Umgebung mit Compliance Manager prüfen

Mit Compliance Manager können Sie Audits für Frameworks ausführen, um den Compliance-Status Ihrer Google Cloud Umgebung zu ermitteln. Wenn Sie Ihre Umgebung prüfen, können Sie Folgendes tun:

• Compliance-Bewertungen automatisieren, um zu prüfen, wie gut Ihre Google Cloud-Arbeitslasten mit Ihren Compliance-Verpflichtungen übereinstimmen.
• Beweismittel für Compliance-Audits sammeln.
• Lücken identifizieren, um Verstöße zu beheben

Compliance Manager kann Bewertungen für jedenGoogle Cloud Ordner oder jedes Projekt bereitstellen.

Beim Audit werden die folgenden Artefakte erstellt, die Compliance Manager in Cloud Storage-Buckets speichert:

• Ein zusammenfassender Prüfbericht mit folgenden Informationen:
  • Eine Übersicht darüber, wie gut Ihr Ordner oder Projekt mit den Cloud-Steuerelementen in einem Framework übereinstimmt.
  • Eine Verantwortlichkeitsmatrix, die Ihnen hilft, Ihre gemeinsame Verantwortung mit Google zu verstehen.
• Ein Kontrollübersichtsbericht, in dem die Ergebnisse der Bewertung für eine bestimmte Cloud-Kontrolle beschrieben werden. Dieser Bericht enthält Bewertungsdetails für jede Compliance-Prüfung, einschließlich Beobachtungen und erwarteter Werte.
• Die für die Erstellung des Berichts verwendeten Nachweise, einschließlich aller für jede Cloud-Kontrolle ausgewerteten Ressourcen und eines Rohdumps der Asset-Daten.

Hinweise

• Um die Berechtigungen zu erhalten, die Sie zum Prüfen Ihrer Umgebung benötigen, bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation, Ihren Ordner oder Ihr Projekt zuzuweisen:

  • Compliance Manager-Administrator (roles/cloudsecuritycompliance.admin)
  • Im Projekt, in dem sich der Cloud Storage-Bucket befindet, muss eine der folgenden Rollen zugewiesen sein:
    • Storage-Administrator (roles/storage.admin)
    • Inhaber alter Storage-Buckets (roles/storage.legacyBucketOwner)
  • Für die Registrierung einer Organisation ist Folgendes erforderlich:
    • Sicherheitsadministrator (roles/iam.securityAdmin)
    • Administrator der Organisation (roles/resourcemanager.organizationAdmin)
  • Um einen Ordner zu registrieren, muss eine der folgenden Bedingungen erfüllt sein:
    • Sicherheitsadministrator (roles/iam.securityAdmin)
    • Administrator der Organisation (roles/resourcemanager.organizationAdmin)
    • Ordneradministrator (roles/resourcemanager.folderAdmin)
    • Ordner-IAM-Administrator (roles/resourcemanager.folderIamAdmin)

  Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

  Die Rollen für die Registrierung einer Organisation enthalten die erforderliche Berechtigung resourcemanager.organizations.setIamPolicy. Die Rollen zum Registrieren eines Ordners enthalten die erforderliche Berechtigung resourcemanager.folders.setIamPolicy.

  Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

• Cloud Storage-Buckets identifizieren oder erstellen, in denen Sie die Prüfungsdaten speichern können. Eine Anleitung finden Sie unter Bucket erstellen.
• Wenden Sie die Frameworks, die Sie prüfen möchten, auf die entsprechenden Organisationen, Ordner und Projekte an.
• Wenn Sie Ressourcenstandorte einschränken, prüfen Sie, ob die Organisationsrichtlinie die Standorte enthält, an denen Sie Ihr Audit durchführen möchten.

Ressourcen registrieren

Bevor Sie Ihre Umgebung prüfen können, müssen Sie die Organisation, die Ordner oder die Projekte, die Sie prüfen möchten, registrieren und einen Cloud Storage-Bucket angeben. Compliance Manager speichert die Auditdaten im Cloud Storage-Bucket.

1. Rufen Sie in der Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf dem Tab Audit (Preview) (Prüfung – Vorschau) auf Audit settings (Prüfungseinstellungen).

