As frameworks do Gestor de conformidade consistem em controlos na nuvem que ajudam a cumprir os requisitos regulamentares ou de segurança da sua organização nos seus ambientes na nuvem. A aplicação de uma estrutura é um processo de dois passos. Primeiro, tem de determinar os controlos na nuvem de que a sua empresa precisa para gerir a respetiva segurança, conformidade e risco. Em seguida, implementa uma framework que inclui esses controlos da nuvem nos recursos adequados no Google Cloud. Esta página ajuda a concluir os seguintes passos:
Avalie que estrutura incorporada se alinha melhor com os seus requisitos regulamentares e de segurança. Pode criar a sua própria framework personalizada, mas recomendamos que comece com uma framework integrada.
Determine que controlos na nuvem incorporados correspondem aos requisitos da sua empresa. Pode criar controlos na nuvem personalizados, se necessário.
Determine se quer implementar a framework na sua Google Cloud organização ou em pastas e projetos específicos. Só pode implementar uma estrutura em cada organização, pasta ou projeto. O Compliance Manager suporta pastas ativadas para apps.
Copiar uma estrutura existente e modificá-la para corresponder aos seus requisitos. Se for necessário, pode criar uma estrutura personalizada.
Implemente a framework na organização, na pasta ou no projeto adequados.
Antes de começar
-
Para receber as autorizações de que precisa para aplicar frameworks, peça ao seu administrador que lhe conceda as seguintes funções de IAM na sua organização:
-
Administrador do Compliance Manager (
roles/cloudsecuritycompliance.admin) -
Para ver painéis de controlo de resultados:
Leitor do Gestor de conformidade (
roles/cloudsecuritycompliance.viewer) -
Para implementar frameworks que incluem controlos na nuvem baseados em políticas da organização, uma das seguintes opções:
-
Administrador da política da organização (
roles/orgpolicy.policyAdmin) -
Administrador do Assured Workloads (
roles/assuredworkloads.admin) -
Editor do Assured Workloads (
roles/assuredworkloads.editor)
-
Administrador da política da organização (
-
Para criar uma pasta durante a implementação de uma framework, faça um dos seguintes:
-
Administrador da pasta (
roles/resourcemanager.folderAdmin) -
Pasta Criador (
roles/resourcemanager.folderCreator)
-
Administrador da pasta (
-
Para criar um projeto durante a implementação de uma framework, tem de ter:
-
Gestor de faturação de projetos (
roles/billing.projectManager) -
Project Creator (
roles/resourcemanager.projectCreator) -
Project Deleter (
roles/resourcemanager.projectDeleter)
-
Gestor de faturação de projetos (
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
As funções para implementar frameworks com políticas de organização contêm as autorizaçõesorgpolicy.policies.create,orgpolicy.policies.updateeorgpolicy.policies.getnecessárias.As funções para criar frameworks contêm as autorizações
resourcemanager.folders.get,resourcemanager.folders.createeresourcemanager.folders.deletenecessárias.As funções para criar projetos contêm as autorizações necessárias
resourcemanager.projects.get,resourcemanager.projects.create,resourcemanager.projects.deleteeresourcemanager.projects.createBillingAssignment.Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
-
Administrador do Compliance Manager (
Veja as frameworks
Conclua os passos seguintes para ver a configuração das frameworks incorporadas ou de outras frameworks que já criou.
Na Google Cloud consola, aceda à página Conformidade.
Para ver todas as estruturas disponíveis, clique no separador Configurar.
O painel de controlo mostra as estruturas disponíveis, uma breve descrição, as plataformas suportadas e os recursos aos quais a estrutura foi aplicada.
Para ver detalhes sobre uma estrutura específica, clique no nome da estrutura.
Ver controlos na nuvem
Conclua os passos seguintes para ver os controlos na nuvem integrados e quaisquer controlos na nuvem personalizados que já tenha criado.
Na Google Cloud consola, aceda à página Conformidade.
No separador Configurar, clique em Controlos na nuvem. São apresentados os controlos na nuvem disponíveis.
O painel de controlo inclui informações sobre as frameworks que incluem o controlo na nuvem e o número de recursos (organização, pastas e projetos) aos quais o controlo na nuvem é aplicado.
Para ver detalhes sobre um controlo na nuvem, clique no nome do controlo.
Crie um controlo na nuvem personalizado
Um controlo da nuvem personalizado aplica-se apenas a um tipo de recurso. Os únicos tipos de dados suportados são recursos do Cloud Asset Inventory.
Na Google Cloud consola, aceda à página Conformidade.
No separador Configurar, clique em Controlos na nuvem. É apresentada a lista de controlos na nuvem disponíveis.
Crie um controlo na nuvem com o Gemini ou manualmente:
Usar o Gemini
Peça ao Gemini para gerar um controlo na nuvem para si. Com base no seu comando, o Gemini fornece um identificador exclusivo, um nome, uma lógica de deteção associada e possíveis passos de correção.
Reveja as recomendações e faça as alterações necessárias.
Guarde o controlo na nuvem personalizado.
Criar manualmente
Em ID do controlo na nuvem, indique um identificador exclusivo para o seu controlo.
Introduza um nome e uma descrição para ajudar os utilizadores na sua organização a compreenderem o objetivo do controlo na nuvem personalizado.
Opcional: selecione as categorias para o controlo. Clique em Continuar.
Selecione um tipo de recurso disponível para o seu controlo na nuvem personalizado.
Forneça a lógica de deteção para o seu controlo na nuvem no formato do idioma de expressão comum (IEC).
