Gerenciar controles de nuvem

O Compliance Manager inclui muitos controles de nuvem integrados que podem ser adicionados a frameworks e implantados no seu ambiente. Se necessário, crie e gerencie seus próprios controles de nuvem personalizados e atualize os controles de nuvem integrados.

Antes de começar

Ver controles de nuvem

Siga estas etapas para conferir os controles de nuvem integrados e os controles personalizados que você já criou.

  1. No console Google Cloud , acesse a página Conformidade.

    Acesse Conformidade

  2. Selecione a organização.

  3. Na guia Configurar, clique em Controles na nuvem. Os controles de nuvem disponíveis são mostrados.

    O painel inclui informações sobre quais frameworks incluem o controle de nuvem e o número de recursos (organização, pastas e projetos) em que ele é aplicado.

  4. Para ver detalhes sobre um controle de nuvem, clique no nome dele.

Criar Cloud Control personalizado

Um controle personalizado da nuvem se aplica a apenas um tipo de recurso. O único tipo de dados aceito são os recursos do Inventário de recursos do Cloud. Os controles personalizados da nuvem não são compatíveis com parâmetros.

  1. No console Google Cloud , acesse a página Conformidade.

    Acesse Conformidade

  2. Selecione a organização.

  3. Na guia Configurar, clique em Controles na nuvem. A lista de controles de nuvem disponíveis é exibida.

  4. Crie um controle de nuvem com o Gemini ou manualmente:

Usar o Gemini

  1. Peça ao Gemini para gerar um controle de nuvem. Com base no seu comando, o Gemini fornece um identificador exclusivo, um nome, uma lógica de detecção associada e possíveis etapas de correção.

  2. Revise as recomendações e faça as mudanças necessárias.

  3. Salve o controle de nuvem personalizado.

Criar manualmente

  1. Em ID de controle do Cloud, forneça um identificador exclusivo para seu controle.

  2. Insira um nome e uma descrição para ajudar os usuários da sua organização a entender a finalidade do controle de nuvem personalizado.

  3. Opcional: selecione as categorias do controle. Clique em Continuar.

  4. Selecione um tipo de recurso disponível para seu controle de nuvem personalizado. O Compliance Manager é compatível com todos os tipos de recursos. Para encontrar o nome de um recurso, consulte Tipos de recursos.

  5. Forneça a lógica de detecção para seu controle de nuvem no formato Common Expression Language (CEL).

    Com as expressões CEL, é possível definir como você quer avaliar as propriedades de um recurso. Para mais informações e exemplos, consulte Escrever regras para controles de nuvem personalizados. Clique em Continuar.

    Se a regra de avaliação não for válida, um erro será exibido.

  6. Selecione uma gravidade de descoberta adequada.

  7. Escreva instruções de correção para que os responsáveis pela resposta a incidentes e os administradores da sua organização possam resolver qualquer descoberta para o controle da nuvem. Clique em Continuar.

  8. Revise as entradas e clique em Criar.

Editar um controle de nuvem personalizado

Depois de criar um controle na nuvem, é possível mudar o nome, a descrição, as regras, as etapas de correção e o nível de gravidade dele. Não é possível mudar a categoria do controle de nuvem.

  1. No console Google Cloud , acesse a página Conformidade.

    Acesse Conformidade

  2. Selecione a organização.

  3. Na guia Configurar, clique em Controles na nuvem. A lista de controles de nuvem disponíveis é exibida.

  4. Clique no controle de nuvem que você quer editar.

  5. Na página Detalhes do controle da nuvem, verifique se o controle não está incluído em uma estrutura. Se necessário, edite a estrutura para remover o controle de nuvem.

  6. Clique em Editar.

  7. Na página Editar controle de nuvem personalizado, mude o nome e a descrição conforme necessário. Clique em Continuar.

  8. Atualize as regras, a gravidade da descoberta e as etapas de correção. Clique em Continuar.

  9. Revise as mudanças e clique em Salvar.

Atualizar um controle de nuvem integrado para uma versão mais recente

O Google publica atualizações regulares dos controles de nuvem integrados à medida que os serviços implantam novos recursos ou novas práticas recomendadas surgem. As atualizações podem incluir novos controles ou mudanças nos controles atuais.

É possível conferir as versões dos controles integrados na nuvem no painel de controle da nuvem, na guia Configurar ou na página de detalhes do controle na nuvem.

