Monitorar violações nas pastas do Assured Workloads

O Assured Workloads monitora ativamente as pastas do Assured Workloads em busca de violações de compliance. Para isso, ele compara os requisitos do programa de compliance de uma pasta com os seguintes detalhes:

  • Política da organização: cada pasta do Assured Workloads é definida com configurações específicas de restrição da política da organização que ajudam a garantir a conformidade. Quando essas configurações são alteradas de uma maneira que não está em conformidade, ocorre uma violação. Consulte a seção Violações de políticas da organização monitoradas para mais informações.
  • Recursos: dependendo das configurações da política da organização da pasta do Assured Workloads, os recursos abaixo da pasta podem ser restritos, como o tipo e o local. Consulte a seção Violações de recursos monitorados para mais informações. Se algum recurso não estiver em conformidade, ocorrerá uma violação.

Quando ocorre uma violação, você pode resolvê-la ou criar exceções para elas quando apropriado. Uma violação pode ter um dos três status a seguir:

O monitoramento do Assured Workloads é ativado automaticamente quando você cria uma pasta do Assured Workloads.

Antes de começar

Permissões e papéis do IAM obrigatórios

Para visualizar violações da política da organização ou de recursos, você precisa receber um papel do IAM na pasta do Assured Workloads que contém as seguintes permissões:

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

Essas permissões estão incluídas nos seguintes papéis do IAM do Assured Workloads:

  • Administrador do Assured Workloads (roles/assuredworkloads.admin)
  • Editor do Assured Workloads (roles/assuredworkloads.editor)
  • Leitor do Assured Workloads (roles/assuredworkloads.reader)

Para ativar o monitoramento de violações de recursos, é preciso receber um papel do IAM na pasta do Assured Workloads que contenha as seguintes permissões:

  • assuredworkloads.workload.update: essa permissão está incluída nos seguintes papéis:

    • Administrador do Assured Workloads (roles/assuredworkloads.admin)
    • Editor do Assured Workloads (roles/assuredworkloads.editor)
  • resourcemanager.folders.setIamPolicy: essa permissão está incluída nos papéis administrativos, como os seguintes:

    • Administrador da organização (roles/resourcemanager.organizationAdmin)
    • Administrador de segurança (roles/iam.securityAdmin)

Para fornecer exceções a violações de conformidade, você precisa receber um papel do IAM na pasta do Assured Workloads que contenha a seguinte permissão:

  • assuredworkloads.violations.update: essa permissão está incluída nos seguintes papéis:

    • Administrador do Assured Workloads (roles/assuredworkloads.admin)
    • Editor do Assured Workloads (roles/assuredworkloads.editor)

Além disso, para resolver violações da política da organização e ver os registros de auditoria, os seguintes papéis do IAM precisam ser concedidos:

  • Administrador de políticas da organização (roles/orgpolicy.policyAdmin)
  • Visualizador de registros (roles/logging.viewer)

Configurar notificações por e-mail de violação

Quando ocorre ou é resolvida uma violação de compliance da organização ou quando uma exceção é feita, os membros da categoria Jurídico nos Contatos essenciais recebem e-mails por padrão. Esse comportamento é necessário porque sua equipe jurídica precisa estar atualizada com relação a problemas de conformidade regulatória.

A equipe responsável por gerenciar as violações, seja uma equipe de segurança ou outro, também precisa ser adicionada à categoria Jurídica como contatos. Isso garante que eles recebam notificações por e-mail à medida que ocorrerem alterações.

Ativar ou desativar notificações

Para ativar ou desativar notificações de uma pasta específica do Assured Workloads:

  1. Acesse a página Assured Workloads no console do Google Cloud:

    Acesse o Assured Workloads

  2. Na coluna Nome, clique no nome da pasta do Assured Workloads com as configurações de notificação que você quer alterar.

  3. No card Monitoramento do Assured Workloads, desmarque a caixa de seleção Ativar notificações para desativar as notificações ou selecione-a para ativar as notificações da pasta.

Na página Pastas do Assured Workloads, as pastas com notificações desativadas mostram Monitoramento de notificações por e-mail desativado.

Acessar violações na sua organização

É possível visualizar violações em toda a organização no console do Google Cloud e na CLI gcloud.

Console

É possível ver quantas violações existem em toda a organização na página Assured Workloads na seção Compliance do console do Google Cloud ou na página Monitoramento na seção Compliance.

Página do Assured Workloads

Acesse a página Assured Workloads para conferir um resumo das violações:

Acesse o Assured Workloads

Na parte superior da página, é exibido um resumo das violações da política da organização e de recursos. Clique no link Visualizar para acessar a página Monitoramento.

