Auditer votre environnement avec le Gestionnaire de conformité

Le Gestionnaire de conformité vous permet d'effectuer des audits par rapport à des frameworks afin de comprendre l'état de conformité de votre environnement Google Cloud . L'audit de votre environnement vous permet d'effectuer les opérations suivantes :

• Automatisez les évaluations de conformité pour évaluer dans quelle mesure vos charges de travail Google Cloudsont conformes à vos obligations de conformité.
• Collectez des preuves pour les audits de conformité.
• Identifier les lacunes pour corriger les cas de non-respect

Le Gestionnaire de conformité peut fournir des évaluations pour n'importe quel dossier ou projetGoogle Cloud .

Le processus d'audit crée les artefacts suivants que le Gestionnaire de conformité stocke dans des buckets Cloud Storage :

• Un rapport récapitulatif d'audit qui fournit les informations suivantes :
  • Aperçu de la conformité de votre dossier ou projet avec les contrôles cloud d'un framework.
  • Un tableau des responsabilités pour vous aider à comprendre les responsabilités que vous partagez avec Google.
• Rapport de synthèse sur les contrôles décrivant les résultats de l'évaluation pour un contrôle cloud spécifique. Ce rapport fournit des informations sur l'évaluation pour chaque vérification de conformité, y compris les observations et les valeurs attendues.
• Les preuves utilisées pour créer le rapport, qui incluent toutes les ressources évaluées pour chaque contrôle cloud, y compris un dump brut des données d'actifs.

Avant de commencer

• Pour obtenir les autorisations nécessaires pour auditer votre environnement, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre organisation, votre dossier ou votre projet :

  • Administrateur Compliance Manager (roles/cloudsecuritycompliance.admin)
  • Dans le projet où se trouve le bucket Cloud Storage, l'un des éléments suivants :
    • Administrateur de l'espace de stockage (roles/storage.admin)
    • Propriétaire des anciens buckets Storage (roles/storage.legacyBucketOwner)
  • Pour enregistrer une organisation, vous devez fournir l'un des éléments suivants :
    • Administrateur de sécurité (roles/iam.securityAdmin)
    • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
  • Pour enregistrer un dossier, l'une des options suivantes :
    • Administrateur de sécurité (roles/iam.securityAdmin)
    • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
    • Administrateur de dossier (roles/resourcemanager.folderAdmin)
    • Administrateur IAM de dossiers (roles/resourcemanager.folderIamAdmin)

  Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

  Les rôles permettant d'enregistrer une organisation contiennent l'autorisation resourcemanager.organizations.setIamPolicy requise. Les rôles permettant d'enregistrer un dossier contiennent l'autorisation resourcemanager.folders.setIamPolicy requise.

  Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

• Identifiez ou créez des buckets Cloud Storage dans lesquels vous pourrez stocker les données d'audit. Pour obtenir des instructions, consultez Créer un bucket.
• Appliquez les frameworks que vous souhaitez auditer à l'organisation, aux dossiers et aux projets appropriés.
• Si vous restreignez les emplacements des ressources, vérifiez que la règle d'administration inclut les emplacements où vous souhaitez traiter votre audit.

Enregistrer des ressources

Avant de pouvoir auditer votre environnement, vous devez enregistrer l'organisation, les dossiers ou les projets que vous souhaitez auditer, et spécifier un bucket Cloud Storage. Compliance Manager stocke les données d'audit dans le bucket Cloud Storage.

1. Dans la console, accédez à la page Conformité.

   Accéder

2. Sélectionner votre organisation.

3. Dans l'onglet Audit (aperçu), cliquez sur Paramètres d'audit.

4. Recherchez les projets ou les dossiers que vous souhaitez auditer.

5. Cliquez sur Inscrire. L'héritage fonctionne comme suit :

   • Si vous inscrivez une organisation, vous pouvez auditer tous les dossiers et projets.
   • Si vous enregistrez un dossier, vous pouvez auditer les dossiers et les projets qu'il contient.

6. Sélectionnez le bucket Cloud Storage que vous souhaitez utiliser pour stocker les données d'audit ou créez-en un.

7. Cliquez sur Inscrire.

Modifier l'enregistrement de vos ressources

Vous pouvez modifier le bucket Cloud Storage après avoir enregistré une ressource.

1. Dans la console, accédez à la page Conformité.

   Accéder

2. Sélectionner votre organisation.

3. Dans l'onglet Audit (aperçu), cliquez sur Paramètres d'audit.

4. Recherchez le projet ou le dossier que vous souhaitez modifier.

5. Cliquez sur Mettre à jour.

6. Modifiez les informations sur le bucket.

7. Cliquez sur Inscrire.

Auditer votre environnement

Effectuez la tâche suivante pour lancer un audit d'un dossier ou d'un projet.

