Supervisa una carpeta de Assured Workloads para detectar incumplimientos
Assured Workloads supervisa activamente tus Assured Workloads en busca de infracciones de cumplimiento a través de la comparación de los requisitos control package con la siguiente información: detalles:
- Política de la organización: Cada carpeta de Assured Workloads está configurada con la configuración específica de restricciones de políticas de la organización y cumplimiento. Cuando se cambia esta configuración de manera no conforme, se produce una violación. Consulta la sección Incumplimientos de políticas de la organización supervisados para obtener más información.
- Recursos: Según la carpeta de Assured Workloads de la política de la organización, es posible que los recursos restringido, como su tipo y ubicación. Consulta la Sección Incumplimientos de recursos supervisados para obtener más información información. Si algún recurso no las cumple, se producirá un incumplimiento.
Cuando se produce un incumplimiento, puedes resolverlo o crear excepciones cuando corresponda. Un incumplimiento puede tener uno de tres estados:
- Sin resolver: El incumplimiento no se resolvió o se otorgó anteriormente una excepción antes de que se realizaran cambios que no cumplen con las políticas en la carpeta o el recurso.
- Resuelto: El incumplimiento se abordó y se siguieron pasos para solucionar el problema.
- Excepción: Se otorgó una excepción al incumplimiento y se proporcionó una justificación de la empresa.
La supervisión de Assured Workloads se habilita automáticamente cuando creas una una carpeta de Assured Workloads.
Antes de comenzar
Roles y permisos de IAM obligatorios
Para ver los incumplimientos de las políticas de la organización o de los recursos, debes tener un rol de IAM en la carpeta Assured Workloads que contenga los siguientes permisos:
assuredworkloads.violations.getassuredworkloads.violations.list
Estos permisos se incluyen en las siguientes Assured Workloads Roles de IAM:
- Administrador de Assured Workloads (
roles/assuredworkloads.admin) - Editor de Assured Workloads (
roles/assuredworkloads.editor) - Lector de Assured Workloads (
roles/assuredworkloads.reader)
Para habilitar la supervisión de incumplimientos de recursos, debes obtener un de IAM en la carpeta de Assured Workloads que contiene los siguientes permisos:
assuredworkloads.workload.update: Este permiso se incluye en el los siguientes roles:- Administrador de Assured Workloads (
roles/assuredworkloads.admin) - Editor de Assured Workloads (
roles/assuredworkloads.editor)
- Administrador de Assured Workloads (
resourcemanager.folders.setIamPolicy: Este permiso se incluye en administrativos, como los siguientes:- Administrador de la organización (
roles/resourcemanager.organizationAdmin) - Administrador de seguridad (
roles/iam.securityAdmin)
- Administrador de la organización (
Para proporcionar excepciones para los incumplimientos de cumplimiento, debes tener un rol de IAM en la carpeta de Assured Workloads que contenga el siguiente permiso:
assuredworkloads.violations.update: Este permiso se incluye en el los siguientes roles:- Administrador de Assured Workloads (
roles/assuredworkloads.admin) - Editor de Assured Workloads (
roles/assuredworkloads.editor)
- Administrador de Assured Workloads (
Además, para resolver incumplimientos de políticas y ver registros de auditoría, se deben otorgar los siguientes roles de IAM:
- Administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) - Visor de registros (
roles/logging.viewer)
Configura las notificaciones de incumplimiento por correo electrónico
Cuando se produce o se resuelve una infracción del cumplimiento de la organización, o cuando una los miembros de la categoría Legal en Los contactos esenciales son se envían por correo electrónico de forma predeterminada. Este comportamiento es necesario porque tu equipo legal debe mantenerse al día con los problemas de cumplimiento de normas.
El equipo que administra los incumplimientos, ya sea un equipo de seguridad o de lo contrario, también deben agregados a la categoría Legal como contactos. Esto garantiza que reciban notificaciones por correo electrónico a medida que se produzcan cambios.
