Halaman ini diterjemahkan oleh Cloud Translation API.

Menerapkan framework

Framework Compliance Manager terdiri dari kontrol cloud yang membantu Anda memenuhi persyaratan keamanan atau peraturan organisasi di lingkungan cloud Anda. Penerapan framework adalah proses dua langkah. Pertama, Anda harus menentukan kontrol cloud yang diperlukan bisnis Anda untuk mengelola keamanan, kepatuhan, dan risikonya. Kemudian, Anda men-deploy framework yang mencakup kontrol cloud tersebut ke resource yang sesuai diGoogle Cloud. Halaman ini membantu Anda menyelesaikan langkah-langkah berikut:

Menilai framework bawaan mana yang paling sesuai dengan persyaratan peraturan dan keamanan Anda. Anda dapat membuat framework kustom sendiri, tetapi sebaiknya mulai dengan framework bawaan.
Tentukan kontrol cloud bawaan mana yang sesuai dengan persyaratan bisnis Anda. Anda dapat membuat kontrol cloud kustom, jika diperlukan.
Tentukan apakah akan men-deploy framework ke Google Cloud organisasi Anda, atau ke folder dan project tertentu. Anda hanya dapat men-deploy satu framework ke setiap organisasi, folder, atau project. Compliance Manager mendukung folder yang mendukung aplikasi.
Menyalin framework yang ada dan mengubahnya agar sesuai dengan persyaratan Anda. Jika diperlukan, Anda dapat membuat framework kustom.
Deploy framework di organisasi, folder, atau project yang sesuai.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan untuk menerapkan framework, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi Anda:
- Admin Compliance Manager (roles/cloudsecuritycompliance.admin)
- Untuk melihat dasbor temuan: Compliance Manager Viewer (roles/cloudsecuritycompliance.viewer)
- Untuk men-deploy framework yang mencakup kontrol cloud yang didasarkan pada kebijakan organisasi, salah satu dari:
  - Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin)
  - Administrator Assured Workloads (roles/assuredworkloads.admin)
  - Editor Assured Workloads (roles/assuredworkloads.editor)
- Untuk membuat folder saat men-deploy framework, salah satu dari:
  - Admin Folder (roles/resourcemanager.folderAdmin)
  - Pembuat Folder (roles/resourcemanager.folderCreator)
- Untuk membuat project saat men-deploy framework, semua hal berikut:
  - Project Billing Manager (roles/billing.projectManager)
  - Project Creator (roles/resourcemanager.projectCreator)
  - Project Deleter (roles/resourcemanager.projectDeleter)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran untuk men-deploy framework dengan kebijakan organisasi berisi izin orgpolicy.policies.create, orgpolicy.policies.update, dan orgpolicy.policies.get yang diperlukan.

Peran untuk membuat framework berisi izin resourcemanager.folders.get, resourcemanager.folders.create, dan resourcemanager.folders.delete yang diperlukan.

Peran untuk membuat project berisi izin resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete, dan resourcemanager.projects.createBillingAssignment yang diperlukan.
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Melihat framework

Selesaikan langkah-langkah berikut untuk melihat konfigurasi framework bawaan atau framework lain yang telah Anda buat.

Di Google Cloud console, buka halaman Compliance.

Buka Kepatuhan
Untuk melihat semua framework yang tersedia, klik tab Konfigurasi.

Dasbor ini menampilkan framework yang tersedia, deskripsi singkat, platform yang didukung, dan resource tempat framework diterapkan.
Untuk melihat detail tentang framework tertentu, klik nama framework.

Melihat kontrol cloud

Selesaikan langkah-langkah berikut untuk melihat kontrol cloud bawaan dan kontrol cloud kustom yang telah Anda buat.

Di Google Cloud console, buka halaman Compliance.

Buka Kepatuhan
Di tab Configure, klik Cloud Controls. Kontrol cloud yang tersedia akan ditampilkan.

Dasbor ini mencakup informasi tentang framework mana yang menyertakan kontrol cloud dan jumlah resource (organisasi, folder, dan project) yang menerapkan kontrol cloud.
Untuk melihat detail tentang kontrol cloud, klik nama kontrol.

Membuat kontrol cloud kustom

Kontrol cloud kustom hanya berlaku untuk satu jenis resource. Satu-satunya jenis data yang didukung adalah resource Inventaris Aset Cloud.

Di Google Cloud console, buka halaman Compliance.

Buka Kepatuhan
Di tab Configure, klik Cloud Controls. Daftar kontrol cloud yang tersedia akan ditampilkan.
Buat kontrol cloud, baik dengan Gemini maupun secara manual:

Gunakan Gemini

Minta Gemini membuat kontrol cloud untuk Anda. Berdasarkan perintah Anda, Gemini akan memberikan ID unik, nama, logika deteksi terkait, dan kemungkinan langkah-langkah perbaikan.
Tinjau rekomendasi dan lakukan perubahan yang diperlukan.
Simpan kontrol cloud kustom Anda.

Buat secara manual

Di ID kontrol cloud, berikan ID unik untuk kontrol Anda.
Masukkan nama dan deskripsi untuk membantu pengguna di organisasi Anda memahami tujuan kontrol cloud kustom.
Opsional: Pilih kategori untuk kontrol. Klik Lanjutkan.
Pilih jenis resource yang tersedia untuk kontrol cloud kustom Anda.
Berikan logika deteksi untuk kontrol cloud Anda, dalam format Common Expression Language (CEL).