1. Dans la console, accédez à la page Conformité.

   Accéder

2. Sélectionner votre organisation.

3. Dans l'onglet Audit (aperçu), cliquez sur Exécuter l'audit.

4. Sélectionnez la ressource que vous souhaitez auditer. Vous ne pouvez sélectionner qu'un seul dossier ou projet par audit.

5. Sélectionnez un framework appliqué.

6. Sélectionnez l'emplacement où l'évaluation de l'audit doit être traitée. Pour obtenir la liste des emplacements acceptés, consultez Emplacements d'audit pour le Gestionnaire de conformité. Si vous ne trouvez pas l'emplacement que vous recherchez, sélectionnez global. Cliquez sur Next (Suivant).

7. Examinez le plan d'évaluation. Ce plan fournit des informations sur le champ d'application de l'audit en fonction du framework que vous avez sélectionné. Pour télécharger le fichier OpenDocument Spreadsheet (ODS), cliquez sur le lien.

8. Cliquez sur Suivant.

9. Sélectionnez le bucket Cloud Storage dans lequel vous souhaitez stocker vos rapports d'audit. Cliquez sur OK.

10. Cliquez sur Exécuter l'audit. L'audit peut prendre un certain temps. Actualisez la page principale Audit pour afficher la progression.

Pour surveiller les modifications apportées au bucket Cloud Storage, vous pouvez configurer des notifications à l'aide d'une fonction événementielle ou de Pub/Sub.

Afficher les informations d'audit

Une fois un audit terminé, le Gestionnaire de conformité crée et stocke les artefacts dans les buckets de stockage de destination pour que vous puissiez les consulter.

1. Dans la console, accédez à la page Conformité.

   Accéder

2. Sélectionner votre organisation.

3. Dans l'onglet Audit (preview), cliquez sur le lien de la colonne État pour afficher le récapitulatif de l'audit.

   La page Informations de base affiche des informations sur les contrôles de conformité concernés et l'état de la conformité automatisée :

   • Conforme : affiche les configurations qui répondent à toutes les exigences.
   • Cas de non-respect : affiche les erreurs de configuration détectées par rapport à un contrôle donné.
   • Examen manuel requis : affiche les configurations que vous devez valider manuellement pour déterminer si elles sont conformes. Les entrées utilisateur permettent de prouver la conformité et le contrôle du processus.
   • Ignoré : affiche les configurations que le Gestionnaire de conformité a ignorées pour un contrôle donné.

4. Suivez les instructions de l'onglet correspondant au type d'informations d'audit que vous souhaitez afficher.

   Rapport récapitulatif sur l'audit

   1. Pour afficher les détails d'un état, cliquez sur Afficher.

   2. Pour exporter le rapport récapitulatif de l'audit, cliquez sur  file_uploadExporter.

      Le rapport récapitulatif d'audit est exporté au format ODS.

   Rapport "Vue d'ensemble du contrôle"

   Vous pouvez afficher le rapport sur la vue d'ensemble des contrôles en fonction d'un contrôle ou d'un état.

   Pour afficher la page de présentation d'un contrôle, procédez comme suit :

   1. Dans la liste filtrée, développez le contrôle requis.

   2. Cliquez sur le lien hypertexte correspondant. La page de contrôle affiche les responsabilités, les conclusions et les exigences.

   Pour afficher le rapport sur l'aperçu des contrôles en fonction d'un état :

   1. Pour obtenir l'état requis, cliquez sur Afficher.

   2. Dans la liste des commandes, cliquez sur le lien hypertexte requis. La page de présentation des contrôles affiche les responsabilités, les résultats et les exigences.

   Pour exporter le rapport "Présentation des contrôles", cliquez sur  file_uploadExporter. Le rapport de synthèse sur les contrôles est exporté au format ODS.

   Preuves

   Vous pouvez afficher les preuves en fonction du contrôle ou de l'état.

   Pour afficher les preuves basées sur un contrôle, procédez comme suit :

   1. Développez le contrôle requis.

   2. Pour afficher l'évaluation détaillée de la conformité par rapport à chaque règle, cliquez sur l'hyperlien correspondant.

   La page des contrôles affiche les responsabilités, les conclusions et les exigences.

   Pour afficher les preuves en fonction d'un état, procédez comme suit :

   1. Pour obtenir l'état requis, cliquez sur Afficher.

   2. Dans la liste des commandes, cliquez sur le lien hypertexte requis.

   La page des contrôles affiche les responsabilités, les conclusions et les exigences.

