Auditar seu ambiente com o Gerenciador de compliance

Com o Compliance Manager, é possível executar auditorias em relação a frameworks para entender o estado de compliance do seu ambiente Google Cloud . Com a auditoria do ambiente, é possível fazer o seguinte:

• Automatize as avaliações de compliance para avaliar se suas cargas de trabalho do Google Cloud estão alinhadas às suas obrigações de compliance.
• Coletar evidências para auditorias de compliance.
• Identifique lacunas para ajudar a corrigir violações.

O Compliance Manager pode fornecer avaliações para qualquer pasta ou projeto doGoogle Cloud .

O processo de auditoria cria os seguintes artefatos que o Gerenciador de compliance armazena em buckets do Cloud Storage:

• Um relatório de resumo da auditoria que fornece o seguinte:
  • Uma visão geral de como sua pasta ou projeto se alinha aos controles de nuvem em uma estrutura.
  • Uma matriz de responsabilidades para ajudar você a entender as responsabilidades compartilhadas com o Google.
• Um relatório de visão geral do controle que descreve os resultados da avaliação de um controle de nuvem específico. Ele fornece detalhes da avaliação para cada verificação de compliance, incluindo observações e valores esperados.
• As evidências usadas para criar o relatório, que incluem todos os recursos avaliados para cada controle de nuvem, incluindo um despejo bruto de dados de recursos.

Antes de começar

• Para receber as permissões necessárias para auditar seu ambiente, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização, pasta ou projeto:

  • Administrador do Compliance Manager (roles/cloudsecuritycompliance.admin)
  • No projeto em que o bucket do Cloud Storage está localizado, faça uma destas ações:
    • Administrador do Storage (roles/storage.admin)
    • Proprietário de bucket legado do Storage (roles/storage.legacyBucketOwner)
  • Para inscrever uma organização, faça uma das seguintes ações:
    • Administrador de segurança (roles/iam.securityAdmin)
    • Administrador da organização (roles/resourcemanager.organizationAdmin)
  • Para inscrever uma pasta, faça uma das seguintes ações:
    • Administrador de segurança (roles/iam.securityAdmin)
    • Administrador da organização (roles/resourcemanager.organizationAdmin)
    • Administrador de pastas (roles/resourcemanager.folderAdmin)
    • Administrador de pastas do IAM (roles/resourcemanager.folderIamAdmin)

  Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

  Os papéis para registrar uma organização contêm a permissão resourcemanager.organizations.setIamPolicy necessária. Os papéis para registrar uma pasta contêm a permissão resourcemanager.folders.setIamPolicy necessária.

  Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

• Identifique ou crie buckets do Cloud Storage para armazenar os dados de auditoria. Para instruções, consulte Criar um bucket.
• Aplique os frameworks que você quer auditar à organização, pastas e projetos adequados.
• Se você restringir locais de recursos, verifique se a política da organização inclui os locais em que você quer processar a auditoria.

Registrar recursos

Antes de auditar seu ambiente, inscreva a organização, as pastas ou os projetos que você quer auditar e especifique um bucket do Cloud Storage. O Compliance Manager armazena os dados de auditoria no bucket do Cloud Storage.

1. No console, acesse a página Conformidade.

   Acesse Conformidade

2. Selecione a organização.

3. Na guia Auditoria (prévia), clique em Configurações de auditoria.

4. Encontre os projetos ou pastas que você quer auditar.

5. Clicar em Inscrever. A herança funciona da seguinte maneira:

   • Se você inscrever uma organização, poderá auditar todas as pastas e projetos.
   • Se você inscrever uma pasta, poderá auditar as pastas e os projetos dentro dela.

6. Selecione o bucket do Cloud Storage que você quer usar para armazenar dados de auditoria ou crie um novo bucket.

7. Clicar em Inscrever.

Atualizar a inscrição de recursos

É possível mudar o bucket do Cloud Storage depois de inscrever um recurso.

1. No console, acesse a página Conformidade.

   Acesse Conformidade

2. Selecione a organização.

3. Na guia Auditoria (prévia), clique em Configurações de auditoria.

4. Encontre o projeto ou a pasta que você quer mudar.

5. Clique em Atualizar.

6. Modifique as informações do intervalo.

7. Clicar em Inscrever.

Auditar seu ambiente

Conclua a tarefa a seguir para iniciar uma auditoria de uma pasta ou projeto.

