Esta página se ha traducido con Cloud Translation API.

Gestionar frameworks

Los marcos de Compliance Manager constan de controles en la nube que te ayudan a cumplir los requisitos de seguridad o normativos de tu organización en tus entornos de nube. Aplicar un framework es un proceso de dos pasos. En primer lugar, debes identificar los controles en la nube que se ajusten a las obligaciones de seguridad y cumplimiento de tu empresa. A continuación, implementa un framework que incluya esos controles en la organización, la carpeta o el proyecto correspondientes deGoogle Cloud. En esta página se explica cómo completar los siguientes pasos:

Evalúa qué marco de trabajo integrado se ajusta mejor a tus requisitos de seguridad y normativas. Puedes crear tu propio framework personalizado, pero te recomendamos que empieces con uno integrado.
Determina qué controles en la nube integrados se ajustan a los requisitos de tu empresa. Si es necesario, puedes crear controles en la nube personalizados.
Determina si quieres implementar el framework en tu Google Cloud organización o en carpetas y proyectos específicos. Solo puedes implementar un framework en cada organización, carpeta o proyecto. Compliance Manager admite carpetas habilitadas para aplicaciones.
Copia un marco de trabajo que ya tengas y modifícalo para que se ajuste a tus requisitos. Si es necesario, puedes crear un framework personalizado.
Implementa el framework en la organización, carpeta o proyecto adecuados.

Antes de empezar

Para obtener los permisos que necesitas para aplicar frameworks, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:
- Administrador de Compliance Manager (roles/cloudsecuritycompliance.admin)
- Para ver los paneles de control de resultados, sigue estos pasos: Lector de Gestor de cumplimiento (roles/cloudsecuritycompliance.viewer)
- Para implementar frameworks que incluyan controles en la nube basados en políticas de la organización, puedes hacer lo siguiente:
  - Administrador de políticas de organización (roles/orgpolicy.policyAdmin)
  - Administrador de Assured Workloads (roles/assuredworkloads.admin)
  - Editor de Assured Workloads (roles/assuredworkloads.editor)
- Para crear una carpeta al implementar un framework, haz una de las siguientes acciones:
  - Administrador de carpetas (roles/resourcemanager.folderAdmin)
  - Creador de carpetas (roles/resourcemanager.folderCreator)
- Para crear un proyecto al implementar un framework, debes cumplir todos los requisitos siguientes:
  - Gestor de facturación de proyectos (roles/billing.projectManager)
  - Creador del proyecto (roles/resourcemanager.projectCreator)
  - Eliminador de proyectos (roles/resourcemanager.projectDeleter)
- Para asignar marcos de gestión de la postura de seguridad de los datos (DSPM) a una aplicación de una carpeta habilitada para aplicaciones, se deben cumplir todos los requisitos siguientes: Lector de App Hub (roles/apphub.viewer)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.
Los roles para implementar frameworks con políticas de la organización contienen los permisos orgpolicy.policies.create, orgpolicy.policies.update y orgpolicy.policies.get necesarios.

Los roles para crear frameworks contienen los permisos resourcemanager.folders.get, resourcemanager.folders.create y resourcemanager.folders.delete necesarios.

Los roles para crear proyectos contienen los permisos resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete y resourcemanager.projects.createBillingAssignment necesarios.

Los roles para asignar frameworks de DSPM a aplicaciones contienen los permisos apphub.locations.list, apphub.applications.list y apphub.applications.get necesarios.
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Ver frameworks

Sigue estos pasos para ver la configuración de los frameworks integrados u otros frameworks que ya hayas creado.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
Selecciona tu organización.
Para ver todos los frameworks disponibles, haz clic en la pestaña Configurar.

El panel de control muestra los frameworks disponibles, una breve descripción, las plataformas compatibles y los recursos a los que se ha aplicado el framework.
Para ver los detalles de un framework específico, haz clic en su nombre.