Para cada pasta do Assured Workloads na lista, todas as violações são mostradas nas colunas Violações da política da organização e Violações de recursos. As violações não resolvidas têm o ícone ativo, e as exceções têm o ícone ativo. Selecione uma violação ou exceção para ver mais detalhes.

Se o monitoramento de violação de recursos não estiver ativado em uma pasta, o ícone ficará ativo na coluna Atualizações com um link Ativar monitoramento de violação de recursos. Clique no link para ativar o recurso. Também é possível ativá-lo clicando no botão Ativar na página de detalhes da pasta do Assured Workloads.

Página de monitoramento

Acesse a página Monitoramento para mais detalhes sobre as violações:

Acessar Monitoring

Duas guias são exibidas: Violações da política da organização e Violações de recursos. Se houver mais de uma violação não resolvida, o ícone vai ficar ativo na guia.

Nas duas guias, as violações não resolvidas vão ser exibidas por padrão. Consulte a seção Ver detalhes da violação abaixo para mais informações.

CLI da gcloud

Para listar as violações de compliance atuais na sua organização, execute o seguinte comando:

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

Em que:

A resposta inclui as seguintes informações para cada violação:

  • Um link de registro de auditoria da violação.
  • A primeira vez que ocorreu a violação.
  • O tipo de violação.
  • Uma descrição da violação.
  • Nome da violação, que pode ser usado para recuperar mais detalhes.
  • A política da organização afetada e a restrição da política relacionada.
  • O estado atual da violação. Os valores válidos são não resolvidos, resolvidos ou exceção.

Para sinalizações opcionais, consulte a documentação do SDK Cloud.

Mostrar detalhes da violação

Para acessar violações de compliance específicas e os detalhes delas, siga estas etapas:

Console

  1. No Console do Google Cloud, acesse a página Monitoring.

    Acessar Monitoring

    Na página Monitoramento, a guia Violações da política da organização é selecionada por padrão. Essa guia exibe todas as violações de políticas da organização não resolvidas nas pastas do Assured Workloads na organização.

    A guia Violações de recursos exibe todas as violações não resolvidas associadas ao recurso em todas as pastas do Assured Workloads na organização.

  2. Nas duas guias, use as opções de Filtros rápidos para filtrar por status, tipo, tipo de programa de compliance e tipo de violação, pastas específicas, restrições de políticas da organização ou tipos de recursos específicos.

  3. Em qualquer uma das guias, se houver violações, clique no ID de uma violação para ver informações mais detalhadas.

Na página Detalhes da violação, é possível realizar as seguintes tarefas:

  • Copie o ID da violação.

  • Veja a pasta do Assured Workloads em que a violação ocorreu e que horas ela ocorreu pela primeira vez.

  • Confira o registro de auditoria, que inclui:

    • Quando ocorreu a violação.

    • Qual política foi modificada para causar a violação e qual usuário fez essa modificação.

    • Se uma exceção foi concedida, qual usuário a concedeu.

    • Quando aplicável, confira o recurso específico em que a violação ocorreu.

  • Confira a política da organização afetada.

  • Veja e adicione exceções de violação de compliance.

  • Siga as etapas de correção para resolver a exceção.

Para violações da política da organização, você também pode encontrar o seguinte:

  • Política da organização afetada: para consultar a política específica associada à violação de compliance, clique em Ver política.
  • Violações de recursos filhos: as violações da política da organização baseadas em recursos podem causar violações de recursos filhos. Para consultar ou resolver violações de recursos filhos, clique em ID da violação.

Para violações de recursos, você também pode ver o seguinte:

  • Violações da política da organização mãe: quando as violações da política da organização mãe são a causa de uma violação do recurso filho, elas precisam ser resolvidas no nível pai. Para consultar os detalhes da violação mãe, clique em Ver violação.
  • Qualquer outra violação no recurso específico que está causando a violação de recurso também fica visível.

CLI da gcloud

Para acessar os detalhes de uma violação de compliance, execute o seguinte comando:

gcloud assured workloads violations describe VIOLATION_PATH

Em que VIOLATION_PATH está no seguinte formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

O VIOLATION_PATH é retornado no campo name da resposta da lista para cada violação.

A resposta inclui as seguintes informações:

  • Um link de registro de auditoria da violação.

  • A primeira vez que ocorreu a violação.

  • O tipo de violação.

  • Uma descrição da violação.

  • A política da organização afetada e a restrição da política relacionada.

