Cómo aplicar un framework

Los frameworks constan de controles de la nube que te ayudan a cumplir con los requisitos reglamentarios o de seguridad de tu empresa en los entornos de nube. La aplicación de un marco de trabajo es un proceso de dos pasos: primero, debes determinar los controles de la nube que tu empresa necesita para administrar su seguridad, cumplimiento y riesgo. Luego, puedes implementar un framework que incluya esos controles de la nube en los recursos correspondientes deGoogle Cloud. En esta página, se te ayudará a completar los siguientes pasos:

  1. Evalúa qué framework integrado se alinea mejor con tus requisitos reglamentarios y de seguridad. Puedes crear tu propio framework personalizado, pero te recomendamos que comiences con uno integrado.

  2. Determina qué controles integrados en la nube se asignan a los requisitos de tu empresa. Si es necesario, puedes crear controles de nube personalizados.

  3. Determina si deseas implementar el framework en tu Google Cloud organización o en carpetas o proyectos específicos. Solo puedes implementar un framework en cada organización, carpeta o proyecto.

  4. Copia un framework existente y modifícalo para que coincida con tus requisitos. Si es necesario, puedes crear un framework personalizado.

  5. Implementa el framework en los recursos adecuados.

Antes de comenzar

Debes tener uno de los siguientes roles de Identity and Access Management:

  • Administrador de cumplimiento de seguridad (roles/cloudsecuritycompliance.admin) para configurar el Administrador de cumplimiento.

  • Visualizador de cumplimiento de seguridad (roles/cloudsecuritycompliance.viewer) para ver los paneles de resultados del Administrador de cumplimiento y la configuración del Administrador de cumplimiento

Ver frameworks

Completa los siguientes pasos para ver la configuración de los frameworks integrados o de otros frameworks que ya hayas creado.

  1. En la consola de Google Cloud , ve a la página Cumplimiento.

    Ir a cumplimiento

  2. Para ver todos los frameworks disponibles, haz clic en la pestaña Configurar.

  3. Para ver los detalles de un framework específico, haz clic en Más acciones > Ver detalles.

Cómo ver los controles de la nube

Completa los siguientes pasos para ver los controles de la nube integrados y los controles de la nube personalizados que ya creaste.

  1. En la consola de Google Cloud , ve a la página Cumplimiento.

    Ir a cumplimiento

  2. En la pestaña Configurar, haz clic en Controles de la nube. Se muestra la lista de los controles de nube disponibles.

  3. Para ver los detalles de un control de la nube, haz clic en el nombre del control.

Crear un control de la nube personalizado

En esta versión preliminar, se incluyen las siguientes limitaciones para crear controles de nube personalizados:

  • Solo puedes seleccionar un tipo de recurso.
  • Los únicos tipos de datos admitidos son los recursos de Cloud Asset Inventory.
  • No puedes verificar la sintaxis y la semántica de tu Common Expression Language (CEL) en la consola de Google Cloud .

  1. En la consola de Google Cloud , ve a la página Cumplimiento.

    Ir a cumplimiento

  2. En la pestaña Configurar, haz clic en Controles de la nube. Se muestra la lista de los controles de nube disponibles.

  3. Completa una de las siguientes tareas:

Usar Gemini

  1. Pídele a Gemini que genere un control de nube para ti. Según tu instrucción, Gemini proporciona un identificador único, un nombre, lógica de detección asociada y posibles pasos de corrección.

  2. Revisa las recomendaciones y realiza los cambios necesarios.

  3. Guarda tu control de nube personalizado.

Crear manualmente

  1. En ID de control de nube, proporciona un identificador único para tu control.

  2. Ingresa un nombre y una descripción para ayudar a los usuarios de tu organización a comprender el propósito del control de nube personalizado.

  3. De manera opcional, selecciona las categorías para el control.

  4. Haz clic en Continuar.

  5. Selecciona un tipo de recurso disponible para tu control de nube personalizado.

  6. Proporciona la lógica de detección para tu control de nube en formato de Common Expression Language (CEL). Puedes codificar la lógica de detección con expresiones en CEL y operadores estándar de CEL para evaluar las propiedades de los recursos incluidos en el control de la nube. Para obtener más información y ejemplos, consulta Cómo escribir expresiones de CEL.

  7. Haz clic en Continuar.

  8. Selecciona la gravedad adecuada de los hallazgos.

  9. Escribe las instrucciones de corrección para que los administradores y los encargados de responder ante incidentes de tu organización puedan resolver los hallazgos relacionados con el control de la nube.