Crear un marco de trabajo

Una vez que hayas determinado qué controles de nube se aplican a los recursos de tu organización o de una carpeta o proyecto específicos, puedes crear un marco. Puedes crear un framework personalizado o copiar uno que ya tengas y modificarlo. Cuando copias un framework, se incluyen las últimas versiones de los controles en la nube integrados.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
Selecciona tu organización.
En la pestaña Configurar, haga clic en Crear marco de trabajo personalizado.
Completa una de las siguientes acciones:
- Para usar un framework que ya tengas, sigue estos pasos:
  1. Selecciona Empezar con un framework.
  2. Selecciona el framework que quieras copiar.
  3. Haz clic en Añadir.
- Para crear un framework personalizado, selecciona Empezar.
Introduce un nombre, un identificador único y una descripción para el framework. Haz clic en Continuar.

Si copias un framework, se mostrará la lista de controles en la nube que formaban parte del framework.
Para añadir los controles en la nube que necesites, haz lo siguiente:
- Para añadir un control en la nube, haz clic en Añadir controles en la nube. Selecciona todos los controles en la nube que necesites y haz clic en Añadir.
  
  Cuando añadas un control, verifica su tipo (de detección, preventivo o de auditoría). No incluyas controles de solo auditoría en un framework que quieras usar para monitorizar tu entorno y detectar infracciones. No puedes desplegar frameworks que incluyan controles de solo auditoría.
- Para crear un control de nube personalizado, haz clic en Crear control de nube personalizado. Para obtener instrucciones, consulta Crear un control en la nube personalizado.
Haz clic en Continuar.
Añade los parámetros adicionales que requieran los controles en la nube.

Por ejemplo, si quieres habilitar un control de nube de gestión de la postura de seguridad de datos (DSPM), como el control de nube Gobernanza del acceso a los datos, especifica las ubicaciones que deben usar las entidades. Para obtener más información sobre los controles de gestión de la postura de seguridad de los datos, consulta el artículo sobre el control de acceso a datos en la nube.
Haz clic en Crear.

Desplegar un framework

Despliega un framework en una organización, una carpeta o un proyecto para poder controlar y monitorizar esos recursos con los controles en la nube del framework. Puedes implementar varios frameworks en cada organización, carpeta o proyecto. Si vas a implementar un framework que solo incluya los controles de seguridad de datos avanzada en la nube, puedes implementarlo en aplicaciones que estén en carpetas habilitadas para aplicaciones y que se gestionen con App Hub.

Las carpetas y los proyectos heredan los frameworks a través de la Google Cloud jerarquía de recursos. Por lo tanto, si implementas marcos a nivel de organización y de proyecto, todos los controles en la nube de ambos marcos se aplicarán a los recursos del proyecto. Si hay alguna diferencia en las definiciones de control de la nube, los recursos del proyecto usarán el control de la nube de nivel inferior. Por ejemplo, si una regla de control en la nube tiene el valor Permitir a nivel de organización y el valor Denegar a nivel de proyecto, se aplicará el valor Denegar a nivel de proyecto a los recursos del proyecto.

Como práctica recomendada, te aconsejamos que implementes un marco de trabajo a nivel de organización que incluya los controles de la nube que se puedan aplicar a toda tu empresa. Después, puede implementar marcos más estrictos en las carpetas y los proyectos que lo requieran.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
Selecciona tu organización.
En la pestaña Configurar, haga clic en el marco que quiera implementar Más acciones > Aplicar a recursos.
Elige una de estas opciones:
- Si solo quieres monitorizar la deriva, elige Monitorizar.
- Para monitorizar las desviaciones y evitar las infracciones de forma activa, elige Monitorizar y evitar.
Selecciona el recurso en el que quieras desplegar el framework. Puedes elegir una organización, una carpeta o un proyecto que ya tengas. Solo para DSPM, puedes seleccionar una aplicación para desplegar un framework que incluya solo controles de nube avanzados de DSPM en una aplicación. Si has decidido evitar las infracciones de forma activa, puedes crear una carpeta o un proyecto y desplegar el framework en él.
Completa una de las siguientes acciones:
- Si has seleccionado Monitor, haz lo siguiente:
  1. Verifica la información.
  2. Si has seleccionado una carpeta habilitada para aplicaciones y tu framework solo incluye controles avanzados de DSPM en la nube, selecciona la aplicación que quieras monitorizar.
  3. Haz clic en Monitor.
- Si has seleccionado Monitorizar y prevenir, haz lo siguiente:
  1. Haz clic en Siguiente. Revisa los controles y modos de la nube.
  2. Haz clic en Continuar.
  3. Si se muestra, verifica la información adicional que se requiere para algunos controles en la nube.
  4. Haz clic en Siguiente.
  5. Revisa las opciones que has seleccionado y haz clic en Aplicar.

