Monitoraggio di violazioni in una cartella di Assured Workloads
Assured Workloads monitora attivamente le tue cartelle Assured Workloads per rilevare eventuali violazioni di conformità, confrontando i requisiti del pacchetto di controllo di una cartella con i seguenti dettagli:
- Criterio dell'organizzazione: ogni cartella di Assured Workloads è configurata con impostazioni specifiche dei vincoli dei criteri dell'organizzazione che aiutano a garantire la conformità. Quando queste impostazioni vengono modificate in modo non conforme, si verifica una violazione. Per ulteriori informazioni, consulta la sezione Violazioni dei criteri dell'organizzazione monitorate.
- Risorse: a seconda delle impostazioni dei criteri dell'organizzazione della cartella Assured Workloads, potrebbero essere limitate alle risorse sotto la cartella, ad esempio il tipo e la località. Per ulteriori informazioni, consulta la sezione Violazioni delle risorse monitorate. Se una o più risorse non sono conformi, si verifica una violazione.
Quando si verifica una violazione, è possibile risolverla o creare eccezioni, ove opportuno. Una violazione può avere uno dei tre seguenti stati:
- Non risolta: la violazione non è stata risolta.
- Risolto: la violazione è stata risolta seguendo i passaggi per risolvere il problema.
- Eccezione: alla violazione è stata concessa un'eccezione ed è stata fornita una giustificazione aziendale.
Il monitoraggio di Assured Workloads viene abilitato automaticamente quando crei una cartella di Assured Workloads.
Prima di iniziare
Autorizzazioni e ruoli IAM richiesti
Per visualizzare le violazioni dei criteri dell'organizzazione o delle risorse, devi disporre di un ruolo IAM per la cartella Assured Workloads contenente le seguenti autorizzazioni:
assuredworkloads.violations.get
assuredworkloads.violations.list
Queste autorizzazioni sono incluse nei seguenti ruoli IAM di Assured Workloads:
- Amministratore di Assured Workloads (
roles/assuredworkloads.admin
) - Editor di Assured Workloads (
roles/assuredworkloads.editor
) - Lettore di Assured Workloads (
roles/assuredworkloads.reader
)
Per abilitare il monitoraggio delle violazioni delle risorse, devi disporre di un ruolo IAM nella cartella Assured Workloads contenente le seguenti autorizzazioni:
assuredworkloads.workload.update
: questa autorizzazione è inclusa nei seguenti ruoli:- Amministratore di Assured Workloads (
roles/assuredworkloads.admin
) - Editor di Assured Workloads (
roles/assuredworkloads.editor
)
- Amministratore di Assured Workloads (
resourcemanager.folders.setIamPolicy
: questa autorizzazione è inclusa nei ruoli amministrativi, come:- Organization Administrator (
roles/resourcemanager.organizationAdmin
) (Amministratore organizzazione) - Amministratore sicurezza (
roles/iam.securityAdmin
)
- Organization Administrator (
Per fornire eccezioni per le violazioni della conformità, devi disporre di un ruolo IAM per la cartella Assured Workloads contenente la seguente autorizzazione:
assuredworkloads.violations.update
: questa autorizzazione è inclusa nei seguenti ruoli:- Amministratore di Assured Workloads (
roles/assuredworkloads.admin
) - Editor di Assured Workloads (
roles/assuredworkloads.editor
)
- Amministratore di Assured Workloads (
Inoltre, per risolvere le violazioni dei criteri dell'organizzazione e per visualizzare gli audit log, è necessario concedere i seguenti ruoli IAM:
- Organization Policy Administrator (
roles/orgpolicy.policyAdmin
) (Amministratore criteri organizzazione) - Visualizzatore log (
roles/logging.viewer
)
Configurare le notifiche via email per le violazioni
Quando si verifica o viene risolta una violazione della conformità dell'organizzazione o quando viene fatta un'eccezione, i membri della categoria Legale in Contatti necessari ricevono un'email per impostazione predefinita. Questo comportamento è necessario in quanto il team legale deve essere aggiornato su eventuali problemi di conformità normativa.
Anche il tuo team che gestisce le violazioni, che si tratti di un team per la sicurezza o di altro tipo, deve essere aggiunto alla categoria Legale come contatti. In questo modo vengono inviate notifiche via email non appena vengono apportate modifiche.