Cómo habilitar o inhabilitar las notificaciones
Habilita o inhabilita las notificaciones de una cuenta de Assured Workloads específica. carpeta:
Ve a la página Assured Workloads en la consola de Google Cloud:
En la columna Nombre, haz clic en el nombre de Assured Workloads. carpeta cuya configuración de notificaciones quieres cambiar.
En la tarjeta Supervisión de Assured Workloads, borra las La casilla de verificación Habilitar notificaciones para inhabilitar las notificaciones, o bien selecciónala habilitar las notificaciones de la carpeta.
En la página Carpetas de Assured Workloads, carpetas que tienen notificaciones. inhabilitado el programa La supervisión de notificaciones por correo electrónico está inhabilitada.
Visualiza los incumplimientos en tu organización
Puedes ver los incumplimientos en toda tu organización en la la consola de Google Cloud y gcloud CLI.
Console
Puedes ver la cantidad de incumplimientos que hay en tu organización en la página Assured Workloads en la sección Cumplimiento de la consola de Google Cloud o en la página Supervisión en la sección Cumplimiento.
Página de Assured Workloads
Ve a la página Assured Workloads para consultar un resumen de los incumplimientos:
En la parte superior de la página, hay un resumen de los incumplimientos de las políticas de la organización y incumplimientos de recursos. Haz clic en el vínculo Ver para ir a Página de supervisión
Para cada carpeta de Assured Workloads de la lista, se aplica cualquier incumplimiento que se muestran en las columnas Incumplimientos de políticas de la organización e Incumplimientos de recursos. Los incumplimientos sin resolver tienen la activo, y las excepciones tienen la El ícono está activo. Puedes seleccionar una violación o excepción para ver más detalles.
Si la supervisión de incumplimientos de recursos no está habilitada en una carpeta, el El ícono de está activo en Actualizaciones. columna con un vínculo Habilitar la supervisión de incumplimientos de recursos. Haz clic en el vínculo. para habilitar la función. También puedes habilitarla haciendo clic en el botón Habilitar de la página de detalles de la carpeta de Assured Workloads.
Página de supervisión
Ve a la página Monitoring para ver los incumplimientos con más detalle:
Aparecen dos pestañas: Incumplimientos de políticas de la organización y Incumplimientos de recursos. Si existe más de un incumplimiento no resuelto, el El ícono está activo en la pestaña.
En cualquiera de las pestañas, los incumplimientos sin resolver se muestran de forma predeterminada. Consulta la Consulte la sección de detalles del incumplimiento a continuación para obtener más información.
gcloud CLI
Para mostrar una lista de las infracciones de cumplimientos actuales en tu organización, ejecuta el siguiente comando:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Aquí:
LOCATION es la ubicación de la carpeta Assured Workloads.
ORGANIZATION_ID es el ID de la organización que se consulta.
WORKLOAD_ID es el ID de la carga de trabajo superior, que se puede encontrar mediante la enumeración de tus cargas de trabajo.
En la respuesta, se incluye la siguiente información para cada incumplimiento:
- Un vínculo del registro de auditoría del incumplimiento.
- La primera vez que ocurrió el incumplimiento.
- El tipo de incumplimiento.
- Una descripción del incumplimiento.
- El nombre del incumplimiento, que se puede usar para recuperar más detalles.
- La política de la organización afectada y la restricción de política relacionada.
- El estado actual del incumplimiento. Los valores válidos son sin resolver, resuelto o excepción.
Para ver las marcas opcionales, consulta la Documentación del SDK de Cloud.
Ver detalles de los incumplimientos
Para ver incumplimientos específicos y sus detalles, completa los siguientes pasos:
Consola
En la consola de Google Cloud, ve a la página Supervisión.
En la página Supervisión, se encuentra la pestaña Incumplimientos de políticas de la organización. seleccionada de forma predeterminada. En esta pestaña, se muestran todas las políticas de la organización sin resolver incumplimientos en las carpetas de Assured Workloads de la organización.
