Monitorizar una carpeta de Assured Workloads para detectar infracciones
Assured Workloads monitoriza activamente tus carpetas de Assured Workloads para detectar infracciones del cumplimiento. Para ello, compara los requisitos del paquete de control de una carpeta con los siguientes detalles:
- Política de la organización: cada carpeta de Assured Workloads se configura con ajustes de restricciones de políticas de la organización específicos que ayudan a garantizar el cumplimiento. Si estos ajustes se modifican de forma que no se cumplan, se produce una infracción. Consulta la sección Infracciones de las políticas de organizaciones monitorizadas para obtener más información.
- Recursos: en función de la configuración de la política de organización de tu carpeta de Assured Workloads, los recursos de la carpeta pueden estar restringidos, como su tipo y ubicación. Para obtener más información, consulta la sección Infracciones de recursos monitorizados. Si algún recurso no cumple los requisitos, se produce una infracción.
Cuando se produzca una infracción, puede resolverla o crear excepciones para ella cuando sea oportuno. Una infracción puede tener uno de estos tres estados:
- Sin resolver: la infracción no se ha corregido o se había concedido una excepción antes de que se hicieran cambios que no cumplían los requisitos en la carpeta o el recurso.
- Resuelto: la infracción se ha solucionado siguiendo estos pasos.
- Excepción: se ha concedido una excepción para la infracción y se ha proporcionado una justificación empresarial.
La monitorización de Assured Workloads se habilita automáticamente cuando creas una carpeta de Assured Workloads.
Antes de empezar
Roles y permisos de gestión de identidades y accesos necesarios
Para ver las infracciones de políticas de organización o de recursos, debes tener asignado un rol de gestión de identidades y accesos en la carpeta de Assured Workloads que contenga los siguientes permisos:
assuredworkloads.violations.getassuredworkloads.violations.list
Estos permisos están incluidos en los siguientes roles de gestión de identidades y accesos de Assured Workloads:
- Administrador de Assured Workloads (
roles/assuredworkloads.admin) - Editor de Assured Workloads (
roles/assuredworkloads.editor) - Lector de Assured Workloads (
roles/assuredworkloads.reader)
Para habilitar la monitorización de infracciones de recursos, debe tener asignado un rol de gestión de identidades y accesos en la carpeta de Assured Workloads que contenga los siguientes permisos:
assuredworkloads.workload.update: este permiso está incluido en los siguientes roles:- Administrador de Assured Workloads (
roles/assuredworkloads.admin) - Editor de Assured Workloads (
roles/assuredworkloads.editor)
- Administrador de Assured Workloads (
resourcemanager.folders.setIamPolicy: este permiso está incluido en los roles de administrador, como los siguientes:- Administrador de la organización (
roles/resourcemanager.organizationAdmin) - Administrador de seguridad (
roles/iam.securityAdmin)
- Administrador de la organización (
Para proporcionar excepciones por incumplimiento de las normas, debes tener asignado un rol de IAM en la carpeta de Assured Workloads que contenga el siguiente permiso:
assuredworkloads.violations.update: este permiso está incluido en los siguientes roles:- Administrador de Assured Workloads (
roles/assuredworkloads.admin) - Editor de Assured Workloads (
roles/assuredworkloads.editor)
- Administrador de Assured Workloads (
Además, para resolver las infracciones de las políticas de la organización y ver los registros de auditoría, se deben conceder los siguientes roles de IAM:
- Administrador de políticas de organización (
roles/orgpolicy.policyAdmin) - Visualizador de registros (
roles/logging.viewer)
Configurar notificaciones por correo electrónico de infracciones
Cuando se produce o se resuelve una infracción del cumplimiento de las normas de una organización, o cuando se hace una excepción, se envía un correo de forma predeterminada a los miembros de la categoría Legal (Legal) de Essential Contacts (Contactos esenciales). Este comportamiento es necesario porque tu equipo jurídico debe estar al día de cualquier problema de cumplimiento normativo.
El equipo que gestione las infracciones, ya sea un equipo de seguridad u otro, también debe añadirse a la categoría Legal como contacto. De esta forma, recibirán notificaciones por correo electrónico cuando se produzcan cambios.