Attivare o disattivare le notifiche
Per abilitare o disabilitare le notifiche per una cartella specifica di Assured Workloads:
Vai alla pagina Assured Workloads nella console Google Cloud:
Nella colonna Nome, fai clic sul nome della cartella Assured Workloads di cui vuoi modificare le impostazioni di notifica.
Nella scheda Monitoraggio di Assured Workloads, deseleziona la casella di controllo Abilita notifiche per disabilitare le notifiche o selezionala per abilitare le notifiche per la cartella.
Nella pagina Cartelle di Assured Workloads, le cartelle con le notifiche disabilitate mostrano
Monitoraggio notifiche email disabilitato.Visualizza le violazioni nella tua organizzazione
Puoi visualizzare le violazioni nella tua organizzazione sia nella console Google Cloud sia in gcloud CLI.
Console
Puoi visualizzare il numero di violazioni nella tua organizzazione nella pagina Assured Workloads nella sezione Conformità della console Google Cloud o nella pagina Monitoraggio nella sezione Conformità.
Pagina Assured Workloads
Vai alla pagina Assured Workloads per visualizzare un riepilogo delle violazioni:
Nella parte superiore della pagina viene mostrato un riepilogo delle violazioni dei criteri dell'organizzazione e delle violazioni delle risorse. Fai clic sul link Visualizza per andare alla pagina Monitoring.
Per ogni cartella di Assured Workloads nell'elenco, eventuali violazioni vengono mostrate nelle colonne Violazioni dei criteri dell'organizzazione e Violazioni delle risorse. Per le violazioni non risolte, l'icona ulteriori dettagli.
è attiva, mentre per le eccezioni è attiva l'icona . Puoi selezionare una violazione o un'eccezione per visualizzareSe il monitoraggio delle violazioni delle risorse non è abilitato in una cartella, l'icona
sarà attiva nella colonna Aggiornamenti con un link Abilita il monitoraggio della violazione delle risorse. Fai clic sul link per abilitare la funzionalità. Puoi abilitarlo anche facendo clic sul pulsante Abilita nella pagina dei dettagli della cartella Assured Workloads.Pagina di Monitoring
Vai alla pagina Monitoring per visualizzare le violazioni in modo più dettagliato:
Sono visualizzate due schede: Violazioni dei criteri dell'organizzazione e Violazioni delle risorse. Se sono presenti più violazioni non risolte, l'icona
è attiva nella scheda.In entrambe le schede, per impostazione predefinita vengono mostrate le violazioni non risolte. Per ulteriori informazioni, consulta la sezione Visualizzare i dettagli della violazione di seguito.
Interfaccia a riga di comando gcloud
Per elencare le attuali violazioni della conformità nella tua organizzazione, esegui questo comando:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Dove:
LOCATION è la località della cartella Assured Workloads.
ORGANIZATION_ID è l'ID organizzazione su cui eseguire la query.
WORKLOAD_ID è l'ID carico di lavoro padre, che puoi trovare indicando i tuoi carichi di lavoro.
La risposta include le seguenti informazioni per ogni violazione:
- Un link al log di controllo relativo alla violazione.
- La prima volta che si è verificata la violazione.
- Il tipo di violazione.
- Una descrizione della violazione.
- Il nome della violazione, che può essere utilizzato per recuperare ulteriori dettagli.
- Il criterio dell'organizzazione interessato e il vincolo del criterio correlato.
- Lo stato attuale della violazione. I valori validi sono non risolti, risolti o eccezioni.
Per i flag facoltativi, consulta la documentazione di Cloud SDK.
Visualizza i dettagli della violazione
Per visualizzare violazioni specifiche della conformità e i relativi dettagli, segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Monitoring.
Nella pagina Monitoring, la scheda Violazioni dei criteri dell'organizzazione è selezionata per impostazione predefinita. Questa scheda mostra tutte le violazioni dei criteri dell'organizzazione non risolte nelle cartelle di Assured Workloads nell'organizzazione.
La scheda Violazioni delle risorse mostra tutte le violazioni non risolte associate alla risorsa in tutte le cartelle di Assured Workloads nell'organizzazione.
In entrambe le schede, utilizza le opzioni Filtri rapidi per filtrare in base a stato di violazione, tipo di violazione, tipo di pacchetto di controllo, tipo di violazione, cartelle specifiche, vincoli specifici dei criteri dell'organizzazione o tipi di risorse specifici.
In entrambe le schede, se sono presenti violazioni, fai clic su un ID violazione per visualizzare informazioni più dettagliate.
