合规管理器概览

您可以使用 Google Cloud 中的合规管理器来帮助确保您的Google Cloud 基础架构、工作负载和数据符合贵组织的安全和监管要求。借助合规管理器,您可以执行以下操作:

  • 为您的Google Cloud 环境定义并部署合规且安全的配置。
  • 查看信息中心,了解您的环境是否符合合规性和安全性要求。
  • 审核云环境,包括收集证据和生成评估报告。

合规管理器使用软件定义的控件,让您能够在Google Cloud 组织内评估对多个合规计划和安全要求的支持情况。

合规管理器组件

下表介绍了合规管理器的组件。

规则 云控制措施中的一个技术项,可让您满足合规性、安全性或隐私保护要求。规则可以是组织政策、IAM 政策、云设置以及基于通用表达式语言 (CEL) 的检测逻辑。
云控制措施

一组规则和关联的元数据,可用于定义组织的安全或合规意图。合规管理器包含一个内置云控制措施库,并允许您定义自己的云控制措施。

云控制措施中的元数据包括修复说明和发现结果严重程度。

云控制措施具有以下模式:

  • 侦测:合规管理器会将云控制措施应用于定义的资源,以便进行监控。系统会检测所有违规行为并生成提醒。系统不会自动采取任何预防措施。
  • 预防性:合规管理器会将云控制措施应用于定义的资源,并主动强制执行规则。任何违反云控制措施的资源活动都将被屏蔽,并且系统会针对被屏蔽的操作生成提醒。

    某些云控制措施需要您提供额外信息才能正常运作。例如,如果您想使用一种云控制措施来检查工作负载和资源是否在特定区域中运行,则必须在创建该云控制措施时指定允许的区域。
监管控制

行业定义的安全或法规遵从要求。云控制措施与监管控制措施之间的关系映射定义了一个或多个云控制措施如何满足监管控制措施要求。请考虑以下事项:

  • 单个云控制措施可以映射到多个监管控制措施。
  • 单个监管控制措施可以映射到多个云控制措施。
框架

云控制措施和监管控制措施的集合,代表安全最佳实践或行业定义的标准(如 FedRAMP 或 NIST)。框架可以包含云控制措施与监管控制措施之间的映射。

合规管理器包含一个内置框架库。您可以自定义这些框架,也可以创建自己的框架。
框架部署 部署框架时,特定框架与组织、文件夹或项目之间的绑定。

下图显示了合规管理器的组件。

合规管理器组件。

内置框架

合规管理器支持Google Cloud 和 Microsoft Azure 的内置框架。您可以按原样部署这些框架,也可以根据您的特定需求对其进行自定义。

Google Cloud框架

以下框架可供使用:

Microsoft Azure 框架

以下框架可供使用:

启用合规管理器

完成以下步骤,在组织级启用合规管理器:

  1. 如需获得启用合规管理器所需的权限,请让管理员向您授予组织、文件夹或项目的以下 IAM 角色:

    如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

    您也可以通过自定义角色或其他预定义角色来获取所需的权限。

  2. 您可以使用以下方法之一启用合规管理器:

    3. 启用合规管理器后,系统还会启用以下服务:

    启用合规管理器时,系统会创建 Cloud Security Compliance 服务代理 (service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com)。

  3. 如需支持 Azure 云控制和框架,请将 Security Command Center 连接到 Azure

将合规管理器与 Security Command Center 服务和功能搭配使用

您可以在启用合规管理器的同一组织中启用其他 Security Command Center 服务和功能并使用它们。请考虑以下事项:

  • 如果您将框架部署到已启用 Security Health Analytics 的文件夹或项目,则可能会收到重复的发现结果。 合规管理器使用与 Security Health Analytics 不同的评估引擎。

  • 您可以使用安全状况服务,在部署安全状况的同一文件夹或项目中部署框架。合规管理器和安全状况不会相互影响,您在安全状况中设置的内容不会影响您在框架中设置的内容。不过,由于安全状况使用 Security Health Analytics,您可能会收到重复的发现结果。

  • 合规管理器使用全球端点,而不是您在为 Security Command Center 启用数据驻留时可能指定的端点。不过,您可以指定要审核环境的位置。如需了解详情,请参阅使用合规管理器审核您的环境

后续步骤