l'organisation (
Pour fournir des exceptions pour les cas de non-conformité, vous devez disposer d'un rôle IAM sur le dossier Assured Workloads contenant l'autorisation suivante :
assuredworkloads.violations.update: cette autorisation est incluse dans les rôles prédéfinis suivants :- Administrateur Assured Workloads (
roles/assuredworkloads.admin) - Éditeur Assured Workloads (
roles/assuredworkloads.editor)
- Administrateur Assured Workloads (
De plus, pour résoudre les cas de non-respect des règles d'administration et afficher les journaux d'audit, vous devez accorder les rôles IAM suivants:
- Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin) - Visionneuse de journaux (
roles/logging.viewer)
Configurer les notifications par e-mail pour violation des règles
Lorsqu'une violation de conformité se produit ou est résolue ou qu'une exception est générée, les membres de la catégorie Mentions légales dans les Contacts essentiels reçoivent un e-mail par défaut. Ce comportement est nécessaire, car votre équipe juridique doit être tenue au courant de tout problème de conformité réglementaire.
L'équipe qui gère les violations, qu'il s'agisse d'une équipe de sécurité ou sinon, doit également être ajoutés à la catégorie "Juridique" en tant que contacts. Cela garantit qu'elles reçoivent des notifications par e-mail à mesure que des modifications sont apportées.
Activer ou désactiver les notifications
Activer ou désactiver les notifications pour une charge de travail Assured Workloads spécifique dossier:
Accédez à la page Assured Workloads dans la console Google Cloud:
Dans la colonne Nom, cliquez sur le nom du dossier "Charges de travail Assured" dont vous souhaitez modifier les paramètres de notification.
Dans la fiche Surveillance Assured Workloads, effacez le Activer les notifications pour désactiver les notifications, ou cochez-la pour activer les notifications pour le dossier.
Sur la page Dossiers Assured Workloads, les dossiers dont les notifications sont désactivées affichent Notifications par e-mail de surveillance désactivées.
Afficher les cas de violation des règles dans votre organisation
Vous pouvez afficher les cas de non-respect dans votre organisation à la fois dans la console Google Cloud et dans la CLI gcloud.
Console
Vous pouvez consulter le nombre de violations dans votre organisation sur la page Assured Workloads dans la section Conformité la console Google Cloud ou la page Surveillance de la page Conformité .
Page Assured Workloads
Accédez à la page Assured Workloads pour afficher les cas de non-respect en un coup d'œil :
En haut de la page, un récapitulatif des cas de non-respect des règles d'administration et des ressources est affiché. Cliquez sur le lien Afficher pour accéder Surveillance.
Pour chaque dossier Assured Workloads de la liste, les cas de non-conformité sont indiqué dans les colonnes Non-respect des règles d'administration et Non-respect des ressources. Les cas de non-conformité non résolus sont associés au L'icône est active, et les exceptions ont le Icône active. Vous pouvez sélectionner ou une exception pour en savoir plus.
Si la surveillance des cas de non-conformité des ressources n'est pas activée pour un dossier, l'icône est active dans la colonne Mises à jour, avec un lien Activer la surveillance des cas de non-conformité des ressources. Cliquez sur le lien pour activer la fonctionnalité. Vous pouvez également l'activer en cliquant sur le bouton Activer sur la page d'informations du dossier "Charges de travail assurées".
Page de surveillance
Accédez à la page Surveillance pour afficher les cas de non-conformité plus en détail:
Deux onglets s'affichent: Non-respect des règles d'administration et Cas de non-respect des ressources. S'il existe plusieurs cas de non-conformité non résolus, le L'icône est active dans l'onglet.
Dans les deux onglets, les cas de non-respect non résolus s'affichent par défaut. Consultez le Pour en savoir plus, consultez la section Détails du non-respect des règles ci-dessous.
CLI gcloud
Pour répertorier les violations de conformité actuels dans votre organisation, exécutez la commande suivante :
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Où :
LOCATION correspond à l'emplacement du dossier Assured Workloads.
