Compliance Manager te permite ejecutar auditorías en relación con los frameworks para que puedas comprender el estado de cumplimiento de tu entorno de Google Cloud . Auditar tu entorno te permite completar las siguientes acciones:
- Automatiza las evaluaciones de cumplimiento para evaluar qué tan bien se alinean tus cargas de trabajo de Google Cloudcon tus obligaciones de cumplimiento.
- Recopila pruebas para las auditorías de cumplimiento.
- Identificar las brechas para ayudar a corregir los incumplimientos
El Administrador de cumplimiento puede proporcionar evaluaciones para cualquierGoogle Cloud carpeta o proyecto.
El proceso de auditoría crea los siguientes artefactos que el Administrador de cumplimiento almacena en buckets de Cloud Storage:
- Un informe de resumen de auditoría que proporcione lo siguiente:
- Es un resumen de qué tan bien se alinea tu carpeta o proyecto con los controles de la nube en un framework.
- Una matriz de responsabilidades para ayudarte a comprender tus responsabilidades compartidas con Google
- Un informe general de los controles que describe los resultados de la evaluación de un control de la nube específico. En este informe, se proporcionan detalles de la evaluación para cada verificación de cumplimiento, incluidas las observaciones y los valores esperados.
- Evidencia utilizada para crear el informe, que incluye todos los recursos evaluados para cada control de la nube, incluido un volcado sin procesar de los datos de los activos.
Antes de comenzar
-
Para obtener los permisos que necesitas para auditar tu entorno, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización, carpeta o proyecto:
-
Administrador de Compliance Manager (
roles/cloudsecuritycompliance.admin) -
En el proyecto en el que se encuentra el bucket de Cloud Storage, una de las siguientes opciones:
-
Administrador de almacenamiento (
roles/storage.admin) -
Propietario de buckets heredados de almacenamiento (
roles/storage.legacyBucketOwner)
-
Administrador de almacenamiento (
-
Para inscribir una organización, se debe cumplir con uno de los siguientes requisitos:
-
Administrador de seguridad (
roles/iam.securityAdmin) -
Administrador de la organización (
roles/resourcemanager.organizationAdmin)
-
Administrador de seguridad (
-
Para inscribir una carpeta, debe cumplirse una de las siguientes condiciones:
-
Administrador de seguridad (
roles/iam.securityAdmin) -
Administrador de la organización (
roles/resourcemanager.organizationAdmin) -
Administrador de carpetas (
roles/resourcemanager.folderAdmin) -
Administrador de IAM de carpeta (
roles/resourcemanager.folderIamAdmin)
-
Administrador de seguridad (
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Los roles para inscribir una organización contienen el permisoresourcemanager.organizations.setIamPolicyrequerido. Los roles para inscribir una carpeta contienen el permisoresourcemanager.folders.setIamPolicyrequerido.También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
-
Administrador de Compliance Manager (
- Identifica o crea buckets de Cloud Storage en los que puedas almacenar los datos de auditoría. Para obtener instrucciones, consulta Crea un bucket.
- Aplica los marcos de trabajo que deseas auditar a la organización, las carpetas y los proyectos correspondientes.
- Si restringes las ubicaciones de recursos, verifica que la política de la organización incluya las ubicaciones en las que deseas procesar tu auditoría.
Inscribe recursos
Antes de auditar tu entorno, debes inscribir la organización, las carpetas o los proyectos que deseas auditar y especificar un bucket de Cloud Storage. El Administrador de cumplimiento almacena los datos de auditoría en el bucket de Cloud Storage.
En la consola, ve a la página Cumplimiento.
Selecciona tu organización.
En la pestaña Auditoría (versión preliminar), haz clic en Configuración de auditoría.
Busca los proyectos o las carpetas que quieras auditar.
Haz clic en Inscribirse. La herencia funciona de la siguiente manera:
- Si inscribes una organización, puedes auditar todas las carpetas y los proyectos.
- Si inscribes una carpeta, puedes auditar las carpetas y los proyectos dentro de ella.
Selecciona el bucket de Cloud Storage que deseas usar para almacenar los datos de auditoría o crea un bucket nuevo.
Haz clic en Inscribirse.
Actualiza la inscripción de tus recursos
Puedes cambiar el bucket de Cloud Storage después de inscribir un recurso.
En la consola, ve a la página Cumplimiento.
Selecciona tu organización.
En la pestaña Auditoría (versión preliminar), haz clic en Configuración de auditoría.
