Gestire i controlli cloud

Compliance Manager include molti controlli cloud integrati che puoi aggiungere ai framework e implementare nel tuo ambiente. Se necessario, puoi creare e gestire i tuoi controlli cloud personalizzati e aggiornare quelli integrati.

Prima di iniziare

Visualizza controlli cloud

Completa i seguenti passaggi per visualizzare i controlli cloud integrati e quelli personalizzati che hai già creato.

  1. Nella console Google Cloud , vai alla pagina Conformità.

    Vai a Conformità

  2. Seleziona la tua organizzazione.

  3. Nella scheda Configura, fai clic su Controlli cloud. Vengono visualizzati i controlli cloud disponibili.

    La dashboard include informazioni sui framework che includono il controllo cloud e il numero di risorse (organizzazione, cartelle e progetti) a cui viene applicato il controllo cloud.

  4. Per visualizzare i dettagli di un controllo cloud, fai clic sul nome del controllo.

Crea un controllo cloud personalizzato

Un controllo cloud personalizzato si applica a un solo tipo di risorsa. L'unico tipo di dati supportato sono le risorse Cloud Asset Inventory. I controlli cloud personalizzati non supportano i parametri.

  1. Nella console Google Cloud , vai alla pagina Conformità.

    Vai a Conformità

  2. Seleziona la tua organizzazione.

  3. Nella scheda Configura, fai clic su Controlli cloud. Viene visualizzato l'elenco dei controlli cloud disponibili.

  4. Crea un controllo cloud, con Gemini o manualmente:

Usa Gemini

  1. Chiedi a Gemini di generare un controllo cloud per te. In base al tuo prompt, Gemini fornisce un identificatore univoco, un nome, una logica di rilevamento associata e possibili passaggi di correzione.

  2. Esamina i consigli e apporta le modifiche necessarie.

  3. Salva il controllo cloud personalizzato.

Crea manualmente

  1. In ID controllo cloud, fornisci un identificatore univoco per il controllo.

  2. Inserisci un nome e una descrizione per aiutare gli utenti della tua organizzazione a comprendere lo scopo del controllo cloud personalizzato.

  3. (Facoltativo) Seleziona le categorie per il controllo. Fai clic su Continua.

  4. Seleziona un tipo di risorsa disponibile per il controllo cloud personalizzato. Compliance Manager supporta tutti i tipi di risorse. Per trovare il nome di una risorsa, consulta Tipi di asset.

  5. Fornisci la logica di rilevamento per il controllo cloud nel formato Common Expression Language (CEL).

    Le espressioni CEL ti consentono di definire come valutare le proprietà di una risorsa. Per ulteriori informazioni ed esempi, vedi Scrivere regole per i controlli cloud personalizzati. Fai clic su Continua.

    Se la regola di valutazione non è valida, viene visualizzato un errore.

  6. Seleziona una gravità appropriata per i risultati.

  7. Scrivi le istruzioni di correzione in modo che i responsabili della risposta agli incidenti e gli amministratori della tua organizzazione possano risolvere i problemi relativi al controllo cloud. Fai clic su Continua.

  8. Esamina le voci e fai clic su Crea.

Modificare un controllo cloud personalizzato

Dopo aver creato un controllo cloud, puoi modificarne il nome, la descrizione, le regole, i passaggi di correzione e il livello di gravità. Non puoi modificare la categoria del controllo cloud.

  1. Nella console Google Cloud , vai alla pagina Conformità.

    Vai a Conformità

  2. Seleziona la tua organizzazione.

  3. Nella scheda Configura, fai clic su Controlli cloud. Viene visualizzato l'elenco dei controlli cloud disponibili.

  4. Fai clic sul controllo cloud che vuoi modificare.

  5. Nella pagina Dettagli dei controlli cloud, verifica che il controllo cloud non sia incluso in un framework. Se necessario, modifica il framework per rimuovere il controllo cloud.

  6. Fai clic su Modifica.

  7. Nella pagina Modifica controllo cloud personalizzato, modifica il nome e la descrizione in base alle tue esigenze. Fai clic su Continua.

