Administrar frameworks

Los marcos de trabajo de Compliance Manager constan de controles de la nube que te ayudan a cumplir con los requisitos de seguridad o reglamentarios de tu organización en tus entornos de nube. La aplicación de un framework es un proceso de dos pasos. Primero, debes identificar los controles de la nube que se alinean con las obligaciones de seguridad y cumplimiento de tu empresa. Luego, implementas un framework que incluye esos controles de la nube en la organización, la carpeta o el proyecto adecuados enGoogle Cloud. En esta página, se te ayudará a completar los siguientes pasos:

1. Evalúa qué framework integrado se alinea mejor con tus requisitos reglamentarios y de seguridad. Puedes crear tu propio marco personalizado, pero te recomendamos que comiences con uno integrado.

2. Determina qué controles integrados en la nube se asignan a tus requisitos comerciales. Si es necesario, puedes crear controles de nube personalizados.

3. Determina si implementarás el framework en tu organización Google Cloudo en carpetas y proyectos específicos. Solo puedes implementar un framework en cada organización, carpeta o proyecto. Compliance Manager admite carpetas habilitadas para aplicaciones.

4. Copia un framework existente y modifícalo para que coincida con tus requisitos. Si es necesario, puedes crear un framework personalizado.

5. Implementa el framework en la organización, la carpeta o el proyecto adecuados.

Antes de comenzar

• Para obtener los permisos que necesitas para aplicar frameworks, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:

  • Administrador de Compliance Manager (roles/cloudsecuritycompliance.admin)
  • Para ver los paneles de hallazgos, usa el Visualizador de Compliance Manager (roles/cloudsecuritycompliance.viewer).
  • Para implementar marcos que incluyen controles de la nube basados en políticas de la organización, se debe cumplir con una de las siguientes condiciones:
    • Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
    • Administrador de Assured Workloads (roles/assuredworkloads.admin)
    • Editor de Assured Workloads (roles/assuredworkloads.editor)
  • Para crear una carpeta mientras se implementa un framework, haz una de las siguientes acciones:
    • Administrador de carpetas (roles/resourcemanager.folderAdmin)
    • Creador de carpetas (roles/resourcemanager.folderCreator)
  • Para crear un proyecto mientras implementas un framework, se deben cumplir todas las siguientes condiciones:
    • Administrador de facturación del proyecto (roles/billing.projectManager)
    • Creador del proyecto (roles/resourcemanager.projectCreator)
    • Eliminador de proyectos (roles/resourcemanager.projectDeleter)
  • Para asignar marcos de trabajo de administración de la postura de seguridad de los datos (DSPM) a una aplicación en una carpeta habilitada para aplicaciones, se deben cumplir todas las siguientes condiciones: Visualizador de App Hub (roles/apphub.viewer)

  Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

  Los roles para implementar frameworks con políticas de la organización contienen los permisos orgpolicy.policies.create, orgpolicy.policies.update y orgpolicy.policies.get requeridos.

  Los roles para crear frameworks contienen los permisos resourcemanager.folders.get, resourcemanager.folders.create y resourcemanager.folders.delete requeridos.

  Los roles para crear proyectos contienen los permisos resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete y resourcemanager.projects.createBillingAssignment requeridos.

  Los roles para asignar marcos de DSPM a las aplicaciones contienen los permisos apphub.locations.list, apphub.applications.list y apphub.applications.get requeridos.

  También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Ver frameworks

Completa los siguientes pasos para ver la configuración de los frameworks integrados o de otros frameworks que ya hayas creado.

1. En la consola de Google Cloud , ve a la página Cumplimiento.

   Ir a cumplimiento

2. Selecciona tu organización.

3. Para ver todos los frameworks disponibles, haz clic en la pestaña Configurar.

   En el panel, se muestran los frameworks disponibles, una breve descripción, las plataformas compatibles y los recursos a los que se aplicó el framework.

4. Para ver los detalles de un framework específico, haz clic en su nombre.

Crea un framework

Después de determinar qué controles de la nube se aplican a los recursos dentro de tu organización o una carpeta o proyecto específicos, puedes crear un marco de trabajo. Puedes crear un framework personalizado o copiar uno existente y modificarlo. Cuando copias un framework, se incluyen las versiones más recientes de los controles integrados en la nube.

1. En la consola de Google Cloud , ve a la página Cumplimiento.

   Ir a cumplimiento

2. Selecciona tu organización.

3. En la pestaña Configurar, haz clic en Crear marco personalizado.

4. Realiza una de las siguientes acciones:

   • Para usar un framework existente, completa los siguientes pasos:

     1. Selecciona Comenzar con un framework existente.

     2. Selecciona el framework que deseas copiar.

     3. Haz clic en Agregar.

   • Para crear un marco personalizado, selecciona Comenzar.