Ekspresi CEL memungkinkan Anda menentukan cara mengevaluasi properti resource. Untuk mengetahui informasi dan contoh selengkapnya, lihat Menulis aturan untuk kontrol cloud kustom. Klik Continue.
Pilih tingkat keparahan temuan yang sesuai.
Tulis petunjuk perbaikan Anda sehingga petugas respons insiden dan administrator di organisasi Anda dapat menyelesaikan temuan apa pun untuk kontrol cloud. Klik Lanjutkan.
Tinjau entri Anda, lalu klik Buat.

Membuat framework

Setelah menentukan kontrol cloud mana yang berlaku untuk resource dalam organisasi atau folder atau project tertentu, Anda dapat membuat framework. Anda dapat membuat framework kustom atau menyalin framework yang ada dan mengubahnya.

Di Google Cloud console, buka halaman Compliance.

Buka Kepatuhan
Di tab Konfigurasi, klik Buat framework kustom.
Selesaikan salah satu langkah berikut:
- Untuk menggunakan framework yang ada, selesaikan langkah-langkah berikut:
  1. Pilih Mulai dari framework yang ada.
  2. Pilih framework yang ingin Anda salin.
  3. Klik Tambahkan.
- Untuk membuat framework kustom, pilih Mulai baru.
Masukkan nama, ID unik, dan deskripsi untuk framework Anda. Klik Continue.

Jika Anda menyalin framework yang ada, daftar kontrol cloud yang merupakan bagian dari framework yang ada akan ditampilkan.
Untuk menambahkan kontrol cloud yang Anda perlukan, selesaikan langkah-langkah berikut:
- Untuk menambahkan kontrol cloud yang ada, klik Tambahkan Kontrol Cloud. Pilih semua kontrol cloud yang Anda perlukan, lalu klik Tambahkan.
- Untuk membuat kontrol cloud kustom, klik Buat kontrol cloud kustom. Untuk mengetahui petunjuknya, lihat Membuat kontrol cloud kustom.
Klik Lanjutkan.
Tambahkan parameter tambahan yang diperlukan kontrol cloud.

Misalnya, jika Anda ingin mengaktifkan kontrol cloud Pengelolaan Postur Keamanan Data (DSPM) seperti kontrol cloud Tata kelola akses data, tentukan lokasi yang harus digunakan oleh prinsipal. Untuk mengetahui informasi selengkapnya tentang kontrol Pengelolaan Postur Keamanan Data, lihat Kontrol cloud tata kelola akses data.
Klik Buat.

Deploy framework

Deploy framework ke organisasi, folder, atau project sehingga Anda dapat mengontrol dan memantau resource tersebut menggunakan kontrol cloud framework. Anda dapat men-deploy beberapa framework ke setiap organisasi, folder, atau project.

Folder dan project mewarisi framework melalui Google Cloud hierarki resource. Oleh karena itu, jika Anda men-deploy framework di tingkat organisasi dan di tingkat project, semua kontrol cloud dalam kedua framework tersebut berlaku untuk resource dalam project. Jika ada perbedaan dalam definisi kontrol cloud, kontrol cloud tingkat yang lebih rendah akan digunakan oleh resource dalam project. Misalnya, jika aturan kontrol cloud ditetapkan ke Izinkan di tingkat organisasi dan ke Tolak di tingkat project, setelan Tolak di tingkat project akan diterapkan ke resource dalam project.

Sebagai praktik terbaik, sebaiknya Anda men-deploy framework di tingkat organisasi yang mencakup kontrol cloud yang dapat diterapkan ke seluruh bisnis Anda. Kemudian, Anda dapat men-deploy framework yang lebih ketat ke folder dan project yang memerlukannya.

Di Google Cloud console, buka halaman Compliance.

Buka Kepatuhan
Di tab Konfigurasi, untuk framework yang ingin Anda deploy, klik Tindakan Lainnya > Terapkan ke resource.
Pilih salah satu opsi berikut:
- Untuk memantau penyimpangan saja, pilih Pantau.
- Untuk memantau penyimpangan dan secara aktif mencegah pelanggaran, pilih Pantau dan cegah.
Pilih resource yang ingin Anda gunakan untuk men-deploy framework. Anda dapat memilih organisasi, folder, atau project yang sudah ada. Jika memilih untuk secara aktif mencegah pelanggaran, Anda dapat membuat folder atau project baru dan men-deploy framework ke folder atau project tersebut.
Selesaikan salah satu langkah berikut:
- Jika Anda memilih Pantau, verifikasi informasi, lalu klik Pantau.
- Jika Anda memilih Pantau dan cegah, selesaikan langkah-langkah berikut:
  1. Klik Berikutnya. Tinjau kontrol dan mode cloud.
  2. Klik Lanjutkan.
  3. Jika ditampilkan, verifikasi informasi tambahan yang diperlukan untuk beberapa kontrol cloud.
  4. Klik Berikutnya.
  5. Tinjau pilihan Anda, lalu klik Terapkan.

Setelah men-deploy framework, Anda dapat memantau lingkungan untuk mendeteksi penyimpangan dari kontrol cloud yang telah ditentukan. Security Command Center melaporkan instance penyimpangan sebagai temuan yang dapat Anda tinjau, filter, dan selesaikan. Diperlukan waktu sekitar enam jam setelah Anda men-deploy framework agar temuan terkait kontrol cloud muncul.

Pratinjau ini tidak mendukung penghapusan deployment framework. Jika tidak lagi memerlukan framework, Anda dapat membisukan temuannya. Untuk mengetahui petunjuknya, lihat Menonaktifkan temuan di Security Command Center.