Aplicar um framework

Os frameworks do Compliance Manager consistem em controles de nuvem que ajudam você a atender aos requisitos regulamentares ou de segurança da sua organização nos ambientes de nuvem. Aplicar um framework é um processo de duas etapas. Primeiro, você precisa determinar os controles de nuvem que sua empresa exige para gerenciar segurança, conformidade e risco. Em seguida, implante um framework que inclua esses controles de nuvem nos recursos apropriados emGoogle Cloud. Esta página ajuda você a concluir as seguintes etapas:

1. Avalie qual framework integrado melhor se alinha aos seus requisitos regulamentares e de segurança. Você pode criar seu próprio framework personalizado, mas recomendamos começar com um framework integrado.

2. Determine quais controles de nuvem integrados correspondem aos requisitos da sua empresa. É possível criar controles de nuvem personalizados, se necessário.

3. Determine se você quer implantar o framework na sua organização do Google Cloud ou em pastas e projetos específicos. Só é possível implantar uma estrutura em cada organização, pasta ou projeto. O Gerenciador de compliance é compatível com pastas ativadas para apps.

4. Copie um framework existente e modifique-o para atender aos seus requisitos. Se necessário, crie um framework personalizado.

5. Implante o framework na organização, pasta ou projeto apropriado.

Antes de começar

• Para receber as permissões necessárias para aplicar frameworks, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:

  • Administrador do Compliance Manager (roles/cloudsecuritycompliance.admin)
  • Para acessar os painéis de descobertas: Leitor do Compliance Manager (roles/cloudsecuritycompliance.viewer)
  • Para implantar frameworks que incluem controles de nuvem baseados em políticas da organização, faça uma das seguintes ações:
    • Administrador de políticas da organização (roles/orgpolicy.policyAdmin)
    • Administrador do Assured Workloads (roles/assuredworkloads.admin)
    • Editor do Assured Workloads (roles/assuredworkloads.editor)
  • Para criar uma pasta ao implantar um framework, faça uma destas ações:
    • Administrador de pastas (roles/resourcemanager.folderAdmin)
    • Criador de pastas (roles/resourcemanager.folderCreator)
  • Para criar um projeto ao implantar um framework, faça o seguinte:
    • Gerente de faturamento do projeto (roles/billing.projectManager)
    • Criador de projetos (roles/resourcemanager.projectCreator)
    • Excluidor de projetos (roles/resourcemanager.projectDeleter)

  Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

  Os papéis para implantação de frameworks com políticas da organização contêm as permissões orgpolicy.policies.create, orgpolicy.policies.update e orgpolicy.policies.get necessárias.

  Os papéis para criar frameworks contêm as permissões resourcemanager.folders.get, resourcemanager.folders.create e resourcemanager.folders.delete necessárias.

  Os papéis para criar projetos contêm as permissões necessárias resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete e resourcemanager.projects.createBillingAssignment.

  Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ver frameworks

Siga estas etapas para conferir a configuração de frameworks integrados ou outros frameworks que você já criou.

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Para conferir todos os frameworks disponíveis, clique na guia Configurar.

   O painel mostra os frameworks disponíveis, uma breve descrição, plataformas compatíveis e os recursos em que o framework foi aplicado.

3. Para ver detalhes sobre um framework específico, clique no nome dele.

Ver controles de nuvem

Siga estas etapas para conferir os controles de nuvem integrados e os controles personalizados que você já criou.

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Na guia Configurar, clique em Controles na nuvem. Os controles de nuvem disponíveis são mostrados.

   O painel inclui informações sobre quais frameworks incluem o controle de nuvem e o número de recursos (organização, pastas e projetos) em que ele é aplicado.

3. Para ver detalhes sobre um controle de nuvem, clique no nome dele.

Criar Cloud Control personalizado

Um controle de nuvem personalizado se aplica a apenas um tipo de recurso. Os únicos tipos de dados compatíveis são recursos do Inventário de recursos do Cloud.

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Na guia Configurar, clique em Controles na nuvem. A lista de controles de nuvem disponíveis é exibida.

3. Crie um controle de nuvem com o Gemini ou manualmente:

Criar um framework

Depois de determinar quais controles de nuvem se aplicam aos recursos na sua organização ou em uma pasta ou projeto específico, crie uma estrutura. É possível criar um framework personalizado ou copiar e modificar um framework existente.

