Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Monitorar violações nas pastas do Assured Workloads

O Assured Workloads monitora as restrições da política da organização de um regime de compliance e destaca uma violação se uma alteração em um recurso não estiver em compliance. Você pode resolver essas violações ou criar exceções quando apropriado.

Uma violação pode ter um dos três status a seguir:

Antes de começar

Verifique se você recebeu os papéis a seguir ou adicione as permissões relevantes a um papel personalizado antes de monitorar violações de compliance.

Papel Permissões associadas
Administrador do Assured Workloads (roles/assuredworkloads.admin)
  • assuredworkloads.violations.get
  • assuredworkloads.violations.list
  • assuredworkloads.violations.update
Editor do Assured Workloads (roles/assuredworkloads.editor)
  • assuredworkloads.violations.get
  • assuredworkloads.violations.list
  • assuredworkloads.violations.update
Leitor do Assured Workloads (roles/assuredworkloads.reader)
  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

Além disso, para corrigir violações da política da organização e acessar os registros de auditoria, conceda os seguintes papéis à sua conta:

  • Administrador da política da organização (roles/orgpolicy.policyAdmin)
  • Visualizador de registros (roles/logging.viewer)

Configurar notificações por e-mail de violação

Quando ocorre uma violação de compliance, se ela é resolvida ou uma exceção é feita, os membros da categoria Jurídica nos Contatos essenciais são notificados por e-mail. Isso ocorre porque o departamento jurídico precisa estar atualizado sobre problemas de compliance regulatórios.

Sua equipe que gerencia as violações, seja uma equipe de segurança ou outra, também precisa ser adicionada à categoria Jurídica como contato. Isso significa que eles também receberão notificações por e-mail à medida que ocorrerem mudanças.

Acessar violações na sua organização

É possível acessar violações em toda a organização no console do Google Cloud e na CLI gcloud.

Console

É possível acessar quantas violações há em toda a organização na página Assured Workloads no console do Google Cloud.

Acesse o Assured Workloads

Além disso, é possível clicar em um Nome de pasta na página do Assured Workloads para acessar os detalhes, que fornece detalhes de violação resumidos para essa pasta específica.

CLI da gcloud

Para listar as violações de compliance atuais na sua organização, execute o seguinte comando:

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

Em que:

A resposta inclui as seguintes informações para cada violação:

  • Um link de registro de auditoria para a violação.
  • A primeira vez que ocorreu a violação.
  • O tipo de violação.
  • Uma descrição da violação.
  • Nome da violação, que pode ser usado para recuperar mais detalhes.
  • A política da organização afetada e a restrição da política relacionada.
  • O estado atual da violação. Os valores válidos são não resolvidos, resolvidos ou exceções.

Para acessar sinalizações opcionais, consulte a documentação do SDK do Cloud.

Mostrar detalhes da violação

Para acessar violações de compliance específicas e os detalhes delas, siga estas etapas:

Console

  1. No Console do Google Cloud, acesse a página Monitoring.

    Acessar Monitoring

  2. Opcional: para acessar uma pasta específica do Assured Workloads, selecione-a na lista Todas as pastas.

  3. Por padrão, todas as violações no ambiente de carga de trabalho selecionado são exibidos. Para mudar isso, selecione um filtro na seção Filtrar por categoria.

  4. Clique no ID de uma violação para acessar informações mais detalhadas.

Na página Detalhes da violação, é possível realizar as seguintes tarefas:

  • Copie o ID da violação.

  • Confira a pasta em que a violação ocorreu e a hora em que ela ocorreu
    .

  • Confira a política da organização afetada.

  • Confira o registro de auditoria, que inclui:

  • Quando ocorreu a violação.

  • Qual política foi modificada para causar a violação e qual usuário fez essa modificação.

  • Se uma exceção foi concedida, qual usuário a concedeu.

  • Quando aplicável, confira o recurso específico em que a violação ocorreu.

  • Adicionar uma exceção de violação de compliance.

  • Siga as etapas de correção para resolver a exceção.

CLI da gcloud

Para acessar os detalhes de uma violação de compliance, execute o seguinte comando:

gcloud assured workloads violations describe VIOLATION_PATH

Em que VIOLATION_PATH está no seguinte formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

O VIOLATION_PATH é retornado no campo name da resposta da lista para cada violação.

A resposta inclui as seguintes informações:

  • Um link de registro de auditoria para a violação.

  • A primeira vez que ocorreu a violação.

  • O tipo de violação.

  • Uma descrição da violação.

  • A política da organização afetada e a restrição da política relacionada.

  • Etapas de correção para resolver a violação.

  • O estado atual da violação. Os valores válidos são unresolved, resolved ou exception.

Para acessar sinalizações opcionais, consulte a documentação do SDK do Cloud.

Resolver violações

Para corrigir uma violação, siga estas etapas:

Console

  1. No Console do Google Cloud, acesse a página Monitoring.

    Acessar Monitoring

  2. Clique no ID da violação para acessar informações mais detalhadas.

  3. Na seção Corrigir, siga as instruções do console do Google Cloud ou da CLI para resolver o problema.

CLI da gcloud

  1. Acesse os detalhes da violação usando a CLI gcloud.

  2. Siga as etapas de correção na resposta para resolver a violação.

Adicionar exceções de violação

Às vezes, uma violação é válida para uma situação específica. Para adicionar uma exceção a uma violação, siga estas etapas:

Console

  1. No Console do Google Cloud, acesse a página Monitoring.

    Acessar Monitoring

  2. Na seção Exceção, clique em Adicionar.

  3. Insira uma justificativa comercial, clique em Enviar e confirme a exceção.

Agora o status da violação está definido como Exceção.

