Monitorar violações nas pastas do Assured Workloads
O Assured Workloads monitora as restrições da política da organização de um regime de compliance e destaca uma violação se uma alteração em um recurso não estiver em compliance. Você pode resolver essas violações ou criar exceções quando apropriado.
Uma violação pode ter um dos três status a seguir:
Não resolvida: a violação não foi resolvida.
Resolvida: a violação foi resolvida seguindo as etapas para corrigir o problema.
Exceção: uma exceção foi concedida à violação, e uma justificativa comercial foi informada.
Antes de começar
Verifique se você recebeu os papéis a seguir ou adicione as permissões relevantes a um papel personalizado antes de monitorar violações de compliance.
| Papel | Permissões associadas |
|---|---|
Administrador do Assured Workloads (roles/assuredworkloads.admin) |
|
Editor do Assured Workloads (roles/assuredworkloads.editor) |
|
Leitor do Assured Workloads (roles/assuredworkloads.reader) |
|
Além disso, para corrigir violações da política da organização e acessar os registros de auditoria, conceda os seguintes papéis à sua conta:
- Administrador da política da organização (
roles/orgpolicy.policyAdmin) - Visualizador de registros (
roles/logging.viewer)
Configurar notificações por e-mail de violação
Quando ocorre uma violação de compliance, se ela é resolvida ou uma exceção é feita, os membros da categoria Jurídica nos Contatos essenciais são notificados por e-mail. Isso ocorre porque o departamento jurídico precisa estar atualizado sobre problemas de compliance regulatórios.
Sua equipe que gerencia as violações, seja uma equipe de segurança ou outra, também precisa ser adicionada à categoria Jurídica como contato. Isso significa que eles também receberão notificações por e-mail à medida que ocorrerem mudanças.
Acessar violações na sua organização
É possível acessar violações em toda a organização no console do Google Cloud e na CLI gcloud.
Console
É possível acessar quantas violações há em toda a organização na página Assured Workloads no console do Google Cloud.
Além disso, é possível clicar em um Nome de pasta na página do Assured Workloads para acessar os detalhes, que fornece detalhes de violação resumidos para essa pasta específica.
CLI da gcloud
Para listar as violações de compliance atuais na sua organização, execute o seguinte comando:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Em que:
LOCATION é o local do ambiente do Assured Workload.
ORGANIZATION_ID é o ID da organização a ser consultado.
WORKLOAD_ID é o ID da carga de trabalho mãe, que pode ser encontrado listando suas cargas de trabalho.
A resposta inclui as seguintes informações para cada violação:
- Um link de registro de auditoria para a violação.
- A primeira vez que ocorreu a violação.
- O tipo de violação.
- Uma descrição da violação.
- Nome da violação, que pode ser usado para recuperar mais detalhes.
- A política da organização afetada e a restrição da política relacionada.
- O estado atual da violação. Os valores válidos são não resolvidos, resolvidos ou exceções.
Para acessar sinalizações opcionais, consulte a documentação do SDK do Cloud.
Mostrar detalhes da violação
Para acessar violações de compliance específicas e os detalhes delas, siga estas etapas:
Console
No Console do Google Cloud, acesse a página Monitoring.
Opcional: para acessar uma pasta específica do Assured Workloads, selecione-a na lista Todas as pastas.
Por padrão, todas as violações no ambiente de carga de trabalho selecionado são exibidos. Para mudar isso, selecione um filtro na seção Filtrar por categoria.
Clique no ID de uma violação para acessar informações mais detalhadas.
Na página Detalhes da violação, é possível realizar as seguintes tarefas:
Copie o ID da violação.
Confira a pasta em que a violação ocorreu e a hora em que ela ocorreu
.Confira a política da organização afetada.
Confira o registro de auditoria, que inclui:
Quando ocorreu a violação.
Qual política foi modificada para causar a violação e qual usuário fez essa modificação.
Se uma exceção foi concedida, qual usuário a concedeu.
Quando aplicável, confira o recurso específico em que a violação ocorreu.
Siga as etapas de correção para resolver a exceção.
CLI da gcloud
Para acessar os detalhes de uma violação de compliance, execute o seguinte comando:
gcloud assured workloads violations describe VIOLATION_PATH
Em que VIOLATION_PATH está no seguinte formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
O VIOLATION_PATH é retornado no campo name da resposta da lista para cada violação.
A resposta inclui as seguintes informações:
Um link de registro de auditoria para a violação.
A primeira vez que ocorreu a violação.
O tipo de violação.
Uma descrição da violação.
A política da organização afetada e a restrição da política relacionada.
Etapas de correção para resolver a violação.
O estado atual da violação. Os valores válidos são
unresolved,resolvedouexception.
Para acessar sinalizações opcionais, consulte a documentação do SDK do Cloud.
Resolver violações
Para corrigir uma violação, siga estas etapas:
Console
No Console do Google Cloud, acesse a página Monitoring.
Clique no ID da violação para acessar informações mais detalhadas.
Na seção Corrigir, siga as instruções do console do Google Cloud ou da CLI para resolver o problema.
CLI da gcloud
Siga as etapas de correção na resposta para resolver a violação.
Adicionar exceções de violação
Às vezes, uma violação é válida para uma situação específica. Para adicionar uma exceção a uma violação, siga estas etapas:
Console
No Console do Google Cloud, acesse a página Monitoring.