Nella pagina Dettagli violazione, puoi eseguire le seguenti attività:
Copia l'ID violazione.
Visualizza la cartella Assured Workloads in cui si è verificata la violazione e a che ora si è verificata per la prima volta.
Visualizzare il log di controllo, che include:
Quando si è verificata la violazione.
Quale norma è stata modificata per causare la violazione e quale utente ha apportato la modifica.
Se è stata concessa un'eccezione, da quale utente è stata concessa.
Se applicabile, visualizza la risorsa specifica in cui si è verificata la violazione.
Visualizza il criterio dell'organizzazione interessato.
Visualizza e aggiungi eccezioni per violazioni della conformità.
Segui la procedura di correzione per risolvere l'eccezione.
Per le violazioni dei criteri dell'organizzazione, puoi anche vedere quanto segue:
- Criterio dell'organizzazione interessato: per visualizzare il criterio specifico associato alla violazione della conformità, fai clic su Visualizza criterio.
- Violazioni delle risorse secondarie: le violazioni dei criteri dell'organizzazione basate sulle risorse possono causare violazioni delle risorse figlio. Per visualizzare o risolvere le violazioni delle risorse figlio, fai clic su ID violazione.
Per le violazioni delle risorse, puoi anche vedere quanto segue:
- Violazioni dei criteri dell'organizzazione principale: se le violazioni dei criteri dell'organizzazione padre sono la causa di una violazione delle risorse secondarie, devono essere gestite a livello di livello padre. Per visualizzare i dettagli della violazione per i genitori, fai clic su Visualizza violazione.
- Sono visibili anche eventuali altre violazioni della risorsa specifica che attualmente causa la violazione della risorsa.
Interfaccia a riga di comando gcloud
Per visualizzare i dettagli di una violazione della conformità, esegui questo comando:
gcloud assured workloads violations describe VIOLATION_PATH
Dove VIOLATION_PATH è nel seguente formato:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Il VIOLATION_PATH viene restituito nel campo name
della risposta list per ogni violazione.
La risposta include le seguenti informazioni:
Un link al log di controllo relativo alla violazione.
La prima volta che si è verificata la violazione.
Il tipo di violazione.
Una descrizione della violazione.
Il criterio dell'organizzazione interessato e il vincolo del criterio correlato.
Passaggi di correzione per risolvere la violazione.
Lo stato attuale della violazione. I valori validi sono
unresolved
,resolved
oexception
.
Per i flag facoltativi, consulta la documentazione di Cloud SDK.
Risolvi le violazioni
Per porre rimedio a una violazione, procedi nel seguente modo:
Console
Nella console Google Cloud, vai alla pagina Monitoring.
Fai clic sull'ID violazione per visualizzare informazioni più dettagliate.
Nella sezione Soluzione, segui le istruzioni della console Google Cloud o dell'interfaccia a riga di comando per risolvere il problema.
Interfaccia a riga di comando gcloud
Visualizza i dettagli della violazione utilizzando gcloud CLI.
Segui la procedura di correzione nella risposta per risolvere la violazione.
Aggiungi eccezioni alle violazioni
A volte una violazione può essere valida in una determinata situazione. Per aggiungere una o più eccezioni per una violazione:
Console
Nella console Google Cloud, vai alla pagina Monitoring.
Nella colonna ID violazione, fai clic sulla violazione a cui vuoi aggiungere l'eccezione.
Nella sezione Eccezioni, fai clic su Aggiungi nuovo.
Inserisci una giustificazione aziendale per l'eccezione. Se vuoi che l'eccezione venga applicata a tutte le risorse figlio, seleziona la casella di controllo Applica a tutte le violazioni delle risorse figlio esistenti e fai clic su Invia.
Se necessario, puoi aggiungere altre eccezioni ripetendo questi passaggi e facendo clic su Aggiungi nuovo.
Lo stato della violazione è ora impostato su Eccezione.
Interfaccia a riga di comando gcloud
Per aggiungere un'eccezione per una violazione, esegui questo comando:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
dove BUSINESS_JUSTIFICATION è la causa dell'eccezione e VIOLATION_PATH nel formato seguente:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Il VIOLATION_PATH viene restituito nel campo name
della risposta list per ogni violazione.
Dopo aver inviato correttamente il comando, lo stato di violazione viene impostato su Eccezione.