  8. Aggiorna le regole, la gravità del risultato e i passaggi di correzione. Fai clic su Continua.

  9. Rivedi le modifiche e fai clic su Salva.

Aggiorna un controllo cloud integrato a una release più recente

Google pubblica aggiornamenti regolari dei controlli cloud integrati man mano che i servizi implementano nuove funzionalità o emergono nuove best practice. Gli aggiornamenti possono includere nuovi controlli o modifiche a quelli esistenti.

Puoi visualizzare le release dei controlli cloud integrati nella dashboard dei controlli cloud nella scheda Configura o nella pagina dei dettagli del controllo cloud.

Google ti avvisa nelle note di rilascio quando vengono aggiornati i seguenti elementi:

  • Nome controllo cloud
  • Categoria risultati
  • Modifica della logica di rilevamento o preventiva in una regola
  • Logica sottostante di una regola

Per aggiornare un controllo cloud dopo aver ricevuto una notifica, devi annullare l'assegnazione e ridistribuire i framework che includono il controllo cloud. Per istruzioni, vedi Aggiornare un framework a una versione più recente.

Eliminare un controllo cloud personalizzato

Elimina un controllo cloud quando non è più necessario. Puoi eliminare solo i controlli cloud che crei. Non puoi eliminare i controlli cloud integrati.

  1. Nella console Google Cloud , vai alla pagina Conformità.

    Vai a Conformità

  2. Seleziona la tua organizzazione.

  3. Nella scheda Configura, fai clic su Controlli cloud. Viene visualizzato l'elenco dei controlli cloud disponibili.

  4. Fai clic sul controllo cloud che vuoi eliminare.

  5. Nella pagina Dettagli dei controlli cloud, verifica che il controllo cloud non sia incluso in un framework. Se necessario, modifica il framework per rimuovere il controllo cloud.

  6. Fai clic su Elimina.

  7. Nella finestra Elimina, controlla il messaggio. Digita Delete e fai clic su Conferma.

Mappatura dei rilevatori di Security Health Analytics ai controlli cloud

La tabella seguente mostra come i controlli cloud di Compliance Manager vengono mappati ai rilevatori di Security Health Analytics.

Categoria del risultato in Security Health Analytics Nome del controllo cloud in Compliance Manager

ACCESS_TRANSPARENCY_DISABLED

Attiva Access Transparency

ADMIN_SERVICE_ACCOUNT

Bloccare i ruoli amministratore dagli account di servizio

ALLOWED_INGRESS_ORG_POLICY

Configura il vincolo Impostazioni di traffico in entrata consentite per il criterio dell'organizzazione Cloud Run

ALLOWED_VPC_EGRESS_ORG_POLICY

Configura il vincolo dei criteri dell'organizzazione per le impostazioni di traffico VPC in uscita consentite per Cloud Run

ALLOYDB_AUTO_BACKUP_DISABLED

Abilita i backup automatici di AlloyDB sul cluster

ALLOYDB_BACKUPS_DISABLED

Abilita i backup di AlloyDB sul cluster

ALLOYDB_CMEK_DISABLED

Abilita CMEK per i cluster AlloyDB

ALLOYDB_LOG_ERROR_VERBOSITY

Imposta il flag di livello di dettaglio degli errori di log per le istanze AlloyDB

ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Imposta il flag Istruzione di errore minimo di log per le istanze AlloyDB

