Panoramica di Compliance Manager

Puoi utilizzare Compliance Manager in Google Cloud per assicurarti che Google Cloud infrastruttura, workload e dati soddisfino i requisiti di sicurezza e normativi della tua organizzazione o del tuo progetto. Compliance Manager ti consente di:

• Definisci ed esegui il deployment di una configurazione conforme e sicura per il tuo ambienteGoogle Cloud .
• Visualizza dashboard che mostrano l'allineamento del tuo ambiente ai requisiti di conformità e sicurezza. report di valutazione.
• (Solo livelli Premium ed Enterprise) Controlla i tuoi ambienti cloud, inclusa la raccolta di prove e la generazione di report.

Compliance Manager utilizza controlli software-defined che ti consentono di valutare il supporto di più programmi di conformità e requisiti di sicurezza all'interno di un' organizzazione o di un progetto.Google Cloud

Componenti di Compliance Manager

La tabella seguente descrive i componenti di Compliance Manager.

Regola	Un elemento tecnico all'interno di un controllo cloud che ti consente di soddisfare un requisito di conformità, sicurezza o privacy. Le regole possono essere policy dell'organizzazione, policy IAM, impostazioni cloud e logica di rilevamento basata su Common Expression Language (CEL).
Controllo cloud	Un insieme di regole e metadati associati che puoi utilizzare per definire l'intento di sicurezza o conformità per la tua organizzazione o il tuo progetto. Compliance Manager include una libreria di controlli cloud integrati e ti consente di creare i tuoi. I metadati in un controllo cloud includono istruzioni di correzione e gravità del risultato. I controlli cloud hanno le seguenti modalità: Rilevamento:Compliance Manager applica il controllo cloud alle risorse definite a scopo di monitoraggio. Vengono rilevate eventuali violazioni e vengono generati avvisi. Non vengono intraprese azioni preventive automaticamente. (Solo livelli Premium ed Enterprise) Preventivo:Compliance Manager applica il controllo cloud alle risorse definite e applica attivamente le regole. Qualsiasi attività delle risorse che viola il controllo cloud viene bloccata e vengono generati avvisi per le azioni bloccate. Alcuni controlli cloud richiedono la fornitura di informazioni aggiuntive per poter funzionare. Ad esempio, se vuoi utilizzare un controllo cloud che verifica se i tuoi carichi di lavoro e le tue risorse vengono eseguiti in regioni particolari, devi specificare le regioni consentite quando crei il controllo cloud. (Solo livelli Premium ed Enterprise) Audit:Compliance Manager utilizza questo controllo cloud per eseguire l'audit del tuo ambiente per verificare l'allineamento ai tuoi obblighi di conformità. Compliance Manager utilizza questo controllo per raccogliere prove per gli audit di conformità e identificare eventuali lacune.
Controllo normativo	Un requisito di conformità normativa o di sicurezza definito dal settore. Il mapping delle relazioni tra i controlli cloud e i controlli normativi definisce in che modo uno o più controlli cloud soddisfano un requisito di controllo normativo. Considera quanto segue: Un singolo controllo cloud può essere mappato a più controlli normativi. Un singolo controllo normativo può essere mappato a più controlli cloud.
Framework	Una raccolta di controlli cloud e normativi che rappresentano le best practice per la sicurezza o gli standard definiti dal settore, come FedRAMP o NIST. Un framework può includere una mappatura tra i controlli cloud e i controlli normativi. Compliance Manager include una raccolta di framework integrati. Puoi personalizzare questi framework o crearne di tuoi.
Deployment del framework	Il binding tra un framework specifico e un'organizzazione, una cartella o un progetto quando lo implementi.

Il seguente diagramma mostra i componenti di Compliance Manager.

Framework integrati

Compliance Manager supporta i framework integrati per Google Cloud. Puoi eseguire il deployment di questi framework così come sono oppure puoi personalizzarli in base alle tue esigenze specifiche.

Il framework Security Essentials è disponibile per tutti i livelli di Security Command Center.

I seguenti framework sono disponibili solo nei livelli Premium ed Enterprise:

• AI Protection
• Center for Information Security (CIS) Controls 8.0
• CIS Google Cloud Computing Platform Benchmark v3.0
• Benchmark CIS per Kubernetes v1.1.7
• Cloud Controls Matrix (CCM) 4
• Elementi essenziali di sicurezza e privacy dei dati
• Data Security Framework Template
• FedRAMP Low
• International Organization for Standardization (ISO) 27001, 2022
• National Institute of Standards and Technology (NIST) SP 800-53 R5
• NIST AI 600-1 Privacy Controls
• NIST Cybersecurity Framework (CSF) 1.1
• Payment Card Industry Data Security Standard (PCI DSS) 4.0
• Qatar National Information Assurance Standard 2.1
• System and Organization Controls (SOC) 2

Latenza di scansione di Compliance Manager per i controlli di rilevamento

Le sezioni seguenti descrivono il tempo che intercorre prima che vengano generati i risultati dalla scansione iniziale e la frequenza delle scansioni successive per i controlli cloud investigativi distribuiti nel tuo ambiente. Compliance Manager supporta solo le scansioni batch.