  • Etapas de correção para resolver a violação.

  • O estado atual da violação. Os valores válidos são unresolved, resolved ou exception.

Para acessar sinalizações opcionais, consulte a documentação do SDK do Cloud.

Resolver violações

Para corrigir uma violação, siga estas etapas:

Console

  1. No Console do Google Cloud, acesse a página Monitoring.

    Acessar Monitoring

  2. Clique no ID da violação para acessar informações mais detalhadas.

  3. Na seção Corrigir, siga as instruções do console do Google Cloud ou da CLI para resolver o problema.

CLI da gcloud

  1. Acesse os detalhes da violação usando a CLI gcloud.

  2. Siga as etapas de correção na resposta para resolver a violação.

Adicionar exceções de violação

Às vezes, uma violação é válida para uma situação específica. Você pode adicionar uma ou mais exceções a uma violação seguindo estas etapas:

Console

  1. No Console do Google Cloud, acesse a página Monitoring.

    Acessar Monitoring

  2. Na coluna ID da violação, clique na violação à qual você quer adicionar a exceção.

  3. Na seção Exceptions, clique em Add New.

  4. Insira uma justificativa comercial para a exceção. Se você quiser que a exceção se aplique a todos os recursos filhos, marque a caixa de seleção Aplicar a todas as violações de recursos filhos existentes e clique em Enviar.

  5. É possível adicionar outras exceções, conforme necessário, repetindo essas etapas e clicando em Adicionar novo.

Agora o status da violação está definido como Exceção.

CLI da gcloud

Para adicionar uma exceção a uma violação, execute o seguinte comando:

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

Em que BUSINESS_JUSTIFICATION é o motivo da exceção e VIOLATION_PATH está no seguinte formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

O VIOLATION_PATH é retornado no campo name da resposta da lista para cada violação.

Depois de enviar o comando, o status da violação é definido como Exceção.

Violações das políticas da organização monitoradas

O Assured Workloads monitora diferentes violações de restrição da política da organização, dependendo do programa de compliance aplicado à pasta do Assured Workloads. Use a lista a seguir para filtrar violações pelo programa de compliance afetado.

Restrição da política da organização Tipo de violação Descrição Programas de compliance afetados
Acesso sem compliance aos dados do Cloud SQL Acesso

Ocorre quando é permitido acesso a dados de diagnóstico do Cloud SQL sem compliance.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição sql.restrictNoncompliantDiagnosticDataAccess .

Regiões e suporte da UE com controles de soberania
Acesso sem compliance aos dados do Compute Engine Acesso

Ocorre quando é permitido acesso a dados da instância do Compute Engine sem compliance.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição compute.disableInstanceDataAccessApis.

CJIS
Regiões e suporte da UE com controles de soberania
ITAR
Tipos de autenticação do Cloud Storage não compatíveis Acesso

Ocorre quando tipos de autenticação não compatíveis podem ser usados com o Cloud Storage.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição storage.restrictAuthTypes.

Regiões e suporte da UE com controles de soberania
Acesso sem compliance aos buckets do Cloud Storage Acesso

Ocorre quando o acesso ao Cloud Storage não uniforme e não compatível no nível do bucket é permitido.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição storage.uniformBucketLevelAccess.

Regiões e suporte da UE com controles de soberania
Acesso sem compliance aos dados do GKE Acesso

Isso ocorre quando o acesso a dados de diagnóstico do GKE sem compliance é permitido.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição container.restrictNoncompliantDiagnosticDataAccess.

Regiões e suporte da UE com controles de soberania
IL4
IL5
ITAR
Recursos de diagnóstico do Compute Engine não compatíveis Configuração

Ocorre quando recursos de diagnóstico do Compute Engine incompatíveis são ativados.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição compute.enableComplianceMemoryProtection.

Regiões e suporte da UE com controles de soberania
ITAR
Configuração de balanceamento de carga global do Compute Engine não compatível Configuração

Isso ocorre quando um valor incompatível é definido para a configuração de balanceamento de carga global no Compute Engine.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição compute.disableGlobalLoadBalancing.

ITAR
Configuração de FIPS do Compute Engine não compatível Configuração

Isso ocorre quando um valor incompatível é definido para a configuração do FIPS no Compute Engine.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição compute.disableNonFIPSMachineTypes.

ITAR
Configuração de SSL do Compute Engine sem compliance Configuração

Isso ocorre quando um valor incompatível é definido para certificados globais autogerenciados.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição compute.disableGlobalSelfManagedSslCertificate.