1. No console, acesse a página Conformidade.

   Acesse Conformidade

2. Selecione a organização.

3. Na guia Auditoria (prévia), clique em Executar auditoria.

4. Selecione o recurso que você quer auditar. É possível selecionar apenas uma pasta ou projeto para cada auditoria.

5. Selecione um framework aplicado.

6. Selecione o local em que a avaliação de auditoria precisa ser processada. Para conferir a lista de locais compatíveis, consulte Locais de auditoria do Gerenciador de compliance. Se você não encontrar o local que está procurando, selecione global. Clique em Next.

7. Revise o plano de avaliação. Esse plano fornece informações sobre o escopo da auditoria com base no framework selecionado. Para fazer o download do arquivo de planilha OpenDocument (ODS), clique no link.

8. Clique em Próxima.

9. Selecione o bucket do Cloud Storage em que você quer armazenar os relatórios de auditoria. Clique em Concluído.

10. Clique em Executar auditoria. A auditoria pode levar algum tempo para ser concluída. Atualize a página principal Auditoria para conferir o progresso.

Para monitorar mudanças no bucket do Cloud Storage, configure notificações usando uma função acionada por eventos ou Pub/Sub.

Ver informações de auditoria

Quando uma auditoria é concluída, o Compliance Manager cria e armazena os artefatos nos buckets de armazenamento de destino para você visualizar.

1. No console, acesse a página Conformidade.

   Acesse Conformidade

2. Selecione a organização.

3. Na guia Auditoria (prévia), para ver o resumo da auditoria, clique no link na coluna Status.

   A página Informações básicas mostra informações sobre os controles de compliance no escopo e o status do compliance automatizado:

   • Em conformidade:mostra as configurações que atendem a todos os requisitos.
   • Violações:mostra as configurações incorretas detectadas em um determinado controle.
   • Revisão manual necessária:mostra as configurações que exigem validação manual para determinar se elas estão em conformidade.
   • Ignoradas:mostra as configurações que o Gerenciador de compliance ignorou para um determinado controle.

4. Dependendo do tipo de informação de auditoria que você quer ver, siga as instruções na guia correspondente.

   Relatório resumido de auditoria

   1. Para conferir os detalhes de um status, clique em Ver.

   2. Para exportar o relatório de resumo da auditoria, clique em file_uploadExportar.

      O relatório de resumo da auditoria é exportado no formato ODS.

   Relatório de visão geral do controle

   É possível conferir o relatório de visão geral do controle com base em um controle ou status.

   Para acessar a página de visão geral do controle com base em um controle, faça o seguinte:

   1. Na lista filtrada, expanda o controle necessário.

   2. Clique no hiperlink correspondente. A página de controle mostra a responsabilidade, as descobertas e os requisitos.

   Para acessar o relatório de visão geral do controle com base em um status, faça o seguinte:

   1. Para o status necessário, clique em Visualizar.

   2. Na lista de controles, clique no hiperlink necessário. A página de visão geral do controle mostra a responsabilidade, as descobertas e os requisitos.

   Para exportar o relatório de visão geral do controle, clique em file_uploadExportar. O relatório de visão geral do controle é exportado no formato ODS.

   Evidência

   Você pode conferir as evidências com base no controle ou no status.

   Para conferir as evidências com base em um controle, faça o seguinte:

   1. Abra o controle necessário.

   2. Para conferir a avaliação detalhada de conformidade com cada regra, clique no hiperlink correspondente.

   A página de controles mostra a responsabilidade, as descobertas e os requisitos.

   Para conferir as evidências com base em um status, faça o seguinte:

   1. Para o status necessário, clique em Visualizar.

   2. Na lista de controles, clique no hiperlink necessário.

   A página de controles mostra a responsabilidade, as descobertas e os requisitos.

   Para ver as evidências de uma descoberta, na lista filtrada, clique em Clique aqui para abrir as evidências. A página Detalhes do objeto com os detalhes da evidência é aberta em outra guia.

   Para fazer o download da evidência, clique em download Fazer o download. A evidência é baixada no formato JSON.

Também é possível baixar o relatório e as evidências necessários diretamente do bucket de armazenamento de destino. Para mais informações, consulte Fazer o download de um objeto de um bucket.