Habilitar o inhabilitar las notificaciones
Para habilitar o inhabilitar las notificaciones de una carpeta de Assured Workloads específica, sigue estos pasos:
Ve a la página Assured Workloads de la Google Cloud consola:
En la columna Nombre, haz clic en el nombre de la carpeta de Assured Workloads cuyos ajustes de notificaciones quieras cambiar.
En la tarjeta Monitorización de Assured Workloads, desmarca la casilla Habilitar notificaciones para inhabilitar las notificaciones o selecciónala para habilitarlas en la carpeta.
En la página Carpetas de Assured Workloads, las carpetas que tienen las notificaciones inhabilitadas muestran Notificaciones de correo de monitorización inhabilitadas.
Ver las infracciones de tu organización
Puedes ver las infracciones de tu organización tanto en la Google Cloud consola como en la CLI de gcloud.
Consola
Puedes ver cuántas infracciones hay en tu organización en la página Assured Workloads de la sección Cumplimiento de la consola deGoogle Cloud o en la página Monitorización de la sección Cumplimiento.
Página de Assured Workloads
Ve a la página Assured Workloads para ver las infracciones de un vistazo:
En la parte superior de la página, se muestra un resumen de las infracciones de las políticas de la organización y de los recursos. Haz clic en el enlace Ver para ir a la página Monitorización.
En cada carpeta de Assured Workloads de la lista, las infracciones se muestran en las columnas Infracciones de la política de la organización e Infracciones de recursos. Las infracciones sin resolver tienen el icono activo y las excepciones tienen el icono activo. Puedes seleccionar una infracción o una excepción para ver más detalles.
Si la monitorización de infracciones de recursos no está habilitada en una carpeta, el icono estará activo en la columna Novedades y se mostrará el enlace Habilitar monitorización de infracciones de recursos. Haz clic en el enlace para habilitar la función. También puedes habilitarla haciendo clic en el botón Habilitar en la página de detalles de la carpeta de Assured Workloads.
Página de supervisión
Ve a la página Monitorización para ver las infracciones con más detalle:
Se muestran dos pestañas: Infracciones de las políticas de la organización e Infracciones de recursos. Si hay más de una infracción sin resolver, el icono estará activo en la pestaña.
En cualquiera de las pestañas, las infracciones sin resolver se muestran de forma predeterminada. Consulta la sección Ver detalles de la infracción que aparece más abajo para obtener más información.
CLI de gcloud
Para ver una lista de las infracciones de cumplimiento actuales de tu organización, ejecuta el siguiente comando:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Donde:
LOCATION es la ubicación de la carpeta de Assured Workloads.
ORGANIZATION_ID es el ID de la organización que se va a consultar.
WORKLOAD_ID es el ID de la carga de trabajo principal, que puedes encontrar consultando tu lista de cargas de trabajo.
La respuesta incluye la siguiente información sobre cada infracción:
- Un enlace al registro de auditoría de la infracción.
- La primera vez que se produjo la infracción.
- El tipo de infracción.
- Descripción de la infracción.
- El nombre de la infracción, que se puede usar para obtener más detalles.
- La política de organización afectada y la restricción de política relacionada.
- El estado actual de la infracción. Los valores válidos son "unresolved", "resolved" o "exception".
Para ver las marcas opcionales, consulta la documentación del SDK de Google Cloud.
Ver los detalles de la infracción
Para ver infracciones de cumplimiento específicas y sus detalles, sigue estos pasos:
Consola
En la Google Cloud consola, ve a la página Monitorización.
En la página Monitorización, la pestaña Infracciones de la política de organización está seleccionada de forma predeterminada. En esta pestaña se muestran todas las infracciones de las políticas de la organización sin resolver en las carpetas de Assured Workloads de la organización.
En la pestaña Infracciones de recursos se muestran todas las infracciones sin resolver asociadas al recurso en todas las carpetas de Assured Workloads de la organización.
En cualquiera de las pestañas, usa las opciones de Filtros rápidos para filtrar por estado de la infracción, tipo de infracción, tipo de paquete de control, tipo de infracción, carpetas específicas, restricciones de políticas de la organización específicas o tipos de recursos específicos.
En cualquiera de las pestañas, si hay infracciones, haz clic en un ID de infracción para ver información más detallada.
En la página Detalles de la infracción, puede hacer lo siguiente:
Copia el ID de la infracción.
Consulta la carpeta de Assured Workloads en la que se ha producido la infracción y la hora en la que se produjo por primera vez.
