Visão geral do Gerenciador de Compliance

Você pode usar o Compliance Manager no Google Cloud para garantir que sua infraestrutura, cargas de trabalho e dadosGoogle Cloud atendam aos requisitos de segurança e regulamentares da sua organização. Com o Compliance Manager, você pode:

• Defina e implante uma configuração compatível e segura para seu ambienteGoogle Cloud .
• Confira painéis que mostram o alinhamento do seu ambiente com os requisitos de conformidade e segurança.
• Audite seus ambientes de nuvem, incluindo a coleta de evidências e a geração de relatórios de avaliação.

O Compliance Manager usa controles definidos por software que permitem avaliar o suporte a vários programas de compliance e requisitos de segurança em uma organização doGoogle Cloud .

Componentes do Gerenciador de Compliance

A tabela a seguir descreve os componentes do Compliance Manager.

Regra	Um item técnico em um controle de nuvem que permite atender a um requisito de compliance, segurança ou privacidade. As regras podem ser políticas da organização, políticas do IAM, configurações da nuvem e lógica de detecção baseada na Common Expression Language (CEL).
Controle de nuvem	Um conjunto de regras e metadados associados que podem ser usados para definir a intenção de segurança ou compliance da sua organização. O Compliance Manager inclui uma biblioteca de controles de nuvem integrados e permite que você crie os seus próprios. Os metadados em um controle de nuvem incluem instruções de correção e gravidade da descoberta. Os controles do Google Cloud têm os seguintes modos: Detective:o Compliance Manager aplica o controle de nuvem aos recursos definidos para fins de monitoramento. Todas as violações são detectadas e alertas são gerados. Nenhuma ação preventiva é tomada automaticamente. Preventivo:o Compliance Manager aplica o controle de nuvem aos recursos definidos e aplica ativamente as regras. Qualquer atividade de recurso que viole o controle da nuvem será bloqueada, e alertas serão gerados para as ações bloqueadas. Alguns controles de nuvem exigem que você forneça mais informações para funcionar. Por exemplo, se você quiser usar um controle de nuvem que verifica se suas cargas de trabalho e recursos estão sendo executados em regiões específicas, especifique as regiões permitidas ao criar o controle de nuvem.
Controle regulatório	Um requisito de conformidade regulatória ou de segurança definido pelo setor. O mapeamento de relacionamento entre controles de nuvem e controles regulatórios define como um ou mais controles de nuvem atendem a um requisito de controle regulatório. Considere o seguinte: Um único controle de nuvem pode ser mapeado para vários controles regulatórios. Um único controle regulatório pode ser mapeado para vários controles de nuvem.
Framework	Uma coleção de controles de nuvem e regulatórios que representam práticas recomendadas de segurança ou padrões definidos pelo setor, como FedRAMP ou NIST. Um framework pode incluir um mapeamento entre controles de nuvem e controles regulatórios. O Compliance Manager inclui uma biblioteca de frameworks integrados. Você pode personalizar esses frameworks ou criar os seus próprios.
Implantação de framework	A vinculação entre um framework específico e uma organização, pasta ou projeto ao implantar o framework.

O diagrama a seguir mostra os componentes do Gerenciador de compliance.

Frameworks integrados

O Compliance Manager é compatível com frameworks integrados para Google Cloud e Microsoft Azure. É possível implantar esses frameworks como estão ou personalizá-los para atender às suas necessidades específicas.

Frameworks para Google Cloud

Os seguintes frameworks estão disponíveis:

• Proteção de IA
• Controles 8.0 do Center for Information Security (CIS) (em inglês)
• CIS Google Cloud Computing Platform 3.0
• Comparativo de mercado CIS do Kubernetes v1.1.7
• Cloud Controls Matrix (CCM) 4
• Fundamentos da segurança de dados e privacidade
• Organização Internacional de Normalização (ISO) 27001, 2022
• NIST 800-53 R5 (em inglês)
• Framework de segurança cibernética (CSF) 1.0 do NIST

Frameworks para Microsoft Azure

Os seguintes frameworks estão disponíveis:

• CIS Microsoft Azure Foundations 2.1.0

Como usar o Compliance Manager com serviços e recursos do Security Command Center

É possível ativar outros serviços e recursos do Security Command Center e usá-los na mesma organização em que você ativa o Gerenciador de compliance. Considere o seguinte:

• Se você implantar um framework em uma pasta ou projeto com o Security Health Analytics ativado, poderá receber descobertas duplicadas. O Compliance Manager usa um mecanismo de avaliação diferente da Análise de integridade de segurança.

• É possível implantar um framework na mesma pasta ou projeto em que você implanta uma postura de segurança usando o serviço de postura de segurança. O Compliance Manager e a postura de segurança não interagem, e o que você define em uma postura não afeta o que você define em uma estrutura. No entanto, como a postura de segurança usa o Security Health Analytics, você pode receber descobertas duplicadas.

• O Compliance Manager usa o endpoint global, não o endpoint que você pode especificar ao ativar a residência de dados para o Security Command Center. No entanto, é possível especificar o local em que você quer auditar seu ambiente. Para mais informações, consulte Auditar seu ambiente com o Gerenciador de compliance.

A seguir

• Ative o Gerenciador de compliance.