O Google envia uma notificação nas notas da versão quando os seguintes itens são atualizados:

  • Nome do Cloud Control
  • Categoria da descoberta
  • Mudança na lógica de detecção ou prevenção em uma regra
  • Lógica subjacente de uma regra

Para atualizar um controle de nuvem depois de receber uma notificação, é necessário cancelar a atribuição e reimplantar as estruturas que incluem o controle de nuvem. Para instruções, consulte Atualizar um framework para uma versão mais recente.

Excluir um controle de nuvem personalizado

Exclua um controle de nuvem quando ele não for mais necessário. Só é possível excluir controles de nuvem que você criou. Não é possível excluir controles integrados da nuvem.

  1. No console Google Cloud , acesse a página Conformidade.

    Acesse Conformidade

  2. Selecione a organização.

  3. Na guia Configurar, clique em Controles na nuvem. A lista de controles de nuvem disponíveis é exibida.

  4. Clique no controle de nuvem que você quer excluir.

  5. Na página Detalhes do controle da nuvem, verifique se o controle não está incluído em uma estrutura. Se necessário, edite a estrutura para remover o controle de nuvem.

  6. Clique em Excluir.

  7. Na janela Excluir, revise a mensagem. Digite Delete e clique em Confirmar.

Mapeamento dos detectores do Security Health Analytics para controles de nuvem

A tabela a seguir mostra como os controles de nuvem do Gerenciador de compliance são mapeados para os detectores do Security Health Analytics.

Categoria de descoberta no Security Health Analytics Nome do controle de nuvem no Gerenciador de compliance

ACCESS_TRANSPARENCY_DISABLED

Ativar a transparência no acesso

ADMIN_SERVICE_ACCOUNT

Bloquear funções de administrador em contas de serviço

ALLOWED_INGRESS_ORG_POLICY

Configurar a restrição de política da organização do Cloud Run para configurações de entrada permitidas

ALLOWED_VPC_EGRESS_ORG_POLICY

Configurar a restrição da política da organização de saída de VPC permitida para o Cloud Run

ALLOYDB_AUTO_BACKUP_DISABLED

Ativar backups automáticos do AlloyDB no cluster

ALLOYDB_BACKUPS_DISABLED

Ativar backups do AlloyDB no cluster

ALLOYDB_CMEK_DISABLED

Ativar a CMEK para clusters do AlloyDB

ALLOYDB_LOG_ERROR_VERBOSITY

Definir a flag de nível de detalhes do erro de registro para instâncias do AlloyDB

ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Definir a flag de instrução de erro mínima do registro para instâncias do AlloyDB

ALLOYDB_LOG_MIN_MESSAGES

Definir a flag "Log Min Messages" para instâncias do AlloyDB

ALLOYDB_PUBLIC_IP

Bloquear endereços IP públicos para instâncias de cluster do AlloyDB

ALPHA_CLUSTER_ENABLED

Desativar recursos Alfa em clusters do GKE

API_KEY_APPS_UNRESTRICTED

Restringir chaves de API apenas para as APIs necessárias

API_KEY_EXISTS

Indisponível

API_KEY_NOT_ROTATED

Exigir rotação da chave de API

AUDIT_CONFIG_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças no Audit Logging

AUDIT_LOGGING_DISABLED

Implementar o registro de eventos para serviços do Google Cloud

AUTO_BACKUP_DISABLED

Ativar backups automáticos para bancos de dados do Cloud SQL

AUTO_REPAIR_DISABLED

Ativar o reparo automático para clusters do GKE

AUTO_UPGRADE_DISABLED

Ativar o upgrade automático em clusters do GKE

BIGQUERY_TABLE_CMEK_DISABLED

Ativar a CMEK para tabelas do BigQuery

BINARY_AUTHORIZATION_DISABLED

Exigir autorização binária em um cluster

BUCKET_CMEK_DISABLED

Ativar a CMEK para buckets do Cloud Storage

BUCKET_IAM_NOT_MONITORED

Configurar métricas e alertas de registros para mudanças na política do IAM do Cloud Storage

BUCKET_LOGGING_DISABLED

Exigir geração de registros do bucket do Cloud Storage

BUCKET_POLICY_ONLY_DISABLED

Ativar o acesso uniforme no nível do bucket nos buckets do Cloud Storage

CLOUD_ASSET_API_DISABLED

Ativar o serviço do Inventário de recursos do Cloud

CLUSTER_LOGGING_DISABLED

Ativar o Cloud Logging em clusters do GKE

CLUSTER_MONITORING_DISABLED

Ativar o Cloud Monitoring em clusters do GKE

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Ativar o Acesso privado do Google em uma instância

CLUSTER_SECRETS_ENCRYPTION_DISABLED

Ativar a criptografia em clusters do GKE

CLUSTER_SHIELDED_NODES_DISABLED

Ativar nós protegidos do GKE em um cluster

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Bloquear chaves SSH em todo o projeto em instâncias do Compute Engine

