Se usó la API de Cloud Translation para traducir esta página.

Cómo aplicar un framework

Los marcos de trabajo del Administrador de cumplimiento constan de controles de la nube que te ayudan a cumplir con los requisitos de seguridad o reglamentarios de tu organización en tus entornos de nube. La aplicación de un framework es un proceso de dos pasos. Primero, debes determinar los controles de la nube que tu empresa necesita para administrar su seguridad, cumplimiento y riesgo. Luego, implementas un framework que incluye esos controles de la nube en los recursos correspondientes deGoogle Cloud. En esta página, se te ayudará a completar los siguientes pasos:

Evalúa qué framework integrado se alinea mejor con tus requisitos reglamentarios y de seguridad. Puedes crear tu propio framework personalizado, pero te recomendamos que comiences con uno integrado.
Determina qué controles integrados en la nube se asignan a tus requisitos comerciales. Si es necesario, puedes crear controles de nube personalizados.
Determina si implementarás el framework en tu organización Google Cloudo en carpetas y proyectos específicos. Solo puedes implementar un framework en cada organización, carpeta o proyecto. El Administrador de cumplimiento admite carpetas habilitadas para aplicaciones.
Copia un framework existente y modifícalo para que coincida con tus requisitos. Si es necesario, puedes crear un framework personalizado.
Implementa el framework en la organización, la carpeta o el proyecto adecuados.

Antes de comenzar

Para obtener los permisos que necesitas para aplicar frameworks, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
- Administrador de Compliance Manager (roles/cloudsecuritycompliance.admin)
- Para ver los paneles de hallazgos, usa el Visualizador de Compliance Manager (roles/cloudsecuritycompliance.viewer).
- Para implementar marcos que incluyen controles de la nube basados en políticas de la organización, se debe cumplir con una de las siguientes condiciones:
  - Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
  - Administrador de Assured Workloads (roles/assuredworkloads.admin)
  - Editor de Assured Workloads (roles/assuredworkloads.editor)
- Para crear una carpeta mientras se implementa un framework, haz una de las siguientes acciones:
  - Administrador de carpetas (roles/resourcemanager.folderAdmin)
  - Creador de carpetas (roles/resourcemanager.folderCreator)
- Para crear un proyecto mientras implementas un framework, se deben cumplir todas las siguientes condiciones:
  - Administrador de facturación del proyecto (roles/billing.projectManager)
  - Creador del proyecto (roles/resourcemanager.projectCreator)
  - Eliminador de proyectos (roles/resourcemanager.projectDeleter)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Los roles para implementar frameworks con políticas de la organización contienen los permisos orgpolicy.policies.create, orgpolicy.policies.update y orgpolicy.policies.get requeridos.

Los roles para crear frameworks contienen los permisos resourcemanager.folders.get, resourcemanager.folders.create y resourcemanager.folders.delete requeridos.

Los roles para crear proyectos contienen los permisos resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete y resourcemanager.projects.createBillingAssignment requeridos.
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Cómo ver frameworks

Completa los siguientes pasos para ver la configuración de los frameworks integrados o de otros frameworks que ya hayas creado.

En la consola de Google Cloud , ve a la página Cumplimiento.

Ir a cumplimiento
Para ver todos los frameworks disponibles, haz clic en la pestaña Configurar.

En el panel, se muestran los frameworks disponibles, una breve descripción, las plataformas compatibles y los recursos a los que se aplicó el framework.
Para ver los detalles de un framework específico, haz clic en su nombre.

Ver controles de la nube

Completa los siguientes pasos para ver los controles de la nube integrados y los controles de la nube personalizados que ya creaste.

En la consola de Google Cloud , ve a la página Cumplimiento.

Ir a cumplimiento
En la pestaña Configurar, haz clic en Controles de la nube. Se muestran los controles de la nube disponibles.

El panel incluye información sobre qué frameworks incluyen el control de la nube y la cantidad de recursos (organización, carpetas y proyectos) a los que se aplica el control de la nube.
Para ver los detalles de un control de la nube, haz clic en su nombre.

Crear un control de la nube personalizado

Un control de nube personalizado se aplica a un solo tipo de recurso. Los únicos tipos de datos admitidos son los recursos de Cloud Asset Inventory.

En la consola de Google Cloud , ve a la página Cumplimiento.

Ir a cumplimiento
En la pestaña Configurar, haz clic en Controles de la nube. Se muestra la lista de los controles de nube disponibles.
Crea un control de nube con Gemini o de forma manual:

Usar Gemini

Pídele a Gemini que genere un control de nube para ti. Según tu instrucción, Gemini proporciona un identificador único, un nombre, lógica de detección asociada y posibles pasos de corrección.
Revisa las recomendaciones y realiza los cambios necesarios.
Guarda tu control de nube personalizado.

Crear manualmente

En ID de control de nube, proporciona un identificador único para tu control.
Ingresa un nombre y una descripción para ayudar a los usuarios de tu organización a comprender el propósito del control de nube personalizado.
Opcional: Selecciona las categorías para el control. Haz clic en Continuar.
Selecciona un tipo de recurso disponible para tu control de nube personalizado.
Proporciona la lógica de detección para tu control de nube en formato de Common Expression Language (CEL).