Consulta el registro de auditoría, que incluye lo siguiente:
Cuándo se produjo la infracción.
Qué política se ha modificado para provocar la infracción y qué usuario ha realizado esa modificación.
Si se ha concedido una excepción, qué usuario la ha concedido.
Si procede, consulta el recurso específico en el que se ha producido la infracción.
Consulta la política de organización afectada.
Ver y añadir excepciones de incumplimiento de las políticas. Se muestra una lista de las excepciones anteriores de la carpeta o el recurso, incluido el usuario que concedió la excepción y la justificación que proporcionó.
- Sigue los pasos para solucionar el problema.
En el caso de las infracciones de las políticas de la organización, también puedes ver lo siguiente:
- Política de organización afectada: para ver la política específica asociada a la infracción del cumplimiento, haga clic en Ver política.
- Infracciones de recursos secundarios: las infracciones de políticas de organización basadas en recursos pueden provocar infracciones de recursos secundarios. Para ver o resolver las infracciones de recursos secundarios, haga clic en el ID de infracción.
En el caso de las infracciones de recursos, también puedes ver lo siguiente:
- Infracciones de las políticas de la organización principal: cuando las infracciones de las políticas de la organización principal son la causa de una infracción de un recurso secundario, deben abordarse a nivel de la organización principal. Para ver los detalles de la infracción principal, haga clic en Ver infracción.
- También se muestran otras infracciones del recurso específico que está provocando la infracción del recurso.
CLI de gcloud
Para ver los detalles de una infracción de cumplimiento, ejecuta el siguiente comando:
gcloud assured workloads violations describe VIOLATION_PATH
Donde VIOLATION_PATH tiene el siguiente formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
El VIOLATION_PATH se devuelve en el campo name de la respuesta list de cada infracción.
La respuesta incluye la siguiente información:
Un enlace al registro de auditoría de la infracción.
La primera vez que se produjo la infracción.
El tipo de infracción.
Descripción de la infracción.
La política de organización afectada y la restricción de política relacionada.
Pasos para resolver la infracción.
El estado actual de la infracción. Los valores válidos son
unresolved,resolvedoexception.
Para ver las marcas opcionales, consulta la documentación del SDK de Google Cloud.
Resolver infracciones
Para solucionar una infracción, sigue estos pasos:
Consola
En la Google Cloud consola, ve a la página Monitorización.
Haga clic en el ID de la infracción para ver información más detallada.
En la sección Remediación, sigue las instrucciones de laGoogle Cloud consola o de la CLI para solucionar el problema.
CLI de gcloud
Sigue los pasos de corrección que se indican en la respuesta para resolver la infracción.
Añadir excepciones de infracciones
En ocasiones, una infracción puede ser válida en una situación concreta. Para añadir una o varias excepciones a una infracción, siga estos pasos.
Consola
En la Google Cloud consola, ve a la página Monitorización.
En la columna ID de infracción, haga clic en la infracción a la que quiera añadir la excepción.
En la sección Excepciones, haz clic en Añadir nuevo.
Indica una justificación empresarial para la excepción. Si quiere que la excepción se aplique a todos los recursos secundarios, marque la casilla Aplicar a todas las infracciones de recursos secundarios y haga clic en Enviar.
Puedes añadir más excepciones si es necesario repitiendo estos pasos y haciendo clic en Añadir nuevo.
El estado de la infracción ahora es Excepción.
CLI de gcloud
Para añadir una excepción a una infracción, ejecuta el siguiente comando:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Donde BUSINESS_JUSTIFICATION es el motivo de la excepción y VIOLATION_PATH tiene el siguiente formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
El VIOLATION_PATH se devuelve en el campo name de la respuesta list de cada infracción.
Una vez que se haya enviado el comando correctamente, el estado de la infracción se establecerá en Exception.
