Monitoraggio di una cartella Assured Workloads per rilevare eventuali violazioni

Assured Workloads monitora attivamente le cartelle Assured Workloads per rilevare eventuali violazioni della conformità, confrontando i requisiti del programma di conformità di una cartella con i seguenti dettagli:

  • Criterio dell'organizzazione: ogni cartella di Assured Workloads è configurata con impostazioni di vincolo dei criteri dell'organizzazione specifiche che contribuiscono a garantire la conformità. Quando queste impostazioni vengono modificate in modo non conforme, si verifica una violazione. Per ulteriori informazioni, consulta la sezione Violazioni dei criteri dell'organizzazione monitorata.
  • Risorse: a seconda delle impostazioni dei criteri dell'organizzazione della cartella Assured Workloads, potrebbero essere limitate alle risorse al di sotto della cartella, ad esempio tipo e località. Per ulteriori informazioni, consulta la sezione Violazioni delle risorse monitorate. Se una o più risorse non sono conformi, si verifica una violazione.

Quando si verifica una violazione, è possibile risolverla o creare eccezioni, se opportuno. Una violazione può avere uno dei tre seguenti stati:

Il monitoraggio di Assured Workloads viene abilitato automaticamente quando crei una cartella di Assured Workloads.

Prima di iniziare

Autorizzazioni e ruoli IAM obbligatori

Per visualizzare le violazioni dei criteri dell'organizzazione o delle risorse, devi concedere un ruolo IAM per la cartella Assured Workloads contenente le seguenti autorizzazioni:

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

Queste autorizzazioni sono incluse nei seguenti ruoli IAM di Assured Workloads:

  • Amministratore di Assured Workloads (roles/assuredworkloads.admin)
  • Editor di Assured Workloads (roles/assuredworkloads.editor)
  • Lettore di Assured Workloads (roles/assuredworkloads.reader)

Per abilitare il monitoraggio delle violazioni delle risorse, devi disporre di un ruolo IAM per la cartella Assured Workloads contenente le seguenti autorizzazioni:

  • assuredworkloads.workload.update: questa autorizzazione è inclusa nei ruoli seguenti:

    • Amministratore di Assured Workloads (roles/assuredworkloads.admin)
    • Editor di Assured Workloads (roles/assuredworkloads.editor)

  • resourcemanager.folders.setIamPolicy: questa autorizzazione è inclusa nei ruoli amministrativi, tra cui:

    • Organization Administrator (roles/resourcemanager.organizationAdmin) (Amministratore dell'organizzazione)
    • Security Admin (roles/iam.securityAdmin) Amministrazione della sicurezza

Per fornire eccezioni per le violazioni della conformità, devi disporre di un ruolo IAM per la cartella Assured Workloads contenente la seguente autorizzazione:

  • assuredworkloads.violations.update: questa autorizzazione è inclusa nei ruoli seguenti:

    • Amministratore di Assured Workloads (roles/assuredworkloads.admin)
    • Editor di Assured Workloads (roles/assuredworkloads.editor)

Inoltre, per risolvere le violazioni dei criteri dell'organizzazione e visualizzare gli audit log, è necessario concedere i seguenti ruoli IAM:

  • Organization Policy Administrator (roles/orgpolicy.policyAdmin) (Amministratore criteri organizzazione)
  • Visualizzatore log (roles/logging.viewer)

Configurare le notifiche via email relative alle violazioni

Quando si verifica o viene risolta una violazione della conformità dell'organizzazione o quando viene fatta un'eccezione, i membri della categoria Legale in Contatti necessari ricevono un'email per impostazione predefinita. Questo comportamento è necessario perché il team legale deve essere aggiornato su eventuali problemi di conformità normativa.

Anche il team che gestisce le violazioni, che si tratti di un team di sicurezza o di altro tipo, deve essere aggiunto alla categoria Legale come contatti. In questo modo vengono inviate notifiche via email non appena vengono apportate modifiche.

Attivare o disattivare le notifiche

Per abilitare o disabilitare le notifiche per una cartella Assured Workloads specifica:

  1. Vai alla pagina Assured Workloads nella console Google Cloud:

    Vai ad Assured Workloads

  2. Nella colonna Nome, fai clic sul nome della cartella Assured Workloads di cui vuoi modificare le impostazioni di notifica.

