Você pode usar o Compliance Manager no Google Cloud para garantir que sua infraestrutura, cargas de trabalho e dadosGoogle Cloud atendam aos requisitos de segurança e regulamentares da sua organização. Com o Compliance Manager:
- Defina e implante uma configuração compatível e segura para seu ambienteGoogle Cloud .
- Consulte painéis que mostram o alinhamento do seu ambiente com os requisitos de conformidade e segurança, além de relatórios de avaliação.
- Audite seus ambientes de nuvem, incluindo a coleta de evidências e a geração de relatórios.
O Compliance Manager usa controles definidos por software que permitem avaliar o suporte a vários programas de compliance e requisitos de segurança em uma organizaçãoGoogle Cloud .
Componentes do Compliance Manager
A tabela a seguir descreve os componentes do Compliance Manager.
| Regra | Um item técnico em um controle de nuvem que permite atender a um requisito de compliance, segurança ou privacidade. As regras podem ser políticas da organização, políticas do IAM, configurações da nuvem e lógica de detecção baseada na Common Expression Language (CEL). |
|---|---|
| Controle de nuvem | Um conjunto de regras e metadados associados que você pode usar para definir a intenção de segurança ou compliance da sua organização. O Compliance Manager inclui uma biblioteca de controles de nuvem integrados e permite que você crie os seus. Os metadados em um controle de nuvem incluem instruções de correção e gravidade da descoberta. Os controles do Google Cloud têm os seguintes modos:
|
| Controle regulatório | Um requisito de conformidade regulatória ou de segurança definido pelo setor. O mapeamento de relacionamento entre controles de nuvem e controles regulatórios define como um ou mais controles de nuvem atendem a um requisito de controle regulatório. Considere o seguinte:
|
| Framework | Um conjunto de controles regulamentares e de nuvem que representam práticas recomendadas de segurança ou padrões definidos pelo setor, como FedRAMP ou NIST. Um framework pode incluir um mapeamento entre controles de nuvem e regulatórios. O Compliance Manager inclui uma biblioteca de frameworks integrados. Você pode personalizá-los ou criar os seus. |
| Implantação do framework | A vinculação entre uma estrutura específica e uma organização, pasta ou projeto ao implantar o framework. |
O diagrama a seguir mostra os componentes do Compliance Manager.
Frameworks integrados
O Compliance Manager oferece suporte a frameworks integrados para Google Cloud. É possível implantar esses frameworks como estão ou personalizá-los para atender às suas necessidades específicas.
Frameworks para Google Cloud
Os seguintes frameworks estão disponíveis:
- Proteção para IA
- Controles 8.0 do Center for Information Security (CIS)
- CIS Google Cloud Computing Platform 3.0
- Comparativo de mercado CIS do Kubernetes v1.1.7
- Cloud Controls Matrix (CCM) 4
- Fundamentos da segurança de dados e privacidade
- Organização Internacional de Normalização (ISO) 27001, 2022
- Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5
- Modelo de segurança cibernética (CSF) do NIST 1.1
- Security Essentials
Usar o Compliance Manager com serviços e recursos do Security Command Center
É possível ativar outros serviços e recursos do Security Command Center e usá-los na mesma organização em que você ativa o Compliance Manager. Considere o seguinte:
A maioria dos detectores da Análise de Integridade da Segurança também estão disponíveis como controles de nuvem no Compliance Manager. Para mais informações, consulte Mapeamento de detectores da Análise de integridade da segurança para controles de nuvem.
A maioria dos detectores da Análise de integridade da segurança é ativada por padrão. Quando você ativa o Compliance Manager, algumas estruturas integradas são aplicadas automaticamente à suaGoogle Cloud organização. É possível implantar outros frameworks com mais controles de nuvem, conforme necessário.
É possível desativar os detectores da Análise de integridade da segurança. Para desativar um controle de nuvem, remova-o dos frameworks personalizados que o incluem ou desvincule o framework integrado implantado.
A Análise de integridade da segurança e o Compliance Manager geram descobertas. No entanto, a Análise de integridade da segurança usa a API
securitycenter.googleapis.compara gerar descobertas, e o Compliance Manager usa a APIcloudsecuritycompliance.googleapis.com. Se você ativar a Análise de integridade da segurança e o Compliance Manager no mesmo recurso, poderá gerar descobertas duplicadas. As descobertas duplicadas ocorrem quando um detector da Análise de integridade da segurança e um controle na nuvem do Compliance Manager verificam a mesma configuração (por exemplo, ambos verificam se a CMEK está ativada para um serviço específico). No painel de descobertas, as duplicadas aparecem com IDs de provedor diferentes. Para evitar descobertas duplicadas:Se os frameworks implantados incluírem controles de nuvem que mapeiam todos os detectores da Análise de integridade da segurança aplicáveis ao seu ambiente, desative a Análise de integridade da segurança para o projeto ou a pasta.
Se os frameworks não incluírem os detectores necessários da Análise de integridade da segurança, silencie as descobertas duplicadas do detector da Análise de integridade da segurança.
Se você implantou uma postura de segurança usando o serviço de postura de segurança, poderá receber descobertas duplicadas ao ativar o Compliance Manager. Considere implantar um framework que corresponda à sua postura de segurança e exclua a implantação da postura.
O Compliance Manager usa o endpoint global, não o endpoint que você pode especificar ao ativar a residência de dados para o Security Command Center. No entanto, é possível especificar o local em que você quer auditar seu ambiente. Para mais informações, consulte Auditar seu ambiente com o Compliance Manager.