Monitora una cartella Assured Workloads per le violazioni
Assured Workloads monitora attivamente le cartelle Assured Workloads per rilevare violazioni della conformità confrontando i requisiti del pacchetto di controllo di una cartella con i seguenti dettagli:
- Criteri dell'organizzazione: ogni cartella Assured Workloads è configurata con impostazioni di vincoli dei criteri dell'organizzazione specifici che contribuiscono a garantire la conformità. Quando queste impostazioni vengono modificate in modo non conforme, si verifica una violazione. Consulta le Sezione Violazioni dei criteri dell'organizzazione monitorate informazioni.
- Risorse: a seconda delle risorse della cartella Assured Workloads impostazioni dei criteri dell'organizzazione, le risorse al di sotto della cartella potrebbero essere con restrizioni, come tipo e posizione. Per ulteriori informazioni, consulta la sezione Violazioni delle risorse monitorate. Se una o più risorse non sono conformi, si verifica una violazione.
Quando si verifica una violazione, puoi risolverla o creare delle eccezioni. ove opportuno. Una violazione può avere uno dei tre seguenti stati:
- Irrisolta: la violazione non è stata risolta o è stata concessa in precedenza un'eccezione prima che vengano apportate modifiche non conformi alla cartella o alla risorsa.
- Risolta: la violazione è stata risolta da passaggi per risolvere il problema.
- Eccezione: alla violazione è stata concessa un'eccezione. Inoltre, è stata fornita una giustificazione aziendale.
Il monitoraggio di Assured Workloads viene abilitato automaticamente quando crei una cartella Assured Workloads.
Prima di iniziare
Ruoli e autorizzazioni IAM richiesti
Per visualizzare le violazioni dei criteri dell'organizzazione o delle risorse, devi avere un ruolo IAM nella cartella Assured Workloads che contenga le seguenti autorizzazioni:
assuredworkloads.violations.getassuredworkloads.violations.list
Queste autorizzazioni sono incluse nei seguenti carichi di lavoro Assured Workloads Ruoli IAM:
- Amministratore Assured Workloads (
roles/assuredworkloads.admin) - Editor Assured Workloads (
roles/assuredworkloads.editor) - Lettore Assured Workloads (
roles/assuredworkloads.reader)
Per attivare il monitoraggio delle violazioni delle risorse, devi disporre di un ruolo IAM nella cartella Assured Workloads contenente le seguenti autorizzazioni:
assuredworkloads.workload.update: questa autorizzazione è inclusa nei seguenti ruoli:- Amministratore Assured Workloads (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Amministratore Assured Workloads (
resourcemanager.folders.setIamPolicy: questa autorizzazione è inclusa nei ruoli amministrativi, ad esempio:- Amministratore organizzazione (
roles/resourcemanager.organizationAdmin) - Amministratore sicurezza (
roles/iam.securityAdmin)
- Amministratore organizzazione (
Per fornire eccezioni per le violazioni delle norme, devi disporre di un ruolo IAM nella cartella Assured Workloads contenente la seguente autorizzazione:
assuredworkloads.violations.update: questa autorizzazione è inclusa nei seguenti ruoli:- Amministratore Assured Workloads (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Amministratore Assured Workloads (
Inoltre, per risolvere le violazioni dei criteri dell'organizzazione e visualizzare gli audit log, devono essere concessi i seguenti ruoli IAM:
- Amministratore criteri organizzazione (
roles/orgpolicy.policyAdmin) - Visualizzatore log (
roles/logging.viewer)
Configurare le notifiche via email relative alle violazioni
Quando si verifica o viene risolta una violazione della conformità dell'organizzazione o quando viene fatta un'eccezione, per impostazione predefinita viene inviata un'email ai membri della categoria Legale in Contatti essenziali. Questo comportamento è necessario perché il team legale deve essere tenuto al corrente di eventuali problemi di conformità alle normative.
Il team che gestisce le violazioni, che si tratti di un team di sicurezza o di altro tipo, deve essere anche aggiunto alla categoria Legale come contatti. In questo modo, riceveranno notifiche via email man mano che si verificano le modifiche.
Attivare o disattivare le notifiche
Per attivare o disattivare le notifiche per una determinata cartella Assured Workloads:
Vai alla pagina Assured Workloads nella console Google Cloud:
Nella colonna Nome, fai clic sul nome della cartella Carichi di lavoro garantiti per cui vuoi modificare le impostazioni di notifica.
Nella scheda Monitoraggio di Assured Workloads, cancella il valore Casella di controllo Attiva notifiche per disattivare le notifiche oppure selezionala per attivare le notifiche per la cartella.
Nella pagina Cartelle di Assured Workloads, le cartelle con notifiche disattivato show Monitoraggio delle notifiche via email disabilitato.