ALLOYDB_LOG_MIN_MESSAGES

Imposta il flag Livello minimo messaggi di log per le istanze AlloyDB

ALLOYDB_PUBLIC_IP

Blocca gli indirizzi IP pubblici per le istanze del cluster AlloyDB

ALPHA_CLUSTER_ENABLED

Disabilita le funzionalità alpha sui cluster GKE

API_KEY_APPS_UNRESTRICTED

Limita le chiavi API solo alle API richieste

API_KEY_EXISTS

Non disponibile

API_KEY_NOT_ROTATED

Richiedi rotazione della chiave API

AUDIT_CONFIG_NOT_MONITORED

Configura metriche di log e avvisi per le modifiche all'audit logging

AUDIT_LOGGING_DISABLED

Implementare la registrazione degli eventi per i servizi Google Cloud

AUTO_BACKUP_DISABLED

Abilitare i backup automatici per i database Cloud SQL

AUTO_REPAIR_DISABLED

Abilita la riparazione automatica per i cluster GKE

AUTO_UPGRADE_DISABLED

Abilitare l'upgrade automatico sui cluster GKE

BIGQUERY_TABLE_CMEK_DISABLED

Abilita CMEK per le tabelle BigQuery

BINARY_AUTHORIZATION_DISABLED

Richiedere l'autorizzazione binaria su un cluster

BUCKET_CMEK_DISABLED

Abilita CMEK per i bucket Cloud Storage

BUCKET_IAM_NOT_MONITORED

Configura metriche di log e avvisi per le modifiche ai criteri IAM di Cloud Storage

BUCKET_LOGGING_DISABLED

Richiedi il logging del bucket Cloud Storage

BUCKET_POLICY_ONLY_DISABLED

Abilitare l'accesso uniforme a livello di bucket nei bucket Cloud Storage

CLOUD_ASSET_API_DISABLED

Attiva il servizio Cloud Asset Inventory

CLUSTER_LOGGING_DISABLED

Abilita Cloud Logging sui cluster GKE

CLUSTER_MONITORING_DISABLED

Abilita Cloud Monitoring sui cluster GKE

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Abilitare l'accesso privato Google su un'istanza

CLUSTER_SECRETS_ENCRYPTION_DISABLED

Abilita la crittografia sui cluster GKE

CLUSTER_SHIELDED_NODES_DISABLED

Abilitare Shielded GKE Nodes su un cluster

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Blocca le chiavi SSH a livello di progetto sulle istanze Compute Engine

COMPUTE_SECURE_BOOT_DISABLED

Abilitare l'avvio protetto sulle istanze Compute Engine

COMPUTE_SERIAL_PORTS_ENABLED

Blocca le porte seriali per le istanze di Compute Engine

CONFIDENTIAL_COMPUTING_DISABLED

Abilita Confidential Computing per le istanze di Compute Engine

COS_NOT_USED

Richiedere Container-Optimized OS per un cluster GKE

CUSTOM_ORG_POLICY_VIOLATION

Non disponibile

CUSTOM_ROLE_NOT_MONITORED

Configurare metriche di log e avvisi per le modifiche ai ruoli personalizzati

DATAPROC_CMEK_DISABLED

Richiedere CMEK sui cluster Dataproc

DATAPROC_IMAGE_OUTDATED

Utilizzare le versioni immagine più recenti sui cluster Dataproc

DATASET_CMEK_DISABLED

Abilita CMEK per i set di dati BigQuery

DEFAULT_NETWORK

Utilizzare reti con regole firewall personalizzate

DEFAULT_SERVICE_ACCOUNT_USED

Utilizzare service account personalizzati per le istanze Compute Engine

DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

Configura il criterio dell'organizzazione Disabilita l'utilizzo di IPv6 all'esterno di VPC

DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

Configura il criterio dell'organizzazione Disabilita l'utilizzo di IPv6 all'esterno di VPC

DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

Configura il criterio dell'organizzazione Disabilita il logging delle porte seriali delle VM in Stackdriver

DISK_CMEK_DISABLED

Abilita CMEK sui dischi permanenti di Compute Engine

DISK_CSEK_DISABLED

Abilita CSEK sui dischi permanenti di Compute Engine

DNS_LOGGING_DISABLED

Abilita il monitoraggio dei log di Cloud DNS

DNSSEC_DISABLED

Attivare DNSSEC per Cloud DNS

EGRESS_DENY_RULE_NOT_SET

Applica la regola firewall in uscita Nega tutto

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Definisci i contatti fondamentali

