Esta página se ha traducido con Cloud Translation API.

Aplicar un framework

Los marcos de Compliance Manager constan de controles en la nube que te ayudan a cumplir los requisitos de seguridad o normativos de tu organización en tus entornos de nube. Aplicar un marco de trabajo es un proceso que consta de dos pasos. En primer lugar, debe determinar los controles en la nube que necesita su empresa para gestionar su seguridad, cumplimiento y riesgos. A continuación, despliega un framework que incluya esos controles en la nube en los recursos correspondientes deGoogle Cloud. En esta página se explica cómo completar los siguientes pasos:

Evalúa qué marco de trabajo integrado se ajusta mejor a tus requisitos de seguridad y normativas. Puedes crear tu propio framework personalizado, pero te recomendamos que empieces con uno integrado.
Determina qué controles en la nube integrados se ajustan a los requisitos de tu empresa. Si es necesario, puedes crear controles en la nube personalizados.
Determina si quieres implementar el framework en tu Google Cloud organización o en carpetas y proyectos específicos. Solo puedes implementar un framework en cada organización, carpeta o proyecto. Compliance Manager admite carpetas habilitadas para aplicaciones.
Copia un marco de trabajo que ya tengas y modifícalo para que se ajuste a tus requisitos. Si es necesario, puedes crear un framework personalizado.
Implementa el framework en la organización, carpeta o proyecto adecuados.

Antes de empezar

Para obtener los permisos que necesitas para aplicar frameworks, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:
- Administrador de Compliance Manager (roles/cloudsecuritycompliance.admin)
- Para ver los paneles de control de resultados, sigue estos pasos: Lector de Gestor de cumplimiento (roles/cloudsecuritycompliance.viewer)
- Para implementar frameworks que incluyan controles en la nube basados en políticas de la organización, puedes hacer lo siguiente:
  - Administrador de políticas de organización (roles/orgpolicy.policyAdmin)
  - Administrador de Assured Workloads (roles/assuredworkloads.admin)
  - Editor de Assured Workloads (roles/assuredworkloads.editor)
- Para crear una carpeta al implementar un framework, haz una de las siguientes acciones:
  - Administrador de carpetas (roles/resourcemanager.folderAdmin)
  - Creador de carpetas (roles/resourcemanager.folderCreator)
- Para crear un proyecto al implementar un framework, debes cumplir todos los requisitos siguientes:
  - Gestor de facturación de proyectos (roles/billing.projectManager)
  - Creador del proyecto (roles/resourcemanager.projectCreator)
  - Eliminador de proyectos (roles/resourcemanager.projectDeleter)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Los roles para implementar frameworks con políticas de organización contienen los permisos orgpolicy.policies.create, orgpolicy.policies.update y orgpolicy.policies.get necesarios.

Los roles para crear frameworks contienen los permisos resourcemanager.folders.get, resourcemanager.folders.create y resourcemanager.folders.delete necesarios.

Los roles para crear proyectos contienen los permisos resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete y resourcemanager.projects.createBillingAssignment necesarios.
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Ver frameworks

Sigue estos pasos para ver la configuración de los frameworks integrados u otros frameworks que ya hayas creado.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
Para ver todos los frameworks disponibles, haz clic en la pestaña Configurar.

El panel de control muestra los frameworks disponibles, una breve descripción, las plataformas compatibles y los recursos a los que se ha aplicado el framework.
Para ver los detalles de un framework específico, haz clic en su nombre.

Ver controles de la nube

Sigue estos pasos para ver los controles en la nube integrados y los controles en la nube personalizados que ya hayas creado.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
En la pestaña Configurar, haz clic en Controles en la nube. Se muestran los controles en la nube disponibles.

El panel de control incluye información sobre los frameworks que incluyen el control en la nube y el número de recursos (organizaciones, carpetas y proyectos) a los que se aplica el control en la nube.
Para ver los detalles de un control de la nube, haz clic en su nombre.

Crear un control de nube personalizado

Un control de nube personalizado se aplica a un solo tipo de recurso. Los únicos tipos de datos admitidos son los recursos de Inventario de Recursos de Cloud.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
En la pestaña Configurar, haz clic en Controles en la nube. Se muestra la lista de controles en la nube disponibles.
Crea un control de nube con Gemini o de forma manual:

Usar Gemini

Pídele a Gemini que genere un control de nube. En función de tu petición, Gemini proporciona un identificador único, un nombre, una lógica de detección asociada y posibles pasos para solucionar el problema.
Revisa las recomendaciones y haz los cambios necesarios.
Guarda tu control de la nube personalizado.

Crear manualmente

En ID de control en la nube, proporciona un identificador único para tu control.
Escribe un nombre y una descripción para que los usuarios de tu organización entiendan la finalidad del control de nube personalizado.
Opcional: Selecciona las categorías del control. Haz clic en Continuar.
Selecciona un tipo de recurso disponible para tu control de nube personalizado.
Proporciona la lógica de detección de tu control de nube en formato de lenguaje de expresión común (CEL).