Visualizzare le violazioni nella tua organizzazione
Puoi visualizzare le violazioni nella tua organizzazione sia nella console Google Cloud sia nella CLI gcloud.
Console
Puoi visualizzare quante violazioni sono presenti nella tua organizzazione in la pagina Assured Workloads nella sezione Conformità del Console Google Cloud o la pagina Monitoring nella sezione Conformità .
Pagina Assured Workloads
Vai alla pagina Assured Workloads per visualizzare un riepilogo delle violazioni:
Nella parte superiore della pagina viene visualizzato un riepilogo delle violazioni dei criteri dell'organizzazione e delle violazioni delle risorse. Fai clic sul link Visualizza per accedere alla Monitoraggio.
Per ogni cartella Assured Workloads nell'elenco, eventuali violazioni vengono Sono visualizzati nelle colonne Violazioni dei criteri dell'organizzazione e Violazioni delle risorse. Le violazioni irrisolte hanno attiva l'icona , mentre le eccezioni hanno attiva l'icona . Puoi selezionare un violazione o eccezione per visualizzare maggiori dettagli.
Se il monitoraggio delle violazioni delle risorse non è abilitato su una cartella, L'icona è attiva in Aggiornamenti colonna con un link Abilita il monitoraggio delle violazioni delle risorse. Fai clic sul link per attivare la funzionalità. Per attivarlo, puoi anche fare clic sul pulsante Attiva sulla pagina dei dettagli della cartella Assured Workloads.
Pagina di Monitoring
Per visualizzare le violazioni in modo più dettagliato, vai alla pagina Monitoraggio:
Vengono visualizzate due schede: Violazioni dei criteri dell'organizzazione e Violazioni delle risorse. Se esistono più violazioni non risolte, L'icona è attiva nella scheda.
In entrambe le schede, le violazioni non risolte vengono mostrate per impostazione predefinita. Per ulteriori informazioni, consulta la sezione Visualizzare i dettagli della violazione di seguito.
Interfaccia a riga di comando gcloud
Per elencare le attuali violazioni delle norme nella tua organizzazione, esegui il seguente comando:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Dove:
LOCATION è la posizione della cartella Assured Workloads.
ORGANIZATION_ID è l'ID organizzazione su cui eseguire la query.
WORKLOAD_ID è l'ID del carico di lavoro padre, che puoi trovare elenco dei carichi di lavoro.
La risposta include le seguenti informazioni per ogni violazione:
- Un link al log di controllo per la violazione.
- La prima volta che si è verificata la violazione.
- Il tipo di violazione.
- Una descrizione della violazione.
- Il nome della violazione, che può essere utilizzato per recuperare ulteriori dettagli.
- Il criterio dell'organizzazione interessato e il relativo vincolo del criterio.
- Lo stato attuale della violazione. I valori validi non sono risolti, risolti o un'eccezione.
Per i flag facoltativi, consulta la documentazione di Cloud SDK.
Visualizza i dettagli della violazione
Per visualizzare specifiche violazioni della conformità e i relativi dettagli, completa la seguenti passaggi:
Console
Nella console Google Cloud, vai alla pagina Monitoring.
Nella pagina Monitoring, la scheda Violazioni dei criteri dell'organizzazione è è selezionata per impostazione predefinita. Questa scheda mostra tutti i criteri dell'organizzazione non risolti violazioni nelle cartelle Assured Workloads nell'organizzazione.
La scheda Violazioni delle risorse mostra tutte le violazioni non risolte associate alla risorsa in tutti i carichi di lavoro Assured Workloads cartelle nell'organizzazione.
Per entrambe le schede, utilizza le opzioni Filtri rapidi per filtrare in base a stato della violazione, tipo di violazione, tipo di pacchetto di controllo, tipo di violazione, specifiche cartelle, vincoli specifici dei criteri dell'organizzazione o tipi specifici di risorse.
In entrambe le schede, se sono presenti violazioni, fai clic su un ID violazione per per visualizzare informazioni più dettagliate.
Nella pagina Dettagli violazione, puoi eseguire le seguenti operazioni:
Copia l'ID violazione.
Visualizza la cartella Assured Workloads in cui si è verificata la violazione e a che ora si è verificato per la prima volta.
Visualizza il log di controllo, che include:
Quando si è verificata la violazione.
Le norme che sono state modificate per causare la violazione e l'utente che ha effettuato la violazione quella modifica.
Se è stata concessa un'eccezione, l'utente che l'ha concessa.
Se applicabile, visualizza la risorsa specifica in cui si è verificata la violazione.
Visualizza il criterio dell'organizzazione interessato.
Visualizza e aggiungi eccezioni alle violazioni della conformità. Un elenco di vengono mostrate le eccezioni precedenti per la cartella o la risorsa, che ha concesso l'eccezione e la relativa giustificazione fornita dall'utente.