COMPUTE_SECURE_BOOT_DISABLED

Ativar a inicialização segura em instâncias do Compute Engine

COMPUTE_SERIAL_PORTS_ENABLED

Bloquear portas seriais para instâncias do Compute Engine

CONFIDENTIAL_COMPUTING_DISABLED

Ativar a Computação confidencial para instâncias do Compute Engine

COS_NOT_USED

Exigir o Container-Optimized OS para um cluster do GKE

CUSTOM_ORG_POLICY_VIOLATION

Indisponível

CUSTOM_ROLE_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças de função personalizada

DATAPROC_CMEK_DISABLED

Exigir CMEK em clusters do Dataproc

DATAPROC_IMAGE_OUTDATED

Usar as versões mais recentes de imagens em clusters do Dataproc

DATASET_CMEK_DISABLED

Ativar a CMEK para conjuntos de dados do BigQuery

DEFAULT_NETWORK

Usar redes com regras de firewall personalizadas

DEFAULT_SERVICE_ACCOUNT_USED

Usar contas de serviço personalizadas para instâncias do Compute Engine

DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

Configurar a política da organização "Desativar o uso do IPv6 externo da VPC"

DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

Configurar a política da organização "Desativar o uso do IPv6 externo da VPC"

DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

Configurar a política da organização "Desativar o registro da porta serial da VM para o Stackdriver"

DISK_CMEK_DISABLED

Ativar a CMEK em discos permanentes do Compute Engine

DISK_CSEK_DISABLED

Ativar CSEK em discos permanentes do Compute Engine

DNS_LOGGING_DISABLED

Ativar o monitoramento de registros do Cloud DNS

DNSSEC_DISABLED

Ativar a DNSSEC para o Cloud DNS

EGRESS_DENY_RULE_NOT_SET

Aplicar a regra de firewall de saída "Negar tudo"

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Definir contatos essenciais

FIREWALL_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças no firewall de rede VPC

FIREWALL_RULE_LOGGING_DISABLED

Ativar a geração de registros de regras de firewall

FLOW_LOGS_DISABLED

Ativar registros de fluxo para sub-rede VPC

FULL_API_ACCESS

Restringir o acesso à API às APIs do Google Cloud para instâncias do Compute Engine