Las expresiones CEL te permiten definir cómo deseas evaluar las propiedades de un recurso. Para obtener más información y ejemplos, consulta Escribe reglas para los controles de nube personalizados. Haga clic en Continuar.
Selecciona la gravedad adecuada de los hallazgos.
Escribe las instrucciones de corrección para que los administradores y los encargados de responder ante incidentes de tu organización puedan resolver los hallazgos relacionados con el control de la nube. Haz clic en Continuar.
Revisa tus entradas y, luego, haz clic en Crear.

Crea un framework

Después de determinar qué controles de la nube se aplican a los recursos dentro de tu organización o una carpeta o proyecto específicos, puedes crear un marco de trabajo. Puedes crear un framework personalizado o copiar uno existente y modificarlo.

En la consola de Google Cloud , ve a la página Cumplimiento.

Ir a cumplimiento
En la pestaña Configurar, haz clic en Crear marco personalizado.
Realiza una de las siguientes acciones:
- Para usar un framework existente, completa los siguientes pasos:
  1. Selecciona Comenzar con un framework existente.
  2. Selecciona el framework que deseas copiar.
  3. Haz clic en Agregar.
- Para crear un marco personalizado, selecciona Comenzar.
Ingresa un nombre, un identificador único y una descripción para tu framework. Haz clic en Continuar.

Si copias un framework existente, se mostrará la lista de controles en la nube que formaban parte de ese framework.
Para agregar los controles de la nube que necesitas, completa los siguientes pasos:
- Para agregar un control de la nube existente, haz clic en Agregar controles de la nube. Selecciona todos los controles de la nube que necesites y, luego, haz clic en Agregar.
- Para crear un control de nube personalizado, haz clic en Crear un control de nube personalizado. Para obtener instrucciones, consulta Crea un control de nube personalizado.
Haz clic en Continuar.
Agrega los parámetros adicionales que requieran los controles de nube.

Por ejemplo, si deseas habilitar un control de nube de administración de la postura de seguridad de los datos (DSPM), como el control de nube de Administración del acceso a los datos, especifica las ubicaciones que deben usar las entidades principales. Para obtener más información sobre los controles de administración de la postura de seguridad de los datos, consulta Control de acceso a los datos en la nube.
Haz clic en Crear.

Implementa un framework

Implementa un framework en una organización, una carpeta o un proyecto para que puedas controlar y supervisar esos recursos con los controles de nube del framework. Puedes implementar varios marcos de trabajo en cada organización, carpeta o proyecto.

Las carpetas y los proyectos heredan los marcos a través de la Google Cloud jerarquía de recursos. Por lo tanto, si implementas marcos de trabajo a nivel de la organización y a nivel del proyecto, todos los controles de la nube dentro de ambos marcos de trabajo se aplican a los recursos del proyecto. Si hay diferencias en las definiciones de control de la nube, los recursos del proyecto usan el control de la nube de nivel inferior. Por ejemplo, si una regla de control de Cloud se establece como Permitir a nivel de la organización y como Denegar a nivel del proyecto, se aplica el parámetro de configuración de Denegar a nivel del proyecto a los recursos del proyecto.

Como práctica recomendada, te sugerimos que implementes un marco de trabajo a nivel de la organización que incluya los controles de la nube que se pueden aplicar a toda tu empresa. Luego, puedes implementar marcos más estrictos en las carpetas y los proyectos que los requieran.

En la consola de Google Cloud , ve a la página Cumplimiento.

Ir a cumplimiento
En la pestaña Configurar, para el framework que deseas implementar, haz clic en Más acciones > Aplicar a los recursos.
Elige una de las siguientes opciones:
- Para supervisar solo el desvío, elige Supervisar.
- Para supervisar el desvío y evitar activamente los incumplimientos, elige Supervisar y prevenir.
Selecciona el recurso en el que deseas implementar el framework. Puedes elegir una organización, una carpeta o un proyecto existentes. Si elegiste evitar activamente los incumplimientos, puedes crear una carpeta o un proyecto nuevos y, luego, implementar el framework en ellos.
Realiza una de las siguientes acciones:
- Si seleccionaste Supervisar, verifica la información y haz clic en Supervisar.
- Si seleccionaste Supervisar y evitar, completa los siguientes pasos:
  1. Haz clic en Siguiente. Revisa los controles y modos de la nube.
  2. Haz clic en Continuar.
  3. Si se muestra, verifica la información adicional que se requiere para algunos controles de la nube.
  4. Haz clic en Siguiente.
  5. Revisa tus selecciones y, luego, haz clic en Aplicar.

Después de implementar el framework, puedes supervisar tu entorno para detectar cualquier desviación de los controles de nube definidos. Security Command Center informa las instancias de desviación como hallazgos que puedes revisar, filtrar y resolver. Después de implementar un framework, los hallazgos relacionados con los controles de la nube pueden tardar aproximadamente seis horas en aparecer.

Cómo quitar recursos de un framework implementado

Puedes quitar la organización, las carpetas o los proyectos que asignaste a un framework implementado. Si quitas recursos, el framework ya no generará hallazgos para ese nodo de la jerarquía de recursos.

Cuando quitas recursos, el estado de los hallazgos relacionados cambia a Inactive después de siete días.

En la consola de Google Cloud , ve a la página Cumplimiento.

Ir a cumplimiento
Selecciona tu organización.
En la pestaña Configurar, haz clic en el marco de trabajo del que deseas anular la asignación de recursos.
En la página Detalles del framework, haz clic en Acciones > Administrar asignaciones de recursos.
En la tabla Recursos asignados, busca el recurso que deseas quitar y haz clic en Borrar.
Revisa el mensaje de confirmación y haz clic en Anular asignación.