Framework terdiri dari kontrol cloud yang membantu Anda memenuhi persyaratan keamanan atau peraturan bisnis di lingkungan cloud Anda. Penerapan framework adalah proses dua langkah: Anda harus menentukan terlebih dahulu kontrol cloud yang diperlukan bisnis Anda untuk mengelola keamanan, kepatuhan, dan risikonya. Kemudian, Anda dapat men-deploy framework yang menyertakan kontrol cloud tersebut ke resource yang sesuai diGoogle Cloud. Halaman ini membantu Anda menyelesaikan langkah-langkah berikut:
Menilai framework bawaan mana yang paling sesuai dengan persyaratan peraturan dan keamanan Anda. Anda dapat membuat framework kustom sendiri, tetapi sebaiknya mulai dengan framework bawaan.
Tentukan kontrol cloud bawaan mana yang sesuai dengan persyaratan bisnis Anda. Anda dapat membuat kontrol cloud kustom, jika diperlukan.
Tentukan apakah akan men-deploy framework ke Google Cloud organisasi Anda, atau ke folder atau project tertentu. Anda hanya dapat men-deploy satu framework ke setiap organisasi, folder, atau project.
Menyalin framework yang ada dan mengubahnya agar sesuai dengan persyaratan Anda. Jika diperlukan, Anda dapat membuat framework kustom.
Deploy framework pada resource yang sesuai.
Sebelum memulai
Anda harus memiliki salah satu peran Identity and Access Management berikut:
Admin Kepatuhan Keamanan (
roles/cloudsecuritycompliance.admin) untuk mengonfigurasi Compliance Manager.Pelihat Kepatuhan Keamanan (
roles/cloudsecuritycompliance.viewer) untuk melihat dasbor temuan untuk Compliance Manager dan setelan Compliance Manager.
Melihat framework
Selesaikan langkah-langkah berikut untuk melihat konfigurasi framework bawaan atau framework lain yang telah Anda buat.
Di Google Cloud console, buka halaman Compliance.
Untuk melihat semua framework yang tersedia, klik tab Konfigurasi.
Untuk melihat detail tentang framework tertentu, klik Tindakan Lainnya > Lihat detail.
Melihat kontrol cloud
Selesaikan langkah-langkah berikut untuk melihat kontrol cloud bawaan dan kontrol cloud kustom yang telah Anda buat.
Di Google Cloud console, buka halaman Compliance.
Di tab Configure, klik Cloud Controls. Daftar kontrol cloud yang tersedia akan ditampilkan.
Untuk melihat detail kontrol cloud, klik nama kontrol.
Membuat kontrol cloud kustom
Pratinjau ini mencakup batasan berikut untuk membuat kontrol cloud kustom:
- Anda hanya dapat memilih satu jenis resource.
- Satu-satunya jenis data yang didukung adalah resource Cloud Asset Inventory.
- Anda tidak dapat memverifikasi sintaksis dan semantik bahasa ekspresi umum (CEL) di konsol Google Cloud .
Di Google Cloud console, buka halaman Compliance.
Di tab Configure, klik Cloud Controls. Daftar kontrol cloud yang tersedia akan ditampilkan.
Selesaikan salah satu tugas berikut:
Gunakan Gemini
Minta Gemini membuat kontrol cloud untuk Anda. Berdasarkan perintah Anda, Gemini akan memberikan ID unik, nama, logika deteksi terkait, dan kemungkinan langkah-langkah perbaikan.
Tinjau rekomendasi dan lakukan perubahan yang diperlukan.
Simpan kontrol cloud kustom Anda.
Buat secara manual
Di ID kontrol cloud, berikan ID unik untuk kontrol Anda.
Masukkan nama dan deskripsi untuk membantu pengguna di organisasi Anda memahami tujuan kontrol cloud kustom.
Secara opsional, pilih kategori untuk kontrol.
Klik Lanjutkan.
Pilih jenis resource yang tersedia untuk kontrol cloud kustom Anda.
Berikan logika deteksi untuk kontrol cloud Anda, dalam format Common Expression Language (CEL). Anda dapat mengodekan logika deteksi menggunakan ekspresi CEL dengan operator CEL standar untuk mengevaluasi properti resource yang disertakan dalam kontrol cloud. Untuk mengetahui informasi dan contoh selengkapnya, lihat Menulis ekspresi CEL.
Klik Lanjutkan.
Pilih tingkat keparahan temuan yang sesuai.
Tulis petunjuk perbaikan Anda sehingga petugas respons insiden dan administrator di organisasi Anda dapat menyelesaikan temuan apa pun untuk kontrol cloud.
Klik Lanjutkan.
Tinjau entri Anda, lalu klik Buat.