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Na guia Configurar, clique em Criar framework personalizado.

3. Siga uma das etapas a seguir:

   • Para usar uma estrutura atual, faça o seguinte:

     1. Selecione Começar com um framework atual.

     2. Selecione o framework que você quer copiar.

     3. Clique em Adicionar.

   • Para criar uma estrutura personalizada, selecione Iniciar nova.

4. Insira um nome, um identificador exclusivo e uma descrição para o framework. Clique em Continue.

   Se você estiver copiando um framework, a lista de controles de nuvem que faziam parte dele vai aparecer.

5. Para adicionar os controles de nuvem necessários, faça o seguinte:

   • Para adicionar um controle de nuvem, clique em Adicionar controles de nuvem. Selecione todos os controles de nuvem necessários e clique em Adicionar.

   • Para criar um controle de nuvem personalizado, clique em Criar controle de nuvem personalizado. Para instruções, consulte Criar um controle personalizado na nuvem.

6. Clique em Continuar.

7. Adicione outros parâmetros exigidos pelos controles de nuvem.

   Por exemplo, se você quiser ativar um controle de nuvem de gerenciamento da postura de segurança de dados (DSPM), como o controle de nuvem Governança de acesso a dados, especifique os locais que os principais precisam usar. Para mais informações sobre os controles de gestão da postura de segurança de dados, consulte Controle de acesso à governança de dados na nuvem.

8. Clique em Criar.

Implantar um framework

Implante um framework em uma organização, pasta ou projeto para controlar e monitorar esses recursos usando os controles de nuvem do framework. É possível implantar vários frameworks em cada organização, pasta ou projeto.

As pastas e os projetos herdam frameworks pela Google Cloud hierarquia de recursos. Portanto, se você implantar frameworks no nível da organização e do projeto, todos os controles de nuvem nos dois frameworks serão aplicados aos recursos do projeto. Se houver diferenças nas definições de controle de nuvem, o controle de nuvem de nível inferior será usado pelos recursos no projeto. Por exemplo, se uma regra de controle na nuvem estiver definida como "Permitir" no nível da organização e como "Negar" no nível do projeto, a configuração "Negar" no nível do projeto será aplicada aos recursos dele.

Como prática recomendada, recomendamos que você implante uma estrutura no nível da organização que inclua os controles de nuvem aplicáveis a toda a empresa. Em seguida, é possível implantar frameworks mais rigorosos em pastas e projetos que exigem isso.

1. No console Google Cloud , acesse a página Conformidade.

   Acesse Conformidade

2. Na guia Configurar, clique em more_vert Mais ações > Aplicar aos recursos para o framework que você quer implantar.

3. Escolha uma das seguintes opções:

   • Para monitorar apenas a deriva, escolha Monitorar.

   • Para monitorar a deriva e evitar violações ativamente, escolha Monitorar e evitar.

4. Selecione o recurso em que você quer implantar o framework. Você pode escolher uma organização, pasta ou projeto. Se você escolheu evitar ativamente as violações, crie uma pasta ou um projeto e implante a estrutura nele.

5. Siga uma das etapas a seguir:

   • Se você selecionou Monitorar, verifique as informações e clique em Monitorar.

   • Se você selecionou Monitorar e evitar, faça o seguinte:

     1. Clique em Próxima. Revise os controles e modos de nuvem.
     2. Clique em Continuar.
     3. Se aparecerem, verifique as informações adicionais necessárias para alguns controles de nuvem.
     4. Clique em Próxima.
     5. Revise suas seleções e clique em Aplicar.

Depois de implantar o framework, você pode monitorar o ambiente para detectar qualquer desvio dos controles de nuvem definidos. O Security Command Center informa instâncias de desvio como descobertas que podem ser revisadas, filtradas e resolvidas. Pode levar aproximadamente seis horas após a implantação de um framework para que os resultados relacionados aos controles de nuvem apareçam.

Esta prévia não permite remover implantações de frameworks. Se você não precisar mais de um framework, poderá silenciar as descobertas dele. Para instruções, consulte Desativar descobertas no Security Command Center.

A seguir

• Monitore seus frameworks para compliance.
• Audite seu ambiente com o Gerenciador de compliance.
• Analise e gerencie descobertas no console.