套用架構

架構包含雲端控管機制,可協助您在雲端環境中,滿足業務的安全防護或法規遵循規定。套用架構的程序分為兩個步驟:首先,您必須判斷貴商家需要哪些雲端控管機制,才能管理安全性、法規遵循和風險。接著,您可以在Google Cloud中,將包含這些雲端控制項的架構部署至適當的資源。本頁面將協助您完成下列步驟:

  1. 評估哪種內建架構最符合您的法規和安全需求。您可以建立自己的自訂架構,但建議先從內建架構著手。

  2. 判斷哪些內建雲端控制項符合您的業務需求。您可以視需要建立自訂雲端控管機制。

  3. 決定要將架構部署至 Google Cloud 機構,還是特定資料夾或專案。每個機構、資料夾或專案只能部署一個架構。

  4. 複製現有架構,並根據需求進行修改。如有需要,您可以建立自訂架構。

  5. 在適當資源上部署架構。

事前準備

您必須具備下列其中一個 Identity and Access Management 角色:

  • 安全性法規遵循管理員 (roles/cloudsecuritycompliance.admin) 可設定 Compliance Manager。

  • 安全性法規遵循檢視者 (roles/cloudsecuritycompliance.viewer):可查看 Compliance Manager 的調查結果資訊主頁和 Compliance Manager 設定。

查看架構

如要查看內建架構或您已建立的其他架構的設定,請完成下列步驟。

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」資訊主頁

  2. 如要查看所有可用架構,請按一下「設定」分頁。

  3. 如要查看特定架構的詳細資料,請依序點選 「更多動作」>「查看詳細資料」

查看雲端控管機制

請完成下列步驟,查看內建雲端控管機制,以及您已建立的任何自訂雲端控管機制。

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」資訊主頁

  2. 在「設定」分頁中,按一下「雲端控制項」。畫面上會顯示可用的雲端控制選項清單。

  3. 如要查看雲端控管機制的詳細資料,請按一下控管機制名稱。

建立自訂雲端控管機制

建立自訂雲端控制項時,這個搶先版有以下限制:

  • 你只能選取一個資源類型
  • 系統僅支援 Cloud Asset Inventory 資源資料類型。
  • 您無法在 Google Cloud 控制台中驗證一般運算語言 (CEL) 語法和語意。

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」資訊主頁

  2. 在「設定」分頁中,按一下「雲端控制項」。畫面上會顯示可用的雲端控制選項清單。

  3. 完成下列其中一項工作:

使用 Gemini

  1. 請 Gemini 為您生成雲端控管機制。Gemini 會根據提示提供專屬 ID、名稱、相關聯的偵測邏輯,以及可能的修復步驟。

  2. 查看建議並進行所有必要的變更。

  3. 儲存自訂 CloudControl。

手動建立

  1. 在「Cloud control ID」中,提供控管機制的專屬 ID。

  2. 輸入名稱和說明,協助機構中的使用者瞭解自訂雲端控管機制的用途。

  3. 視需要選取控制項的類別。

  4. 按一下「繼續」

  5. 為自訂 CloudControl 選取可用的資源類型。

  6. 以一般運算式語言 (CEL) 格式,提供 Cloud Control 的偵測邏輯。您可以使用 CEL 運算式和標準 CEL 運算子,編寫偵測邏輯來評估雲端控制項中資源的屬性。如需更多資訊和範例,請參閱「撰寫 CEL 運算式」。

  7. 按一下「繼續」

  8. 選取適當的發現項目嚴重性。

  9. 撰寫補救說明,讓貴機構的事件回應人員和管理員可以解決雲端控制項的任何發現。

  10. 按一下「繼續」

  11. 檢查輸入內容,然後按一下「建立」

建立架構

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」資訊主頁

  2. 在「設定」分頁中,按一下「建立自訂架構」

  3. 選取要從現有架構開始,還是建立自訂架構。

  4. 完成下列任一操作:

    • 如要使用現有架構,請完成下列步驟:

      1. 選取「依據現有架構開始建立」

      2. 選取要複製的架構。

      3. 按一下「新增」

    • 如要建立自訂架構,請選取「開始建立新架構」

  5. 輸入架構的名稱和專屬 ID。

  6. 按一下「繼續」。如果您要複製現有架構,系統會顯示現有架構中的雲端控管機制清單。

  7. 如要新增所需雲端控管機制,請完成下列步驟:

    • 如要新增現有的雲端控管措施,請按一下「新增雲端控管措施」。選取所有需要的雲端控管機制,然後按一下「新增」

    • 如要建立自訂雲端控管機制,請按一下「建立自訂雲端控管機制」。 如需建立自訂雲端控管機制的說明,請參閱「建立自訂雲端控管機制」。

  8. 按一下「繼續」

  9. 新增雲端控管機制要求的任何額外參數。舉例來說,如要透過「Cloud Logging Compliance Settings」(Cloud Logging 法規遵循設定) 雲端控管啟用「Data Residency」(資料落地) 雲端控管,您必須指定 Cloud Logging 必須使用的位置。

  10. 點選「建立」

將架構部署至機構、資料夾或專案

將架構套用至機構、資料夾或專案,即可使用架構的雲端控制項控管及監控這些資源。每個機構、資料夾或專案只能部署一個架構。

子項資料夾和專案會沿用架構。因此,如果您在機構層級和專案層級部署架構,這兩個架構中的所有雲端控制項都會套用至專案中的資源。如果雲端控制項定義有任何差異 (例如,雲端控制項規則在機構層級設為「允許」,在專案層級設為「拒絕」),專案中的資源會使用較低層級的雲端控制項。

我們建議您在機構層級部署架構,其中包含可套用至整個業務的雲端控制項,以達到最佳效果。然後,您可以對需要更嚴格架構的資料夾和專案套用這些架構。

  1. 前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。

    前往「法規遵循」資訊主頁

  2. 在「設定」分頁中,針對要套用的架構,依序點選 「更多動作」>「套用至資源」

  3. 您可以選擇下列其中一個選項:

    • 如要只監控偏移情形,請選擇「監控」

    • 如要監控變異情形並主動防範違規行為,請選擇「監控及防範」

  4. 選取要部署架構的資源。您可以選擇現有的機構、專案或資料夾。如果您選擇主動防範違規行為,可以建立新的專案或資料夾,並套用架構。

  5. 完成下列任一操作:

    • 如果您選取「監控」,請按一下「監控」

    • 如果您選取「監控及防範」,請完成下列步驟:

      1. 點選「下一步」
      2. 選取要強制執行的預防性雲端控管機制。
      3. 按一下「繼續」
      4. 檢查所選項目,然後按一下「強制執行」

套用架構後,您可以監控環境,瞭解是否與定義的雲端控制項有任何差異。「法規遵循」頁面「摘要」分頁的法規遵循資訊主頁,會顯示您的環境與套用架構的相符程度。

Security Command Center 會將漂移情況回報為發現項目,供您查看、篩選及解決。套用架構後,與雲端控制項相關的發現事項約需六小時才會顯示。詳情請參閱「在控制台中查看及管理發現項目」。

您可以匯出這些發現項目,方式與匯出 Security Command Center 的其他發現項目相同。詳情請參閱「匯出 Security Command Center 資料」。