Membuat framework
Di Google Cloud console, buka halaman Compliance.
Di tab Konfigurasi, klik Buat framework kustom.
Pilih apakah Anda ingin memulai dengan framework yang ada atau membuat framework kustom.
Selesaikan salah satu langkah berikut:
Untuk menggunakan framework yang ada, selesaikan langkah-langkah berikut:
Pilih Mulai dari framework yang ada.
Pilih framework yang ingin Anda salin.
Klik Tambahkan.
Untuk membuat framework kustom, pilih Mulai baru.
Masukkan nama dan ID unik untuk framework Anda.
Klik Lanjutkan. Jika Anda menyalin framework yang ada, daftar kontrol cloud yang merupakan bagian dari framework yang ada akan ditampilkan.
Untuk menambahkan kontrol cloud yang Anda perlukan, selesaikan langkah-langkah berikut:
Untuk menambahkan kontrol cloud yang ada, klik Tambahkan Kontrol Cloud. Pilih semua kontrol cloud yang Anda perlukan, lalu klik Tambahkan.
Untuk membuat kontrol cloud kustom, klik Buat kontrol cloud kustom. Untuk mengetahui petunjuk tentang cara membuat kontrol cloud kustom, lihat Membuat kontrol cloud kustom.
Klik Lanjutkan.
Tambahkan parameter tambahan yang diperlukan kontrol cloud. Misalnya, jika Anda ingin mengaktifkan kontrol cloud Residensi Data dengan kontrol cloud Setelan Kepatuhan Cloud Logging, Anda harus menentukan lokasi yang harus digunakan Cloud Logging.
Klik Buat.
Men-deploy framework ke organisasi, folder, atau project
Terapkan framework ke organisasi, folder, atau project sehingga Anda dapat mengontrol dan memantau resource tersebut menggunakan kontrol cloud framework. Anda hanya dapat men-deploy satu framework ke setiap organisasi, folder, atau project.
Framework diwarisi oleh folder dan project turunan. Oleh karena itu, jika Anda men-deploy framework di tingkat organisasi dan tingkat project, semua kontrol cloud dalam kedua framework tersebut berlaku untuk resource dalam project. Jika ada perbedaan dalam definisi kontrol cloud (misalnya, aturan kontrol cloud ditetapkan ke Izinkan di tingkat organisasi dan ke Tolak di tingkat project), kontrol cloud tingkat yang lebih rendah akan digunakan oleh resource dalam project.
Sebagai praktik terbaik, sebaiknya Anda men-deploy framework di tingkat organisasi yang mencakup kontrol cloud yang dapat diterapkan ke seluruh bisnis Anda. Kemudian, Anda dapat menerapkan framework yang lebih ketat ke folder dan project yang memerlukannya.
Di Google Cloud console, buka halaman Compliance.
Di tab Konfigurasi, untuk framework yang ingin Anda terapkan, klik Tindakan Lainnya > Terapkan ke resource.
Pilih salah satu opsi berikut:
Untuk memantau penyimpangan saja, pilih Pantau.
Untuk memantau penyimpangan dan secara aktif mencegah pelanggaran, pilih Pantau dan cegah.
Pilih resource yang ingin Anda gunakan untuk men-deploy framework. Anda dapat memilih organisasi, project, atau folder yang sudah ada. Jika memilih untuk mencegah pelanggaran secara aktif, Anda dapat membuat project atau folder baru dan menerapkan framework tersebut.
Selesaikan salah satu langkah berikut:
- Jika Anda memilih Monitor, klik Monitor.
Jika Anda memilih Pantau dan cegah, selesaikan langkah-langkah berikut:
- Klik Berikutnya.
- Pilih kontrol cloud preventif yang ingin Anda terapkan.
- Klik Lanjutkan.
- Tinjau pilihan Anda, lalu klik Terapkan.
Setelah menerapkan framework, Anda dapat memantau lingkungan untuk mendeteksi penyimpangan dari kontrol cloud yang telah ditentukan. Dasbor kepatuhan Anda di tab Ringkasan di halaman Kepatuhan menunjukkan seberapa baik lingkungan Anda selaras dengan framework yang diterapkan.
Security Command Center melaporkan instance penyimpangan sebagai temuan yang dapat Anda tinjau, filter, dan selesaikan. Diperlukan waktu sekitar enam jam setelah Anda menerapkan framework agar temuan terkait kontrol cloud muncul. Untuk mengetahui informasi selengkapnya, lihat Meninjau dan mengelola temuan di konsol.
Anda dapat mengekspor temuan ini dengan cara yang sama seperti saat mengekspor temuan lainnya dari Security Command Center. Untuk mengetahui informasi selengkapnya, lihat Mengekspor data Security Command Center.