Scansione iniziale

Per i livelli Premium ed Enterprise, la scansione iniziale inizia circa un'ora dopo l'attivazione. Il completamento delle prime scansioni di Compliance Manager può richiedere fino a 48 ore.

Per il livello Standard di Security Command Center, le scansioni vengono eseguite ogni 96 ore, il che può comportare una latenza iniziale dei risultati di 96 ore.

Dopo aver eseguito il deployment di un framework, potrebbero essere necessarie fino a 6 ore prima che vengano visualizzati i risultati relativi ai controlli cloud investigativi.

Potresti visualizzare alcuni risultati nella console Google Cloud durante le scansioni iniziali, ma prima che il processo di onboarding sia completato. I risultati preliminari sono accurati e attuabili, ma non sono esaustivi. Non è consigliabile avviare un audit nel livello Premium o Enterprise entro le prime 48 ore.

Scansioni successive

Dopo la scansione iniziale, le scansioni successive vengono eseguite periodicamente in modalità batch, come segue:

• Per i livelli Premium ed Enterprise, le scansioni batch vengono eseguite ogni 16 ore.
• Per il livello Standard, le scansioni batch vengono eseguite ogni 38 ore.

Latenza nelle dashboard di monitoraggio

Compliance Manager include dashboard di monitoraggio che aggregano i dati sui livelli di conformità. Dopo che un risultato viene visualizzato nella dashboard Risultati, possono essere necessarie fino a 24 ore prima che influisca sui conteggi di conformità nelle dashboard di monitoraggio. Inoltre, le modifiche agli asset (ad esempio la creazione o gli aggiornamenti) possono richiedere fino a 48 ore prima di essere visualizzate nelle dashboard di monitoraggio.

Utilizzo di Compliance Manager con servizi e funzionalità di Security Command Center

Puoi abilitare altri servizi e funzionalità di Security Command Center e utilizzarli nella stessa organizzazione o progetto in cui abiliti Compliance Manager. Considera quanto segue:

• La maggior parte dei rilevatori di Security Health Analytics è disponibile anche come controlli cloud in Compliance Manager. Per saperne di più, consulta Mappatura dei rilevatori di Security Health Analytics ai controlli cloud.

• La maggior parte dei rilevatori di Security Health Analytics è attiva per impostazione predefinita. Quando attivi Compliance Manager, alcuni framework integrati vengono applicati automaticamente alla tua organizzazioneGoogle Cloud . Puoi implementare framework aggiuntivi con più controlli cloud in base alle esigenze.

• Puoi disattivare i rilevatori di Security Health Analytics. Per disattivare un controllo cloud, devi rimuoverlo dai framework personalizzati che lo includono o annullare l'assegnazione del framework integrato di cui è stato eseguito il deployment.

• Sia Security Health Analytics sia Compliance Manager generano risultati. Tuttavia, Security Health Analytics utilizza l'API securitycenter.googleapis.com per generare risultati, mentre Compliance Manager utilizza l'API cloudsecuritycompliance.googleapis.com. Se attivi Security Health Analytics e Compliance Manager sulla stessa risorsa, potresti generare risultati duplicati. I risultati duplicati si verificano quando sia un rilevatore di Security Health Analytics sia un controllo cloud di Compliance Manager verificano la stessa configurazione (ad esempio, entrambi verificano se CMEK è abilitato per un servizio specifico). Nella dashboard dei risultati, i risultati duplicati vengono visualizzati con ID fornitore diversi. Per evitare risultati duplicati, completa una delle seguenti operazioni:

  • Se i framework che hai implementato includono controlli cloud che vengono mappati a tutti i rilevatori di Security Health Analytics applicabili al tuo ambiente, disattiva Security Health Analytics per il progetto o la cartella.

  • Se i framework non includono i rilevatori Security Health Analytics richiesti, disattiva i risultati duplicati del rilevatore Security Health Analytics.

• Se hai eseguito il deployment di una postura di sicurezza utilizzando il servizio postura di sicurezza, potresti ricevere risultati duplicati quando abiliti Compliance Manager. Valuta la possibilità di eseguire il deployment di un framework che corrisponda alla tua postura di sicurezza ed eliminare il deployment della postura.

• Compliance Manager utilizza l'endpoint globale, non l'endpoint che potresti specificare quando abiliti la residenza dei dati per Security Command Center. Tuttavia, puoi specificare la località in cui vuoi controllare il tuo ambiente. Per saperne di più, consulta Controllare l'ambiente con Compliance Manager.

Passaggi successivi

• Abilita Compliance Manager.