En la pestaña Incumplimientos de recursos, se muestran todos los incumplimientos no resueltos asociados con el recurso en todas las carpetas de Assured Workloads de la organización.
En ambas pestañas, usa las opciones de Filtros rápidos para filtrar por incumplimiento. estado, tipo de incumplimiento, tipo de paquete de control, tipo de incumplimiento, específico carpetas específicas, restricciones específicas de la política de la organización o recursos específicos de tipos de datos.
En cualquiera de las pestañas, si hay incumplimientos existentes, haz clic en un ID de incumplimiento para ver información más detallada.
En la página Detalles del incumplimiento, puedes realizar las siguientes tareas:
Copiar el ID del incumplimiento.
Consulta la carpeta de Assured Workloads en la que se produjo el incumplimiento. y a qué hora ocurrió por primera vez.
Ver el registro de auditoría, que incluye lo siguiente:
Cuándo ocurrió el incumplimiento.
Qué política se modificó para provocar el incumplimiento y qué usuario hizo sobre esa modificación.
Si se otorgó una excepción, qué usuario la otorgó.
Cuando corresponda, ver el recurso específico en el que se produjo el incumplimiento.
Consultar la política de la organización afectada.
Consulta y agrega excepciones de incumplimientos. Una lista de excepciones anteriores de la carpeta o el recurso, incluida la política que otorgó la excepción y la justificación proporcionada por el usuario.
- Sigue los pasos de corrección para resolver la excepción.
En el caso de los incumplimientos de políticas de la organización, también puedes ver lo siguiente:
- Política de la organización afectada: Para ver la política específica asociada con el incumplimiento de políticas, haz clic en Ver política.
- Incumplimientos de recursos secundarios: Los incumplimientos de las políticas de la organización basados en recursos pueden causar incumplimientos de recursos secundarios. Para ver o resolver elemento secundario incumplimientos de recursos, haz clic en ID de incumplimiento.
En el caso de incumplimientos de recursos, también puedes ver lo siguiente:
- Incumplimientos de las políticas de la organización superior: Cuando la política de la organización superior incumplimientos son la causa de un incumplimiento de recurso secundario, deben abordarse a nivel principal. Para ver los detalles del incumplimiento superior, haz clic en Ver el incumplimiento.
- Cualquier otro incumplimiento en el recurso específico que lo ocasione incumplimientos.
gcloud CLI
Para ver los detalles de un incumplimiento, ejecuta el siguiente comando:
gcloud assured workloads violations describe VIOLATION_PATH
En el ejemplo anterior, VIOLATION_PATH está en el siguiente formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Se muestra el VIOLATION_PATH en el campo name de la respuesta de la lista para cada incumplimiento.
La respuesta incluye la siguiente información:
Un vínculo del registro de auditoría del incumplimiento.
La primera vez que ocurrió el incumplimiento.
El tipo de incumplimiento.
Una descripción del incumplimiento.
La política de la organización afectada y la restricción de política relacionada.
Pasos de corrección para resolver el incumplimiento.
El estado actual del incumplimiento. Los valores válidos son
unresolved,resolvedoexception.
Para obtener marcas opcionales, consulta la documentación del SDK de Cloud.
Resuelve incumplimientos
Para corregir un incumplimiento, sigue estos pasos:
Consola
En la consola de Google Cloud, ve a la página Supervisión.
Haz clic en el ID del incumplimiento para ver información más detallada.
En la sección Corrección, sigue las instrucciones de la consola de Google Cloud o la CLI para abordar el problema.
CLI de gcloud
Sigue los pasos de corrección en la respuesta para resolver el incumplimiento.
Agrega excepciones de incumplimiento
A veces, un incumplimiento puede ser válido para un caso en particular. Puedes agregar uno o más excepciones en caso de un incumplimiento. Para ello, siga los pasos que se indican a continuación.
Console
En la consola de Google Cloud, ve a la página Supervisión.
En la columna ID de incumplimiento, haz clic en el incumplimiento al que deseas agregar la excepción.