ORGANIZATION_ID est l'ID d'organisation à interroger.
WORKLOAD_ID est l'ID de la charge de travail parente, que vous pouvez trouver en listant vos charges de travail.
La réponse inclut les informations suivantes pour chaque cas de violation :
- Un lien vers le journal d'audit pour la violation.
- Premier cas de non-respect des règles.
- Le type de violation.
- Une description de l'infraction présumée
- Nom de l'infraction, qui peut être utilisé pour récupérer des informations supplémentaires.
- La règle d'administration concernée et la contrainte de règle associée.
- État actuel de l'infraction. Les valeurs valides sont non résolu, résolu ou exception.
Pour en savoir plus sur les options facultatives, consultez la documentation du SDK Cloud.
Voir les détails des infractions
Pour afficher les violations de conformité spécifiques et leurs détails, procédez comme suit :
Console
Dans Google Cloud Console, accédez à la page Monitoring.
Sur la page Surveillance, l'onglet Non-respect des règles d'administration est sélectionné par défaut. Cet onglet affiche toutes les infractions non résolues aux règles d'administration de l'organisation dans les dossiers Assured Workloads de l'organisation.
L'onglet Non-conformités de ressources affiche toutes les non-conformités non résolues associées à la ressource dans tous les dossiers Assured Workloads de l'organisation.
Dans les deux onglets, utilisez les options Filtres rapides pour filtrer par cas de non-conformité. état, type de violation, type de package de contrôle, type de violation, spécifique des dossiers, des contraintes de règles d'administration spécifiques ou des ressources de données.
Dans les deux onglets, si des cas de non-respect existent, cliquez sur un ID de non-respect pour afficher des informations plus détaillées.
Sur la page Détails des violations, vous pouvez effectuer les tâches suivantes :
Copiez l'ID de violation des règles.
Affichez le dossier Assured Workloads dans lequel l'infraction s'est produite et l'heure à laquelle elle s'est produite pour la première fois.
Consultez le journal d'audit, qui inclut :
Le moment auquel la violation s'est produite.
La règle qui a été modifiée pour entraîner le non-respect et l'utilisateur qui a effectué cette modification.
Si une exception a été accordée, l'utilisateur qui l'a accordée.
Le cas échéant, affichez la ressource spécifique sur laquelle la violation s'est produite.
Afficher la règle d'administration concernée.
Affichez et ajoutez des exceptions de non-respect de la conformité. Une liste des exceptions précédentes pour le dossier ou la ressource s'affiche, y compris l'utilisateur qui a accordé l'exception et la justification fournie par l'utilisateur.
- Suivez la procédure de résolution pour résoudre l'exception.
Pour les cas de non-respect des règles d'administration, vous pouvez également consulter les éléments suivants:
- Règle d'administration concernée: permet d'afficher la règle spécifique associée concernant le cas de non-conformité, cliquez sur Afficher le règlement.
- Cas de non-conformité des ressources enfants: règle d'administration basée sur les ressources les cas de non-respect des règles peuvent entraîner des cas de non-respect des ressources enfants. Pour afficher ou résoudre le problème enfant les cas de non-conformité des ressources, cliquez sur l'ID du cas de non-conformité.
En cas de non-respect des règles concernant les ressources, vous pouvez également voir les éléments suivants :
- Non-respect des règles d'administration parentes: lorsque la règle d'administration parente sont à l'origine d'un non-respect des ressources enfants, elles doivent être au niveau du parent. Pour afficher les détails de la violation parente, cliquez sur Afficher la violation.
- Toutes les autres non-conformités liées à la ressource spécifique à l'origine de la non-conformité sont également visibles.
CLI gcloud
Pour afficher les détails d'une violation de conformité, exécutez la commande suivante :
gcloud assured workloads violations describe VIOLATION_PATH
Où VIOLATION_PATH est au format suivant :
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Le VIOLATION_PATH est renvoyé dans le champ name de la réponse list pour chaque violation.
La réponse inclut les informations suivantes :
Un lien vers le journal d'audit pour la violation.