Busca el proyecto o la carpeta que quieras cambiar.
Haz clic en Actualizar.
Modifica la información del bucket.
Haz clic en Inscribirse.
Audita tu entorno
Completa la siguiente tarea para iniciar una auditoría de una carpeta o un proyecto.
En la consola, ve a la página Cumplimiento.
Selecciona tu organización.
En la pestaña Auditoría (vista previa), haz clic en Ejecutar auditoría.
Selecciona el recurso que deseas auditar. Solo puedes seleccionar una carpeta o un proyecto para cada auditoría.
Selecciona un framework aplicado.
Selecciona la ubicación en la que se debe procesar la evaluación de auditoría. Para obtener la lista de ubicaciones admitidas, consulta Ubicaciones de auditoría para el Administrador de cumplimiento. Si no ves la ubicación que buscas, selecciona global. Haz clic en Siguiente.
Revisa el plan de evaluación. En este plan, se proporciona información sobre el alcance de la auditoría según el marco que seleccionaste. Para descargar el archivo de hoja de cálculo de OpenDocument (ODS), haz clic en el vínculo.
Haz clic en Siguiente.
Selecciona el bucket de Cloud Storage en el que deseas almacenar tus informes de auditoría. Haz clic en Listo.
Haz clic en Ejecutar auditoría. La auditoría puede tardar un tiempo en completarse. Actualiza la página principal de Auditoría para ver el progreso.
Para supervisar los cambios en el bucket de Cloud Storage, puedes configurar notificaciones con una función basada en eventos o Pub/Sub.
Cómo ver la información de auditoría
Cuando se completa una auditoría, el Administrador de cumplimiento crea y almacena los artefactos en los buckets de almacenamiento de destino para que los veas.
En la consola, ve a la página Cumplimiento.
Selecciona tu organización.
En la pestaña Auditoría (versión preliminar), para ver el resumen de la auditoría, haz clic en el vínculo de la columna Estado.
En la página Información básica, se muestra la información sobre los controles de cumplimiento incluidos en el alcance y el estado del cumplimiento automatizado:
- Cumple con los requisitos: Muestra los parámetros de configuración que cumplen con todos los requisitos.
- Violations: Muestra los parámetros de configuración incorrectos que se detectan en un control determinado.
- Se necesita una revisión manual: Muestra las configuraciones que requieren que las valides de forma manual para determinar si cumplen con los requisitos. Las entradas del usuario sirven para demostrar el cumplimiento y el control del proceso.
- Omitidas: Muestra las configuraciones que el Administrador de cumplimiento omitió para un control determinado.
Según el tipo de información de auditoría que quieras ver, sigue las instrucciones de la pestaña correspondiente.
Informe de resumen de auditoría
- Para ver los detalles de un estado, haz clic en Ver.
Para exportar el informe de resumen de auditoría, haz clic en Exportar.
El informe de resumen de auditoría se exporta en formato ODS.
Informe de resumen de Controles
Puedes ver el informe de resumen del control según un control o un estado.
Para ver la página de descripción general del control en función de un control, haz lo siguiente:
En la lista filtrada, expande el control requerido.
Haz clic en el hipervínculo correspondiente. En la página de control, se muestran la responsabilidad, los hallazgos y los requisitos.
Para ver el informe de resumen de controles según un estado, haz lo siguiente:
Haz clic en Ver para ver el estado requerido.
En la lista de controles, haz clic en el hipervínculo requerido. En la página de descripción general del control, se muestran la responsabilidad, los hallazgos y los requisitos.
Para exportar el informe de resumen de controles, haz clic en Exportar. El informe de resumen de controles se exporta en formato ODS.
Evidencia
Puedes ver la evidencia según el control o el estado.
Para ver la evidencia basada en un control, haz lo siguiente:
Expande el control requerido.
Para ver la evaluación de cumplimiento detallada de cada regla, haz clic en el hipervínculo correspondiente.
En la página de controles, se muestran la responsabilidad, los hallazgos y los requisitos.
Para ver la evidencia según un estado, haz lo siguiente:
Haz clic en Ver para ver el estado requerido.
En la lista de controles, haz clic en el hipervínculo requerido.
En la página de controles, se muestran la responsabilidad, los hallazgos y los requisitos.
Para ver la evidencia de un hallazgo, en la lista filtrada, haz clic en Haz clic aquí para abrir la evidencia. Se abrirá la página Detalles del objeto con los detalles de la evidencia en una pestaña separada.
