Diese Seite wurde von der Cloud Translation API übersetzt.

Framework anwenden

Compliance Manager-Frameworks bestehen aus Cloud-Kontrollen, mit denen Sie die Sicherheits- oder behördlichen Anforderungen Ihrer Organisation in Ihren Cloud-Umgebungen erfüllen können. Die Anwendung eines Frameworks erfolgt in zwei Schritten. Zuerst müssen Sie die Cloud-Kontrollen ermitteln, die Ihr Unternehmen benötigt, um Sicherheit, Compliance und Risiken zu verwalten. Anschließend stellen Sie ein Framework bereit, das diese Cloud-Steuerelemente für die entsprechenden Ressourcen inGoogle Cloudenthält. Auf dieser Seite erfahren Sie, wie Sie die folgenden Schritte ausführen:

Bewerten Sie, welches integrierte Framework am besten Ihren Anforderungen in Bezug auf Vorschriften und Sicherheit entspricht. Sie können Ihr eigenes benutzerdefiniertes Framework erstellen, wir empfehlen jedoch, mit einem integrierten Framework zu beginnen.
Ermitteln Sie, welche integrierten Cloud-Einstellungen Ihren Geschäftsanforderungen entsprechen. Bei Bedarf können Sie benutzerdefinierte Cloud-Kontrollen erstellen.
Legen Sie fest, ob Sie das Framework in Ihrer Google Cloud-Organisation oder in bestimmten Ordnern und Projekten bereitstellen möchten. Sie können nur ein Framework für jede Organisation, jeden Ordner oder jedes Projekt bereitstellen. Compliance Manager unterstützt app-fähige Ordner.
Kopieren Sie ein vorhandenes Framework und passen Sie es an Ihre Anforderungen an. Bei Bedarf können Sie ein benutzerdefiniertes Framework erstellen.
Stellen Sie das Framework in der entsprechenden Organisation, dem entsprechenden Ordner oder dem entsprechenden Projekt bereit.

Hinweise

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Anwenden von Frameworks benötigen:
- Compliance Manager-Administrator (roles/cloudsecuritycompliance.admin)
- So rufen Sie Übersichts-Dashboards für Ergebnisse auf: Compliance Manager-Betrachter (roles/cloudsecuritycompliance.viewer)
- Um Frameworks bereitzustellen, die Cloud-Steuerelemente auf Grundlage von Organisationsrichtlinien enthalten, muss eine der folgenden Bedingungen erfüllt sein:
  - Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin)
  - Assured Workloads-Administrator (roles/assuredworkloads.admin)
  - Assured Workloads-Bearbeiter (roles/assuredworkloads.editor)
- So erstellen Sie einen Ordner beim Bereitstellen eines Frameworks:
  - Ordneradministrator (roles/resourcemanager.folderAdmin)
  - Ordnerersteller (roles/resourcemanager.folderCreator)
- Wenn Sie beim Bereitstellen eines Frameworks ein Projekt erstellen möchten, müssen alle folgenden Bedingungen erfüllt sein:
  - Administrator für die Projektabrechnung (roles/billing.projectManager)
  - Projektersteller (roles/resourcemanager.projectCreator)
  - Projektlöscher (roles/resourcemanager.projectDeleter)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Die Rollen für die Bereitstellung von Frameworks mit Organisationsrichtlinien enthalten die erforderlichen Berechtigungen orgpolicy.policies.create, orgpolicy.policies.update und orgpolicy.policies.get.

Die Rollen zum Erstellen von Frameworks enthalten die erforderlichen Berechtigungen resourcemanager.folders.get, resourcemanager.folders.create und resourcemanager.folders.delete.

Die Rollen zum Erstellen von Projekten enthalten die erforderlichen Berechtigungen resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete und resourcemanager.projects.createBillingAssignment.
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Frameworks ansehen

Führen Sie die folgenden Schritte aus, um die Konfiguration für integrierte Frameworks oder andere Frameworks, die Sie bereits erstellt haben, aufzurufen.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Klicken Sie auf den Tab Konfigurieren, um alle verfügbaren Frameworks aufzurufen.

Im Dashboard werden die verfügbaren Frameworks, eine kurze Beschreibung, die unterstützten Plattformen und die Ressourcen angezeigt, auf die das Framework angewendet wurde.
Wenn Sie Details zu einem bestimmten Framework aufrufen möchten, klicken Sie auf den Namen des Frameworks.