ITAR
SSH do Compute Engine sem compliance na configuração do navegador Configuração

Isso ocorre quando um valor incompatível é definido para o SSH no recurso do navegador no Compute Engine.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição compute.disableSshInBrowser.

Regiões e suporte da UE com controles de soberania
Criação de recursos do Cloud SQL sem compliance Configuração

Isso ocorre quando a criação de recursos do Cloud SQL não compatível é permitida.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição sql.restrictNoncompliantResourceCreation.

Regiões e suporte da UE com controles de soberania
Restrição de chave do Cloud KMS ausente Criptografia

Ocorre quando nenhum projeto é especificado para fornecer chaves de criptografia para CMEK .

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição gcp.restrictCmekCryptoKeyProjects, o que ajuda a impedir que pastas ou projetos não aprovados forneçam chaves de criptografia.

Regiões e suporte da UE com controles de soberania
ITAR
CJIS
Serviço de CMEK não ativado sem compliance Criptografia

Ocorre quando um serviço que não é compatível com CMEK está ativado para a carga de trabalho.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição gcp.restrictNonCmekServices.

Regiões e suporte da UE com controles de soberania
ITAR
CJIS
Níveis de proteção do Cloud KMS sem compliance Criptografia

Ocorre quando níveis de proteção incompatíveis são especificados para uso com o Cloud Key Management Service (Cloud KMS). Consulte a referência do Cloud KMS para mais informações.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição cloudkms.allowedProtectionLevels.

Regiões e suporte da UE com controles de soberania
Locais dos recursos que não estão em conformidade Local do recurso

Isso ocorre quando os recursos dos serviços com suporte para um determinado programa de compliance do Assured Workloads são criados fora da região permitida para a carga de trabalho ou movidos de um local permitido para um não permitido.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição gcp.resourceLocations .

Regiões australianas com Suporte Assured
Canadá protegido B
Regiões e suporte do Canadá
CJIS
Regiões e suporte da UE
Regiões e suporte da UE com controles de soberania
FedRAMP de nível médio
FedRAMP de nível alto
HIPAA (pré-lançamento)
HITRUST (pré-lançamento)
IL4
IL5
Suporte e regiões de Israel
ITAR
Regiões do Japão
Regiões e suporte dos EUA
Serviços que não estão em compliance Service Usage

Ocorre quando um usuário ativa um serviço que não é compatível com um determinado programa de compliance do Assured Workloads em uma pasta do Assured Workloads.

Essa violação é causada pela alteração do valor em conformidade do programa de compliance para a restrição gcp.restrictServiceUsage.

Regiões australianas com Suporte Assured
Canadá protegido B
Regiões e suporte do Canadá
CJIS
Regiões e suporte da UE
Regiões e suporte da UE com controles de soberania
FedRAMP de nível médio
FedRAMP de nível alto
HIPAA (pré-lançamento)
HITRUST (pré-lançamento)
IL4
IL5
Suporte e regiões de Israel
ITAR
Regiões do Japão
Regiões e suporte dos EUA

Violações de recursos monitoradas

O Assured Workloads monitora diferentes violações de recursos, dependendo do programa de compliance aplicado à pasta do Assured Workloads. Use a lista a seguir para filtrar violações pelo programa de compliance afetado:

Restrição da política da organização Descrição Programas de compliance afetados
Local do recurso sem compliance

Isso ocorre quando a localização de um recurso está em uma região sem compliance.

Essa violação é causada pela restrição gcp.resourceLocations .

Regiões australianas com Suporte Assured
Canadá protegido B
Regiões e suporte do Canadá
CJIS
Regiões e suporte da UE
Regiões e suporte da UE com controles de soberania
FedRAMP de nível médio
FedRAMP de nível alto
HIPAA (pré-lançamento)
HITRUST (pré-lançamento)
IL4
IL5
Suporte e regiões de Israel
ITAR
Regiões do Japão
Regiões e suporte dos EUA
Recursos não compatíveis na pasta

Isso ocorre quando um recurso para um serviço não compatível é criado na pasta do Assured Workloads.

Essa violação é causada pela restrição gcp.restrictServiceUsage .

Regiões australianas com Suporte Assured
Canadá protegido B
Regiões e suporte do Canadá
CJIS
Regiões e suporte da UE
Regiões e suporte da UE com controles de soberania
FedRAMP de nível médio
FedRAMP de nível alto
HIPAA (pré-lançamento)
HITRUST (pré-lançamento)
IL4
IL5
Suporte e regiões de Israel
ITAR
Regiões do Japão
Regiões e suporte dos EUA

A seguir