  3. Nella scheda Assured Workloads Monitoring, deseleziona la casella di controllo Abilita notifiche per disabilitare le notifiche o selezionala per abilitare le notifiche per la cartella.

Nella pagina Cartelle Assured Workloads, le cartelle con le notifiche disattivate mostrano Monitoring email notifications disabled.

Visualizza le violazioni nella tua organizzazione

Puoi visualizzare le violazioni nella tua organizzazione sia nella console Google Cloud sia in gcloud CLI.

Console

Puoi visualizzare il numero di violazioni nella tua organizzazione nella pagina Assured Workloads della sezione Conformità della console Google Cloud oppure nella pagina Monitoring nella sezione Conformità.

Pagina Assured Workloads

Vai alla pagina Assured Workloads per visualizzare un riepilogo delle violazioni:

Vai ad Assured Workloads

Nella parte superiore della pagina viene mostrato un riepilogo delle violazioni dei criteri dell'organizzazione e delle violazioni delle risorse. Fai clic sul link Visualizza per andare alla pagina Monitoring.

Per ogni cartella di Assured Workloads nell'elenco, eventuali violazioni vengono mostrate nelle colonne Violazioni dei criteri dell'organizzazione e Violazioni delle risorse. Per le violazioni irrisolte è attiva l'icona , mentre per le eccezioni è attiva l'icona . Puoi selezionare una violazione o un'eccezione per visualizzare ulteriori dettagli.

Se il monitoraggio della violazione delle risorse non è abilitato su una cartella, l'icona è attiva nella colonna Aggiornamenti con un link Abilita il monitoraggio della violazione delle risorse. Fai clic sul link per abilitare la funzione. Per abilitarla puoi anche fare clic sul pulsante Abilita nella pagina dei dettagli della cartella Assured Workloads.

Pagina di Monitoring

Vai alla pagina Monitoring per visualizzare le violazioni in modo più dettagliato:

Vai a Monitoring

Sono visualizzate due schede: Violazioni dei criteri dell'organizzazione e Violazioni delle risorse. Se esiste più di una violazione non risolta, l'icona è attiva nella scheda.

In entrambe le schede, le violazioni non risolte sono indicate per impostazione predefinita. Per ulteriori informazioni, consulta la sezione Visualizzare i dettagli della violazione di seguito.

Interfaccia a riga di comando gcloud

Per elencare le attuali violazioni della conformità nella tua organizzazione, esegui questo comando:

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

Dove:

La risposta include le seguenti informazioni per ogni violazione:

  • Un link al log di controllo relativo alla violazione.
  • La prima volta che si è verificata la violazione.
  • Il tipo di violazione.
  • Una descrizione della violazione.
  • Il nome della violazione, che può essere utilizzato per recuperare ulteriori dettagli.
  • Il criterio dell'organizzazione interessato e il relativo vincolo del criterio.
  • Lo stato attuale della violazione. I valori validi sono non risolti, risolti o eccezioni.

Per i flag facoltativi, consulta la documentazione di Cloud SDK.

Visualizza i dettagli della violazione

Per visualizzare specifiche violazioni della conformità e i relativi dettagli, procedi nel seguente modo:

Console

  1. Nella console Google Cloud, vai alla pagina Monitoring.

    Vai a Monitoring

    Nella pagina Monitoring, la scheda Violazioni delle norme dell'organizzazione è selezionata per impostazione predefinita. Questa scheda mostra tutte le violazioni dei criteri dell'organizzazione non risolte nelle cartelle di Assured Workloads dell'organizzazione.

    Nella scheda Violazioni delle risorse vengono visualizzate tutte le violazioni non risolte associate alla risorsa in tutte le cartelle di Assured Workloads dell'organizzazione.

  2. Per entrambe le schede, utilizza le opzioni Filtri rapidi per filtrare per stato di violazione, tipo di violazione, tipo di programma di conformità, tipo di violazione, cartelle specifiche, vincoli dei criteri dell'organizzazione specifici o tipi di risorse specifici.

