使用法規遵循管理工具稽核環境

您可以透過法規遵循管理工具，針對架構執行稽核，瞭解 Google Cloud 環境的法規遵循狀態。稽核環境可讓您完成下列事項：

• 自動進行法規遵循評估，瞭解工作負載是否符合法規遵循義務。 Google Cloud
• 收集法規遵循稽核的證據。
• 找出缺口，協助修正違規問題。

法規遵循管理員可為任何Google Cloud 資料夾或專案提供評估。

稽核程序會建立下列構件，並由 Compliance Manager 儲存在 Cloud Storage bucket 中：

• 稽核摘要報告，提供以下資訊：
  • 概略瞭解資料夾或專案與架構中雲端控制項的相符程度。
  • 責任表，協助您瞭解與 Google 共同承擔的責任。
• 控制項總覽報表，說明特定雲端控制項的評估結果。這份報告會提供各項法規遵循檢查的評估詳細資料，包括觀察結果和預期值。
• 用於建立報告的證據，包括針對各項雲端控制項評估的所有資源，以及資產資料的原始傾印。

事前準備

• 如要取得稽核環境所需的權限，請要求管理員在機構、資料夾或專案中授予下列 IAM 角色：

  • 法規遵循管理員 (roles/cloudsecuritycompliance.admin)
  • 在 Cloud Storage 值區所在的專案中，請執行下列其中一項操作：
    • 儲存空間管理員 (roles/storage.admin)
    • Storage 舊版值區擁有者 (roles/storage.legacyBucketOwner)
  • 如要註冊機構，請執行下列其中一項操作：
    • 安全管理員 (roles/iam.securityAdmin)
    • 機構管理員 (roles/resourcemanager.organizationAdmin)
  • 如要註冊資料夾，請執行下列其中一項操作：
    • 安全性管理員 (roles/iam.securityAdmin)
    • 機構管理員 (roles/resourcemanager.organizationAdmin)
    • 資料夾管理員 (roles/resourcemanager.folderAdmin)
    • 資料夾 IAM 管理員 (roles/resourcemanager.folderIamAdmin)

  如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

  註冊機構的角色包含必要的 resourcemanager.organizations.setIamPolicy 權限。註冊資料夾的角色包含必要權限 resourcemanager.folders.setIamPolicy。

  您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

• 找出或建立 Cloud Storage bucket，用來儲存稽核資料。如需操作說明，請參閱「建立值區」。
• 將要稽核的架構套用至適當的機構、資料夾和專案。
• 如果您限制資源位置，請確認機構政策包含要處理稽核的位置。
• 如果您使用 VPC Service Controls 服務範圍，請設定適當的輸入和輸出規則。

註冊資源

如要稽核環境，必須先註冊要稽核的機構、資料夾或專案，並指定 Cloud Storage 值區。法規遵循管理員會將稽核資料儲存在 Cloud Storage 值區中。

1. 前往控制台的「Compliance」(法規遵循) 頁面。

   前往「法規遵循」頁面

2. 選取您的機構。

3. 在「稽核 (預覽版)」分頁中，按一下「稽核設定」。

4. 找出要稽核的專案或資料夾。

5. 按一下「註冊」。繼承的運作方式如下：

   • 註冊機構後，您就能稽核所有資料夾和專案。
   • 如果註冊資料夾，您可以稽核該資料夾內的資料夾和專案。

6. 選取要用來儲存稽核資料的 Cloud Storage bucket，或建立新的 bucket。

7. 按一下 [註冊]。

更新資源註冊狀態

資源註冊後，您可以變更 Cloud Storage 值區。

1. 前往控制台的「Compliance」(法規遵循) 頁面。

   前往「法規遵循」頁面

2. 選取您的機構。

3. 在「稽核 (預覽版)」分頁中，按一下「稽核設定」。

4. 找出要變更的專案或資料夾。

5. 按一下「Update」。

6. 修改 bucket 資訊。

7. 按一下 [註冊]。

稽核您的環境

如要開始稽核資料夾或專案，請完成下列工作。

1. 前往控制台的「Compliance」(法規遵循) 頁面。

   前往「法規遵循」頁面

2. 選取您的機構。

3. 在「稽核 (預覽版)」分頁中，按一下「執行稽核」。

4. 選取要稽核的資源。每次稽核只能選取一個資料夾或專案。

5. 選取已套用的架構。

6. 選取稽核評估的處理位置。如需支援的地點清單，請參閱「法規遵循管理工具的稽核地點」。如果找不到所需位置，請選取「全球」。 點選「下一步」。

7. 查看評估計畫。這份計畫會根據您選取的架構，提供稽核範圍的相關資訊。如要下載 OpenDocument 試算表 (ODS) 檔案，請按一下連結。

8. 點選「下一步」。

9. 選取要儲存稽核報表的 Cloud Storage bucket。按一下 [完成]。

10. 按一下「執行稽核」。稽核作業可能需要一段時間才能完成。重新整理主要的「稽核」頁面，即可查看進度。

如要監看 Cloud Storage 值區的變更，可以使用事件驅動函式或 Pub/Sub 設定通知。

查看稽核資訊

稽核完成後，法規遵循管理員會建立構件並儲存在目的地儲存空間 bucket，供您查看。

1. 前往控制台的「Compliance」(法規遵循) 頁面。

   前往「法規遵循」頁面

2. 選取您的機構。

3. 在「稽核 (預覽)」分頁中，按一下「狀態」欄中的連結，即可查看稽核摘要。

   「基本資訊」頁面會顯示範圍內的法規遵循控制項資訊，以及自動法規遵循狀態：

   • 符合規定：顯示符合所有規定的設定。
   • 違規事項：顯示針對特定控制項偵測到的設定錯誤。
   • 需要手動審查：顯示需要手動驗證的設定，以判斷設定是否符合規定。
   • 已略過：顯示法規遵循管理員針對特定控制項略過的設定。

