Mengaudit lingkungan Anda dengan Compliance Manager

Compliance Manager memungkinkan Anda menjalankan audit terhadap framework sehingga Anda dapat memahami status kepatuhan lingkungan Anda. Google Cloud Mengaudit lingkungan Anda memungkinkan Anda melakukan hal berikut:

• Mengotomatiskan penilaian kepatuhan untuk mengevaluasi seberapa baik keselarasan workload Anda dengan kewajiban kepatuhan Anda. Google Cloud
• Mengumpulkan bukti untuk audit kepatuhan.
• Identifikasi celah untuk membantu memperbaiki pelanggaran.

Compliance Manager dapat memberikan penilaian untuk folder atau projectGoogle Cloud .

Proses audit membuat artefak berikut yang disimpan Compliance Manager di bucket Cloud Storage:

• Laporan ringkasan audit yang memberikan informasi berikut:
  • Ringkasan seberapa baik keselarasan folder atau project Anda dengan kontrol cloud dalam framework.
  • Matriks tanggung jawab untuk membantu Anda memahami tanggung jawab bersama dengan Google.
• Laporan ringkasan kontrol yang menjelaskan hasil evaluasi untuk kontrol cloud tertentu. Laporan ini memberikan detail penilaian untuk setiap pemeriksaan kepatuhan, termasuk pengamatan dan nilai yang diharapkan.
• Bukti yang digunakan untuk membuat laporan, yang mencakup semua resource yang dievaluasi untuk setiap kontrol cloud, termasuk dump data aset mentah.

Sebelum memulai

• Untuk mendapatkan izin yang diperlukan untuk mengaudit lingkungan Anda, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi, folder, atau project Anda:

  • Admin Compliance Manager (roles/cloudsecuritycompliance.admin)
  • Di project tempat bucket Cloud Storage berada, salah satu dari:
    • Storage Admin (roles/storage.admin)
    • Storage Legacy Bucket Owner (roles/storage.legacyBucketOwner)
  • Untuk mendaftarkan organisasi, salah satu dari:
    • Security Admin (roles/iam.securityAdmin)
    • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Untuk mendaftarkan folder, salah satu dari:
    • Security Admin (roles/iam.securityAdmin)
    • Organization Administrator (roles/resourcemanager.organizationAdmin)
    • Folder Admin (roles/resourcemanager.folderAdmin)
    • Folder IAM Admin (roles/resourcemanager.folderIamAdmin)

  Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

  Peran untuk mendaftarkan organisasi berisi izin resourcemanager.organizations.setIamPolicy yang diperlukan. Peran untuk mendaftarkan folder berisi izin resourcemanager.folders.setIamPolicy yang diperlukan.

  Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

• Identifikasi atau buat bucket Cloud Storage tempat Anda dapat menyimpan data audit. Untuk mengetahui petunjuknya, lihat Membuat bucket.
• Terapkan framework yang ingin Anda audit ke organisasi, folder, dan project yang sesuai.
• Jika Anda membatasi lokasi resource, pastikan kebijakan organisasi menyertakan lokasi tempat Anda ingin memproses audit.

Mendaftarkan resource

Sebelum dapat mengaudit lingkungan, Anda harus mendaftarkan organisasi, folder, atau project yang ingin diaudit dan menentukan bucket Cloud Storage. Compliance Manager menyimpan data audit di bucket Cloud Storage.

1. Di konsol, buka halaman Compliance.

   Buka Kepatuhan

2. Pilih organisasi Anda.

3. Di tab Audit (Pratinjau), klik Setelan audit.

4. Temukan project atau folder yang ingin Anda audit.

5. Klik Daftar. Pewarisan berfungsi sebagai berikut:

   • Jika mendaftarkan organisasi, Anda dapat mengaudit semua folder dan project.
   • Jika mendaftarkan folder, Anda dapat mengaudit folder dan project di dalam folder tersebut.

6. Pilih bucket Cloud Storage yang ingin Anda gunakan untuk menyimpan data audit, atau buat bucket baru.

7. Klik Daftar.

Memperbarui pendaftaran resource Anda

Anda dapat mengubah bucket Cloud Storage setelah mendaftarkan resource.

1. Di konsol, buka halaman Compliance.

   Buka Kepatuhan

2. Pilih organisasi Anda.

3. Di tab Audit (Pratinjau), klik Setelan audit.

4. Temukan project atau folder yang ingin Anda ubah.

5. Klik Perbarui.

6. Ubah informasi bucket.

7. Klik Daftar.

Mengaudit lingkungan Anda

Selesaikan tugas berikut untuk memulai audit folder atau proyek.