Cloud-Kontrollen ansehen

Führen Sie die folgenden Schritte aus, um integrierte Cloud-Steuerelemente und alle benutzerdefinierten Cloud-Steuerelemente aufzurufen, die Sie bereits erstellt haben.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Klicken Sie auf dem Tab Konfigurieren auf Cloud-Steuerelemente. Die verfügbaren Cloud-Steuerelemente werden angezeigt.

Das Dashboard enthält Informationen dazu, in welchen Frameworks die Cloud-Kontrolle enthalten ist, und die Anzahl der Ressourcen (Organisation, Ordner und Projekte), auf die die Cloud-Kontrolle angewendet wird.
Wenn Sie Details zu einer Cloud-Steuerung aufrufen möchten, klicken Sie auf den Namen der Steuerung.

Benutzerdefinierte Cloud-Kontrolle erstellen

Eine benutzerdefinierte Cloud-Kontrolle gilt nur für einen Ressourcentyp. Es werden nur Cloud Asset Inventory-Ressourcen als Datentypen unterstützt.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Klicken Sie auf dem Tab Konfigurieren auf Cloud-Steuerelemente. Die Liste der verfügbaren Cloud-Steuerelemente wird angezeigt.
Erstelle eine Cloud-Kontrolle entweder mit Gemini oder manuell:

Gemini verwenden

Lassen Sie Gemini eine Cloud-Kontrolle für Sie generieren. Gemini stellt basierend auf Ihrem Prompt eine eindeutige Kennung, einen Namen, die zugehörige Erkennungslogik und mögliche Abhilfemaßnahmen bereit.
Prüfen Sie die Empfehlungen und nehmen Sie die erforderlichen Änderungen vor.
Speichern Sie Ihre benutzerdefinierte Cloud-Kontrolle.

Manuell erstellen

Geben Sie unter ID der Cloud-Kontrolle eine eindeutige Kennung für die Steuerung an.
Geben Sie einen Namen und eine Beschreibung ein, damit Nutzer in Ihrer Organisation den Zweck der benutzerdefinierten Cloud-Kontrolle nachvollziehen können.
Optional: Wählen Sie die Kategorien für die Kontrollgruppe aus. Klicken Sie auf Weiter.
Wählen Sie einen verfügbaren Ressourcentyp für Ihre benutzerdefinierte Cloud-Kontrolle aus.
Geben Sie die Erkennungslogik für Ihre Cloud-Kontrolle im CEL-Format (Common Expression Language) an.

Mit CEL-Ausdrücken können Sie definieren, wie die Attribute einer Ressource ausgewertet werden sollen. Weitere Informationen und Beispiele finden Sie unter Regeln für benutzerdefinierte Cloud-Steuerelemente schreiben. Klicken Sie auf Weiter.
Wählen Sie einen geeigneten Schweregrad für die Ergebnisse aus.
Formulieren Sie die Anweisungen zur Fehlerbehebung so, dass die für die Reaktion auf Vorfälle zuständigen Mitarbeiter und Administratoren in Ihrer Organisation alle Ergebnisse für die Cloud-Steuerung beheben können. Klicken Sie auf Weiter.
Prüfen Sie Ihre Einträge und klicken Sie dann auf Erstellen.

Framework erstellen

Nachdem Sie ermittelt haben, welche Cloud-Kontrollen für Ressourcen in Ihrer Organisation oder einem bestimmten Ordner oder Projekt gelten, können Sie ein Framework erstellen. Sie können ein benutzerdefiniertes Framework erstellen oder ein vorhandenes Framework kopieren und ändern.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Klicken Sie auf dem Tab Konfigurieren auf Benutzerdefiniertes Framework erstellen.
Führen Sie einen dieser Schritte aus:
- So verwenden Sie ein vorhandenes Framework:
  1. Wählen Sie Mit einem vorhandenen Framework beginnen aus.
  2. Wählen Sie das Framework aus, das Sie kopieren möchten.
  3. Klicken Sie auf Hinzufügen.
- Wenn Sie ein benutzerdefiniertes Framework erstellen möchten, wählen Sie Neu beginnen aus.
Geben Sie einen Namen, eine eindeutige Kennung und eine Beschreibung für Ihr Framework ein. Klicken Sie auf Weiter.

Wenn Sie ein vorhandenes Framework kopieren, wird die Liste der Cloud-Kontrollen angezeigt, die Teil des vorhandenen Frameworks waren.
So fügen Sie die gewünschten Cloud-Kontrollen hinzu:
- Wenn Sie eine vorhandene Cloud-Steuerung hinzufügen möchten, klicken Sie auf Cloud-Steuerungen hinzufügen. Wählen Sie alle erforderlichen Cloud-Kontrollen aus und klicken Sie auf Hinzufügen.
- Wenn Sie eine benutzerdefinierte Cloud-Kontrolle erstellen möchten, klicken Sie auf Benutzerdefinierte Cloud-Kontrolle erstellen. Eine Anleitung dazu findest du unter Benutzerdefinierte Cloud-Steuerung erstellen.
Klicken Sie auf Weiter.
Fügen Sie alle zusätzlichen Parameter hinzu, die für die Cloud-Kontrollen erforderlich sind.