  10. Haz clic en Continuar.

  11. Revisa tus entradas y, luego, haz clic en Crear.

Crea un framework

  1. En la consola de Google Cloud , ve a la página Cumplimiento.

    Ir a cumplimiento

  2. En la pestaña Configurar, haz clic en Crear marco personalizado.

  3. Selecciona si deseas comenzar con un framework existente o crear uno personalizado.

  4. Realiza una de las siguientes acciones:

    • Para usar un framework existente, completa los siguientes pasos:

      1. Selecciona Comenzar con un framework existente.

      2. Selecciona el framework que deseas copiar.

      3. Haz clic en Agregar.

    • Para crear un marco personalizado, selecciona Comenzar.

  5. Ingresa un nombre y un identificador único para tu framework.

  6. Haz clic en Continuar. Si copias un framework existente, se mostrará la lista de controles en la nube que formaban parte de ese framework.

  7. Para agregar los controles de la nube que necesitas, completa los siguientes pasos:

    • Para agregar un control de la nube existente, haz clic en Agregar controles de la nube. Selecciona todos los controles de la nube que necesites y, luego, haz clic en Agregar.

    • Para crear un control de nube personalizado, haz clic en Crear un control de nube personalizado. Para obtener instrucciones sobre cómo crear un control de la nube personalizado, consulta Crea un control de la nube personalizado.

  8. Haz clic en Continuar.

  9. Agrega los parámetros adicionales que requieran los controles de nube. Por ejemplo, si deseas habilitar el control de nube Residencia de los datos con el control de nube Configuración de cumplimiento de Cloud Logging, debes especificar las ubicaciones que debe usar Cloud Logging.

  10. Haz clic en Crear.

Implementa un framework en una organización, una carpeta o un proyecto

Aplica un marco a una organización, una carpeta o un proyecto para que puedas controlar y supervisar esos recursos con los controles de nube del marco. Solo puedes implementar un framework en cada organización, carpeta o proyecto.

Los frameworks se heredan en las carpetas y los proyectos secundarios. Por lo tanto, si implementas marcos de trabajo a nivel de la organización y a nivel del proyecto, todos los controles de la nube dentro de ambos marcos de trabajo se aplican a los recursos del proyecto. Si hay diferencias en las definiciones de los controles de Cloud (por ejemplo, si una regla de control de Cloud está configurada como Permitir a nivel de la organización y como Denegar a nivel del proyecto), los recursos del proyecto usarán el control de Cloud de nivel inferior.

Como práctica recomendada, te sugerimos que implementes un marco de trabajo a nivel de la organización que incluya los controles de la nube que se pueden aplicar a toda tu empresa. Luego, puedes aplicar marcos más estrictos a las carpetas y los proyectos que los requieran.

  1. En la consola de Google Cloud , ve a la página Cumplimiento.

    Ir a cumplimiento

  2. En la pestaña Configurar, para el framework que deseas aplicar, haz clic en Más acciones > Aplicar a los recursos.

  3. Elige una de las siguientes opciones:

    • Para supervisar solo el desvío, elige Supervisar.

    • Para supervisar el desvío y evitar activamente los incumplimientos, elige Supervisar y prevenir.

  4. Selecciona el recurso en el que deseas implementar el framework. Puedes elegir una organización, un proyecto o una carpeta existentes. Si decidiste evitar activamente los incumplimientos, puedes crear un proyecto o una carpeta nuevos y aplicar el marco de trabajo a ellos.

  5. Realiza una de las siguientes acciones:

    • Si seleccionaste Monitor, haz clic en Monitor.

    • Si seleccionaste Supervisar y evitar, completa los siguientes pasos:

      1. Haz clic en Siguiente.
      2. Selecciona los controles preventivos de la nube que deseas aplicar.
      3. Haz clic en Continuar.
      4. Revisa tus selecciones y, luego, haz clic en Aplicar.

Después de aplicar el marco de trabajo, puedes supervisar tu entorno para detectar cualquier desviación de los controles de nube definidos. Tus paneles de cumplimiento en la pestaña Resumen de la página Cumplimiento muestran qué tan bien se alinea tu entorno con los marcos aplicados.

Security Command Center informa las instancias de desviación como hallazgos que puedes revisar, filtrar y resolver. Pueden transcurrir aproximadamente seis horas después de que apliques un marco para que aparezcan los hallazgos relacionados con los controles de la nube. Para obtener más información, consulta Revisa y administra los hallazgos en la consola.

Puedes exportar estos hallazgos de la misma manera que exportas cualquier otro hallazgo de Security Command Center. Para obtener más información, consulta Exporta datos de Security Command Center.