5. Ingresa un nombre, un identificador único y una descripción para tu framework. Haz clic en Continuar.

   Si copias un framework existente, se mostrará la lista de controles en la nube que formaban parte de ese framework.

6. Para agregar los controles de la nube que necesitas, completa los siguientes pasos:

   • Para agregar un control de la nube existente, haz clic en Agregar controles de la nube. Selecciona todos los controles de la nube que necesites y, luego, haz clic en Agregar.

     Cuando agregues un control, verifica su tipo (de detección, preventivo o de auditoría). No incluyas controles solo de auditoría en un marco que quieras usar para supervisar tu entorno y detectar incumplimientos. No puedes implementar frameworks que incluyan controles solo de auditoría.

   • Para crear un control de nube personalizado, haz clic en Crear un control de nube personalizado. Para obtener instrucciones, consulta Crea un control personalizado en la nube.

7. Haz clic en Continuar.

8. Agrega los parámetros adicionales que requieran los controles de nube.

   Por ejemplo, si deseas habilitar un control de nube de administración de la postura de seguridad de los datos (DSPM), como el control de nube de Administración de acceso a los datos, especifica las ubicaciones que deben usar las entidades principales. Para obtener más información sobre los controles de administración de la postura de seguridad de los datos, consulta Control de acceso a los datos en la nube.

9. Haz clic en Crear.

Implementa un framework

Implementa un framework en una organización, una carpeta o un proyecto para que puedas controlar y supervisar esos recursos con los controles de nube del framework. Puedes implementar varios marcos de trabajo en cada organización, carpeta o proyecto. Si implementas un framework que incluye solo los controles de seguridad de los datos avanzados, puedes implementarlo en aplicaciones dentro de carpetas habilitadas para aplicaciones que se administran con App Hub.

Las carpetas y los proyectos heredan los marcos a través de la Google Cloud jerarquía de recursos. Por lo tanto, si implementas marcos de trabajo a nivel de la organización y a nivel del proyecto, todos los controles de la nube dentro de ambos marcos de trabajo se aplican a los recursos del proyecto. Si hay diferencias en las definiciones de control de la nube, los recursos del proyecto usan el control de la nube de nivel inferior. Por ejemplo, si una regla de control de Cloud se establece como Permitir a nivel de la organización y como Denegar a nivel del proyecto, se aplica el parámetro de configuración de Denegar a nivel del proyecto a los recursos del proyecto.

Como práctica recomendada, te sugerimos que implementes un marco de trabajo a nivel de la organización que incluya los controles de la nube que se pueden aplicar a toda tu empresa. Luego, puedes implementar marcos más estrictos en las carpetas y los proyectos que los requieran.

1. En la consola de Google Cloud , ve a la página Cumplimiento.

   Ir a cumplimiento

2. Selecciona tu organización.

3. En la pestaña Configurar, para el framework que deseas implementar, haz clic en more_vert Más acciones > Aplicar a los recursos.

4. Elige una de las siguientes opciones:

   • Para supervisar solo el desvío, elige Supervisar.

   • Para supervisar el desvío y evitar activamente los incumplimientos, elige Supervisar y prevenir.

5. Selecciona el recurso en el que deseas implementar el framework. Puedes elegir una organización, una carpeta o un proyecto existentes. Solo para la DSPM, puedes seleccionar una aplicación para implementar un framework que incluya solo controles avanzados de la nube de la DSPM en una aplicación. Si elegiste prevenir activamente los incumplimientos, puedes crear una carpeta o un proyecto nuevos y, luego, implementar el framework en ellos.

6. Realiza una de las siguientes acciones:

   • Si seleccionaste Monitor, completa lo siguiente:

     1. Verifica la información.
     2. Si seleccionaste una carpeta habilitada para apps y tu framework solo incluye controles avanzados de DSPM en la nube, selecciona la aplicación que deseas supervisar.
     3. Haz clic en Monitor.

   • Si seleccionaste Supervisar y evitar, completa los siguientes pasos:

     1. Haz clic en Siguiente. Revisa los controles y modos de la nube.
     2. Haz clic en Continuar.
     3. Si se muestra, verifica la información adicional que se requiere para algunos controles de la nube.
     4. Haz clic en Siguiente.
     5. Revisa tus selecciones y, luego, haz clic en Aplicar.