CLI da gcloud

Para adicionar uma exceção a uma violação, execute o seguinte comando:

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

Em que BUSINESS_JUSTIFICATION é o motivo da exceção e VIOLATION_PATH está no seguinte formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

O VIOLATION_PATH é retornado no campo name da resposta da lista para cada violação.

Depois de enviar o comando, o status da violação é definido como Exceção.

Violações monitoradas

O Assured Workloads monitora diferentes violações de restrição da política da organização, dependendo do regime de compliance aplicado à pasta do Assured Workloads.

Restrição da política da organização Tipo de violação Descrição regimes de compliance afetados
Acesso sem compliance aos dados do Cloud SQL Acesso

Isso ocorre quando o acesso sem compliance a dados de diagnóstico do Cloud SQL que não estão em compliance é permitido.

Essa violação é causada pela mudança do valor de conformidade do controle da plataforma da restrição sql.restrictNoncompliantDiagnosticDataAccess .

Regiões e suporte da UE
Acesso sem compliance aos dados do Compute Engine Acesso

Isso ocorre quando o acesso sem compliance aos dados da instância do Compute Engine é permitido.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição compute.disableInstanceDataAccessApis.

Regiões e suporte da UE
Tipos de autenticação do Cloud Storage não compatíveis Acesso

Isso ocorre quando tipos de autenticação não compatíveis são permitidos para uso com o Cloud Storage.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição storage.restrictAuthTypes.

Regiões e suporte da UE
Acesso sem compliance aos buckets do Cloud Storage Acesso

Isso ocorre quando o acesso no nível do bucket não uniforme e sem compliance ao Cloud Storage é permitido.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição storage.uniformBucketLevelAccess.

Regiões e suporte da UE
Acesso global à Web do IAP sem compliance Acesso

Isso ocorre quando o acesso global à Web do IAP sem compliance é permitido.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição iap.requireGlobalIapWebDisabled.

Regiões e suporte da UE
Acesso sem compliance aos dados do GKE Acesso

Isso ocorre quando o acesso a dados de diagnóstico do GKE que não estão em compliance é permitido.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição container.restrictNoncompliantDiagnosticDataAccess .

Regiões e suporte da UE
Geração de registros de porta serial do Compute Engine sem compliance Configuração

Isso ocorre quando a geração de registros da porta serial do Compute Engine que não está em compliance foi ativada.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição compute.disableSerialPortLogging.

Regiões e suporte da UE
Recursos de diagnóstico do Compute Engine não compatíveis Configuração

Isso ocorre quando os recursos de diagnóstico do Compute Engine sem compliance estão ativados.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição compute.enableComplianceMemoryProtection.

Regiões e suporte da UE
Configuração de SSL do Compute Engine sem compliance Configuração

Isso ocorre quando um valor que não está em compliance é definido para certificados autogerenciados globais.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição compute.disableGlobalSelfManagedSslCertificate .

Regiões e suporte da UE

ITAR

SSH do Compute Engine sem compliance na configuração do navegador Configuração

Isso ocorre quando um valor que não está em compliance é definido para o SSH no recurso do navegador no Compute Engine.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição compute.disableSshInBrowser.

Regiões e suporte da UE com controles de soberania

Criação de recursos do Cloud SQL sem compliance Configuração

Isso ocorre quando a criação de recursos do Cloud SQL que não está em compliance é permitida.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição sql.restrictNoncompliantResourceCreation.

Regiões e suporte da UE
Restrição de chave do Cloud KMS ausente Criptografia

Isso ocorre quando nenhum projeto é especificado para fornecer chaves de criptografia de CMEK .

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma para a restrição gcp.restrictCmekCryptoKeyProjects, o que ajuda a impedir que pastas ou projetos não aprovados forneçam chaves de criptografia.

Regiões e suporte da UE<\td>
Serviço de CMEK não ativado sem compliance Criptografia

Isso ocorre quando um serviço que não é compatível com CMEK está ativado para a carga de trabalho.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição gcp.restrictNonCmekServices.

Regiões e suporte da UE
Níveis de proteção do Cloud KMS sem compliance Criptografia

Ocorre quando os níveis de proteção sem compliance são especificados para uso com o Cloud Key Management Service (Cloud KMS). Consulte a referência do Cloud KMS para mais informações.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição cloudkms.allowedProtectionLevels.

Regiões e suporte da UE com controles de soberania

IL4/IL5

Locais dos recursos que não estão em conformidade Local do recurso

Isso ocorre quando os recursos de serviços compatíveis de um determinado controle de plataforma do Assured Workloads são criados fora da região permitida para a carga de trabalho ou movidos de um local permitido para um não permitido.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição gcp.resourceLocations .

FedRAMP de nível médio

FedRAMP de nível alto

CJIS

IL4/IL5

Regiões e suporte dos EUA

HIPAA/HITRUST

Regiões e suporte da UE

Serviços que não estão em compliance Service Usage

Isso ocorre quando um usuário ativa um serviço que não está em compliance com um determinado controle de plataforma do Assured Workloads em uma pasta do Assured Workloads.

Essa violação é causada pela mudança do valor em conformidade do controle da plataforma da restrição gcp.restrictServiceUsage.

FedRAMP de nível médio

FedRAMP de nível alto

CJIS

IL4/IL5

Regiões e suporte dos EUA

HIPAA/HITRUST

Regiões e suporte da UE

A seguir