HTTP_LOAD_BALANCER

Aplicar somente o tráfego HTTPS

INCORRECT_BQ4G_SERVICE_PERIMETER

Definir perímetros de serviço no VPC Service Controls

INSTANCE_OS_LOGIN_DISABLED

Ativar o Login do SO

INTEGRITY_MONITORING_DISABLED

Ativar o monitoramento de integridade nos clusters do GKE

INTRANODE_VISIBILITY_DISABLED

Ativar a visibilidade intranós para clusters do GKE

IP_ALIAS_DISABLED

Ativar o intervalo de alias de IP para clusters do GKE

IP_FORWARDING_ENABLED

Impedir o encaminhamento de IP em instâncias do Compute Engine

KMS_KEY_NOT_ROTATED

Definir o período de rotação das chaves do Cloud KMS

KMS_PROJECT_HAS_OWNER

Indisponível

KMS_PUBLIC_KEY

Indisponível

KMS_ROLE_SEPARATION

Aplicar a separação de tarefas

LEGACY_AUTHORIZATION_ENABLED

Bloquear a autorização legada em clusters do GKE

LEGACY_METADATA_ENABLED

Desativar endpoints legados do servidor de metadados no Compute Engine

LEGACY_NETWORK

Não usar redes legadas

LOAD_BALANCER_LOGGING_DISABLED

Ativar a geração de registros do balanceador de carga

LOCKED_RETENTION_POLICY_NOT_SET

Bloquear políticas de retenção de buckets de armazenamento

LOG_NOT_EXPORTED

Configurar coletores de registros

MASTER_AUTHORIZED_NETWORKS_DISABLED

Ativar as redes autorizadas do plano de controle nos clusters do GKE

MFA_NOT_ENFORCED

Indisponível

NETWORK_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças na rede VPC

NETWORK_POLICY_DISABLED

Ativar a política de rede em clusters do GKE

NODEPOOL_BOOT_CMEK_DISABLED

Ativar a CMEK em discos de inicialização do pool de nós do GKE

NODEPOOL_SECURE_BOOT_DISABLED

Ativar a inicialização segura para nós protegidos do GKE

NON_ORG_IAM_MEMBER

Indisponível

OBJECT_VERSIONING_DISABLED

Ativar o controle de versão de objeto em buckets

OPEN_CASSANDRA_PORT

Bloquear conexões com portas do Cassandra de todos os endereços IP

OPEN_CISCOSECURE_WEBSM_PORT

Bloquear conexões com portas CiscoSecure/WebSM de todos os endereços IP

OPEN_DIRECTORY_SERVICES_PORT

Bloquear conexões com portas de serviços de diretório de todos os endereços IP

OPEN_DNS_PORT

Bloquear conexões com portas DNS de todos os endereços IP

OPEN_ELASTICSEARCH_PORT

Bloquear conexões com portas do Elasticsearch de todos os endereços IP

OPEN_FIREWALL

Indisponível

OPEN_FTP_PORT

Conexões bloqueadas com portas FTP de todos os endereços IP

OPEN_GROUP_IAM_MEMBER

Indisponível

OPEN_HTTP_PORT

Bloquear conexões com portas HTTP de todos os endereços IP

OPEN_LDAP_PORT

Bloquear conexões com portas LDAP de todos os endereços IP

OPEN_MEMCACHED_PORT

Bloquear conexões com portas do Memcached de todos os endereços IP

OPEN_MONGODB_PORT

Bloquear conexões com portas do MongoDB de todos os endereços IP

OPEN_MYSQL_PORT

Bloquear conexões com portas do MySQL de todos os endereços IP

OPEN_NETBIOS_PORT

Bloquear conexões com portas NetBIOS de todos os endereços IP

OPEN_ORACLEDB_PORT

Bloquear conexões com portas do Oracle Database de todos os endereços IP

OPEN_POP3_PORT

Bloquear conexões com portas do servidor POP3 de todos os endereços IP

OPEN_POSTGRESQL_PORT

Bloquear conexões com portas do servidor PostgreSQL de todos os endereços IP

OPEN_RDP_PORT

Bloquear o acesso à porta RDP

OPEN_REDIS_PORT

Bloquear conexões com portas do servidor Redis de todos os endereços IP

OPEN_SMTP_PORT

Bloquear conexões com portas de servidor SMTP de todos os endereços IP

OPEN_SSH_PORT

Bloquear o acesso à porta SSH

OPEN_TELNET_PORT

Bloquear conexões com portas de servidor Telnet de todos os endereços IP

ORG_POLICY_CONFIDENTIAL_VM_POLICY

Ativar a restrição de política da organização para VM confidencial

OS_LOGIN_DISABLED

Ativar o Login do SO para todas as instâncias no nível do projeto

OVER_PRIVILEGED_ACCOUNT

Usar contas de serviço com privilégios mínimos para clusters do GKE

OVER_PRIVILEGED_SCOPES

Criar clusters do GKE com escopos de acesso de conta de serviço limitados

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Bloquear funções de administrador em contas de serviço

OWNER_NOT_MONITORED

Indisponível

POD_SECURITY_POLICY_DISABLED

Indisponível

PRIMITIVE_ROLES_USED

Restringir papéis legados do IAM

PRIVATE_CLUSTER_DISABLED

Ativar clusters particulares para o GKE

PRIVATE_GOOGLE_ACCESS_DISABLED

Ativar o Acesso privado do Google para sub-redes da VPC

PUBLIC_BUCKET_ACL

Restringir o acesso público aos buckets do Cloud Storage

PUBLIC_COMPUTE_IMAGE

Restringir o acesso público a imagens do Compute

PUBLIC_DATASET

Restringir o acesso público aos conjuntos de dados do BigQuery

PUBLIC_IP_ADDRESS

Restringir endereços IP públicos a instâncias do Compute Engine

PUBLIC_LOG_BUCKET

Restringir o acesso público aos buckets do Cloud Storage

PUBLIC_SQL_INSTANCE

Restringir o acesso público a instâncias de banco de dados do Cloud SQL

PUBSUB_CMEK_DISABLED

Criptografar o tópico do Pub/Sub com CMEK

QL_LOG_STATEMENT_STATS_ENABLED

Ativar a flag de instrução de registro para PostgreSQL

REDIS_ROLE_USED_ON_ORG

Indisponível

RELEASE_CHANNEL_DISABLED

Inscrever um cluster do GKE em um canal de lançamento

REQUIRE_OS_LOGIN_ORG_POLICY

Ativar o Login do SO

REQUIRE_VPC_CONNECTOR_ORG_POLICY

Definir a saída do conector de acesso VPC para funções do Cloud Run

RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

Ativar a restrição de política da organização "Restringir redes autorizadas em instâncias do Cloud SQL"

