Auditar tu entorno con Gestor de Cumplimiento

Gestor de Cumplimiento te permite realizar auditorías en marcos para que puedas conocer el estado de cumplimiento de tu Google Cloud entorno. Auditar tu entorno te permite hacer lo siguiente:

• Automatiza las evaluaciones de cumplimiento para comprobar si tus Google Cloud cargas de trabajo se ajustan a tus obligaciones de cumplimiento.
• Recoge pruebas para las auditorías de cumplimiento.
• Identificar las carencias para corregir las infracciones.

Gestor de Cumplimiento puede proporcionar evaluaciones de cualquierGoogle Cloud carpeta o proyecto.

El proceso de auditoría crea los siguientes artefactos, que Gestor de Cumplimiento almacena en segmentos de Cloud Storage:

• Un informe de resumen de auditoría que proporciona lo siguiente:
  • Un resumen de lo bien que se ajusta tu carpeta o proyecto a los controles de la nube de un framework.
  • Una matriz de responsabilidades para ayudarte a entender las responsabilidades que compartes con Google.
• Un informe de resumen de controles que describe los resultados de la evaluación de un control de nube específico. Este informe proporciona detalles de la evaluación de cada comprobación de cumplimiento, incluidas las observaciones y los valores esperados.
• Las pruebas utilizadas para crear el informe, que incluye todos los recursos evaluados para cada control de la nube, así como un volcado sin procesar de los datos de los recursos.

Antes de empezar

• Para obtener los permisos que necesitas para auditar tu entorno, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización, carpeta o proyecto:

  • Administrador de Compliance Manager (roles/cloudsecuritycompliance.admin)
  • En el proyecto en el que se encuentra el segmento de Cloud Storage, haz una de las siguientes acciones:
    • Administrador de almacenamiento (roles/storage.admin)
    • Propietario de segmentos heredados de Storage (roles/storage.legacyBucketOwner)
  • Para registrar una organización, debe cumplir uno de los siguientes requisitos:
    • Administrador de seguridad (roles/iam.securityAdmin)
    • Administrador de la organización (roles/resourcemanager.organizationAdmin)
  • Para registrar una carpeta, haz una de las siguientes acciones:
    • Administrador de seguridad (roles/iam.securityAdmin)
    • Administrador de la organización (roles/resourcemanager.organizationAdmin)
    • Administrador de carpetas (roles/resourcemanager.folderAdmin)
    • Administrador de gestión de identidades y accesos de carpetas (roles/resourcemanager.folderIamAdmin)

  Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

  Los roles para registrar una organización contienen el permiso resourcemanager.organizations.setIamPolicy necesario. Los roles para registrar una carpeta contienen el permiso resourcemanager.folders.setIamPolicy necesario.

  También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

• Identifica o crea segmentos de Cloud Storage en los que puedas almacenar los datos de auditoría. Para obtener instrucciones, consulta Crear un contenedor.
• Aplica los frameworks que quieras auditar a la organización, las carpetas y los proyectos correspondientes.
• Si restringes las ubicaciones de los recursos, verifica que la política de la organización incluya las ubicaciones en las que quieras procesar tu auditoría.

Registrar recursos

Para auditar tu entorno, debes registrar la organización, las carpetas o los proyectos que quieras auditar y especificar un segmento de Cloud Storage. Gestor de Cumplimiento almacena los datos de auditoría en el segmento de Cloud Storage.

1. En la consola, ve a la página Cumplimiento.

   Ir a Cumplimiento

2. Selecciona tu organización.

3. En la pestaña Auditoría (vista previa), haga clic en Configuración de auditoría.

4. Busca los proyectos o las carpetas que quieras auditar.

5. Haz clic en Enroll (Registrar). La herencia funciona de la siguiente manera:

   • Si registras una organización, puedes auditar todas las carpetas y proyectos.
   • Si registras una carpeta, puedes auditar las carpetas y los proyectos que contiene.

6. Selecciona el segmento de Cloud Storage que quieras usar para almacenar los datos de auditoría o crea uno.

7. Haz clic en Enroll (Registrar).

Actualizar el registro de recursos

Puedes cambiar el segmento de Cloud Storage después de registrar un recurso.

1. En la consola, ve a la página Cumplimiento.

   Ir a Cumplimiento

2. Selecciona tu organización.

3. En la pestaña Auditoría (vista previa), haga clic en Configuración de auditoría.

4. Busca el proyecto o la carpeta que quieras cambiar.

5. Haz clic en Actualizar.

6. Modifica la información del contenedor.

7. Haz clic en Enroll (Registrar).

Auditar el entorno

Completa la siguiente tarea para iniciar una auditoría de una carpeta o un proyecto.