Las expresiones CEL te permiten definir cómo quieres evaluar las propiedades de un recurso. Para obtener más información y ejemplos, consulta el artículo Escribir reglas para controles de nube personalizados. Haz clic en Continuar.
Selecciona una gravedad adecuada para las detecciones.
Escribe las instrucciones de corrección de forma que los responsables de responder ante incidentes y los administradores de tu organización puedan resolver cualquier resultado del control de la nube. Haz clic en Continuar.
Revisa las entradas y haz clic en Crear.

Crear un marco de trabajo

Una vez que hayas determinado qué controles de nube se aplican a los recursos de tu organización o de una carpeta o proyecto específicos, puedes crear un marco. Puedes crear un framework personalizado o copiar uno que ya tengas y modificarlo.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
En la pestaña Configurar, haga clic en Crear marco de trabajo personalizado.
Completa una de las siguientes acciones:
- Para usar un framework que ya tengas, sigue estos pasos:
  1. Selecciona Empezar con un framework.
  2. Selecciona el framework que quieras copiar.
  3. Haz clic en Añadir.
- Para crear un framework personalizado, selecciona Empezar.
Introduce un nombre, un identificador único y una descripción para el framework. Haz clic en Continuar.

Si copias un framework, se mostrará la lista de controles en la nube que formaban parte del framework.
Para añadir los controles en la nube que necesites, haz lo siguiente:
- Para añadir un control en la nube, haz clic en Añadir controles en la nube. Selecciona todos los controles en la nube que necesites y haz clic en Añadir.
- Para crear un control de nube personalizado, haz clic en Crear control de nube personalizado. Para obtener instrucciones, consulta Crear un control en la nube personalizado.
Haz clic en Continuar.
Añade los parámetros adicionales que requieran los controles en la nube.

Por ejemplo, si quieres habilitar un control de nube de gestión de la postura de seguridad de datos (DSPM), como el control de nube Gobernanza del acceso a los datos, especifica las ubicaciones que deben usar las entidades. Para obtener más información sobre los controles de gestión de la postura de seguridad de los datos, consulta el artículo Control de acceso a datos en la nube.
Haz clic en Crear.

Desplegar un framework

Implementa un framework en una organización, una carpeta o un proyecto para controlar y monitorizar esos recursos mediante los controles en la nube del framework. Puedes desplegar varios frameworks en cada organización, carpeta o proyecto.

Las carpetas y los proyectos heredan los frameworks a través de la Google Cloud jerarquía de recursos. Por lo tanto, si implementas marcos a nivel de organización y de proyecto, todos los controles en la nube de ambos marcos se aplicarán a los recursos del proyecto. Si hay alguna diferencia en las definiciones de control de la nube, los recursos del proyecto usarán el control de la nube de nivel inferior. Por ejemplo, si una regla de control en la nube tiene el valor Permitir a nivel de organización y el valor Denegar a nivel de proyecto, se aplicará el valor Denegar a nivel de proyecto a los recursos del proyecto.

Como práctica recomendada, te aconsejamos que implementes un marco de trabajo a nivel de organización que incluya los controles de la nube que se puedan aplicar a toda tu empresa. Después, puede implementar marcos más estrictos en las carpetas y los proyectos que lo requieran.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
En la pestaña Configurar, haga clic en el marco que quiera implementar Más acciones > Aplicar a recursos.
Elige una de estas opciones:
- Si solo quieres monitorizar la deriva, elige Monitorizar.
- Para monitorizar las desviaciones y evitar las infracciones de forma activa, elige Monitorizar y evitar.
Selecciona el recurso en el que quieras desplegar el framework. Puedes elegir una organización, una carpeta o un proyecto que ya tengas. Si has decidido evitar las infracciones de forma activa, puedes crear una carpeta o un proyecto y desplegar el framework en él.
Completa una de las siguientes acciones:
- Si has seleccionado Monitorizar, verifica la información y haz clic en Monitorizar.
- Si has seleccionado Monitorizar y prevenir, haz lo siguiente:
  1. Haz clic en Siguiente. Revisa los controles y modos de la nube.
  2. Haz clic en Continuar.
  3. Si se muestra, verifica la información adicional que se requiere para algunos controles en la nube.
  4. Haz clic en Siguiente.
  5. Revisa las opciones que has seleccionado y haz clic en Aplicar.

Una vez que hayas implementado el framework, podrás monitorizar tu entorno para detectar cualquier desviación de los controles de nube definidos. Security Command Center informa de las instancias de desviación como resultados que puedes revisar, filtrar y resolver. Los resultados relacionados con los controles en la nube pueden tardar unas seis horas en aparecer después de implementar un framework.

Quitar recursos de un framework implementado

Puedes quitar la organización, las carpetas o los proyectos que hayas asignado a un framework implementado. Si quitas recursos, el framework dejará de generar resultados para ese nodo de tu jerarquía de recursos.

Cuando quitas recursos, el estado de las detecciones relacionadas cambia a Inactive al cabo de siete días.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
Selecciona tu organización.
En la pestaña Configurar, haz clic en el marco del que quieras quitar recursos.
En la página Detalles del marco, haga clic en Acciones > Gestionar asignaciones de recursos.
En la tabla Recursos asignados, busca el recurso que quieras quitar y haz clic en Eliminar.
Lee el mensaje de confirmación y haz clic en Anular asignación.