- Segui la procedura di correzione per risolvere l'eccezione.
Per le violazioni dei criteri dell'organizzazione, puoi anche visualizzare quanto segue:
- Criterio dell'organizzazione interessato: per visualizzare il criterio specifico associato alla violazione della conformità, fai clic su Visualizza criterio.
- Violazioni delle risorse secondarie: le violazioni dei criteri dell'organizzazione basate sulle risorse possono causare violazioni delle risorse secondarie. Per visualizzare o risolvere le violazioni delle risorse secondarie, fai clic sull'ID violazione.
Per le violazioni delle risorse, puoi anche visualizzare quanto segue:
- Violazioni dei criteri dell'organizzazione principale: quando le violazioni dei criteri dell'organizzazione principale sono la causa di una violazione delle risorse secondarie, devono essere affrontate a livello di organizzazione principale. Per visualizzare i dettagli della violazione principale, fai clic su Visualizza violazione.
- Sono visibili anche eventuali altre violazioni nella risorsa specifica che causa la violazione.
Interfaccia a riga di comando gcloud
Per visualizzare i dettagli di una violazione delle norme, esegui il seguente comando:
gcloud assured workloads violations describe VIOLATION_PATH
Dove VIOLATION_PATH è nel seguente formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
VIOLATION_PATH viene restituito nella risposta dell'elenco
name per ogni violazione.
La risposta include le seguenti informazioni:
Un link al log di controllo per la violazione.
La prima volta che si è verificata la violazione.
Il tipo di violazione.
Una descrizione della violazione.
Il criterio dell'organizzazione interessato e il relativo vincolo del criterio.
Passaggi per la correzione della violazione.
Lo stato attuale della violazione. I valori validi sono
unresolved,resolvedoexception.
Per i flag facoltativi, consulta la documentazione di Cloud SDK.
Risolvi le violazioni
Per correggere una violazione, procedi nel seguente modo:
Console
Nella console Google Cloud, vai alla pagina Monitoring.
Fai clic sull'ID violazione per visualizzare informazioni più dettagliate.
Nella sezione Risoluzione, segui le istruzioni per la console o l'interfaccia a riga di comando Google Cloud per risolvere il problema.
Interfaccia a riga di comando gcloud
Visualizza i dettagli della violazione utilizzando l'interfaccia a riga di comando gcloud.
Segui i passaggi di correzione nella risposta per risolvere la violazione.
Aggiungere eccezioni alle violazioni
A volte una violazione può essere valida per una situazione particolare. Per aggiungere una o più eccezioni per una violazione, segui i passaggi riportati di seguito.
Console
Nella console Google Cloud, vai alla pagina Monitoring.
Nella colonna ID violazione, fai clic sulla violazione a cui vuoi aggiungere l'eccezione.
Nella sezione Eccezioni, fai clic su Aggiungi nuovo.
Inserisci una giustificazione aziendale per l'eccezione. Se vuoi che l'eccezione venga applicata a tutte le risorse secondarie, seleziona la casella di controllo Applica a tutte le violazioni delle risorse figlio esistenti e fai clic su Invia.
Se necessario, puoi aggiungere altre eccezioni ripetendo questi passaggi e facendo clic su Aggiungi nuovo.
Lo stato della violazione è ora impostato su Eccezione.
Interfaccia a riga di comando gcloud
Per aggiungere un'eccezione per una violazione, esegui il seguente comando:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
dove BUSINESS_JUSTIFICATION è il motivo dell'eccezione e VIOLATION_PATH è nel seguente formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
VIOLATION_PATH viene restituito nella risposta dell'elenco
name per ogni violazione.
Dopo aver inviato correttamente il comando, lo stato di violazione viene impostato su Eccezione.
Violazioni dei criteri dell'organizzazione monitorate
Assured Workloads monitora diversi vincoli dei criteri dell'organizzazione violazioni del codice, a seconda del pacchetto di controlli applicato Cartella Assured Workloads. Utilizza il seguente elenco per filtrare le violazioni dal pacchetto di controlli interessato.