  3. In entrambe le schede, se sono presenti violazioni, fai clic su un ID violazione per visualizzare informazioni più dettagliate.

Nella pagina Dettagli violazione puoi eseguire le seguenti attività:

  • Copia l'ID violazione.

  • Visualizza la cartella Assured Workloads in cui si è verificata la violazione e l'ora in cui si è verificata per la prima volta.

  • Visualizzare il log di controllo, che include:

    • Quando si è verificata la violazione.

    • La norma che è stata modificata per causare la violazione e l'utente che ha apportato la modifica.

    • Se è stata concessa un'eccezione, l'utente l'ha concessa.

    • Se applicabile, visualizza la risorsa specifica in cui si è verificata la violazione.

  • Visualizza il criterio dell'organizzazione interessato.

  • Visualizza e aggiungi eccezioni per le violazioni della conformità.

  • Segui la procedura di correzione per risolvere l'eccezione.

Per le violazioni dei criteri dell'organizzazione, puoi anche visualizzare quanto segue:

  • Criteri dell'organizzazione interessati: per visualizzare il criterio specifico associato alla violazione di conformità, fai clic su Visualizza criterio.
  • Violazioni delle risorse secondarie: le violazioni dei criteri dell'organizzazione basate sulle risorse possono causare violazioni delle risorse figlio. Per visualizzare o risolvere le violazioni delle risorse figlio, fai clic sull'ID violazione.

Per le violazioni delle risorse, puoi anche vedere quanto segue:

  • Violazioni dei criteri dell'organizzazione principale: quando le violazioni dei criteri dell'organizzazione padre sono la causa di una violazione delle risorse secondarie, devono essere risolte al livello padre. Per visualizzare i dettagli della violazione principale, fai clic su Visualizza violazione.
  • Sono visibili anche eventuali altre violazioni della risorsa specifica che attualmente causa la violazione della risorsa.

Interfaccia a riga di comando gcloud

Per visualizzare i dettagli di una violazione della conformità, esegui questo comando:

gcloud assured workloads violations describe VIOLATION_PATH

Dove VIOLATION_PATH è nel seguente formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Il valore VIOLATION_PATH viene restituito nel campo name della risposta list per ogni violazione.

La risposta include le seguenti informazioni:

  • Un link al log di controllo relativo alla violazione.

  • La prima volta che si è verificata la violazione.

  • Il tipo di violazione.

  • Una descrizione della violazione.

  • Il criterio dell'organizzazione interessato e il relativo vincolo del criterio.

  • Passaggi per risolvere la violazione.

  • Lo stato attuale della violazione. I valori validi sono unresolved, resolved o exception.

Per i flag facoltativi, consulta la documentazione di Cloud SDK.

Risolvi le violazioni

Per correggere una violazione:

Console

  1. Nella console Google Cloud, vai alla pagina Monitoring.

    Vai a Monitoring

  2. Fai clic sull'ID violazione per visualizzare informazioni più dettagliate.

  3. Nella sezione Correzione, segui le istruzioni della console Google Cloud o dell'interfaccia a riga di comando per risolvere il problema.

Interfaccia a riga di comando gcloud

  1. Visualizza i dettagli della violazione utilizzando gcloud CLI.

  2. Per risolvere la violazione, segui la procedura di correzione nella risposta.

Aggiungi eccezioni alle violazioni

A volte una violazione può essere valida per una particolare situazione. Puoi aggiungere una o più eccezioni per una violazione procedendo nel seguente modo:

Console

  1. Nella console Google Cloud, vai alla pagina Monitoring.

    Vai a Monitoring

  2. Nella colonna ID violazione, fai clic sulla violazione a cui vuoi aggiungere l'eccezione.

  3. Nella sezione Eccezioni, fai clic su Aggiungi nuovo.

  4. Inserisci una giustificazione aziendale per l'eccezione. Se vuoi che l'eccezione venga applicata a tutte le risorse figlio, seleziona la casella di controllo Applica a tutte le violazioni delle risorse figlio esistenti e fai clic su Invia.