FIREWALL_NOT_MONITORED

Configura metriche di log e avvisi per le modifiche al firewall di rete VPC

FIREWALL_RULE_LOGGING_DISABLED

Abilita il logging delle regole firewall

FLOW_LOGS_DISABLED

Abilita i log di flusso per la subnet VPC

FULL_API_ACCESS

Limita l'accesso alle API Google Cloud per le istanze Compute Engine

HTTP_LOAD_BALANCER

Applica solo il traffico HTTPS

INCORRECT_BQ4G_SERVICE_PERIMETER

Definisci i perimetri di servizio nei Controlli di servizio VPC

INSTANCE_OS_LOGIN_DISABLED

Attiva OS Login

INTEGRITY_MONITORING_DISABLED

Abilita il monitoraggio dell'integrità sui cluster GKE

INTRANODE_VISIBILITY_DISABLED

Abilita la visibilità tra nodi per i cluster GKE

IP_ALIAS_DISABLED

Abilita l'intervallo IP alias per i cluster GKE

IP_FORWARDING_ENABLED

Impedisci l'inoltro IP sulle istanze Compute Engine

KMS_KEY_NOT_ROTATED

Definisci il periodo di rotazione per le chiavi Cloud KMS

KMS_PROJECT_HAS_OWNER

Non disponibile

KMS_PUBLIC_KEY

Non disponibile

KMS_ROLE_SEPARATION

Applica la separazione dei compiti

LEGACY_AUTHORIZATION_ENABLED

Blocca l'autorizzazione legacy sui cluster GKE

LEGACY_METADATA_ENABLED

Disattiva gli endpoint del server di metadati legacy su Compute Engine

LEGACY_NETWORK

Non utilizzare reti precedenti

LOAD_BALANCER_LOGGING_DISABLED

Abilita il logging del bilanciatore del carico

LOCKED_RETENTION_POLICY_NOT_SET

Bloccare i criteri di conservazione del bucket di archiviazione

LOG_NOT_EXPORTED

Configura i sink di log

MASTER_AUTHORIZED_NETWORKS_DISABLED

Abilita le reti autorizzate del control plane sui cluster GKE

MFA_NOT_ENFORCED

Non disponibile

NETWORK_NOT_MONITORED

Configura metriche di log e avvisi per le modifiche alla rete VPC

NETWORK_POLICY_DISABLED

Abilita il criterio di rete sui cluster GKE

NODEPOOL_BOOT_CMEK_DISABLED

Abilita CMEK sui dischi di avvio del node pool GKE

NODEPOOL_SECURE_BOOT_DISABLED

Abilita l'avvio protetto per Shielded GKE Nodes

NON_ORG_IAM_MEMBER

Non disponibile

OBJECT_VERSIONING_DISABLED

Abilitare il controllo delle versioni degli oggetti nei bucket

OPEN_CASSANDRA_PORT

Blocca le connessioni alle porte Cassandra da tutti gli indirizzi IP

OPEN_CISCOSECURE_WEBSM_PORT

Blocca le connessioni alle porte CiscoSecure/WebSM da tutti gli indirizzi IP

OPEN_DIRECTORY_SERVICES_PORT

Blocca le connessioni alle porte dei servizi di directory da tutti gli indirizzi IP