1. Di konsol, buka halaman Compliance.

   Buka Kepatuhan

2. Pilih organisasi Anda.

3. Di tab Audit (Pratinjau), klik Jalankan audit.

4. Pilih resource yang ingin Anda audit. Anda hanya dapat memilih satu folder atau project untuk setiap audit.

5. Pilih framework yang diterapkan.

6. Pilih lokasi tempat penilaian audit harus diproses. Untuk daftar lokasi yang didukung, lihat Lokasi audit untuk Compliance Manager. Jika Anda tidak melihat lokasi yang Anda cari, pilih global. Klik Berikutnya.

7. Tinjau rencana penilaian. Rencana ini memberikan informasi tentang cakupan audit berdasarkan framework yang Anda pilih. Untuk mendownload file Spreadsheet OpenDocument (ODS), klik link.

8. Klik Berikutnya.

9. Pilih bucket Cloud Storage tempat Anda ingin menyimpan laporan audit. Klik Selesai.

10. Klik Run Audit. Audit mungkin memerlukan waktu beberapa saat untuk diselesaikan. Muat ulang halaman Audit utama untuk melihat progres.

Untuk memantau perubahan pada bucket Cloud Storage, Anda dapat menyiapkan notifikasi menggunakan fungsi berbasis peristiwa atau Pub/Sub.

Melihat informasi audit

Setelah audit selesai, Compliance Manager akan membuat dan menyimpan artefak di bucket penyimpanan tujuan agar dapat Anda lihat.

1. Di konsol, buka halaman Compliance.

   Buka Kepatuhan

2. Pilih organisasi Anda.

3. Di tab Audit (Pratinjau), untuk melihat ringkasan audit, klik link di kolom Status.

   Halaman Informasi dasar menampilkan informasi tentang kontrol kepatuhan dalam cakupan dan status kepatuhan otomatis:

   • Sesuai: Menampilkan konfigurasi yang memenuhi semua persyaratan.
   • Pelanggaran: Menampilkan kesalahan konfigurasi yang terdeteksi terhadap kontrol tertentu.
   • Peninjauan manual diperlukan: Menampilkan konfigurasi yang mengharuskan Anda memvalidasi secara manual untuk menentukan apakah konfigurasi tersebut mematuhi kebijakan. Input pengguna diperlukan untuk membuktikan kepatuhan dan kontrol proses.
   • Dilewati: Menampilkan konfigurasi yang dilewati Compliance Manager untuk kontrol tertentu.

4. Bergantung pada jenis informasi audit yang ingin Anda lihat, ikuti petunjuk di tab yang sesuai.

   Laporan ringkasan audit

   1. Untuk melihat detail status, klik Lihat.

   2. Untuk mengekspor laporan ringkasan audit, klik file_uploadEkspor.

      Laporan ringkasan audit diekspor dalam format ODS.

   Laporan ringkasan kontrol

   Anda dapat melihat laporan ringkasan kontrol berdasarkan kontrol atau status.

   Untuk melihat halaman ringkasan kontrol berdasarkan kontrol, lakukan tindakan berikut:

   1. Dalam daftar yang difilter, luaskan kontrol yang diperlukan.

   2. Klik hyperlink yang sesuai. Halaman kontrol menampilkan tanggung jawab, temuan, dan persyaratan.

   Untuk melihat laporan ringkasan kontrol berdasarkan status, lakukan tindakan berikut:

   1. Untuk status yang diperlukan, klik Lihat.

   2. Dari daftar kontrol, klik hyperlink yang diperlukan. Halaman ringkasan kontrol menampilkan tanggung jawab, temuan, dan persyaratan.

   Untuk mengekspor laporan ringkasan kontrol, klik file_uploadEkspor. Laporan ringkasan kontrol diekspor dalam format ODS.

   Bukti

   Anda dapat melihat bukti berdasarkan kontrol atau status.

   Untuk melihat bukti berdasarkan kontrol, lakukan langkah berikut:

   1. Luaskan kontrol yang diperlukan.

   2. Untuk melihat penilaian kepatuhan mendetail terhadap setiap aturan, klik hyperlink yang sesuai.

   Halaman kontrol menampilkan tanggung jawab, temuan, dan persyaratan.

   Untuk melihat bukti berdasarkan status, lakukan hal berikut:

   1. Untuk status yang diperlukan, klik Lihat.

   2. Dari daftar kontrol, klik hyperlink yang diperlukan.

   Halaman kontrol menampilkan tanggung jawab, temuan, dan persyaratan.

   Untuk melihat bukti temuan, di daftar yang difilter, klik Klik di sini untuk membuka bukti. Halaman Detail objek dengan detail bukti akan terbuka di tab terpisah.

