Questa pagina è stata tradotta dall'API Cloud Translation.

Applicare un framework

I framework di Compliance Manager sono costituiti da controlli cloud che ti aiutano a soddisfare i requisiti normativi o di sicurezza della tua organizzazione negli ambienti cloud. L'applicazione di un framework è una procedura in due passaggi. Innanzitutto, devi determinare i controlli cloud necessari alla tua attività per gestire sicurezza, conformità e rischi. Quindi, esegui il deployment di un framework che include questi controlli cloud alle risorse appropriate in Google Cloud. Questa pagina ti aiuta a completare i seguenti passaggi:

Valuta quale framework integrato è più in linea con i tuoi requisiti normativi e di sicurezza. Puoi creare il tuo framework personalizzato, ma ti consigliamo di iniziare con uno integrato.
Determina quali controlli cloud integrati corrispondono ai requisiti della tua attività. Se necessario, puoi creare controlli cloud personalizzati.
Determina se eseguire il deployment del framework nella tua organizzazione Google Cloudo in cartelle e progetti specifici. Puoi eseguire il deployment di un solo framework per ogni organizzazione, cartella o progetto. Compliance Manager supporta le cartelle abilitate per le app.
Copia un framework esistente e modificalo in base ai tuoi requisiti. Se necessario, puoi creare un framework personalizzato.
Esegui il deployment del framework nell'organizzazione, nella cartella o nel progetto appropriato.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per applicare i framework, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:
- Compliance Manager Admin (roles/cloudsecuritycompliance.admin)
- Per visualizzare le dashboard dei risultati: Compliance Manager Viewer (roles/cloudsecuritycompliance.viewer)
- Per eseguire il deployment di framework che includono controlli cloud basati su policy dell'organizzazione, uno dei seguenti:
  - Amministratore delle policy dell'organizzazione (roles/orgpolicy.policyAdmin)
  - Amministratore Assured Workloads (roles/assuredworkloads.admin)
  - Assured Workloads Editor (roles/assuredworkloads.editor)
- Per creare una cartella durante il deployment di un framework, scegli una delle seguenti opzioni:
  - Amministratore cartella (roles/resourcemanager.folderAdmin)
  - Folder Creator (roles/resourcemanager.folderCreator)
- Per creare un progetto durante il deployment di un framework, devono essere soddisfatte tutte le seguenti condizioni:
  - Project Billing Manager (roles/billing.projectManager)
  - Project Creator (roles/resourcemanager.projectCreator)
  - Project Deleter (roles/resourcemanager.projectDeleter)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
I ruoli per il deployment di framework con policy dell'organizzazione contengono le autorizzazioni orgpolicy.policies.create, orgpolicy.policies.update e orgpolicy.policies.get richieste.

I ruoli per la creazione di framework contengono le autorizzazioni resourcemanager.folders.get, resourcemanager.folders.create e resourcemanager.folders.delete richieste.

I ruoli per la creazione di progetti contengono le autorizzazioni resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete e resourcemanager.projects.createBillingAssignment richieste.
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizza framework

Completa i passaggi riportati di seguito per visualizzare la configurazione dei framework integrati o di altri framework che hai già creato.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Per visualizzare tutti i framework disponibili, fai clic sulla scheda Configura.

La dashboard mostra i framework disponibili, una breve descrizione, le piattaforme supportate e le risorse a cui è stato applicato il framework.
Per visualizzare i dettagli di un framework specifico, fai clic sul nome del framework.

Visualizza controlli cloud

Completa i seguenti passaggi per visualizzare i controlli cloud integrati e quelli personalizzati che hai già creato.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Nella scheda Configura, fai clic su Controlli cloud. Vengono visualizzati i controlli cloud disponibili.

La dashboard include informazioni sui framework che includono il controllo cloud e il numero di risorse (organizzazione, cartelle e progetti) a cui viene applicato il controllo cloud.
Per visualizzare i dettagli di un controllo cloud, fai clic sul nome del controllo.

Crea un controllo cloud personalizzato

Un controllo cloud personalizzato si applica a un solo tipo di risorsa. Gli unici tipi di dati supportati sono le risorse Cloud Asset Inventory.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Nella scheda Configura, fai clic su Controlli cloud. Viene visualizzato l'elenco dei controlli cloud disponibili.
Crea un controllo cloud, con Gemini o manualmente:

Usa Gemini

Chiedi a Gemini di generare un controllo cloud per te. In base al tuo prompt, Gemini fornisce un identificatore univoco, un nome, una logica di rilevamento associata e possibili passaggi di correzione.
Esamina i consigli e apporta le modifiche necessarie.
Salva il controllo cloud personalizzato.

Crea manualmente

In ID controllo cloud, fornisci un identificatore univoco per il controllo.
Inserisci un nome e una descrizione per aiutare gli utenti della tua organizzazione a comprendere lo scopo del controllo cloud personalizzato.
(Facoltativo) Seleziona le categorie per il controllo. Fai clic su Continua.
Seleziona un tipo di risorsa disponibile per il controllo cloud personalizzato.
Fornisci la logica di rilevamento per il controllo cloud nel formato Common Expression Language (CEL).

Le espressioni CEL ti consentono di definire come valutare le proprietà di una risorsa. Per ulteriori informazioni ed esempi, vedi Scrivere regole per i controlli cloud personalizzati. Fai clic su Continua.
Seleziona una gravità appropriata per i risultati.
Scrivi le istruzioni di correzione in modo che i responsabili della risposta agli incidenti e gli amministratori della tua organizzazione possano risolvere i problemi rilevati per il controllo cloud. Fai clic su Continua.
Esamina le voci e fai clic su Crea.

