Appliquer un framework

Les frameworks se composent de contrôles cloud qui vous aident à répondre aux exigences de sécurité ou réglementaires de votre entreprise dans vos environnements cloud. L'application d'un framework se déroule en deux étapes : vous devez d'abord déterminer les contrôles cloud dont votre entreprise a besoin pour gérer sa sécurité, sa conformité et ses risques. Vous pouvez ensuite déployer un framework qui inclut ces contrôles cloud sur les ressources appropriées dansGoogle Cloud. Cette page vous aide à effectuer les étapes suivantes :

  1. Évaluez le framework intégré qui correspond le mieux à vos exigences réglementaires et de sécurité. Vous pouvez créer votre propre framework personnalisé, mais nous vous recommandons de commencer par un framework intégré.

  2. Déterminez les commandes cloud intégrées qui correspondent à vos besoins commerciaux. Si nécessaire, vous pouvez créer des contrôles cloud personnalisés.

  3. Déterminez si vous souhaitez déployer le framework dans votre organisation Google Cloud ou dans des dossiers ou projets spécifiques. Vous ne pouvez déployer qu'un seul framework par organisation, dossier ou projet.

  4. Copiez un framework existant et modifiez-le pour qu'il corresponde à vos besoins. Si nécessaire, vous pouvez créer un framework personnalisé.

  5. Déployez le framework sur les ressources appropriées.

Avant de commencer

Vous devez disposer de l'un des rôles Identity and Access Management suivants :

  • Administrateur de la conformité et de la sécurité (roles/cloudsecuritycompliance.admin) pour configurer le Gestionnaire de conformité.

  • Lecteur de conformité et de sécurité (roles/cloudsecuritycompliance.viewer) pour afficher les tableaux de bord des résultats pour le Gestionnaire de conformité et les paramètres du Gestionnaire de conformité.

Afficher les frameworks

Suivez les étapes ci-dessous pour afficher la configuration des frameworks intégrés ou d'autres frameworks que vous avez déjà créés.

  1. Dans la console Google Cloud , accédez à la page Conformité.

    Accéder

  2. Pour afficher tous les frameworks disponibles, cliquez sur l'onglet Configurer.

  3. Pour afficher les détails d'un framework spécifique, cliquez sur Autres actions>Afficher les détails.

Afficher les contrôles cloud

Suivez les étapes ci-dessous pour afficher les contrôles cloud intégrés et les contrôles cloud personnalisés que vous avez déjà créés.

  1. Dans la console Google Cloud , accédez à la page Conformité.

    Accéder

  2. Dans l'onglet Configurer, cliquez sur Contrôles cloud. La liste des contrôles cloud disponibles s'affiche.

  3. Pour afficher les détails d'un contrôle cloud, cliquez sur son nom.

Créer un contrôle cloud personnalisé

Cette version bêta inclut les limites suivantes pour la création de contrôles cloud personnalisés :

  • Vous ne pouvez sélectionner qu'un seul type de ressource.
  • Les ressources inventaire des éléments cloud sont les seuls types de données acceptés.
  • Vous ne pouvez pas valider la syntaxe et la sémantique de votre langage CEL (Common Expression Language) dans la console Google Cloud .

  1. Dans la console Google Cloud , accédez à la page Conformité.

    Accéder

  2. Dans l'onglet Configurer, cliquez sur Contrôles cloud. La liste des contrôles cloud disponibles s'affiche.

  3. Effectuez l'une des tâches suivantes :

Utilisez Gemini

  1. Demandez à Gemini de générer un contrôle cloud pour vous. En fonction de votre requête, Gemini fournit un identifiant unique, un nom, une logique de détection associée et des mesures correctives possibles.

  2. Examinez les recommandations et apportez les modifications nécessaires.

  3. Enregistrez votre contrôle cloud personnalisé.

Créer manuellement

  1. Dans ID du contrôle cloud, indiquez un identifiant unique pour votre contrôle.

  2. Saisissez un nom et une description pour aider les utilisateurs de votre organisation à comprendre l'objectif du contrôle cloud personnalisé.

  3. Si vous le souhaitez, sélectionnez les catégories du contrôle.

  4. Cliquez sur Continuer.

  5. Sélectionnez un type de ressource disponible pour votre contrôle cloud personnalisé.

  6. Fournissez la logique de détection de votre contrôle cloud au format CEL (Common Expression Language). Vous pouvez coder la logique de détection à l'aide d'expressions CEL avec des opérateurs CEL standards pour évaluer les propriétés des ressources incluses dans le contrôle du cloud. Pour obtenir plus d'informations et d'exemples, consultez Écrire des expressions CEL.

  7. Cliquez sur Continuer.

  8. Sélectionnez le niveau de gravité approprié pour les résultats.

  9. Rédigez vos instructions de correction afin que les responsables de la gestion des incidents et les administrateurs de votre organisation puissent résoudre les problèmes liés au contrôle du cloud.