Premier cas de non-respect des règles.
Le type de violation.
Une description de l'infraction présumée.
La règle d'administration concernée et la contrainte de règle associée.
Procédure de résolution pour résoudre la violation.
État actuel de la violation. Les valeurs valides sont
unresolved,resolvedouexception.
Pour en savoir plus sur les options facultatives, consultez la documentation du SDK Cloud.
Résoudre les cas de violation
Pour résoudre un problème de violation, procédez comme suit :
Console
Dans Google Cloud Console, accédez à la page Monitoring.
Cliquez sur l'ID de violation pour afficher des informations plus détaillées.
Dans la section Solution, suivez les instructions de la console Google Cloud ou de la CLI pour résoudre le problème.
CLI gcloud
Affichez les détails de l'infraction à l'aide de la gcloud CLI.
Suivez les étapes de résolution dans la réponse pour résoudre la violation.
Ajouter des exceptions de violation
Parfois, un cas de non-respect peut se justifier dans une situation donnée. Vous pouvez en ajouter une ou plusieurs exceptions en cas de non-respect en suivant les étapes ci-dessous.
Console
Dans Google Cloud Console, accédez à la page Monitoring.
Dans la colonne ID de non-respect, cliquez sur la non-conformité à laquelle vous souhaitez ajouter l'exception.
Dans la section Exceptions, cliquez sur Ajouter.
Saisissez une justification professionnelle pour l'exception. Si vous souhaitez que à appliquer à toutes les ressources enfants, sélectionnez Cochez la case Appliquer à tous les cas de non-conformité des ressources enfants, puis cliquez sur Envoyer.
Vous pouvez ajouter d'autres exceptions si nécessaire en répétant ces étapes et cliquez sur Add New (Ajouter).
L'état de violation est désormais Exception.
CLI gcloud
Pour ajouter une exception pour une violation, exécutez la commande suivante :
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Où BUSINESS_JUSTIFICATION correspond à la raison de l'exception et VIOLATION_PATH est au format suivant :
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Le VIOLATION_PATH est renvoyé dans le champ name de la réponse list pour chaque violation.
Une fois la commande envoyée, l'état de violation est défini sur Exception.
Cas de non-respect des règles d'administration surveillés
Assured Workloads surveille différentes violations des contraintes des règles d'administration, en fonction du package de contrôle appliqué à votre dossier Assured Workloads. Utilisez la liste suivante pour filtrer les cas de non-respect en fonction du package de contrôle concerné.
| Contrainte liée aux règles d'administration | Type de violation | Description | Packages de contrôle concernés | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Accès non conforme aux données Cloud SQL | Accès |
Se produit en cas d'accès non conforme à des ressources Cloud SQL non conformes les données de diagnostic sont autorisées. Ce cas de non-conformité est dû à la modification du paramètre
pour la valeur conforme
|
|
|||||||||||||||||||||||||||||||||||
| Accès non conforme aux données Compute Engine | Accès |
Se produit en cas d'accès non conforme à l'instance Compute Engine sont autorisées. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
|||||||||||||||||||||||||||||||||||
| Types d'authentification Cloud Storage non conformes | Accès |
Se produit lorsque des types d'authentification non conformes sont autorisés à être utilisés avec Cloud Storage. Ce cas de non-conformité est dû à la modification du paramètre
valeur conforme pour |
|
|||||||||||||||||||||||||||||||||||
| Accès non conforme aux buckets Cloud Storage | Accès |
Se produit en cas d'accès non uniforme au niveau du bucket et non conforme Cloud Storage est autorisé. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
|||||||||||||||||||||||||||||||||||
| Accès non conforme aux données GKE | Accès |
Se produit lorsqu'un accès non conforme aux données de diagnostic GKE est autorisé. Ce cas de non-conformité est dû à la modification du paramètre
pour la valeur conforme
|
|
|||||||||||||||||||||||||||||||||||
| Fonctionnalités de diagnostic Compute Engine non conformes | Configuration |
Se produit lorsque des fonctionnalités de diagnostic Compute Engine non conformes ont été activées. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
|||||||||||||||||||||||||||||||||||