4. 請依據要查看的稽核資訊類型，按照對應分頁中的操作說明進行。

   稽核摘要報告

   1. 如要查看狀態詳細資料，請按一下「查看」。

   2. 如要匯出稽核摘要報告，請按一下「匯出」 file_upload。

      稽核摘要報告會以 ODS 格式匯出。

   控管總覽報表

   您可以根據控制項或狀態查看控制項總覽報表。

   如要根據控制項查看控制項總覽頁面，請按照下列步驟操作：

   1. 在篩選後的清單中，展開所需控制項。

   2. 按一下相應的超連結。控制項頁面會顯示責任、調查結果和規定。

   如要依狀態查看控制項總覽報表，請按照下列步驟操作：

   1. 按一下所需狀態的「查看」。

   2. 在控制項清單中，按一下所需超連結。 控制項總覽頁面會顯示責任、發現事項和規定。

   如要匯出控制項總覽報表，請按一下「匯出」 file_upload。控制項總覽報表會以 ODS 格式匯出。

   證據

   您可以根據控制項或狀態查看證據。

   如要查看以控制項為準的證據，請按照下列步驟操作：

   1. 展開所需控制項。

   2. 如要查看每項規則的詳細規範評估結果，請按一下對應的超連結。

   控制項頁面會顯示責任、發現項目和規定。

   如要查看特定狀態的證據，請按照下列步驟操作：

   1. 按一下所需狀態的「查看」。

   2. 在控制項清單中，按一下所需超連結。

   控制項頁面會顯示責任、發現項目和規定。

   如要查看調查結果的證據，請在篩選後的清單中，按一下「Click here to open the evidence」(按一下這裡開啟證據)。「Object details」(物件詳細資料) 頁面會在另一個分頁中開啟，顯示證據詳細資料。

   如要下載證據，請按一下「下載」download 。證據會以 JSON 格式下載。

或者，您也可以直接從目標儲存空間值區下載所需報告和證據。詳情請參閱從值區下載物件。

稽核摘要報告

稽核摘要報表是一份綜合性報表，提供所有法規遵循控制項的總覽，以及責任矩陣，協助您瞭解 Google Cloud 資料夾或專案的法規遵循情況。稽核摘要報告的格式為 OpenDocument 試算表 (ODS)。

在目標儲存空間值區中，稽核摘要報表會採用下列命名慣例：

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

值如下：

• FRAMEWORK_NAME：架構名稱。
• TIMESTAMP：a 時間戳記 ，指出報表產生時間。
• UNIQUE_ID：報表的專屬 ID。

稽核摘要報告會針對每個適用的控制項類型，填入下列欄位：

控制項類型	說明
控管機制資訊	控制項的說明和需求。
Google 責任	Google Cloud 責任和實作詳情。
客戶責任	您的責任和實作詳情。
評估狀態	控制項的法規遵循狀態。狀態可以是下列其中一種類型： 不符合規定：偵測到法規遵循偏離情形。 符合規定：系統符合規定。 需要手動審查：系統已產生測試結果，但需要使用者輸入資訊，才能完成法規遵循狀態。 已略過：Compliance Manager 無法評估雲端控管機制。
控制報表連結	控制項總覽報表的連結。

控管總覽報表

控制項總覽報表會詳細說明單一控制項的法規遵循評估結果。這份報表會提供各項法規遵循檢查的評估詳細資料，包括觀察結果和預期值。

在目標儲存空間 bucket 中，控制組總覽報表會採用下列命名慣例：

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

值如下：

• FRAMEWORK_NAME：架構名稱。
• TIMESTAMP：產生報表的時間戳記。
• UNIQUE_ID：報表的專屬 ID。
• CONTROL_ID：控制項的 ID。

報表中的日期格式為 MM/DD/YYYY。

控制項總覽報表看起來會像這樣：

控制項 ID：符合規定
服務名稱	資源數量	狀態	資源評估詳細資料
			資源 ID	評估欄位	目前的值	預期價值	狀態	證據資源 URI	證據時間戳記	專案/資料夾的證據	證據連結
這項控制項範圍內的服務總數	稽核範圍內的資源總數	法規遵循狀態	資源 ID	稽核時要評估的設定	觀察值	符合規定的值	個別法規遵循狀態		收集證據的時間戳記
product1.googleapis.com	2	COMPLIANT	folder_123456	abc	10	>=10	COMPLIANT	資源 1	01/01/2025 12:55:16	專案 1	連結 1
				def	15	=15	COMPLIANT	資源 4	12/05/2024 13:55:16	專案 1	連結 4
			project_123456	xyz	20	=20	COMPLIANT	資源 2	12/05/2024 14:55:16	專案 1	連結 2
product2.googleapis.com	1	COMPLIANT	project_123456	def	5	>=5	COMPLIANT	資源 3	12/05/2024 15:55:16	專案 1	連結 3

證據

證據包括針對各項控制措施評估的所有資源，包括資產資料的原始傾印，以及產生輸出的執行指令。

在目標儲存空間 bucket 中，證據會採用 JSON 格式，並遵循下列命名慣例：

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

值如下：

• FRAMEWORK_NAME：架構名稱。
• TIMESTAMP：產生報表的時間戳記。
• UNIQUE_ID：報表的專屬 ID。
• EVIDENCE_ID：證據的專屬 ID。

後續步驟

• 請按照「安全漏洞發現項目」一文中的說明，解決稽核發現項目。