As expressões CEL permitem-lhe definir como quer avaliar as propriedades de um recurso. Para mais informações e exemplos, consulte o artigo Escreva regras para controlos na nuvem personalizados. Clique em Continuar.
Selecione uma gravidade das conclusões adequada.
Escreva as instruções de correção para que os responsáveis pela resposta a incidentes e os administradores da sua organização possam resolver todas as conclusões relativas ao controlo na nuvem. Clique em Continuar.
Reveja as suas entradas e, de seguida, clique em Criar.
Crie uma estrutura
Depois de determinar que controlos da nuvem se aplicam aos recursos na sua organização ou numa pasta ou num projeto específico, pode criar uma estrutura. Pode criar uma estrutura personalizada ou copiar uma estrutura existente e modificá-la.
Na Google Cloud consola, aceda à página Conformidade.
No separador Configurar, clique em Criar framework personalizado.
Conclua uma das seguintes opções:
Para usar uma estrutura existente, faça o seguinte:
Selecione Começar a partir de uma estrutura existente.
Selecione a estrutura que quer copiar.
Clique em Adicionar.
Para criar uma estrutura personalizada, selecione Iniciar novo.
Introduza um nome, um identificador exclusivo e uma descrição para a sua estrutura. Clique em Continuar.
Se estiver a copiar uma estrutura existente, é apresentada a lista de controlos na nuvem que faziam parte da estrutura existente.
Para adicionar os controlos na nuvem de que precisa, conclua o seguinte:
Para adicionar um controlo na nuvem existente, clique em Adicionar controlos na nuvem. Selecione todos os controlos na nuvem de que precisa e, de seguida, clique em Adicionar.
Para criar um controlo na nuvem personalizado, clique em Criar controlo na nuvem personalizado. Para ver instruções, consulte o artigo Crie um controlo na nuvem personalizado.
Clique em Continuar.
Adicione quaisquer parâmetros adicionais que os controlos da nuvem exijam.
Por exemplo, se quiser ativar um controlo na nuvem de gestão da postura de segurança de dados (DSPM), como o controlo na nuvem de governança de acesso aos dados, especifique as localizações que os diretores têm de usar. Para mais informações acerca dos controlos de gestão da postura de segurança de dados, consulte o artigo Controlo de acesso aos dados na nuvem.
Clique em Criar.
Implemente uma framework
Implemente uma framework numa organização, numa pasta ou num projeto para poder controlar e monitorizar esses recursos através dos controlos na nuvem da framework. Pode implementar várias estruturas em cada organização, pasta ou projeto.
As pastas e os projetos herdam frameworks através da Google Cloud hierarquia de recursos. Por conseguinte, se implementar frameworks ao nível da organização e ao nível do projeto, todos os controlos na nuvem em ambas as frameworks aplicam-se aos recursos no projeto. Se existirem diferenças nas definições de controlo da nuvem, os recursos no projeto usam o controlo da nuvem de nível inferior. Por exemplo, se uma regra de controlo na nuvem estiver definida como Permitir ao nível da organização e como Negar ao nível do projeto, a definição ao nível do projeto de Negar é aplicada aos recursos no projeto.
Como prática recomendada, recomendamos que implemente uma estrutura ao nível da organização que inclua os controlos na nuvem que podem ser aplicados a toda a sua empresa. Em seguida, pode implementar frameworks mais rigorosos em pastas e projetos que os exijam.
Na Google Cloud consola, aceda à página Conformidade.
No separador Configurar, para a framework que quer implementar, clique em Mais ações > Aplicar aos recursos.
Escolha uma das seguintes opções:
Para monitorizar apenas a variação, escolha Monitorizar.
Para monitorizar a deriva e impedir ativamente as violações, escolha Monitorizar e impedir.
Selecione o recurso no qual quer implementar a framework. Pode escolher uma organização, uma pasta ou um projeto existente. Se optou por impedir ativamente as violações, pode criar uma nova pasta ou projeto e implementar a framework no mesmo.
Conclua uma das seguintes opções:
- Se selecionou Monitorizar, valide as informações e clique em Monitorizar.
Se selecionou Monitorizar e impedir, conclua o seguinte:
- Clicar em Seguinte. Reveja os controlos e os modos na nuvem.
- Clique em Continuar.
- Se forem apresentadas, valide as informações adicionais necessárias para alguns controlos na nuvem.
- Clicar em Seguinte.
- Reveja as suas seleções e, de seguida, clique em Aplicar.
Depois de implementar a framework, pode monitorizar o seu ambiente para verificar se existe alguma variação em relação aos controlos na nuvem definidos. O Security Command Center comunica instâncias de desvio como resultados que pode rever, filtrar e resolver. Pode demorar cerca de seis horas após a implementação de uma framework para que apareçam as conclusões relacionadas com os controlos na nuvem.
Remova recursos de uma framework implementada
Pode remover a organização, as pastas ou os projetos que atribuiu a uma framework implementada. A remoção de recursos significa que a estrutura já não gera resultados para esse nó da hierarquia de recursos.
Quando remove recursos, o estado das conclusões relacionadas muda para
Inactive após sete dias.
Na Google Cloud consola, aceda à página Conformidade.
Selecione a sua organização.
No separador Configurar, clique na estrutura da qual quer anular a atribuição de recursos.
Na página Detalhes da estrutura, clique em Ações > Gerir atribuições de recursos.
Na tabela Recursos atribuídos, encontre o recurso que quer remover e clique em Eliminar.
Reveja a mensagem de confirmação e clique em Desatribuir.
O que se segue?
- Monitorize as suas estruturas para garantir a conformidade.
- Audite o seu ambiente com o Gestor de conformidade.
- Reveja e faça a gestão das conclusões na consola.