4. Suchen Sie die Projekte oder Ordner, die Sie prüfen möchten.

5. Klicken Sie auf Registrieren. Die Übernahme funktioniert so:

   • Wenn Sie eine Organisation registrieren, können Sie alle Ordner und Projekte prüfen.
   • Wenn Sie einen Ordner registrieren, können Sie die Ordner und Projekte in diesem Ordner prüfen.

6. Wählen Sie den Cloud Storage-Bucket aus, in dem Sie die Prüfungsdaten speichern möchten, oder erstellen Sie einen neuen Bucket.

7. Klicken Sie auf Registrieren.

Ressourcenregistrierung aktualisieren

Sie können den Cloud Storage-Bucket ändern, nachdem Sie eine Ressource registriert haben.

1. Rufen Sie in der Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf dem Tab Audit (Preview) (Prüfung – Vorschau) auf Audit settings (Prüfungseinstellungen).

4. Suchen Sie das Projekt oder den Ordner, das bzw. den Sie ändern möchten.

5. Klicken Sie auf Aktualisieren.

6. Ändern Sie die Bucket-Informationen.

7. Klicken Sie auf Registrieren.

Umgebung prüfen

Führen Sie die folgenden Schritte aus, um eine Überprüfung eines Ordners oder Projekts zu starten.

1. Rufen Sie in der Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf dem Tab Audit (Preview) auf Run audit (Audit ausführen).

4. Wählen Sie die Ressource aus, die Sie prüfen möchten. Sie können für jede Überprüfung nur einen Ordner oder ein Projekt auswählen.

5. Wählen Sie ein angewendetes Framework aus.

6. Wählen Sie den Standort aus, an dem die Audit-Bewertung verarbeitet werden muss. Eine Liste der unterstützten Standorte finden Sie unter Audit-Standorte für Compliance Manager. Wenn Sie den gewünschten Standort nicht sehen, wählen Sie global aus. Klicken Sie auf Weiter.

7. Prüfen Sie den Bewertungsplan. Dieser Plan enthält Informationen zum Prüfumfang basierend auf dem von Ihnen ausgewählten Framework. Klicken Sie auf den Link, um die ODS-Datei (OpenDocument Spreadsheet) herunterzuladen.

8. Klicken Sie auf Weiter.

9. Wählen Sie den Cloud Storage-Bucket aus, in dem Sie Ihre Prüfberichte speichern möchten. Klicken Sie auf Fertig.

10. Klicken Sie auf Audit ausführen. Die Überprüfung kann einige Zeit in Anspruch nehmen. Aktualisieren Sie die Hauptseite Audit, um den Fortschritt zu sehen.

Um Änderungen am Cloud Storage-Bucket zu beobachten, können Sie Benachrichtigungen mit einer ereignisgesteuerten Funktion oder Pub/Sub einrichten.

Audit-Informationen ansehen

Wenn ein Audit abgeschlossen ist, erstellt und speichert Compliance Manager die Artefakte in den Ziel-Storage-Buckets, damit Sie sie ansehen können.

1. Rufen Sie in der Console die Seite Compliance auf.

   Zu Compliance

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf dem Tab Audit (Preview) in der Spalte Status auf den Link, um die Zusammenfassung des Audits aufzurufen.

   Auf der Seite Allgemeine Informationen werden Informationen zu den relevanten Compliance-Kontrollen und zum Status der automatisierten Compliance angezeigt:

   • Konform:Hier werden die Konfigurationen angezeigt, die alle Anforderungen erfüllen.
   • Verstöße:Hier werden die Fehlkonfigurationen angezeigt, die für eine bestimmte Kontrolle erkannt wurden.
   • Manuelle Überprüfung erforderlich:Hier werden die Konfigurationen angezeigt, die Sie manuell validieren müssen, um festzustellen, ob sie den Richtlinien entsprechen. Sie müssen Nutzereingaben machen, um die Einhaltung der Richtlinien und die Prozesskontrolle nachzuweisen.
   • Übersprungen:Hier werden die Konfigurationen angezeigt, die Compliance Manager für eine bestimmte Kontrollmaßnahme übersprungen hat.

