您可以使用 Google Cloud 中的合规管理器来帮助确保您的Google Cloud 基础架构、工作负载和数据符合贵组织的安全和监管要求。借助合规管理器,您可以执行以下操作:
- 为您的Google Cloud 环境定义并部署合规且安全的配置。
- 查看信息中心,了解您的环境是否符合合规性和安全性要求。
- 审核云环境,包括收集证据和生成评估报告。
合规管理器使用软件定义的控件,让您能够在Google Cloud 组织内评估对多个合规计划和安全要求的支持情况。
合规管理器组件
下表介绍了合规管理器的组件。
| 规则 | 云控制措施中的一个技术项,可让您满足合规性、安全性或隐私保护要求。规则可以是组织政策、IAM 政策、云设置以及基于通用表达式语言 (CEL) 的检测逻辑。 |
|---|---|
| 云控制措施 | 一组规则和关联的元数据,可用于定义组织的安全或合规意图。合规管理器包含一个内置云控制措施库,并允许您定义自己的云控制措施。 云控制措施中的元数据包括修复说明和发现结果严重程度。 云控制措施具有以下模式:
|
| 监管控制 | 行业定义的安全或法规遵从要求。云控制措施与监管控制措施之间的关系映射定义了一个或多个云控制措施如何满足监管控制措施要求。请考虑以下事项:
|
| 框架 | 云控制措施和监管控制措施的集合,代表安全最佳实践或行业定义的标准(如 FedRAMP 或 NIST)。框架可以包含云控制措施与监管控制措施之间的映射。 合规管理器包含一个内置框架库。您可以自定义这些框架,也可以创建自己的框架。 |
| 框架部署 | 部署框架时,特定框架与组织、文件夹或项目之间的绑定。 |
下图显示了合规管理器的组件。
内置框架
Compliance Manager 支持Google Cloud的内置框架。您可以按原样部署这些框架,也可以根据您的特定需求对其进行自定义。
Google Cloud框架
以下框架可供使用:
将合规管理器与 Security Command Center 服务和功能搭配使用
您可以在启用合规管理器的同一组织中启用其他 Security Command Center 服务和功能并使用它们。请考虑以下事项:
如果您将框架部署到已启用 Security Health Analytics 的文件夹或项目,则可能会收到重复的发现结果。 合规管理器使用与 Security Health Analytics 不同的评估引擎。
您可以使用安全状况服务,在部署安全状况的同一文件夹或项目中部署框架。合规管理器和安全状况不会相互影响,您在安全状况中设置的内容不会影响您在框架中设置的内容。不过,由于安全状况使用 Security Health Analytics,您可能会收到重复的发现结果。
合规管理器使用全球端点,而不是您在为 Security Command Center 启用数据驻留时可能指定的端点。不过,您可以指定要审核环境的位置。如需了解详情,请参阅使用合规管理器审核您的环境。