OPEN_DNS_PORT

Bloccare le connessioni alle porte DNS da tutti gli indirizzi IP

OPEN_ELASTICSEARCH_PORT

Blocca le connessioni alle porte Elasticsearch da tutti gli indirizzi IP

OPEN_FIREWALL

Non disponibile

OPEN_FTP_PORT

Blocca le connessioni alle porte FTP da tutti gli indirizzi IP

OPEN_GROUP_IAM_MEMBER

Non disponibile

OPEN_HTTP_PORT

Bloccare le connessioni alle porte HTTP da tutti gli indirizzi IP

OPEN_LDAP_PORT

Bloccare le connessioni alle porte LDAP da tutti gli indirizzi IP

OPEN_MEMCACHED_PORT

Blocca le connessioni alle porte Memcached da tutti gli indirizzi IP

OPEN_MONGODB_PORT

Blocca le connessioni alle porte MongoDB da tutti gli indirizzi IP

OPEN_MYSQL_PORT

Blocca le connessioni alle porte MySQL da tutti gli indirizzi IP

OPEN_NETBIOS_PORT

Bloccare le connessioni alle porte NetBIOS da tutti gli indirizzi IP

OPEN_ORACLEDB_PORT

Blocca le connessioni alle porte del database Oracle da tutti gli indirizzi IP

OPEN_POP3_PORT

Blocca le connessioni alle porte del server POP3 da tutti gli indirizzi IP

OPEN_POSTGRESQL_PORT

Blocca le connessioni alle porte del server PostgreSQL da tutti gli indirizzi IP

OPEN_RDP_PORT

Blocca l'accesso alla porta RDP

OPEN_REDIS_PORT

Blocca le connessioni alle porte del server Redis da tutti gli indirizzi IP

OPEN_SMTP_PORT

Bloccare le connessioni alle porte del server SMTP da tutti gli indirizzi IP

OPEN_SSH_PORT

Blocca l'accesso alla porta SSH

OPEN_TELNET_PORT

Bloccare le connessioni alle porte del server Telnet da tutti gli indirizzi IP

ORG_POLICY_CONFIDENTIAL_VM_POLICY

Attiva il vincolo dei criteri dell'organizzazione Confidential VM

OS_LOGIN_DISABLED

Attiva OS Login per tutte le istanze a livello di progetto

OVER_PRIVILEGED_ACCOUNT

Utilizzare service account con privilegi minimi per i cluster GKE

OVER_PRIVILEGED_SCOPES

Crea cluster GKE con ambiti di accesso al service account limitati

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Bloccare i ruoli amministratore dagli account di servizio

OWNER_NOT_MONITORED

Non disponibile

POD_SECURITY_POLICY_DISABLED

Non disponibile

PRIMITIVE_ROLES_USED

Limita i ruoli IAM legacy

PRIVATE_CLUSTER_DISABLED

Abilita i cluster privati per GKE

PRIVATE_GOOGLE_ACCESS_DISABLED

Abilitare l'accesso privato Google per le subnet VPC

PUBLIC_BUCKET_ACL

Limitare l'accesso pubblico ai bucket Cloud Storage

PUBLIC_COMPUTE_IMAGE

Limitare l'accesso pubblico alle immagini di Compute

PUBLIC_DATASET

Limitare l'accesso pubblico ai set di dati BigQuery

PUBLIC_IP_ADDRESS

Limita gli indirizzi IP pubblici alle istanze Compute Engine

PUBLIC_LOG_BUCKET

Limitare l'accesso pubblico ai bucket Cloud Storage

PUBLIC_SQL_INSTANCE

Limitare l'accesso pubblico alle istanze di database Cloud SQL

PUBSUB_CMEK_DISABLED

Criptare l'argomento Pub/Sub con CMEK

QL_LOG_STATEMENT_STATS_ENABLED

Abilita il flag Log Statement per PostgreSQL

REDIS_ROLE_USED_ON_ORG

Non disponibile

RELEASE_CHANNEL_DISABLED

Iscrivi un cluster GKE a un canale di rilascio

REQUIRE_OS_LOGIN_ORG_POLICY

Attiva OS Login

REQUIRE_VPC_CONNECTOR_ORG_POLICY

Definisci il traffico in uscita del connettore VPC per le funzioni Cloud Run

RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

Abilita il vincolo del criterio dell'organizzazione Limita reti autorizzate nelle istanze Cloud SQL

ROUTE_NOT_MONITORED

Configura metriche di log e avvisi per le modifiche alle route VPC

RSASHA1_FOR_SIGNING

Evita RSASHA1 per la firma DNSSEC

S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

Non disponibile

S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

Non disponibile

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Richiedi la rotazione della chiave del service account