En la sección Excepciones, haz clic en Agregar nueva.
Ingresa una justificación comercial para la excepción. Si quieres que la excepción se aplique a todos los recursos secundarios, selecciona la casilla de verificación Aplicar a todas las infracciones de recursos secundarios existentes y haz clic en Enviar.
Puedes agregar excepciones adicionales según sea necesario. Para ello, repite estos pasos y y haz clic en Add New.
El estado de incumplimiento ahora está configurado como Excepción.
CLI de gcloud
Para agregar una excepción a un incumplimiento, ejecuta el siguiente comando:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
En el ejemplo anterior, BUSINESS_JUSTIFICATION es el motivo de la excepción, y VIOLATION_PATH está en el siguiente formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Se muestra el VIOLATION_PATH en el campo name de la respuesta de la lista para cada incumplimiento.
Después de enviar el comando correctamente, el estado del incumplimiento se establece como Excepción.
Se supervisaron los incumplimientos de las políticas de la organización
Assured Workloads supervisa diferentes restricciones de políticas de la organización infracciones, según el paquete de control que se aplique a su Assured Workloads. Utilice la siguiente lista para filtrar los incumplimientos por el paquete de control afectado.
| Restricción de las políticas de la organización | Tipo de incumplimiento | Descripción | Paquetes de control afectados | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Acceso a los datos de Cloud SQL que no cumple con las normas | Acceso |
Ocurre cuando el acceso a Cloud SQL no cumple con las políticas se permiten los datos de diagnóstico. Este incumplimiento se produce cuando se cambian los parámetros
valor que cumpla con los requisitos
|
|
|||||||||||||||||||||||||||||||||||
| Acceso que no cumple con las normas a datos de Compute Engine | Acceso |
Ocurre cuando se permite el acceso que no cumple con las normas a los datos de la instancia de Compute Engine. Este incumplimiento se produce cuando se cambian los parámetros
valor que cumpla con los requisitos
restricción |
|
|||||||||||||||||||||||||||||||||||
| Tipos de autenticación de Cloud Storage que no cumplen con las normas | Acceso |
Ocurre cuando se permiten los tipos de autenticación que no cumplen con las normas para su uso con Cloud Storage. Este incumplimiento se produce cuando se cambian los parámetros
valor que cumple con las políticas para las |
|
|||||||||||||||||||||||||||||||||||
| Acceso no compatible a los buckets de Cloud Storage | Acceso |
Ocurre cuando se permite el acceso no uniforme que no cumple con las normas a nivel de bucket a Cloud Storage. Este incumplimiento se produce cuando se cambian los parámetros
valor que cumpla con los requisitos
restricción |
|
|||||||||||||||||||||||||||||||||||
| Acceso a los datos de GKE que no cumple con las normas | Acceso |
Ocurre cuando el acceso al diagnóstico de GKE no cumple con las políticas de que se permitan los datos. Este incumplimiento se produce cuando se cambian los parámetros
valor que cumpla con los requisitos
|
|
|||||||||||||||||||||||||||||||||||
| Características del diagnóstico de Compute Engine que no cumple con las normas | Configuración |
Ocurre cuando se habilitan las funciones de diagnóstico de Compute Engine que no cumplen con las normas. Este incumplimiento se produce cuando se cambian los parámetros
valor que cumpla con los requisitos
restricción |
|
|||||||||||||||||||||||||||||||||||
| Configuración del balanceo de cargas global de Compute Engine que no cumple con las políticas | Configuración |
Ocurre cuando se establece un valor que no cumple con las políticas para la carga global. de balanceo de cargas en Compute Engine. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
|||||||||||||||||||||||||||||||||||
| Configuración de FIPS de Compute Engine que no cumple con las normas | Configuración |
Ocurre cuando se establece un valor que no cumple con las políticas para la configuración de FIPS en Compute Engine. Este incumplimiento se produce cuando se cambian los parámetros
valor que cumple con las políticas para las |
|