  10. Cliquez sur Continuer.

  11. Vérifiez vos saisies, puis cliquez sur Créer.

Créer un framework

  1. Dans la console Google Cloud , accédez à la page Conformité.

    Accéder

  2. Dans l'onglet Configurer, cliquez sur Créer un framework personnalisé.

  3. Indiquez si vous souhaitez commencer avec un framework existant ou créer un framework personnalisé.

  4. Effectuez l'une des actions suivantes :

    • Pour utiliser un framework existant, procédez comme suit :

      1. Sélectionnez Démarrer à partir d'un framework existant.

      2. Sélectionnez le framework que vous souhaitez copier.

      3. Cliquez sur Ajouter.

    • Pour créer un framework personnalisé, sélectionnez Commencer.

  5. Saisissez un nom et un identifiant unique pour votre framework.

  6. Cliquez sur Continuer. Si vous copiez un framework existant, la liste des contrôles cloud qui en faisaient partie s'affiche.

  7. Pour ajouter les contrôles cloud dont vous avez besoin, procédez comme suit :

    • Pour ajouter un contrôle cloud existant, cliquez sur Ajouter des contrôles cloud. Sélectionnez tous les contrôles cloud dont vous avez besoin, puis cliquez sur Ajouter.

    • Pour créer un contrôle cloud personnalisé, cliquez sur Créer un contrôle cloud personnalisé. Pour savoir comment créer un contrôle cloud personnalisé, consultez Créer un contrôle cloud personnalisé.

  8. Cliquez sur Continuer.

  9. Ajoutez les paramètres supplémentaires requis par les contrôles cloud. Par exemple, si vous souhaitez activer le contrôle cloud Résidence des données avec le contrôle cloud Paramètres de conformité Cloud Logging, vous devez spécifier les emplacements que Cloud Logging doit utiliser.

  10. Cliquez sur Créer.

Déployer un framework dans une organisation, un dossier ou un projet

Appliquez un framework à une organisation, un dossier ou un projet pour pouvoir contrôler et surveiller ces ressources à l'aide des contrôles cloud du framework. Vous ne pouvez déployer qu'un seul framework par organisation, dossier ou projet.

Les frameworks sont hérités par les dossiers et projets enfants. Par conséquent, si vous déployez des frameworks au niveau de l'organisation et au niveau d'un projet, tous les contrôles cloud des deux frameworks s'appliquent aux ressources du projet. En cas de différences dans les définitions des contrôles cloud (par exemple, si une règle de contrôle cloud est définie sur "Autoriser" au niveau de l'organisation et sur "Refuser" au niveau du projet), le contrôle cloud de niveau inférieur est utilisé par les ressources du projet.

Nous vous recommandons de déployer un framework au niveau de l'organisation qui inclut les contrôles cloud pouvant s'appliquer à l'ensemble de votre activité. Vous pouvez ensuite appliquer des frameworks plus stricts aux dossiers et aux projets qui en ont besoin.

  1. Dans la console Google Cloud , accédez à la page Conformité.

    Accéder

  2. Dans l'onglet Configurer, cliquez sur l'icône Autres actions > Appliquer aux ressources pour le framework que vous souhaitez appliquer.

  3. Choisissez l'une des options suivantes :

    • Pour surveiller uniquement la dérive, sélectionnez Surveiller.

    • Pour surveiller la dérive et prévenir activement les cas de non-respect, sélectionnez Surveiller et prévenir.

  4. Sélectionnez la ressource sur laquelle vous souhaitez déployer le framework. Vous pouvez choisir une organisation, un projet ou un dossier existants. Si vous avez choisi d'empêcher activement les cas de non-respect, vous pouvez créer un projet ou un dossier et y appliquer le framework.

  5. Effectuez l'une des actions suivantes :

    • Si vous avez sélectionné Surveiller, cliquez sur Surveiller.

    • Si vous avez sélectionné Surveiller et empêcher, procédez comme suit :

      1. Cliquez sur Suivant.
      2. Sélectionnez les contrôles cloud préventifs que vous souhaitez appliquer.
      3. Cliquez sur Continuer.
      4. Vérifiez votre sélection, puis cliquez sur Appliquer.

Une fois le framework appliqué, vous pouvez surveiller votre environnement pour détecter toute dérive par rapport aux contrôles cloud que vous avez définis. Vos tableaux de bord de conformité dans l'onglet Récapitulatif de la page Conformité indiquent dans quelle mesure votre environnement est conforme aux frameworks appliqués.

Security Command Center signale les cas de dérive sous forme de résultats que vous pouvez examiner, filtrer et résoudre. Il peut s'écouler environ six heures après l'application d'un framework avant que les résultats liés aux contrôles cloud n'apparaissent. Pour en savoir plus, consultez Examiner et gérer les résultats dans la console.

Vous pouvez exporter ces résultats de la même manière que les autres résultats de Security Command Center. Pour en savoir plus, consultez Exporter des données Security Command Center.