Después de implementar el framework, puedes supervisar tu entorno para detectar cualquier desviación de los controles de nube definidos. Security Command Center informa las instancias de desviación como hallazgos que puedes revisar, filtrar y resolver. Después de implementar un framework, los hallazgos relacionados con los controles de la nube pueden tardar aproximadamente seis horas en aparecer.

Cómo editar un framework personalizado

Después de crear un framework, puedes cambiar su nombre y descripción, agregar o quitar controles de Cloud y actualizar cualquier parámetro. Solo puedes editar los marcos que creas, no los integrados.

1. En la consola de Google Cloud , ve a la página Cumplimiento.

   Ir a cumplimiento

2. Selecciona tu organización.

3. En la pestaña Configurar, haz clic en el marco de trabajo que deseas editar.

4. En la página Detalles del framework, verifica que el framework no esté asignado a un recurso. Si es necesario, quita las tareas.

5. Haz clic en Acciones > Editar.

6. En la página Actualizar detalles del framework, cambia el nombre y la descripción según sea necesario. Haga clic en Continuar.

7. Para cambiar los controles de la nube que se incluyen en el marco de trabajo, completa los siguientes pasos:

   • Para agregar un control de la nube existente, haz clic en Agregar controles de la nube. Selecciona todos los controles de la nube que necesites y, luego, haz clic en Agregar.

   • Para crear un control de nube personalizado, haz clic en Crear un control de nube personalizado. Para obtener instrucciones, consulta Crea un control de la nube personalizado.

   • Para quitar un control de la nube, selecciónalo y haz clic en Quitar.

8. Haz clic en Continuar.

9. Agrega los parámetros adicionales que requieran los controles de nube.

10. Haz clic en Guardar.

Cómo quitar recursos de un framework implementado

Puedes quitar la organización, las carpetas o los proyectos que asignaste a un framework implementado. Si quitas recursos, el framework ya no generará hallazgos para ese nodo de la jerarquía de recursos.

Cuando quitas recursos, el estado de los hallazgos relacionados cambia a Inactive después de siete días.

1. En la consola de Google Cloud , ve a la página Cumplimiento.

   Ir a cumplimiento

2. Selecciona tu organización.

3. En la pestaña Configurar, haz clic en el framework del que deseas anular la asignación de recursos.

4. En la página Detalles del framework, haz clic en Acciones > Administrar asignaciones de recursos.

5. En la tabla Recursos asignados, busca el recurso que deseas quitar y haz clic en delete Borrar.

6. Revisa el mensaje de confirmación y haz clic en Anular asignación.

Actualiza un framework a una versión más reciente

Google publica actualizaciones periódicas de sus frameworks integrados a medida que los servicios implementan funciones nuevas o surgen nuevas prácticas recomendadas.

Puedes ver las versiones de los frameworks integrados en el panel de frameworks de la pestaña Configurar o en la página de detalles del framework.

Google te notifica en la consola y en las notas de la versión cuando se producen las siguientes actualizaciones:

• Se agregan o quitan controles integrados en la nube de un framework.
• Se actualizan los controles de nube integrados.

Para actualizar un framework, completa los siguientes pasos:

1. En la consola de Google Cloud , ve a la página Cumplimiento.

   Ir a cumplimiento

2. Selecciona tu organización.

3. En la pestaña Configurar, haz clic en el framework que deseas actualizar.

4. En la página Detalles del marco, en la tabla Recursos asignados, revisa el Estado de actualización de las asignaciones que se identifiquen como Actualización disponible.

5. Para aplicar los cambios, completa los siguientes pasos:

   1. Quita la asignación del recurso.

   2. Vuelve a implementar el marco en tu recurso para que el Administrador de cumplimiento pueda reanudar la evaluación del recurso y crear hallazgos.

Borra un framework personalizado

Borra un framework cuando ya no sea necesario. Solo puedes borrar los frameworks que crees, no los integrados.

1. En la consola de Google Cloud , ve a la página Cumplimiento.

   Ir a cumplimiento

2. Selecciona tu organización.

3. En la pestaña Configurar, haz clic en el framework del que deseas anular la asignación de recursos.

4. En la página Detalles del framework, verifica que el framework no esté asignado a un recurso. Si es necesario, quita las tareas.

5. Haz clic en Acciones > Borrar.

6. En la ventana Borrar, revisa el mensaje. Escribe Delete y haz clic en Confirmar.

¿Qué sigue?

• Supervisa tus marcos de trabajo para garantizar el cumplimiento (vista previa).
• Audita tu entorno con Compliance Manager (versión preliminar).
• Revisa y administra los resultados en la consola.