1. En la consola, ve a la página Cumplimiento.

   Ir a Cumplimiento

2. Selecciona tu organización.

3. En la pestaña Auditoría (vista previa), haga clic en Ejecutar auditoría.

4. Selecciona el recurso que quieras auditar. Solo puedes seleccionar una carpeta o un proyecto por auditoría.

5. Selecciona un marco aplicado.

6. Selecciona la ubicación en la que se debe procesar la auditoría. Para ver la lista de ubicaciones admitidas, consulta Ubicaciones de auditoría de Gestor de Cumplimiento. Si no ves la ubicación que buscas, selecciona Global. Haz clic en Siguiente.

7. Revisa el plan de evaluación. Este plan proporciona información sobre el ámbito de la auditoría en función del marco que hayas seleccionado. Para descargar el archivo de hoja de cálculo OpenDocument (ODS), haz clic en el enlace.

8. Haz clic en Siguiente.

9. Selecciona el segmento de Cloud Storage en el que quieras almacenar tus informes de auditoría. Haz clic en Listo.

10. Haz clic en Ejecutar auditoría. La auditoría puede tardar un tiempo en completarse. Actualiza la página principal Auditoría para ver el progreso.

Para monitorizar los cambios en el segmento de Cloud Storage, puedes configurar notificaciones mediante una función basada en eventos o Pub/Sub.

Ver información de auditoría

Cuando se completa una auditoría, Gestor de Cumplimiento crea y almacena los artefactos en los contenedores de almacenamiento de destino para que puedas verlos.

1. En la consola, ve a la página Cumplimiento.

   Ir a Cumplimiento

2. Selecciona tu organización.

3. En la pestaña Auditoría (vista previa), haga clic en el enlace de la columna Estado para ver el resumen de la auditoría.

   En la página Información básica se muestra información sobre los controles de cumplimiento incluidos y el estado del cumplimiento automatizado:

   • Cumplimiento: muestra las configuraciones que cumplen todos los requisitos.
   • Infracciones: muestra los errores de configuración detectados en un control concreto.
   • Revisión manual necesaria: muestra las configuraciones que debes validar manualmente para determinar si cumplen los requisitos. Los usuarios pueden introducir información para demostrar el cumplimiento y el control de los procesos.
   • Omitido: muestra las configuraciones que el Gestor de Cumplimiento ha omitido en un control concreto.

4. En función del tipo de información de auditoría que quieras ver, sigue las instrucciones de la pestaña correspondiente.

   Informe de resumen de auditoría

   1. Para ver los detalles de un estado, haz clic en Ver.

   2. Para exportar el informe de resumen de auditoría, haga clic en file_uploadExportar.

      El informe de resumen de auditoría se exporta en formato ODS.

   Informe de resumen de controles

   Puede ver el informe de resumen de controles en función de un control o de un estado.

   Para ver la página de descripción general de un control, siga estos pasos:

   1. En la lista filtrada, despliega el control que quieras.

   2. Haz clic en el hiperenlace correspondiente. En la página de control se muestran las responsabilidades, las conclusiones y los requisitos.

   Para ver el informe de resumen de controles en función de un estado, siga estos pasos:

   1. En el estado necesario, haga clic en Ver.

   2. En la lista de controles, haga clic en el hiperenlace que necesite. En la página de resumen de los controles se muestran las responsabilidades, las conclusiones y los requisitos.

   Para exportar el informe de resumen de control, haga clic en file_uploadExportar. El informe de resumen de controles se exporta en formato ODS.

   Pruebas

   Puedes ver las pruebas en función del control o del estado.

   Para ver las pruebas basadas en un control, haz lo siguiente:

   1. Despliega el control que quieras.

   2. Para ver la evaluación de cumplimiento detallada de cada regla, haga clic en el hiperenlace correspondiente.

   En la página de controles se muestran las responsabilidades, las conclusiones y los requisitos.

   Para ver las pruebas en función de un estado, haz lo siguiente:

   1. En el estado necesario, haga clic en Ver.

   2. En la lista de controles, haga clic en el hiperenlace que necesite.

   En la página de controles se muestran las responsabilidades, las conclusiones y los requisitos.

   Para ver las pruebas de un resultado, en la lista filtrada, haz clic en Haga clic aquí para abrir las pruebas. La página Detalles del objeto con los detalles de la prueba se abre en otra pestaña.