  5. Se necessario, puoi aggiungere altre eccezioni ripetendo questi passaggi e facendo clic su Aggiungi nuovo.

Lo stato della violazione è ora impostato su Eccezione.

Interfaccia a riga di comando gcloud

Per aggiungere un'eccezione per una violazione, esegui questo comando:

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

dove BUSINESS_JUSTIFICATION è il motivo dell'eccezione e VIOLATION_PATH ha il seguente formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Il valore VIOLATION_PATH viene restituito nel campo name della risposta list per ogni violazione.

Dopo aver inviato correttamente il comando, lo stato della violazione viene impostato su Eccezione.

Violazioni dei criteri dell'organizzazione monitorate

Assured Workloads monitora diverse violazioni dei vincoli dei criteri dell'organizzazione, a seconda del programma di conformità applicato alla cartella Assured Workloads. Utilizza il seguente elenco per filtrare le violazioni in base al programma di conformità interessato.

Vincolo del criterio dell'organizzazione Tipo di violazione Description Programmi di conformità interessati
Accesso non conforme ai dati di Cloud SQL Accesso

Si verifica quando è consentito l'accesso non conforme ai dati diagnostici di Cloud SQL non conformi.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo sql.restrictNoncompliantDiagnosticDataAccess .
Regioni e assistenza nell'UE con controlli di sovranità
Accesso non conforme ai dati di Compute Engine Accesso

Si verifica quando è consentito l'accesso non conforme ai dati delle istanze di Compute Engine.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo compute.disableInstanceDataAccessApis.
CJIS
Regioni e assistenza nell'UE con controlli di sovranità
ITAR
Tipi di autenticazione di Cloud Storage non conformi Accesso

Si verifica quando è consentito l'utilizzo con Cloud Storage di tipi di autenticazione non conformi.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo storage.restrictAuthTypes.
Regioni e assistenza nell'UE con controlli di sovranità
Accesso non conforme ai bucket Cloud Storage Accesso

Si verifica quando è consentito l'accesso a Cloud Storage non conforme a livello di bucket non conforme.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo storage.uniformBucketLevelAccess.
Regioni e assistenza nell'UE con controlli di sovranità
Accesso non conforme ai dati GKE Accesso

Si verifica quando è consentito l'accesso non conforme ai dati diagnostici di GKE.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo container.restrictNoncompliantDiagnosticDataAccess.
Regioni e assistenza nell'UE con controlli di sovranità
IL4
IL5
ITAR
Funzionalità di diagnostica di Compute Engine non conformi Configurazione

Si verifica quando le funzionalità diagnostiche di Compute Engine non conformi sono state abilitate.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo compute.enableComplianceMemoryProtection.
Regioni e assistenza nell'UE con controlli di sovranità
ITAR
Impostazione del bilanciamento del carico globale di Compute Engine non conforme Configurazione

Si verifica quando è stato impostato un valore non conforme per l'impostazione del bilanciamento del carico globale in Compute Engine.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo compute.disableGlobalLoadBalancing.
ITAR
Impostazione FIPS di Compute Engine non conforme Configurazione

Si verifica quando è stato impostato un valore non conforme per l'impostazione FIPS in Compute Engine.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo compute.disableNonFIPSMachineTypes.
ITAR
Impostazione SSL di Compute Engine non conforme Configurazione

Si verifica quando è stato impostato un valore non conforme per i certificati autogestiti globali.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo compute.disableGlobalSelfManagedSslCertificate.
ITAR
Impostazione SSH di Compute Engine non conforme nell'impostazione del browser Configurazione

Si verifica quando è stato impostato un valore non conforme per la funzionalità SSH nel browser in Compute Engine.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo compute.disableSshInBrowser.
Regioni e assistenza nell'UE con controlli di sovranità
Creazione di risorse Cloud SQL non conformi Configurazione

Si verifica quando è consentita la creazione di risorse Cloud SQL non conformi.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo sql.restrictNoncompliantResourceCreation.
Regioni e assistenza nell'UE con controlli di sovranità
Limitazione della chiave Cloud KMS mancante Crittografia

Si verifica quando non viene specificato alcun progetto in grado di fornire chiavi di crittografia per CMEK .