Wenn Sie beispielsweise eine DSPM-Cloud-Kontrolle (Data Security Posture Management) wie die Cloud-Kontrolle Data access governance (Governance für Datenzugriff) aktivieren möchten, geben Sie die Standorte an, die Principals verwenden müssen. Weitere Informationen zu den Steuerelementen für das Data Security Posture Management finden Sie unter Cloud-Steuerelement für die Governance des Datenzugriffs.
Klicken Sie auf Erstellen.

Framework bereitstellen

Stellen Sie ein Framework in einer Organisation, einem Ordner oder einem Projekt bereit, damit Sie diese Ressourcen mithilfe der Cloud-Steuerelemente des Frameworks steuern und überwachen können. Sie können mehrere Frameworks für jede Organisation, jeden Ordner oder jedes Projekt bereitstellen.

Ordner und Projekte übernehmen Frameworks über die Google Cloud Ressourcenhierarchie. Wenn Sie Frameworks also auf Organisations- und Projektebene bereitstellen, gelten alle Cloud-Steuerelemente in beiden Frameworks für die Ressourcen im Projekt. Wenn es Unterschiede bei den Definitionen der Cloud-Steuerung gibt, wird die Cloud-Steuerung auf niedrigerer Ebene von den Ressourcen im Projekt verwendet. Wenn beispielsweise eine Cloud-Steuerungsregel auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt ist, wird die Einstellung „Ablehnen“ auf Projektebene auf die Ressourcen im Projekt angewendet.

Als Best Practice empfehlen wir, ein Framework auf Organisationsebene bereitzustellen, das die Cloud-Kontrollen umfasst, die für Ihr gesamtes Unternehmen gelten können. Anschließend können Sie strengere Frameworks für Ordner und Projekte bereitstellen, für die sie erforderlich sind.

Rufen Sie in der Google Cloud Console die Seite Compliance auf.

Zu Compliance
Klicken Sie auf dem Tab Konfigurieren für das Framework, das Sie bereitstellen möchten, auf Weitere Aktionen > Auf Ressourcen anwenden.
Wählen Sie eine der folgenden Optionen aus:
- Wenn Sie nur die Drift überwachen möchten, wählen Sie Monitor aus.
- Wenn Sie die Drift überwachen und Verstöße aktiv verhindern möchten, wählen Sie Überwachen und verhindern aus.
Wählen Sie die Ressource aus, für die Sie das Framework bereitstellen möchten. Sie können eine vorhandene Organisation, einen vorhandenen Ordner oder ein vorhandenes Projekt auswählen. Wenn Sie sich dafür entschieden haben, Verstöße aktiv zu verhindern, können Sie einen neuen Ordner oder ein neues Projekt erstellen und das Framework darin bereitstellen.
Führen Sie einen dieser Schritte aus:
- Wenn Sie Überwachen ausgewählt haben, prüfen Sie die Informationen und klicken Sie auf Überwachen.
- Wenn Sie Überwachen und verhindern ausgewählt haben, gehen Sie so vor:
  1. Klicken Sie auf Weiter. Cloud-Steuerelemente und ‑Modi ansehen
  2. Klicken Sie auf Weiter.
  3. Prüfen Sie, falls angezeigt, die zusätzlichen Informationen, die für einige Cloud-Steuerelemente erforderlich sind.
  4. Klicken Sie auf Weiter.
  5. Überprüfen Sie Ihre Auswahl und klicken Sie dann auf Erzwingen.

Nachdem Sie das Framework bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von den von Ihnen definierten Cloud-Steuerelementen überwachen. Security Command Center meldet Abweichungen als Ergebnisse, die Sie prüfen, filtern und beheben können. Nach der Bereitstellung eines Frameworks kann es etwa sechs Stunden dauern, bis Ergebnisse zu Cloud-Steuerelementen angezeigt werden.

In dieser Vorschauversion können keine Framework-Deployments entfernt werden. Wenn Sie ein Framework nicht mehr benötigen, können Sie die Ergebnisse stummschalten. Eine Anleitung finden Sie unter Ergebnisse in Security Command Center ausblenden.