| Vincolo dei criteri dell'organizzazione | Tipo di violazione | Descrizione | Pacchetti di controlli interessati | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Accesso non conforme ai dati di Cloud SQL | Accesso |
Si verifica quando un accesso non conforme a Cloud SQL non è conforme sono consentiti dati diagnostici. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||||||||||||||||||||
| Accesso non conforme ai dati di Compute Engine | Accesso |
Si verifica quando è consentito l'accesso non conforme ai dati delle istanze Compute Engine. Questa violazione è causata dalla modifica del campo
conforme per il
Vincolo |
|
|||||||||||||||||||||||||||||||||||
| Tipi di autenticazione non conformi per Cloud Storage | Accesso |
Si verifica quando è consentito l'utilizzo di tipi di autenticazione non conformi con Cloud Storage. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||||||||||||||||||||
| Accesso non conforme ai bucket Cloud Storage | Accesso |
Si verifica quando è consentito l'accesso non conforme e non uniforme a livello di bucket a Cloud Storage. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||||||||||||||||||||
| Accesso non conforme ai dati di GKE | Accesso |
Si verifica quando l'accesso non è conforme alla diagnostica di GKE di dati non consentiti. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||||||||||||||||||||
| Funzionalità di diagnostica di Compute Engine non conformi | Configurazione |
Si verifica quando sono state attivate funzionalità di diagnostica di Compute Engine non conformi. Questa violazione è causata dalla modifica del campo
conforme per il
Vincolo |
|
|||||||||||||||||||||||||||||||||||
| Impostazione di bilanciamento del carico globale di Compute Engine non conforme | Configurazione |
Si verifica quando è stato impostato un valore non conforme per l'impostazione del bilanciamento del carico globale in Compute Engine. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||||||||||||||||||||
| Impostazione FIPS di Compute Engine non conforme | Configurazione |
Si verifica quando viene impostato un valore non conforme per l'impostazione FIPS in Compute Engine. Questa violazione è causata dalla modifica del campo
valore conforme per |
|
|||||||||||||||||||||||||||||||||||
| Impostazione SSL di Compute Engine non conforme | Configurazione |
Si verifica quando è stato impostato un valore non conforme per e autogestiti. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||||||||||||||||||||
| Impostazione SSH nel browser non conforme per Compute Engine | Configurazione |
Si verifica quando è stato impostato un valore non conforme per l'SSH nel browser. in Compute Engine. Questa violazione è causata dalla modifica del campo
valore conforme per |
|
|||||||||||||||||||||||||||||||||||
| Creazione di risorse Cloud SQL non conformi | Configurazione |
Si verifica quando la creazione di risorse Cloud SQL non è conforme consentito. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||||||||||||||||||||
| Manca la limitazione della chiave Cloud KMS | Crittografia |
Si verifica quando non è specificato nessun progetto per fornire chiavi di crittografia per CMEK . Questa violazione è causata dalla modifica del campo
valore conforme per |
|
|||||||||||||||||||||||||||||||||||
| Servizio non conforme non abilitato a CMEK | Crittografia |
Si verifica quando un servizio che non supporta CMEK sia abilitata per il carico di lavoro. Questa violazione è causata dalla modifica del campo
valore conforme per |
|
|||||||||||||||||||||||||||||||||||
| Livelli di protezione Cloud KMS non conformi | Crittografia |
Si verifica quando vengono specificati livelli di protezione non conformi per l'utilizzo con Cloud Key Management Service (Cloud KMS). Per ulteriori informazioni, consulta la documentazione di riferimento di Cloud KMS. Questa violazione è causata dalla modifica del campo
valore conforme per |
|
|||||||||||||||||||||||||||||||||||
| Località delle risorse non conformi | Località della risorsa |
Si verifica quando le risorse dei servizi supportati per un determinato pacchetto di controllo Assured Workloads vengono create al di fuori della regione consentita per il carico di lavoro o spostate da una posizione consentita a una non consentita.
Questa violazione è causata dalla modifica del campo
conforme per il
|
|
|||||||||||||||||||||||||||||||||||
| Servizi non conformi | Utilizzo del servizio |
Si verifica quando un utente attiva un servizio non supportato da un determinato pacchetto di controllo Assured Workloads in una cartella Assured Workloads. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
Violazioni delle risorse monitorate
Assured Workloads monitora diverse violazioni delle risorse, a seconda del pacchetto di controllo applicato alla cartella Assured Workloads. Per vedere quali tipi di risorse vengono monitorati, consulta Tipi di risorse supportate nella documentazione di Cloud Asset Inventory. Utilizza l'elenco seguente per filtrare le violazioni in base al pacchetto di controllo interessato:
| Vincolo dei criteri dell'organizzazione | Descrizione | Pacchetti di controllo interessati | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Località della risorsa non conforme |
Si verifica quando la posizione di una risorsa si trova in una regione non conforme. Questa violazione è causata dalla
|
|
|||||||||||||||||||||||||||||||||||
| Risorse non conformi nella cartella |
Si verifica quando viene creata una risorsa per un servizio non supportato nella cartella Assured Workloads. Questa violazione è causata dal vincolo
|
|
|||||||||||||||||||||||||||||||||||
| Risorse non criptate (non CMEK) |
Si verifica quando viene creata una risorsa senza crittografia CMEK per che richiede la crittografia CMEK. Questa violazione è causata dal vincolo
|
|
Passaggi successivi
- Scopri i pacchetti di controllo per Assured Workloads.
- Scopri quali prodotti sono supportati per ogni pacchetto di controllo.