4. Folgen Sie der Anleitung auf dem entsprechenden Tab, je nachdem, welche Art von Audit-Informationen Sie aufrufen möchten.

   Zusammenfassender Prüfbericht

   1. Wenn Sie die Details eines Status aufrufen möchten, klicken Sie auf Ansehen.

   2. Wenn Sie den Zusammenfassungsbericht zum Audit exportieren möchten, klicken Sie auf  file_uploadExportieren.

      Der Zusammenfassungsbericht zur Prüfung wird im ODS-Format exportiert.

   Bericht „Kontrollübersicht“

   Sie können den Übersichtsbericht für Steuerelemente basierend auf einem Steuerelement oder Status aufrufen.

   So rufen Sie die Übersichtsseite für eine Kontrollvariable auf:

   1. Maximieren Sie in der gefilterten Liste das gewünschte Steuerelement.

   2. Klicken Sie auf den entsprechenden Hyperlink. Auf der Kontrollseite werden die Verantwortlichkeiten, Ergebnisse und Anforderungen angezeigt.

   So rufen Sie den Kontrollübersichtsbericht basierend auf einem Status auf:

   1. Klicken Sie für den erforderlichen Status auf Ansehen.

   2. Klicken Sie in der Liste der Steuerelemente auf den gewünschten Hyperlink. Auf der Seite „Kontrollübersicht“ werden die Verantwortlichkeiten, Ergebnisse und Anforderungen angezeigt.

   Wenn Sie den Bericht „Kontrollübersicht“ exportieren möchten, klicken Sie auf  file_uploadExportieren. Der Bericht zur Kontrollübersicht wird im ODS-Format exportiert.

   Belege

   Sie können die Beweise nach Kontrollgruppe oder Status ansehen.

   So rufen Sie die Beweise für eine Kontrollmaßnahme auf:

   1. Maximieren Sie die gewünschte Einstellung.

   2. Wenn Sie sich die detaillierte Compliance-Bewertung für jede Regel ansehen möchten, klicken Sie auf den entsprechenden Hyperlink.

   Auf der Seite „Kontrollen“ werden die Verantwortlichkeiten, Ergebnisse und Anforderungen angezeigt.

   So rufen Sie die Nachweise für einen Status auf:

   1. Klicken Sie für den erforderlichen Status auf Ansehen.

   2. Klicken Sie in der Liste der Steuerelemente auf den gewünschten Hyperlink.

   Auf der Seite „Kontrollen“ werden die Verantwortlichkeiten, Ergebnisse und Anforderungen angezeigt.

   Wenn Sie die Beweise für ein Ergebnis ansehen möchten, klicken Sie in der gefilterten Liste auf Klicken Sie hier, um die Beweise zu öffnen. Die Seite Objektdetails mit den Beweisdetails wird in einem separaten Tab geöffnet.

   Klicken Sie auf download Herunterladen, um den Nachweis herunterzuladen. Die Beweise werden im JSON-Format heruntergeladen.

Alternativ können Sie den erforderlichen Bericht und die erforderlichen Nachweise direkt aus dem Ziel-Storage-Bucket herunterladen. Weitere Informationen finden Sie unter Objekt aus einem Bucket herunterladen.

Zusammenfassender Prüfbericht

Der Audit-Zusammenfassungsbericht ist ein umfassender Bericht, der einen Überblick über alle Compliance-Kontrollen und eine Verantwortlichkeitsmatrix bietet, damit Sie die Compliance des Ordners oder Projekts Google Cloud besser nachvollziehen können. Der Zusammenfassungsbericht für Audits ist im OpenDocument-Tabellenformat (ODS) verfügbar.

Im Ziel-Speicher-Bucket wird für den Audit-Zusammenfassungsbericht die folgende Namenskonvention verwendet:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

Die Werte sind folgende:

• FRAMEWORK_NAME: der Name des Frameworks.
• TIMESTAMP: ein Zeitstempel, der angibt, wann der Bericht generiert wurde.
• UNIQUE_ID: eine eindeutige ID für den Bericht.