Para descargar la evidencia, haz clic en Descargar. La evidencia se descarga en formato JSON.
Como alternativa, puedes descargar el informe y las pruebas requeridos directamente desde el bucket de almacenamiento de destino. Para obtener más información, consulta Descarga un objeto de un bucket.
Informe de resumen de auditoría
El informe de resumen de auditoría es un informe integral que proporciona una descripción general de todos los controles de cumplimiento y una matriz de responsabilidades para ayudarte a comprender el cumplimiento de la carpeta o el proyecto Google Cloud . El informe de resumen de auditoría está disponible en formato de hoja de cálculo de OpenDocument (ODS).
En el bucket de almacenamiento de destino, el informe de resumen de auditoría usa la siguiente convención de nomenclatura:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods
Los valores son los siguientes:
FRAMEWORK_NAME: Es el nombre del framework.TIMESTAMP: Una marca de tiempo que indica cuándo se generó el informe.UNIQUE_ID: Es un ID único para el informe.
Para cada tipo de control aplicable, los siguientes campos se completan en el informe de resumen de auditoría:
| Tipo de control | Descripción |
|---|---|
| Información de control | Es una descripción y un requisito para el control. |
| Responsabilidad de Google | Google Cloud responsabilidad y detalles de implementación |
| Responsabilidad del cliente | Tu responsabilidad y los detalles de implementación. |
| Estado de evaluación |
Es el estado de cumplimiento del control. El estado puede ser uno de los siguientes tipos:
|
| Vínculo del informe de control | Es un vínculo al informe de resumen del control. |
Informe de resumen de Controles
Un informe de resumen del control contiene una descripción detallada de la evaluación de cumplimiento para un solo control. El informe proporciona detalles de la evaluación para cada verificación de cumplimiento con observaciones y valores esperados.
En el bucket de almacenamiento de destino, el informe de resumen del control usa la siguiente convención de nomenclatura:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods
Los valores son los siguientes:
FRAMEWORK: Es el nombre del framework.TIMESTAMP: Es la marca de tiempo en la que se generó el informe.UNIQUE_ID: Es un ID único para el informe.CONTROL_ID: Es el ID del control.
En el informe, las fechas usan el formato MM/DD/AAAA.
Un informe de resumen de controles es similar al siguiente ejemplo:
| Control ID: CUMPLE CON LOS REQUISITOS | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Nombre del servicio | Cantidad de recursos | Estado | Detalles de la evaluación de recursos | ||||||||
| ID de recurso | Campo medido | Valor actual | Valor esperado | Estado | URI del recurso de evidencia | Marca de tiempo de la evidencia | Evidencia del proyecto o la carpeta | Vínculo de evidencia | |||
| Cantidad total de servicios incluidos en el alcance de este control | Total de recursos en el alcance de la auditoría | Estado de cumplimiento | Identificador de recursos | Configuración que se medirá para la auditoría | Valores observados | Valores que cumplen con los requisitos | Estado de cumplimiento individual | Marca de tiempo en la que se recopiló la evidencia | |||
| product1.googleapis.com | 2 | CONFORME | folder_123456 | abc | 10 | >=10 | CONFORME | Recurso 1 | 01/01/2025 12:55:16 | Proyecto 1 | Vínculo 1 |
| def | 15 | =15 | CONFORME | Recurso 4 | 12/05/2024 13:55:16 | Proyecto 1 | Vínculo 4 | ||||
| project_123456 | xyz | 20 | =20 | CONFORME | Recurso 2 | 12/05/2024 14:55:16 | Proyecto 1 | Vínculo 2 | |||
| product2.googleapis.com | 1 | CONFORME | project_123456 | def | 5 | >=5 | CONFORME | Recurso 3 | 12/05/2024 15:55:16 | Proyecto 1 | Vínculo 3 |
Evidencia
La evidencia incluye todos los recursos evaluados para cada control, lo que incluye un volcado sin procesar de los datos de los activos junto con el comando que se ejecutó para producir el resultado.
En el bucket de almacenamiento de destino, las evidencias están en formato JSON y usan la siguiente convención de nombres:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json
Los valores son los siguientes:
FRAMEWORK_NAME: Es el nombre del framework.TIMESTAMP: Es la marca de tiempo en la que se generó el informe.UNIQUE_ID: Es un ID único para el informe.EVIDENCE_ID: Es un ID único para la evidencia.
¿Qué sigue?
- Resuelve los resultados de la auditoría siguiendo las instrucciones que se indican en Resultados de vulnerabilidades.