ROUTE_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças de rota da VPC

RSASHA1_FOR_SIGNING

Evitar RSASHA1 para assinatura de DNSSEC

S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

Indisponível

S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

Indisponível

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Exigir rotação de chaves da conta de serviço

SERVICE_ACCOUNT_ROLE_SEPARATION

Aplicar a separação de tarefas

SHIELDED_VM_DISABLED

Ativar a VM protegida para instâncias do Compute Engine

SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

Restringir a criação de redes padrão para instâncias do Compute Engine

SQL_CMEK_DISABLED

Ativar a CMEK para bancos de dados do Cloud SQL

SQL_CONTAINED_DATABASE_AUTHENTICATION

Desativar a flag de autenticação de banco de dados contido para SQL Server

SQL_CROSS_DB_OWNERSHIP_CHAINING

Desativar a flag de encadeamento de propriedade entre bancos de dados para o SQL Server

SQL_EXTERNAL_SCRIPTS_ENABLED

Desativar a flag de scripts externos para o SQL Server

SQL_INSTANCE_NOT_MONITORED

Configurar métricas e alertas de registro para mudanças na configuração do Cloud SQL

SQL_LOCAL_INFILE

Desativar a flag local_infile para MySQL

SQL_LOG_CHECKPOINTS_DISABLED

Ativar a flag de pontos de verificação de registros para PostgreSQL

SQL_LOG_CONNECTIONS_DISABLED

Ativar a flag "Log Connections" para PostgreSQL

SQL_LOG_DISCONNECTIONS_DISABLED

Ativar a flag "Log Disconnections" para PostgreSQL

SQL_LOG_DURATION_DISABLED

Ativar a flag de duração do registro para a instância do PostgreSQL

SQL_LOG_ERROR_VERBOSITY

Ativar a flag de verbosidade de erro de registro para PostgreSQL

SQL_LOG_EXECUTOR_STATS_ENABLED

Desativar a flag de estatísticas do executor de registros para PostgreSQL

SQL_LOG_HOSTNAME_ENABLED

Desativar a flag de nome do host de registro para PostgreSQL

SQL_LOG_LOCK_WAITS_DISABLED

Ativar a flag de espera de bloqueios de registros para a instância do PostgreSQL

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Desativar a flag de instrução de duração mínima de registros para PostgreSQL

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Ativar a flag "Log Min Error Statement" para PostgreSQL

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Indisponível

SQL_LOG_MIN_MESSAGE

Ativar a flag "Log Min Messages" para PostgreSQL

SQL_LOG_PARSER_STATS_ENABLED

Desativar a flag de estatísticas do analisador de registros para PostgreSQL

SQL_LOG_PLANNER_STATS_ENABLED

Desativar a flag de estatísticas do planejador de registros para PostgreSQL

SQL_LOG_STATEMENT

Ativar a flag de instrução de registro para PostgreSQL

SQL_LOG_TEMP_FILES

Ativar a flag "Log Temp Files" para a instância do PostgreSQL

SQL_NO_ROOT_PASSWORD

Indisponível

SQL_PUBLIC_IP

Bloquear endereços IP públicos para instâncias do Cloud SQL

SQL_REMOTE_ACCESS_ENABLED

Desativar a flag de acesso remoto para o SQL Server

SQL_SCANNER

Ativar a criptografia SSL em instâncias do AlloyDB

SQL_SKIP_SHOW_DATABASE_DISABLED

Ativar a flag "Skip Show Database" para MySQL

SQL_TRACE_FLAG_3625

Ativar a flag de banco de dados de rastreamento 3625 para o SQL Server

SQL_USER_CONNECTIONS_CONFIGURED

Não usar a flag de conexões de usuário para o SQL Server

SQL_USER_OPTIONS_CONFIGURED

Não use a flag de opções do usuário para o SQL Server

SQL_WEAK_ROOT_PASSWORD

Indisponível

SSL_NOT_ENFORCED

Aplicar SSL a todas as conexões de banco de dados de entrada

TOO_MANY_KMS_USERS

Limitar usuários de chaves criptográficas do KMS a três

UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

Ativar o acesso uniforme no nível do bucket nos buckets do Cloud Storage

USER_MANAGED_SERVICE_ACCOUNT_KEY

Restringir chaves de contas de serviço gerenciadas pelo usuário

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Indisponível

WEAK_SSL_POLICY

Restringir políticas de SSL inseguras para instâncias do Compute Engine

WEB_UI_ENABLED

Não usar a interface da Web do Kubernetes

WORKLOAD_IDENTITY_DISABLED

Ativar a federação de identidade da carga de trabalho do GKE em clusters

A seguir