Violazioni dei criteri dell'organizzazione monitorate
Assured Workloads monitora diverse violazioni dei vincoli dei criteri dell'organizzazione, a seconda del pacchetto di controllo applicato alla cartella Assured Workloads. Utilizza il seguente elenco per filtrare le violazioni in base al pacchetto di controllo interessato.
Vincolo dei criteri dell'organizzazione | Tipo di violazione | Description | Pacchetti di controllo interessati | |||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Accesso non conforme ai dati di Cloud SQL | Accesso |
Si verifica quando è consentito l'accesso non conforme ai dati diagnostici di Cloud SQL non conformi. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo
|
|
|||||||||||||||||
Accesso non conforme ai dati di Compute Engine | Accesso |
Si verifica quando è consentito l'accesso non conforme ai dati delle istanze di Compute Engine. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Tipi di autenticazione di Cloud Storage non conformi | Accesso |
Si verifica quando è consentito l'utilizzo di tipi di autenticazione non conformi con Cloud Storage. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Accesso non conforme ai bucket Cloud Storage | Accesso |
Si verifica quando è consentito l'accesso a Cloud Storage a livello di bucket non conforme non uniforme. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Accesso non conforme ai dati GKE | Accesso |
Si verifica quando è consentito l'accesso non conforme ai dati diagnostici di GKE. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Funzionalità di diagnostica di Compute Engine non conformi | Configurazione |
Si verifica quando sono state abilitate funzionalità di diagnostica di Compute Engine non conformi. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Impostazione del bilanciamento del carico globale di Compute Engine non conforme | Configurazione |
Si verifica quando è stato impostato un valore non conforme per l'impostazione del bilanciamento del carico globale in Compute Engine. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Impostazione FIPS di Compute Engine non conforme | Configurazione |
Si verifica quando è stato impostato un valore non conforme per l'impostazione FIPS in Compute Engine. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Impostazione SSL di Compute Engine non conforme | Configurazione |
Si verifica quando è stato impostato un valore non conforme per i certificati autogestiti globali. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Impostazione SSH di Compute Engine non conforme nel browser | Configurazione |
Si verifica quando è stato impostato un valore non conforme per la funzionalità SSH nel browser in Compute Engine. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Creazione di risorse Cloud SQL non conformi | Configurazione |
Si verifica quando è consentita la creazione di risorse Cloud SQL non conforme. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Limitazione della chiave Cloud KMS mancante | Crittografia |
Si verifica quando non è specificato alcun progetto in grado di fornire le chiavi di crittografia per CMEK . Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Servizio non conforme non abilitato per CMEK | Crittografia |
Si verifica quando un servizio che non supporta CMEK è abilitato per il carico di lavoro. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Livelli di protezione di Cloud KMS non conformi | Crittografia |
Si verifica quando vengono specificati livelli di protezione non conformi per l'utilizzo con Cloud Key Management Service (Cloud KMS). Per saperne di più, consulta il riferimento di Cloud KMS . Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
|||||||||||||||||
Località delle risorse non conformi | Località della risorsa |
Si verifica quando le risorse dei servizi supportati per un determinato pacchetto di controllo di Assured Workloads vengono create al di fuori della regione consentita per il carico di lavoro o spostate da una località consentita a una non consentita.
Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo
|
|
|||||||||||||||||
Servizi non conformi | Utilizzo del servizio |
Si verifica quando un utente abilita un servizio non supportato da un determinato pacchetto di controllo di Assured Workloads in una cartella di Assured Workloads. Questa violazione è causata dalla modifica del valore conforme del pacchetto di controllo per il vincolo |
|
Violazioni delle risorse monitorate
Assured Workloads monitora diverse violazioni delle risorse, a seconda del pacchetto di controllo applicato alla cartella Assured Workloads. Utilizza il seguente elenco per filtrare le violazioni in base al pacchetto di controllo interessato:
Vincolo dei criteri dell'organizzazione | Description | Pacchetti di controllo interessati | |||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Località delle risorse non conforme |
Si verifica quando la località di una risorsa si trova in una regione non conforme. Questa violazione è causata dal vincolo
|
|
|||||||||||||||||
Risorse non conformi nella cartella |
Si verifica quando viene creata una risorsa per un servizio non supportato nella cartella Assured Workloads. Questa violazione è causata dal vincolo
|
|
Passaggi successivi
- Comprendere i pacchetti di controllo per Assured Workloads.
- Scopri quali prodotti sono supportati per ogni pacchetto di controllo.