Relatório resumido de auditoria

O relatório de resumo da auditoria é abrangente e oferece uma visão geral de todos os controles de compliance e uma matriz de responsabilidades para ajudar você a entender a conformidade da pasta ou do projeto Google Cloud . O relatório de resumo da auditoria está disponível no formato de planilha OpenDocument (ODS).

No bucket de armazenamento de destino, o relatório de resumo da auditoria usa a seguinte convenção de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

Os valores são os seguintes:

• FRAMEWORK_NAME: o nome da estrutura.
• TIMESTAMP: um carimbo de data/hora que indica quando o relatório foi gerado.
• UNIQUE_ID: um ID exclusivo para o relatório.

Para cada tipo de controle aplicável, os seguintes campos são preenchidos no relatório de resumo da auditoria:

Tipo de controle	Descrição
Informações de controle	Uma descrição e um requisito para o controle.
Responsabilidade do Google	Google Cloud responsabilidade e detalhes da implementação.
Responsabilidade do cliente	Sua responsabilidade e detalhes da implementação.
Status da avaliação	Status de compliance do controle. O status pode ser um dos seguintes tipos: Não conforme: foi detectado um desvio de compliance. Em compliance: o sistema está em compliance. Revisão manual necessária: os artefatos são produzidos, mas a entrada do usuário é necessária para finalizar o status de conformidade. Ignorado: o Compliance Manager não pode avaliar o controle do Cloud.
Link do relatório de controle	Um link para o relatório de visão geral do controle.

Relatório de visão geral do controle

Um relatório de visão geral do controle contém uma descrição detalhada da avaliação de compliance para um único controle. O relatório fornece detalhes da avaliação para cada verificação de conformidade com observações e valores esperados.

No bucket de armazenamento de destino, o relatório de visão geral do controle usa a seguinte convenção de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

Os valores são os seguintes:

• FRAMEWORK: o nome da estrutura.
• TIMESTAMP: um carimbo de data/hora de quando o relatório foi gerado.
• UNIQUE_ID: um ID exclusivo para o relatório.
• CONTROL_ID: o ID do controle.

No relatório, as datas usam o formato MM/DD/AAAA.

Um relatório de visão geral do controle é semelhante ao exemplo a seguir:

Controle ID: EM CONFORMIDADE
Nome do serviço	Número de recursos	Status	Detalhes da avaliação de recursos
			ID do recurso	Campo de medição	Valor atual	Valor esperado	Status	URI do recurso de evidência	Carimbo de data/hora da evidência	Evidência para projeto/pasta	Link de evidência
Total de serviços no escopo deste controle	Total de recursos no escopo da auditoria	Status de compliance	Identificador de recursos	Configuração a ser medida para auditoria	Valores observados	Valores em conformidade	Status de compliance individual		Carimbo de data/hora em que a evidência foi coletada
product1.googleapis.com	2	EM CONFORMIDADE	folder_123456	abc	10	>=10	EM CONFORMIDADE	Recurso 1	01/01/2025 12:55:16	Projeto 1	Link 1
				def	15	=15	EM CONFORMIDADE	Recurso 4	05/12/2024 13:55:16	Projeto 1	Link 4
			project_123456	xyz	20	=20	EM CONFORMIDADE	Recurso 2	12/05/2024 14:55:16	Projeto 1	Link 2
product2.googleapis.com	1	EM CONFORMIDADE	project_123456	def	5	>=5	EM CONFORMIDADE	Recurso 3	12/05/2024 15:55:16	Projeto 1	Link 3

Evidência

As evidências incluem todos os recursos avaliados para cada controle, incluindo um despejo bruto de dados de ativos e o comando executado para produzir a saída.

No bucket de armazenamento de destino, as evidências estão no formato JSON e usam a seguinte convenção de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

Os valores são os seguintes:

• FRAMEWORK_NAME: o nome da estrutura.
• TIMESTAMP: um carimbo de data/hora de quando o relatório foi gerado.
• UNIQUE_ID: um ID exclusivo para o relatório.
• EVIDENCE_ID: um ID exclusivo para a evidência.

A seguir

• Siga as instruções em Descobertas de vulnerabilidade para resolver os resultados da auditoria.