Na seção Exceção, clique em Adicionar.
Insira uma justificativa comercial, clique em Enviar e confirme a exceção.
Agora o status da violação está definido como Exceção.
CLI da gcloud
Para adicionar uma exceção a uma violação, execute o seguinte comando:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Em que BUSINESS_JUSTIFICATION é o motivo da exceção e VIOLATION_PATH está no seguinte formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
O VIOLATION_PATH é retornado no campo name da resposta da lista para cada violação.
Depois de enviar o comando, o status da violação é definido como Exceção.
Violações monitoradas
O Assured Workloads monitora diferentes violações de restrição da política da organização, dependendo do regime de compliance aplicado à pasta do Assured Workloads.
| Restrição da política da organização | Tipo de violação | Descrição | regimes de compliance afetados |
|---|---|---|---|
| Acesso sem compliance aos dados do Cloud SQL | Acesso |
Isso ocorre quando o acesso sem compliance a dados de diagnóstico do Cloud SQL que não estão em compliance é permitido. Essa violação é causada pela mudança do valor
de conformidade do controle da plataforma da
restrição
| Regiões e suporte da UE |
| Acesso sem compliance aos dados do Compute Engine | Acesso |
Isso ocorre quando o acesso sem compliance aos dados da instância do Compute Engine é permitido. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma
da restrição
|
Regiões e suporte da UE |
| Tipos de autenticação do Cloud Storage não compatíveis | Acesso |
Isso ocorre quando tipos de autenticação não compatíveis são permitidos para uso com o Cloud Storage. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma da restrição
|
Regiões e suporte da UE |
| Acesso sem compliance aos buckets do Cloud Storage | Acesso |
Isso ocorre quando o acesso no nível do bucket não uniforme e sem compliance ao Cloud Storage é permitido. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma
da restrição
|
Regiões e suporte da UE |
| Acesso global à Web do IAP sem compliance | Acesso |
Isso ocorre quando o acesso global à Web do IAP sem compliance é permitido. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma
da restrição
|
Regiões e suporte da UE |
| Acesso sem compliance aos dados do GKE | Acesso |
Isso ocorre quando o acesso a dados de diagnóstico do GKE que não estão em compliance é permitido. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma
da restrição
|
Regiões e suporte da UE |
| Geração de registros de porta serial do Compute Engine sem compliance | Configuração |
Isso ocorre quando a geração de registros da porta serial do Compute Engine que não está em compliance foi ativada. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma
da restrição
|
Regiões e suporte da UE |
| Recursos de diagnóstico do Compute Engine não compatíveis | Configuração |
Isso ocorre quando os recursos de diagnóstico do Compute Engine sem compliance estão ativados. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma
da restrição
| Regiões e suporte da UE |
| Configuração de SSL do Compute Engine sem compliance | Configuração |
Isso ocorre quando um valor que não está em compliance é definido para certificados autogerenciados globais. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma
da restrição
|
Regiões e suporte da UE
ITAR |
| SSH do Compute Engine sem compliance na configuração do navegador | Configuração |
Isso ocorre quando um valor que não está em compliance é definido para o SSH no recurso do navegador no Compute Engine. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma da restrição
|
Regiões e suporte da UE com controles de soberania |
| Criação de recursos do Cloud SQL sem compliance | Configuração |
Isso ocorre quando a criação de recursos do Cloud SQL que não está em compliance é permitida. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma
da restrição
|
Regiões e suporte da UE |
| Restrição de chave do Cloud KMS ausente | Criptografia |
Isso ocorre quando nenhum projeto é especificado para fornecer chaves de criptografia de CMEK . Essa violação é causada pela mudança do valor em conformidade do controle
da plataforma para a restrição
|
Regiões e suporte da UE<\td> |
| Serviço de CMEK não ativado sem compliance | Criptografia |
Isso ocorre quando um serviço que não é compatível com CMEK está ativado para a carga de trabalho. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma da restrição
|
Regiões e suporte da UE |
| Níveis de proteção do Cloud KMS sem compliance | Criptografia |
Ocorre quando os níveis de proteção sem compliance são especificados para uso com o Cloud Key Management Service (Cloud KMS). Consulte a referência do Cloud KMS para mais informações. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma
da restrição
|
Regiões e suporte da UE com controles de soberania IL4/IL5 |
| Locais dos recursos que não estão em conformidade | Local do recurso |
Isso ocorre quando os recursos de serviços compatíveis de um determinado controle de plataforma do Assured Workloads são criados fora da região permitida para a carga de trabalho ou movidos de um local permitido para um não permitido.
Essa violação é causada pela mudança do valor em conformidade
do controle da plataforma da
restrição
|
FedRAMP de nível médio FedRAMP de nível alto CJIS IL4/IL5 Regiões e suporte dos EUA HIPAA/HITRUST Regiões e suporte da UE |
| Serviços que não estão em compliance | Service Usage |
Isso ocorre quando um usuário ativa um serviço que não está em compliance com um determinado controle de plataforma do Assured Workloads em uma pasta do Assured Workloads. Essa violação é causada pela mudança do valor
em conformidade do controle da plataforma da restrição
|
FedRAMP de nível médio FedRAMP de nível alto CJIS IL4/IL5 Regiões e suporte dos EUA HIPAA/HITRUST Regiões e suporte da UE |
A seguir
- Entenda os controles da plataforma para o Assured Workloads.