Una vez que hayas implementado el framework, podrás monitorizar tu entorno para detectar cualquier desviación de los controles de nube definidos. Security Command Center informa de las instancias de desviación como resultados que puedes revisar, filtrar y resolver. Pueden pasar unas seis horas después de implementar un framework para que aparezcan las detecciones relacionadas con los controles en la nube.

Editar un framework personalizado

Una vez que hayas creado un framework, podrás cambiar su nombre y descripción, añadir o quitar controles en la nube y actualizar cualquier parámetro. Solo puedes editar los frameworks que crees. No puedes editar los frameworks integrados.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
Selecciona tu organización.
En la pestaña Configurar, haz clic en el marco que quieras editar.
En la página Detalles del marco, comprueba que el marco no esté asignado a ningún recurso. Si es necesario, elimina las asignaciones.
Haga clic en Acciones > Editar.
En la página Actualizar detalles del framework, cambia el nombre y la descripción según sea necesario. Haz clic en Continuar.
Para cambiar los controles en la nube que se incluyen en el framework, haz lo siguiente:
- Para añadir un control en la nube, haz clic en Añadir controles en la nube. Selecciona todos los controles en la nube que necesites y haz clic en Añadir.
- Para crear un control de nube personalizado, haz clic en Crear control de nube personalizado. Para obtener instrucciones, consulta Crear un control en la nube personalizado.
- Para quitar un control de nube, selecciónalo y haz clic en Quitar.
Haz clic en Continuar.
Añade los parámetros adicionales que requieran los controles en la nube.
Haz clic en Guardar.

Quitar recursos de un framework implementado

Puedes quitar la organización, las carpetas o los proyectos que hayas asignado a un framework implementado. Si quitas recursos, el framework dejará de generar resultados para ese nodo de tu jerarquía de recursos.

Cuando quitas recursos, el estado de las detecciones relacionadas cambia a Inactive al cabo de siete días.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
Selecciona tu organización.
En la pestaña Configurar, haz clic en el marco del que quieras quitar recursos.
En la página Detalles del marco, haga clic en Acciones > Gestionar asignaciones de recursos.
En la tabla Recursos asignados, busca el recurso que quieras quitar y haz clic en Eliminar.
Lee el mensaje de confirmación y haz clic en Anular asignación.

Actualizar un framework a una versión más reciente

Google publica actualizaciones periódicas de sus frameworks integrados a medida que los servicios implementan nuevas funciones o se descubren nuevas prácticas recomendadas.

Puedes ver las versiones de los frameworks integrados en el panel de control de frameworks de la pestaña Configurar o en la página de detalles del framework.

Google te avisa en la consola y en las notas de las versiones cuando se producen las siguientes actualizaciones:

Se añaden o se quitan controles de nube integrados de un framework.
Se han actualizado los controles en la nube integrados.

Para actualizar un framework, haz lo siguiente:

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
Selecciona tu organización.
En la pestaña Configurar, haz clic en el framework que quieras actualizar.
En la página Detalles del marco, en la tabla Recursos asignados, consulta el Estado de la actualización de las asignaciones que tengan el valor Actualización disponible.
Para aplicar los cambios, haz lo siguiente:
1. Quita la asignación del recurso.
  
  Nota: Cuando quitas una asignación de recursos, el Gestor de Cumplimiento ya no evalúa ese recurso con ese marco. Ya no se crean hallazgos.
2. Vuelve a implementar el framework en tu recurso para que Gestor de Cumplimiento pueda reanudar la evaluación del recurso y crear resultados.

Eliminar un framework personalizado

Elimina un framework cuando ya no sea necesario. Solo puedes eliminar los frameworks que crees. No puedes eliminar los frameworks integrados.

En la Google Cloud consola, ve a la página Cumplimiento.

Ir a Cumplimiento
Selecciona tu organización.
En la pestaña Configurar, haz clic en el marco del que quieras quitar recursos.
En la página Detalles del marco, comprueba que el marco no esté asignado a ningún recurso. Si es necesario, elimina las asignaciones.
Haga clic en Acciones > Eliminar.
En la ventana Eliminar, revisa el mensaje. Escribe Delete y haz clic en Confirmar.