Infracciones de las políticas de organización monitorizadas
Assured Workloads monitoriza diferentes infracciones de restricciones de políticas de la organización en función del paquete de control aplicado a tu carpeta de Assured Workloads. Utilice la siguiente lista para filtrar las infracciones por el paquete de control afectado.
| Restricción de política de organización | Tipo de infracción | Descripción | Paquetes de control afectados | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Acceso no conforme a datos de Cloud SQL | Acceso |
Se produce cuando se permite el acceso no conforme a datos de diagnóstico de Cloud SQL no conformes. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción
|
|
||||||||||||||||||||||||||||||||||||||
| Acceso no conforme a los datos de Compute Engine | Acceso |
Se produce cuando se permite el acceso no conforme a los datos de la instancia de Compute Engine. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Tipos de autenticación de Cloud Storage no conformes | Acceso |
Se produce cuando se permite el uso de tipos de autenticación no conformes con Cloud Storage. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Acceso no conforme a segmentos de Cloud Storage | Acceso |
Se produce cuando se permite el acceso no uniforme a nivel de segmento no conforme a Cloud Storage. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Acceso no conforme a datos de GKE | Acceso |
Se produce cuando se permite el acceso no conforme a los datos de diagnóstico de GKE. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Funciones de diagnóstico de Compute Engine que no cumplen los requisitos | Configuración |
Se produce cuando se han habilitado funciones de diagnóstico de Compute Engine que no cumplen los requisitos. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Configuración de balanceo de carga global de Compute Engine no conforme | Configuración |
Se produce cuando se ha definido un valor no conforme para el ajuste de balanceo de carga global en Compute Engine. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Configuración de FIPS de Compute Engine no conforme | Configuración |
Se produce cuando se ha definido un valor no conforme para el ajuste FIPS en Compute Engine. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Ajuste de SSL de Compute Engine no conforme | Configuración |
Se produce cuando se ha definido un valor no conforme para los certificados globales autogestionados. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Ajuste de SSH en el navegador de Compute Engine no conforme | Configuración |
Se produce cuando se ha definido un valor no conforme para la función SSH en el navegador de Compute Engine. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Creación de recursos de Cloud SQL que no cumplen las políticas | Configuración |
Se produce cuando se permite la creación de recursos de Cloud SQL no conformes. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Falta la restricción de la clave de Cloud KMS | Cifrado |
Se produce cuando no se especifica ningún proyecto para proporcionar claves de cifrado para CMEK . Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Servicio que no cumple los requisitos y no tiene habilitado CMEK | Cifrado |
Se produce cuando se habilita un servicio que no admite CMEK para la carga de trabajo. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Niveles de protección de Cloud KMS no conformes | Cifrado |
Se produce cuando se especifican niveles de protección no conformes para usarlos con Cloud Key Management Service (Cloud KMS). Para obtener más información, consulta la referencia de Cloud KMS . Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
||||||||||||||||||||||||||||||||||||||
| Ubicaciones de recursos no compatibles | Ubicación del recurso |
Se produce cuando los recursos de los servicios admitidos de un paquete de control de Assured Workloads determinado se crean fuera de la región permitida para la carga de trabajo o se mueven de una ubicación permitida a una no permitida.
Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción
|
|
||||||||||||||||||||||||||||||||||||||
| Servicios no conformes | Uso del servicio |
Se produce cuando un usuario habilita un servicio que no es compatible con un paquete de control de Assured Workloads determinado en una carpeta de Assured Workloads. Esta infracción se debe a que se ha cambiado el valor conforme del paquete de control de la restricción |
|
Infracciones de recursos monitorizados
Assured Workloads monitoriza diferentes infracciones de recursos en función del paquete de control aplicado a su carpeta de Assured Workloads. Para ver qué tipos de recursos se monitorizan, consulta Tipos de recursos admitidos en la documentación de Cloud Asset Inventory. Utilice la siguiente lista para filtrar las infracciones por el paquete de control afectado:
| Restricción de política de organización | Descripción | Paquetes de control afectados | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Ubicación de recurso no conforme |
Se produce cuando la ubicación de un recurso se encuentra en una región no conforme. Esta infracción se debe a la restricción
|
|
|||||||||||||||||||||||||||||||||||||
| Recursos no conformes en la carpeta |
Se produce cuando se crea un recurso de un servicio no compatible en la carpeta de Assured Workloads. Esta infracción se debe a la restricción
|
|
|||||||||||||||||||||||||||||||||||||
| Recursos sin cifrar (no CMEK) |
Se produce cuando se crea un recurso sin cifrado CMEK para un servicio que requiere cifrado CMEK. Esta infracción se debe a la restricción
|
|
Siguientes pasos
- Consulta los paquetes de controles de Assured Workloads.
- Consulta qué productos son compatibles con cada paquete de controles.