   Para descargar las pruebas, haz clic en download Descargar. La prueba se descarga en formato JSON.

También puedes descargar el informe y las pruebas necesarios directamente desde el bucket de almacenamiento de destino. Para obtener más información, consulta Descargar un objeto de un contenedor.

Informe de resumen de auditoría

El informe de resumen de auditoría es un informe completo que ofrece una vista general de todos los controles de cumplimiento y una matriz de responsabilidades para ayudarle a comprender el cumplimiento de la Google Cloud carpeta o el proyecto. El informe de resumen de auditoría está disponible en formato de hoja de cálculo OpenDocument (ODS).

En el bucket de almacenamiento de destino, el informe de resumen de auditoría usa la siguiente convención de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

Los valores son los siguientes:

• FRAMEWORK_NAME: el nombre del framework.
• TIMESTAMP: una marca de tiempo que indica cuándo se generó el informe.
• UNIQUE_ID: ID único del informe.

En el informe de resumen de auditoría se rellenan los siguientes campos para cada tipo de control aplicable:

Tipo de control	Descripción
Información de control	Una descripción y un requisito para el control.
Responsabilidad de Google	Google Cloud responsabilidad y detalles de implementación.
Responsabilidad del cliente	Tu responsabilidad y los detalles de la implementación.
Estado de la evaluación	Estado de cumplimiento del control. El estado puede ser uno de los siguientes tipos: Non-Compliant (No cumple los requisitos): se ha detectado una deriva del cumplimiento. Conforme: el sistema cumple los requisitos. Revisión manual necesaria: se generan artefactos, pero se requiere la intervención del usuario para finalizar el estado de cumplimiento. Omitido: Compliance Manager no puede evaluar el control de la nube.
Control Report Link	Un enlace al informe de resumen de controles.

Informe de resumen de controles

Un informe general de un control contiene una descripción detallada de la evaluación del cumplimiento de un solo control. El informe proporciona detalles de la evaluación de cada comprobación de cumplimiento, así como observaciones y valores esperados.

En el bucket de almacenamiento de destino, el informe de resumen de controles usa la siguiente convención de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

Los valores son los siguientes:

• FRAMEWORK: el nombre del framework.
• TIMESTAMP: marca de tiempo que indica cuándo se generó el informe.
• UNIQUE_ID: ID único del informe.
• CONTROL_ID: el ID del control.

En el informe, las fechas tienen el formato MM/DD/AAAA.

Un informe de resumen de controles tiene un aspecto similar al siguiente ejemplo:

Control ID: CUMPLE LOS REQUISITOS
Nombre del servicio	Número de recursos	Estado	Detalles de la evaluación de recursos
			ID de recurso	Campo medido	Valor actual	Valor esperado	Estado	URI del recurso de prueba	Marca de tiempo de la prueba	Pruebas de proyecto o carpeta	Enlace de prueba
Número total de servicios incluidos en este control	Recursos totales en el ámbito de la auditoría	Estado de cumplimiento	Identificador de recurso	Configuración que se va a medir para la auditoría	Valores observados	Valores conformes	Estado de cumplimiento individual		Marca de tiempo de cuándo se recogieron las pruebas
product1.googleapis.com	2	COMPLIANT	folder_123456	abc	10	>=10	COMPLIANT	Recurso 1	01/01/2025 12:55:16	Proyecto 1	Enlace 1
				def	15	=15	COMPLIANT	Recurso 4	05/12/2024 13:55:16	Proyecto 1	Enlace 4
			project_123456	xyz	20	=20	COMPLIANT	Recurso 2	05/12/2024 14:55:16	Proyecto 1	Enlace 2
product2.googleapis.com	1	COMPLIANT	project_123456	def	5	>=5	COMPLIANT	Recurso 3	05/12/2024 15:55:16	Proyecto 1	Enlace 3

Pruebas

Las pruebas incluyen todos los recursos evaluados para cada control, así como un volcado sin procesar de los datos de los recursos y el comando que se ha ejecutado para generar el resultado.

En el segmento de almacenamiento de destino, las pruebas están en formato JSON y siguen la siguiente convención de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

Los valores son los siguientes:

• FRAMEWORK_NAME: el nombre del framework.
• TIMESTAMP: marca de tiempo que indica cuándo se generó el informe.
• UNIQUE_ID: ID único del informe.
• EVIDENCE_ID: un ID único de la prueba.

Siguientes pasos

• Resuelve los resultados de la auditoría siguiendo las instrucciones del artículo Resultados de vulnerabilidades.