Creare un framework

Dopo aver determinato quali controlli cloud si applicano alle risorse all'interno della tua organizzazione o di una cartella o un progetto specifici, puoi creare un framework. Puoi creare un framework personalizzato o copiare un framework esistente e modificarlo.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Nella scheda Configura, fai clic su Crea framework personalizzato.
Completa una delle seguenti operazioni:
- Per utilizzare un framework esistente, completa i seguenti passaggi:
  1. Seleziona Inizia da un framework esistente.
  2. Seleziona il framework da copiare.
  3. Fai clic su Aggiungi.
- Per creare un framework personalizzato, seleziona Inizia nuovo.
Inserisci un nome, un identificatore univoco e una descrizione per il framework. Fai clic su Continua.

Se stai copiando un framework esistente, viene visualizzato l'elenco dei controlli cloud che facevano parte del framework esistente.
Per aggiungere i controlli cloud che ti servono, completa i seguenti passaggi:
- Per aggiungere un controllo cloud esistente, fai clic su Aggiungi controlli cloud. Seleziona tutti i controlli cloud che ti servono e poi fai clic su Aggiungi.
- Per creare un controllo cloud personalizzato, fai clic su Crea un controllo cloud personalizzato. Per le istruzioni, vedi Creare un controllo cloud personalizzato.
Fai clic su Continua.
Aggiungi eventuali parametri aggiuntivi richiesti dai controlli cloud.

Ad esempio, se vuoi attivare un controllo cloud di gestione della postura di sicurezza dei dati (DSPM) come il controllo cloud Governance dell'accesso ai dati, specifica le posizioni che i principal devono utilizzare. Per saperne di più sui controlli di Gestione della postura di sicurezza dei dati, consulta Controllo cloud di governance dell'accesso ai dati.
Fai clic su Crea.

Esegui il deployment di un framework

Esegui il deployment di un framework in un'organizzazione, una cartella o un progetto in modo da poter controllare e monitorare queste risorse utilizzando i controlli cloud del framework. Puoi implementare più framework in ogni organizzazione, cartella o progetto.

Cartelle e progetti ereditano i framework tramite la Google Cloud gerarchia delle risorse. Pertanto, se implementi framework a livello di organizzazione e di progetto, tutti i controlli cloud all'interno di entrambi i framework si applicano alle risorse del progetto. Se ci sono differenze nelle definizioni dei controlli cloud, le risorse nel progetto utilizzano il controllo cloud di livello inferiore. Ad esempio, se una regola di controllo cloud è impostata su Consenti a livello di organizzazione e su Nega a livello di progetto, l'impostazione Nega a livello di progetto viene applicata alle risorse del progetto.

Come best practice, ti consigliamo di implementare un framework a livello di organizzazione che includa i controlli cloud che possono essere applicati all'intera attività. Puoi quindi implementare framework più rigorosi per le cartelle e i progetti che li richiedono.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Nella scheda Configura, per il framework che vuoi implementare, fai clic su Altre azioni > Applica alle risorse.
Scegli una delle seguenti opzioni:
- Per monitorare solo la deriva, scegli Monitora.
- Per monitorare la deriva e prevenire attivamente le violazioni, scegli Monitora e previeni.
Seleziona la risorsa in cui vuoi eseguire il deployment del framework. Puoi scegliere un'organizzazione, una cartella o un progetto esistente. Se hai scelto di prevenire attivamente le violazioni, puoi creare una nuova cartella o un nuovo progetto e implementare il framework.
Completa una delle seguenti operazioni:
- Se hai selezionato Monitora, verifica le informazioni e fai clic su Monitora.
- Se hai selezionato Monitora e previeni, completa i seguenti passaggi:
  1. Fai clic su Avanti. Esamina i controlli e le modalità cloud.
  2. Fai clic su Continua.
  3. Se visualizzate, verifica le informazioni aggiuntive richieste per alcuni controlli cloud.
  4. Fai clic su Avanti.
  5. Controlla le tue selezioni e poi fai clic su Applica.

Dopo aver eseguito il deployment del framework, puoi monitorare il tuo ambiente per rilevare eventuali deviazioni dai controlli cloud definiti. Security Command Center segnala le istanze di drift come risultati che puoi esaminare, filtrare e risolvere. Potrebbero essere necessarie circa sei ore dopo il deployment di un framework prima che vengano visualizzati i risultati relativi ai controlli cloud.

Rimuovere risorse da un framework di deployment

Puoi rimuovere l'organizzazione, le cartelle o i progetti che hai assegnato a un framework di deployment. Se rimuovi le risorse, il framework non genera più risultati per quel nodo della gerarchia delle risorse.

Quando rimuovi le risorse, lo stato dei risultati correlati cambia in Inactive dopo sette giorni.

Nella console Google Cloud , vai alla pagina Conformità.

Vai a Conformità
Seleziona la tua organizzazione.
Nella scheda Configura, fai clic sul framework da cui vuoi annullare l'assegnazione delle risorse.
Nella pagina Dettagli framework, fai clic su Azioni > Gestisci assegnazioni risorse.
Nella tabella Risorse assegnate, trova la risorsa che vuoi rimuovere e fai clic su Elimina.
Esamina il messaggio di conferma e fai clic su Annulla assegnazione.