   Untuk mendownload bukti, klik download Download. Bukti didownload dalam format JSON.

Atau, Anda dapat mendownload laporan dan bukti yang diperlukan langsung dari bucket penyimpanan tujuan. Untuk mengetahui informasi selengkapnya, lihat Mendownload objek dari bucket.

Laporan ringkasan audit

Laporan ringkasan audit adalah laporan komprehensif yang memberikan ringkasan semua kontrol kepatuhan dan matriks tanggung jawab untuk membantu Anda memahami kepatuhan folder atau project. Google Cloud Laporan ringkasan audit tersedia dalam format Spreadsheet OpenDocument (ODS).

Di bucket penyimpanan tujuan, laporan ringkasan audit menggunakan konvensi penamaan berikut:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

Nilainya adalah sebagai berikut:

• FRAMEWORK_NAME: nama framework.
• TIMESTAMP: a timestamp yang menunjukkan kapan laporan dibuat.
• UNIQUE_ID: ID unik untuk laporan.

Untuk setiap jenis kontrol yang berlaku, kolom berikut diisi dalam laporan ringkasan audit:

Jenis kontrol	Deskripsi
Info Kontrol	Deskripsi dan persyaratan untuk kontrol.
Tanggung Jawab Google	Google Cloud tanggung jawab dan detail implementasi.
Tanggung Jawab Pelanggan	Tanggung jawab dan detail penerapan Anda.
Status Penilaian	Status kepatuhan untuk kontrol. Status dapat berupa salah satu jenis berikut: Tidak Patuh: Terdeteksi penyimpangan kepatuhan. Sesuai: Sistem sesuai. Peninjauan Manual Diperlukan: Artefak dihasilkan, tetapi input pengguna diperlukan untuk menyelesaikan status kepatuhan. Dilewati: Compliance Manager tidak dapat mengevaluasi kontrol cloud.
Link Laporan Kontrol	Link ke laporan ringkasan kontrol.

Laporan ringkasan kontrol

Laporan ringkasan kontrol berisi deskripsi mendetail tentang evaluasi kepatuhan untuk satu kontrol. Laporan ini memberikan detail penilaian untuk setiap pemeriksaan kepatuhan dengan pengamatan dan nilai yang diharapkan.

Di bucket penyimpanan tujuan, laporan ringkasan kontrol menggunakan konvensi penamaan berikut:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

Nilainya adalah sebagai berikut:

• FRAMEWORK: nama framework.
• TIMESTAMP: stempel waktu saat laporan dibuat.
• UNIQUE_ID: ID unik untuk laporan.
• CONTROL_ID: ID untuk kontrol.

Dalam laporan, tanggal menggunakan format MM/DD/YYYY.

Laporan ringkasan kontrol terlihat mirip dengan contoh berikut:

Kontrol ID: PATUH
Nama layanan	# resource	Status	Detail Evaluasi Resource
			ID resource	Kolom Terukur	Nilai Saat Ini	Nilai yang Diharapkan	Status	URI Resource Bukti	Stempel Waktu Bukti	Bukti untuk Project/Folder	Link Bukti
Total layanan yang termasuk dalam cakupan kontrol ini	Total resource dalam cakupan audit	Status kepatuhan	ID resource	Konfigurasi yang akan diukur untuk audit	Nilai yang diamati	Nilai yang sesuai	Status kepatuhan individu		Stempel waktu saat bukti dikumpulkan
product1.googleapis.com	2	PATUH	folder_123456	abc	10	>=10	PATUH	Resource 1	01/01/2025 12.55.16	Project 1	Link 1
				def	15	=15	PATUH	Resource 4	05/12/2024 13.55.16	Project 1	Link 4
			project_123456	xyz	20	=20	PATUH	Resource 2	12/05/2024 14:55:16	Project 1	Link 2
product2.googleapis.com	1	PATUH	project_123456	def	5	>=5	PATUH	Resource 3	12/05/2024 15:55:16	Project 1	Link 3

Bukti

Bukti mencakup semua resource yang dievaluasi untuk setiap kontrol, termasuk dump mentah data aset beserta perintah yang dijalankan untuk menghasilkan output.

Di bucket penyimpanan tujuan, bukti dalam format JSON dan menggunakan konvensi penamaan berikut:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

Nilainya adalah sebagai berikut:

• FRAMEWORK_NAME: nama framework.
• TIMESTAMP: stempel waktu saat laporan dibuat.
• UNIQUE_ID: ID unik untuk laporan.
• EVIDENCE_ID: ID unik untuk bukti.

Langkah berikutnya

• Selesaikan temuan audit menggunakan petunjuk di Temuan kerentanan.