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo gcp.restrictCmekCryptoKeyProjects, il che contribuisce a impedire che cartelle o progetti non approvati forniscano chiavi di crittografia.
Regioni e assistenza nell'UE con controlli di sovranità
ITAR
CJIS
Servizio non conforme non abilitato per CMEK Crittografia

Si verifica quando per il carico di lavoro viene abilitato un servizio che non supporta CMEK .

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo gcp.restrictNonCmekServices.
Regioni e assistenza nell'UE con controlli di sovranità
ITAR
CJIS
Livelli di protezione di Cloud KMS non conformi Crittografia

Si verifica quando vengono specificati livelli di protezione non conformi per l'utilizzo con Cloud Key Management Service (Cloud KMS). Per saperne di più, consulta il riferimento di Cloud KMS .

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo cloudkms.allowedProtectionLevels.
Regioni e assistenza nell'UE con controlli di sovranità
Località delle risorse non conformi Località della risorsa

Si verifica quando le risorse dei servizi supportati per un determinato programma di conformità di Assured Workloads vengono create al di fuori della regione consentita per il carico di lavoro o spostate da una località consentita a una località non consentita.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo gcp.resourceLocations .

Regioni in Australia con assistenza di Assured
Canada Protected B
Regioni e assistenza in Canada
CJIS
Regioni e assistenza nell'UE
Regioni e assistenza nell'UE con controlli di sovranità
FedRAMP Moderate
FedRAMP High
HIPAA (anteprima)
HITRUST (anteprima)
IL4
IL5
Regioni e assistenza in Israele
ITAR
Regioni giapponesi
Regioni e assistenza negli Stati Uniti
Servizi non conformi Utilizzo del servizio

Si verifica quando un utente abilita un servizio non supportato da un determinato programma di conformità di Assured Workloads in una cartella di Assured Workloads.

Questa violazione è causata dalla modifica del valore conforme del programma di conformità per il vincolo gcp.restrictServiceUsage.
Regioni in Australia con assistenza di Assured
Canada Protected B
Regioni e assistenza in Canada
CJIS
Regioni e assistenza nell'UE
Regioni e assistenza nell'UE con controlli di sovranità
FedRAMP Moderate
FedRAMP High
HIPAA (anteprima)
HITRUST (anteprima)
IL4
IL5
Regioni e assistenza in Israele
ITAR
Regioni giapponesi
Regioni e assistenza negli Stati Uniti

Violazioni delle risorse monitorate

Assured Workloads monitora diverse violazioni delle risorse, a seconda del programma di conformità applicato alla cartella Assured Workloads. Utilizza il seguente elenco per filtrare le violazioni in base al programma di conformità interessato:

Vincolo del criterio dell'organizzazione Description Programmi di conformità interessati
Località delle risorse non conforme

Si verifica quando la località di una risorsa si trova in una regione non conforme.

Questa violazione è causata dal vincolo gcp.resourceLocations .
Regioni in Australia con assistenza di Assured
Canada Protected B
Regioni e assistenza in Canada
CJIS
Regioni e assistenza nell'UE
Regioni e assistenza nell'UE con controlli di sovranità
FedRAMP Moderate
FedRAMP High
HIPAA (anteprima)
HITRUST (anteprima)
IL4
IL5
Regioni e assistenza in Israele
ITAR
Regioni giapponesi
Regioni e assistenza negli Stati Uniti
Risorse non conformi nella cartella

Si verifica quando viene creata una risorsa per un servizio non supportato nella cartella Assured Workloads.

Questa violazione è causata dal vincolo gcp.restrictServiceUsage .
Regioni in Australia con assistenza di Assured
Canada Protected B
Regioni e assistenza in Canada
CJIS
Regioni e assistenza nell'UE
Regioni e assistenza nell'UE con controlli di sovranità
FedRAMP Moderate
FedRAMP High
HIPAA (anteprima)
HITRUST (anteprima)
IL4
IL5
Regioni e assistenza in Israele
ITAR
Regioni giapponesi
Regioni e assistenza negli Stati Uniti

Passaggi successivi