| Paramètre d'équilibrage de charge global Compute Engine non conforme | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour le paramètre d'équilibrage de charge global dans Compute Engine. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
|||||||||||||||||||||||||||||||||||
| Paramètre FIPS de Compute Engine non conforme | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour le paramètre FIPS dans Compute Engine. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
|||||||||||||||||||||||||||||||||||
| Paramètre SSL Compute Engine non conforme | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour les certificats autogérés globaux. Ce cas de non-conformité est dû à la modification du paramètre
pour la valeur conforme
|
|
|||||||||||||||||||||||||||||||||||
| Paramètre SSH de Compute Engine non conforme dans les paramètres du navigateur | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour la connexion SSH dans le navigateur dans Compute Engine. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
|||||||||||||||||||||||||||||||||||
| Création de ressources Cloud SQL non conforme | Configuration |
Se produit lorsque la création de ressources Cloud SQL non conformes est autorisé. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
|||||||||||||||||||||||||||||||||||
| Restriction de clé Cloud KMS manquante | Chiffrement |
Se produit lorsqu'aucun projet n'est spécifié pour fournir des clés de chiffrement pour CMEK Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
|||||||||||||||||||||||||||||||||||
| Service non CMEK non conforme | Chiffrement |
Se produit lorsqu'un service n'est pas compatible CMEK est activé pour la charge de travail. Ce cas de non-conformité est dû à la modification du paramètre
valeur conforme pour |
|
|||||||||||||||||||||||||||||||||||
| Niveaux de protection Cloud KMS non conformes | Chiffrement |
Se produit lorsque des niveaux de protection non conformes sont spécifiés pour être utilisés avec Cloud Key Management Service (Cloud KMS). Pour en savoir plus, consultez la documentation de référence de Cloud KMS. Ce cas de non-conformité est dû à la modification du paramètre
valeur conforme pour |
|
|||||||||||||||||||||||||||||||||||
| Emplacements de ressources non conformes | Emplacement de la ressource |
Se produit lorsque les ressources des services compatibles d'un package de contrôle Assured Workloads donné sont créées en dehors de la région autorisée pour la charge de travail ou déplacées d'un emplacement autorisé vers un emplacement non autorisé.
Ce cas de non-conformité est dû à la modification du paramètre
pour la valeur conforme
|
|
|||||||||||||||||||||||||||||||||||
| Services non conformes | Utilisation du service |
Se produit lorsqu'un utilisateur active un service non compatible avec un service donné Package de contrôle Assured Workloads dans un Dossier Assured Workloads. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
Cas de non-conformité des ressources surveillées
Assured Workloads surveille différents cas de non-respect des ressources, en fonction du package de contrôle appliqué à votre dossier Assured Workloads. Pour connaître les types de ressources surveillés, consultez la section Types de ressources compatibles dans la documentation Cloud Asset Inventory. Utilisez la liste suivante pour filtrer les cas de non-respect en fonction du package de contrôle concerné :
| Contrainte liée aux règles d'administration | Description | Packages de contrôle concernés | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Emplacement de la ressource non conforme |
Se produit lorsque l'emplacement d'une ressource se trouve dans une région non conforme. Cette violation est due à la contrainte |
|
|||||||||||||||||||||||||||||||||||
| Ressources non conformes dans le dossier |
Se produit lorsqu'une ressource pour un service non compatible est créée dans le dossier Assured Workloads. Cette violation est due à la contrainte |
|
|||||||||||||||||||||||||||||||||||
| Ressources non chiffrées (non CMEK) |
Se produit lorsqu'une ressource est créée sans chiffrement CMEK pour un service qui nécessite le chiffrement CMEK. Ce cas de non-respect est dû aux
|
|
Étape suivante
- Comprendre les packages de contrôle pour Assured Workloads.
- En savoir plus sur les produits compatibles pour chaque package de contrôle.