Für jeden anwendbaren Steuerelementtyp werden im Prüfbericht die folgenden Felder ausgefüllt:

Einstellungstyp	Beschreibung
Informationen zur Kontrolle	Eine Beschreibung und Anforderung für die Kontrollfunktion.
Verantwortlichkeit von Google	Google Cloud Verantwortung und Implementierungsdetails.
Verantwortung des Kunden	Ihre Verantwortung und Implementierungsdetails.
Prüfungsstatus	Status der Compliance für die Kontrollmaßnahme. Der Status kann einer der folgenden Typen sein: Nicht konform: Es wurde eine Abweichung von den Compliance-Anforderungen erkannt. Konform: Das System ist konform. Manuelle Überprüfung erforderlich: Es werden Artefakte erstellt, aber Nutzereingaben sind erforderlich, um den Compliance-Status abzuschließen. Übersprungen: Compliance Manager kann die Cloud-Kontrolle nicht auswerten.
Link zum Kontrollbericht	Einen Link zum Bericht „Kontrollübersicht“.

Bericht „Kontrollübersicht“

Ein Kontrollübersichtsbericht enthält eine detaillierte Beschreibung der Compliance-Bewertung für eine einzelne Kontrolle. Der Bericht enthält Bewertungsdetails für jede Compliance-Prüfung mit Beobachtungen und erwarteten Werten.

Im Ziel-Storage-Bucket wird für den Kontrollübersichtsbericht die folgende Namenskonvention verwendet:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

Die Werte sind folgende:

• FRAMEWORK: der Name des Frameworks.
• TIMESTAMP: Ein Zeitstempel, der angibt, wann der Bericht generiert wurde.
• UNIQUE_ID: eine eindeutige ID für den Bericht.
• CONTROL_ID: die ID für die Kontrollgruppe.

Im Bericht wird das Datumsformat MM/TT/JJJJ verwendet.

Ein Kontrollübersichtsbericht sieht ungefähr so aus:

Kontrolle ID: KONFORM
Dienstname	Anzahl der Ressourcen	Status	Details zur Ressourcenbewertung
			Ressourcen-ID	Gemessenes Feld	Aktueller Wert	Erwarteter Wert	Status	URI der Nachweisressource	Zeitstempel für Beweismittel	Nachweis für Projekt/Ordner	Beweislink
Gesamtzahl der Dienste, die von dieser Steuerung abgedeckt werden	Gesamtzahl der Ressourcen im Prüfbereich	Compliancestatus	Ressourcenkennzeichnung	Zu prüfende Konfiguration	Beobachtete Werte	Konforme Werte	Individueller Compliancestatus		Zeitstempel, der angibt, wann die Beweise erhoben wurden
product1.googleapis.com	2	COMPLIANT	folder_123456	abc	10	>=10	COMPLIANT	Infomaterial 1	01.01.2025 12:55:16	Projekt 1	Link 1
				def	15	=15	COMPLIANT	Infomaterial 4	05.12.2024 13:55:16	Projekt 1	Link 4
			project_123456	xyz	20	=20	COMPLIANT	Ressource 2	05.12.2024 14:55:16	Projekt 1	Link 2
product2.googleapis.com	1	COMPLIANT	project_123456	def	5	>=5	COMPLIANT	Infomaterial 3	05.12.2024 15:55:16	Projekt 1	Link 3

Belege

Die Nachweise umfassen alle Ressourcen, die für jede Kontrollgruppe ausgewertet wurden, einschließlich eines Rohdumps der Asset-Daten sowie des Befehls, der zum Erstellen der Ausgabe ausgeführt wurde.

Im Ziel-Storage-Bucket sind die Beweise im JSON-Format und folgen dieser Namenskonvention:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

Die Werte sind folgende:

• FRAMEWORK_NAME: der Name des Frameworks.
• TIMESTAMP: Ein Zeitstempel, der angibt, wann der Bericht generiert wurde.
• UNIQUE_ID: eine eindeutige ID für den Bericht.
• EVIDENCE_ID: eine eindeutige ID für den Nachweis.

Nächste Schritte

• Beheben Sie die Ergebnisse der Sicherheitsüberprüfung anhand der Anleitung unter Ergebnisse zu Sicherheitslücken.