|||||||||||||||||||||||||||||||||||
| Configuración de SSL de Compute Engine que no cumple con las normas | Configuración |
Ocurre cuando se establece un valor que no cumple con las normas para los certificados autoadministrados globales. Este incumplimiento se produce cuando se cambian los parámetros
valor que cumpla con los requisitos
|
|
|||||||||||||||||||||||||||||||||||
| Conexión SSH de Compute Engine que no cumple con las normas en la configuración del navegador | Configuración |
Ocurre cuando se establece un valor que no cumple con las políticas para la conexión SSH en el navegador en Compute Engine. Este incumplimiento se produce cuando se cambian los parámetros
valor que cumple con las políticas para las |
|
|||||||||||||||||||||||||||||||||||
| Creación de recursos de Cloud SQL que no cumplen con las normas | Configuración |
Ocurre cuando la creación de recursos de Cloud SQL que no cumple con las políticas por lo que está permitido. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
|||||||||||||||||||||||||||||||||||
| Falta la restricción de clave de Cloud KMS | Encriptación |
Ocurre cuando no se especifican proyectos para proporcionar claves de encriptación para CMEK Este incumplimiento se produce cuando se cambian los parámetros
valor que cumple con las políticas para las |
|
|||||||||||||||||||||||||||||||||||
| Servicio sin CMEK habilitada y que no cumple con las normas | Encriptación |
Ocurre cuando un servicio no admite CMEK esté habilitado para la carga de trabajo. Este incumplimiento se produce cuando se cambian los parámetros
valor que cumple con las políticas para las |
|
|||||||||||||||||||||||||||||||||||
| Niveles de protección de Cloud KMS que no cumplen con las normas | Encriptación |
Ocurre cuando se especifican niveles de protección que no cumplen con las normas para el uso de Cloud Key Management Service (Cloud KMS). Consulta la Referencia de Cloud KMS para obtener más información. Este incumplimiento se produce cuando se cambian los parámetros
valor que cumple con las políticas para las |
|
|||||||||||||||||||||||||||||||||||
| Ubicaciones de recursos que no cumplen con las normas | Ubicación del recurso |
Ocurre cuando los recursos de servicios admitidos para un determinado El paquete de control de Assured Workloads se crea fuera de de la región permitida para la carga de trabajo o que se trasladó de una ubicación permitida a una ubicación no permitida.
Este incumplimiento se produce cuando se cambian los parámetros
valor que cumpla con los requisitos
|
|
|||||||||||||||||||||||||||||||||||
| Servicios que no cumplen con las normas | Uso del servicio |
Ocurre cuando un usuario habilita un servicio que no es compatible con un determinado Paquete de control de Assured Workloads en una Assured Workloads. Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción |
|
Incumplimientos de recursos supervisados
Assured Workloads supervisa los diferentes incumplimientos de recursos, según el paquete de control aplicado a tu carpeta de Assured Workloads. Para ver qué tipos de recursos se supervisan, consulta Tipos de recursos admitidos en la documentación de Cloud Asset Inventory. Usa la siguiente lista para filtrar incumplimientos por parte del paquete de control afectado:
| Restricción de las políticas de la organización | Descripción | Paquetes de control afectados | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Ubicación del recurso que no cumple con las políticas |
Ocurre cuando la ubicación de un recurso está en una región que no cumple con las políticas. Este incumplimiento se produce debido a la restricción |
|
|||||||||||||||||||||||||||||||||||
| Recursos en la carpeta que no cumplen con las políticas |
Ocurre cuando se crea un recurso para un servicio no compatible en la carpeta Assured Workloads. Este incumplimiento se debe al
|
|
|||||||||||||||||||||||||||||||||||
| Recursos sin encriptar (no CMEK) |
Ocurre cuando se crea un recurso sin encriptación con CMEK para un que requiere encriptación con CMEK. Este incumplimiento se debe al
|
|
¿Qué sigue?
- Comprende los paquetes de control. para Assured Workloads.
- Consulta qué productos son compatibles para cada paquete de control.