应用框架

框架由云控制措施组成,可帮助您在云环境中满足企业的安全或法规要求。应用框架是一个两步流程:您必须先确定企业需要哪些云控制措施来管理安全性、合规性和风险。然后,您可以将包含这些云控制措施的框架部署到Google Cloud中的相应资源。本页可帮助您完成以下步骤:

  1. 评估哪个内置框架最符合您的法规和安全要求。您可以创建自己的自定义框架,但我们建议您从内置框架着手。

  2. 确定哪些内置云控制措施与您的业务要求相对应。您可以根据需要创建自定义云控制措施。

  3. 确定是将框架部署到您的 Google Cloud 组织,还是部署到特定文件夹或项目。您只能向每个组织、文件夹或项目部署一个框架。

  4. 复制现有框架并进行修改,使其满足您的要求。如果需要,您可以创建自定义框架。

  5. 将框架部署到相应资源上。

准备工作

您必须拥有以下 Identity and Access Management 角色之一:

  • Security Compliance Admin (roles/cloudsecuritycompliance.admin),用于配置合规性管理器。

  • Security Compliance Viewer (roles/cloudsecuritycompliance.viewer),用于查看合规性管理器和合规性管理器设置的发现结果信息中心。

查看框架

完成以下步骤,以查看内置框架或您已创建的其他框架的配置。

  1. 在 Google Cloud 控制台中,前往合规性页面。

    转至“合规性”

  2. 如需查看所有可用的框架,请点击配置标签页。

  3. 如需查看特定框架的详细信息,请点击 更多操作 > 查看详细信息

查看云控制措施

完成以下步骤,以查看内置云控制措施和您已创建的任何自定义云控制措施。

  1. 在 Google Cloud 控制台中,前往合规性页面。

    转至“合规性”

  2. 配置标签页中,点击云控制措施。系统会显示可用的云控制措施列表。

  3. 如需查看云控制措施的详细信息,请点击相应控制措施名称。

创建自定义云控制措施

此预览版在创建自定义云控制措施方面存在以下限制:

  • 您只能选择一种资源类型
  • 唯一支持的数据类型是 Cloud Asset Inventory 资源。
  • 您无法在 Google Cloud 控制台中验证通用表达式语言 (CEL) 语法和语义。

  1. 在 Google Cloud 控制台中,前往合规性页面。

    转至“合规性”

  2. 配置标签页中,点击云控制措施。系统会显示可用的云控制措施列表。

  3. 完成以下某项任务:

使用 Gemini

  1. 让 Gemini 为您生成云控制措施。根据您的提示,Gemini 会提供唯一标识符、名称、关联的检测逻辑和可能的修复步骤。

  2. 查看建议并进行任何必要的更改。

  3. 保存自定义云控制措施。

手动创建

  1. 云控制措施 ID 中,为您的控制措施提供唯一标识符。

  2. 输入名称和说明,以帮助贵组织的用户了解自定义云控制措施的用途。

  3. (可选)为云控制措施选择类别。

  4. 点击继续

  5. 为您的自定义云控制措施选择一种可用的资源类型。

  6. 以通用表达式语言 (CEL) 格式为您的云控制措施提供检测逻辑。您可以结合使用 CEL 表达式和标准 CEL 运算符来编写检测逻辑的代码,以评估云控制措施中包含的资源的属性。如需了解详情和查看示例,请参阅编写 CEL 表达式

  7. 点击继续

  8. 选择适当的发现结果严重程度。

  9. 编写修复说明,以便贵组织中的突发事件响应人员和管理员能够解决该云控制措施的所有相关发现结果。

  10. 点击继续

  11. 查看您输入的内容,然后点击创建

创建框架

  1. 在 Google Cloud 控制台中,前往合规性页面。

    转至“合规性”

  2. 配置标签页中,点击创建自定义框架

  3. 选择是从现有框架开始,还是创建自定义框架。

  4. 完成下列操作之一:

    • 如需使用现有框架,请完成以下操作:

      1. 选择从现有框架开始

      2. 选择要复制的框架。

      3. 点击添加

    • 如需创建自定义框架,请选择开始新建

  5. 为您的框架输入名称和唯一标识符。

  6. 点击继续。如果您要复制现有框架,系统会显示现有框架中包含的云控制措施列表。

  7. 如需添加所需的云控制措施,请完成以下操作:

    • 如需添加现有云控制措施,请点击添加云控制措施。选择您需要的所有云控制措施,然后点击添加

    • 如需创建自定义云控制措施,请点击创建自定义云控制措施。如需了解如何创建自定义云控制措施,请参阅创建自定义云控制措施

  8. 点击继续

  9. 添加云控制措施所需的任何其他参数。例如,如果您想使用 Cloud Logging 合规设置云控制措施启用数据驻留云控制措施,则必须指定 Cloud Logging 必须使用的位置。

  10. 点击创建

将框架部署到组织、文件夹或项目

将框架应用于组织、文件夹或项目,以便您可以使用框架的云控制措施来控制和监控这些资源。您只能向每个组织、文件夹或项目部署一个框架。

框架由子文件夹和项目继承。因此,如果您在组织级和项目级部署框架,则这两个框架中的所有云控制措施都将应用于项目中的资源。如果云控制措施定义存在任何差异(例如,云控制措施规则在组织级层设置为“允许”,而在项目级层设置为“拒绝”),项目中的资源将使用较低级别的云控制措施。

作为最佳实践,我们建议您在组织级别部署一个框架,其中包含可应用于整个企业的云控制措施。然后,您可以将更严格的框架应用于需要它们的文件夹和项目。

  1. 在 Google Cloud 控制台中,前往合规性页面。

    转至“合规性”

  2. 配置标签页中,对于要应用的框架,依次点击 更多操作 > 应用于资源

  3. 选择以下一个选项:

    • 如需仅监控偏移,请选择监控

    • 如需监控偏移并主动防止违规行为,请选择监控和预防

  4. 选择要将框架部署到的资源。您可以选择现有的组织、项目或文件夹。如果您选择主动预防违规行为,则可以创建一个新项目或文件夹,并将框架应用于该项目或文件夹。

  5. 完成下列操作之一:

    • 如果您选择了监控,请点击监控

    • 如果您选择了监控和防范,请完成以下操作:

      1. 点击下一步
      2. 选择要强制执行的预防性云控制措施。
      3. 点击继续
      4. 查看您的选择,然后点击强制执行

应用框架后,您可以监控环境是否偏离了您定义的云控制措施。合规性页面上的摘要标签页上的合规性信息中心会显示您的环境与所应用框架的契合度。

Security Command Center 会将偏移情况报告为发现结果,您可以查看、过滤和解决这些发现结果。在您应用框架后,与云控制措施相关的发现结果大约需要 6 小时才会显示。如需了解详情,请参阅在控制台中查看和管理检查发现结果

您可以按照导出 Security Command Center 中的任何其他发现结果的方式导出这些发现结果。如需了解详情,请参阅导出 Security Command Center 数据