SERVICE_ACCOUNT_ROLE_SEPARATION

Applica la separazione dei compiti

SHIELDED_VM_DISABLED

Abilitare Shielded VM per le istanze Compute Engine

SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

Limita la creazione della rete predefinita per le istanze Compute Engine

SQL_CMEK_DISABLED

Abilita CMEK per i database Cloud SQL

SQL_CONTAINED_DATABASE_AUTHENTICATION

Disattiva il flag di autenticazione del database indipendente per SQL Server

SQL_CROSS_DB_OWNERSHIP_CHAINING

Disattiva il flag di concatenamento della proprietà tra database per SQL Server

SQL_EXTERNAL_SCRIPTS_ENABLED

Disattiva il flag External Scripts per SQL Server

SQL_INSTANCE_NOT_MONITORED

Configura le metriche di log e gli avvisi per le modifiche alla configurazione di Cloud SQL

SQL_LOCAL_INFILE

Disattivare il flag local_infile per MySQL

SQL_LOG_CHECKPOINTS_DISABLED

Abilita il flag di checkpoint di log per PostgreSQL

SQL_LOG_CONNECTIONS_DISABLED

Abilita il flag Log Connections per PostgreSQL

SQL_LOG_DISCONNECTIONS_DISABLED

Abilita il flag Log Disconnections per PostgreSQL

SQL_LOG_DURATION_DISABLED

Abilita il flag di durata del log per l'istanza PostgreSQL

SQL_LOG_ERROR_VERBOSITY

Abilita il flag di verbosità degli errori di log per PostgreSQL

SQL_LOG_EXECUTOR_STATS_ENABLED

Disattivare il flag delle statistiche dello strumento di esecuzione dei log per PostgreSQL

SQL_LOG_HOSTNAME_ENABLED

Disattivare il flag Nome host log per PostgreSQL

SQL_LOG_LOCK_WAITS_DISABLED

Abilita il flag di attesa dei blocchi dei log per l'istanza PostgreSQL

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Disattiva il flag Istruzione durata minima di log per PostgreSQL

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Abilita il flag Istruzione di errore minimo di log per PostgreSQL

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Non disponibile

SQL_LOG_MIN_MESSAGE

Abilita il flag Log Min Messages per PostgreSQL

SQL_LOG_PARSER_STATS_ENABLED

Disattiva il flag Statistiche del parser di log per PostgreSQL

SQL_LOG_PLANNER_STATS_ENABLED

Disattiva il flag Statistiche dello strumento di pianificazione dei log per PostgreSQL

SQL_LOG_STATEMENT

Abilita il flag Log Statement per PostgreSQL

SQL_LOG_TEMP_FILES

Abilita il flag Log Temp Files per l'istanza PostgreSQL

SQL_NO_ROOT_PASSWORD

Non disponibile

SQL_PUBLIC_IP

Blocca gli indirizzi IP pubblici per le istanze Cloud SQL

SQL_REMOTE_ACCESS_ENABLED

Disattivare il flag di accesso remoto per SQL Server

SQL_SCANNER

Attiva la crittografia SSL sulle istanze AlloyDB

SQL_SKIP_SHOW_DATABASE_DISABLED

Abilitare il flag Salta visualizzazione database per MySQL

SQL_TRACE_FLAG_3625

Abilita il flag di database di traccia 3625 per SQL Server

SQL_USER_CONNECTIONS_CONFIGURED

Non utilizzare il flag user connections per SQL Server

SQL_USER_OPTIONS_CONFIGURED

Non utilizzare il flag user options per SQL Server

SQL_WEAK_ROOT_PASSWORD

Non disponibile

SSL_NOT_ENFORCED

Applica SSL per tutte le connessioni in entrata al database

TOO_MANY_KMS_USERS

Limitare a tre gli utenti delle chiavi di crittografia KMS

UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

Abilitare l'accesso uniforme a livello di bucket nei bucket Cloud Storage

USER_MANAGED_SERVICE_ACCOUNT_KEY

Limita le chiavi service account gestite dall'utente

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Non disponibile

WEAK_SSL_POLICY

Limita le norme SSL non sicure per le istanze Compute Engine

WEB_UI_ENABLED

Non utilizzare la UI web di Kubernetes

WORKLOAD_IDENTITY_DISABLED

Abilita Workload Identity Federation for GKE sui cluster

Passaggi successivi