   Pour afficher les preuves d'un résultat, cliquez sur Cliquez ici pour ouvrir les preuves dans la liste filtrée. La page Détails de l'objet contenant les détails de la preuve s'ouvre dans un onglet distinct.

   Pour télécharger les preuves, cliquez sur download Télécharger. Les preuves sont téléchargées au format JSON.

Vous pouvez également télécharger le rapport et les preuves requis directement depuis le bucket de stockage de destination. Pour en savoir plus, consultez Télécharger un objet à partir d'un bucket.

Rapport récapitulatif sur l'audit

Le rapport récapitulatif d'audit est un rapport complet qui fournit une vue d'ensemble de tous les contrôles de conformité et une matrice des responsabilités pour vous aider à comprendre la conformité du dossier ou du projet Google Cloud . Le rapport récapitulatif d'audit est disponible au format ODS (OpenDocument Spreadsheet).

Dans le bucket de stockage de destination, le rapport récapitulatif d'audit utilise la convention d'attribution de noms suivante :

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

Les valeurs sont les suivantes :

• FRAMEWORK_NAME : nom du framework.
• TIMESTAMP : code temporel indiquant la date et l'heure de génération du rapport.
• UNIQUE_ID : ID unique du rapport.

Pour chaque type de contrôle applicable, les champs suivants sont renseignés dans le rapport récapitulatif d'audit :

Type de commande	Description
Informations sur le contrôle	Description et exigences du contrôle.
Responsabilité de Google	Google Cloud  responsabilité et détails de l'implémentation.
Responsabilité du client	Votre responsabilité et les détails de l'implémentation.
État d'évaluation	État de conformité du contrôle. L'état peut être l'un des types suivants : Non conforme : un écart de conformité a été détecté. Conforme : le système est conforme. Examen manuel requis : les artefacts sont produits, mais l'utilisateur doit fournir des informations pour finaliser l'état de conformité. Ignoré : Compliance Manager ne peut pas évaluer le contrôle cloud.
Lien vers le rapport de contrôle	Lien vers le rapport "Vue d'ensemble des contrôles".

Rapport "Vue d'ensemble du contrôle"

Un rapport "Vue d'ensemble des contrôles" contient une description détaillée de l'évaluation de la conformité pour un seul contrôle. Le rapport fournit des informations sur l'évaluation pour chaque vérification de conformité, avec des observations et des valeurs attendues.

Dans le bucket de stockage de destination, le rapport de synthèse des contrôles utilise la convention d'attribution de noms suivante :

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

Les valeurs sont les suivantes :

• FRAMEWORK : nom du framework.
• TIMESTAMP : code temporel de la génération du rapport.
• UNIQUE_ID : ID unique du rapport.
• CONTROL_ID : ID du contrôle.

Dans le rapport, les dates sont au format MM/JJ/AAAA.

Un rapport de synthèse des contrôles ressemble à l'exemple suivant :

Contrôle ID : CONFORME
Nom du service	Nombre de ressources	État	Détails de l'évaluation des ressources
			ID de ressource	Champ mesuré	Valeur actuelle	Valeur attendue	État	URI de ressource de preuve	Code temporel de la preuve	Preuves pour le projet/dossier	Lien vers la preuve
Nombre total de services concernés par ce contrôle	Total des ressources dans le champ d'application de l'audit	État de conformité	Identifiant de ressource	Configuration à mesurer pour l'audit	Valeurs observées	Valeurs conformes	État de conformité individuel		Code temporel de la collecte des preuves
product1.googleapis.com	2	CONFORME	folder_123456	abc	10	>=10	CONFORME	Ressource 1	01/01/2025 12:55:16	Projet 1	Lien 1
				def	15	=15	CONFORME	Ressource 4	12/05/2024 13:55:16	Projet 1	Lien 4
			project_123456	xyz	20	=20	CONFORME	Ressource 2	12/05/2024 14:55:16	Projet 1	Lien 2
product2.googleapis.com	1	CONFORME	project_123456	def	5	>=5	CONFORME	Ressource 3	12/05/2024 15:55:16	Projet 1	Lien 3

Preuves

Les preuves incluent toutes les ressources évaluées pour chaque contrôle, y compris un dump brut des données des composants ainsi que la commande exécutée pour produire le résultat.

Dans le bucket de stockage de destination, les preuves sont au format JSON et utilisent la convention d'attribution de noms suivante :

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

Les valeurs sont les suivantes :

• FRAMEWORK_NAME : nom du framework.
• TIMESTAMP : code temporel de la génération du rapport.
• UNIQUE_ID : ID unique du rapport.
• EVIDENCE_ID : ID unique de la preuve.

Étapes suivantes

• Résolvez les problèmes d'audit en suivant les instructions de la section Résultats de failles.