Cette page a été traduite par l'API Cloud Translation.

Appliquer un framework

Les frameworks du Gestionnaire de conformité se composent de contrôles cloud qui vous aident à répondre aux exigences de sécurité ou réglementaires de votre organisation dans vos environnements cloud. L'application d'un framework s'effectue en deux étapes. Vous devez d'abord déterminer les contrôles cloud dont votre entreprise a besoin pour gérer sa sécurité, sa conformité et ses risques. Vous déployez ensuite un framework qui inclut ces contrôles cloud sur les ressources appropriées dansGoogle Cloud. Cette page vous aide à effectuer les étapes suivantes :

Évaluez le framework intégré qui correspond le mieux à vos exigences réglementaires et de sécurité. Vous pouvez créer votre propre framework personnalisé, mais nous vous recommandons de commencer par un framework intégré.
Déterminez les commandes cloud intégrées qui correspondent à vos besoins commerciaux. Si nécessaire, vous pouvez créer des contrôles cloud personnalisés.
Déterminez si vous souhaitez déployer le framework dans votre organisation Google Cloudou dans des dossiers et projets spécifiques. Vous ne pouvez déployer qu'un seul framework par organisation, dossier ou projet. Le Gestionnaire de conformité est compatible avec les dossiers activés pour les applications.
Copiez un framework existant et modifiez-le pour qu'il corresponde à vos besoins. Si nécessaire, vous pouvez créer un framework personnalisé.
Déployez le framework sur l'organisation, le dossier ou le projet approprié.

Avant de commencer

Pour obtenir les autorisations nécessaires pour appliquer des frameworks, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :
- Administrateur Compliance Manager (roles/cloudsecuritycompliance.admin)
- Pour afficher les tableaux de bord des résultats : Lecteur Compliance Manager (roles/cloudsecuritycompliance.viewer)
- Pour déployer des frameworks incluant des contrôles cloud basés sur des règles d'administration#39;administration, vous devez disposer de l'un des éléments suivants :
  - Administrateur des règles d'administration (roles/orgpolicy.policyAdmin)
  - Administrateur Assured Workloads (roles/assuredworkloads.admin)
  - Éditeur Assured Workloads (roles/assuredworkloads.editor)
- Pour créer un dossier lors du déploiement d'un framework, utilisez l'une des méthodes suivantes :
  - Administrateur de dossier (roles/resourcemanager.folderAdmin)
  - Créateur de dossiers (roles/resourcemanager.folderCreator)
- Pour créer un projet lors du déploiement d'un framework, vous devez effectuer les opérations suivantes :
  - Gestionnaire de la facturation du projet (roles/billing.projectManager)
  - Créateur de projet (roles/resourcemanager.projectCreator)
  - Suppresseur de projets (roles/resourcemanager.projectDeleter)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Les rôles permettant de déployer des frameworks avec des règles d'administration contiennent les autorisations orgpolicy.policies.create, orgpolicy.policies.update et orgpolicy.policies.get requises.

Les rôles permettant de créer des frameworks contiennent les autorisations resourcemanager.folders.get, resourcemanager.folders.create et resourcemanager.folders.delete requises.

Les rôles permettant de créer des projets contiennent les autorisations requises resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete et resourcemanager.projects.createBillingAssignment.
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les frameworks

Pour afficher la configuration des frameworks intégrés ou d'autres frameworks que vous avez déjà créés, procédez comme suit.

Dans la console Google Cloud , accédez à la page Conformité.

Accéder
Pour afficher tous les frameworks disponibles, cliquez sur l'onglet Configurer.

Le tableau de bord affiche les frameworks disponibles, une brève description, les plates-formes compatibles et les ressources auxquelles le framework a été appliqué.
Pour afficher des informations détaillées sur un framework spécifique, cliquez sur son nom.

Afficher les contrôles cloud

Suivez les étapes ci-dessous pour afficher les contrôles cloud intégrés et les contrôles cloud personnalisés que vous avez déjà créés.

Dans la console Google Cloud , accédez à la page Conformité.

Accéder
Dans l'onglet Configurer, cliquez sur Contrôles cloud. Les commandes cloud disponibles s'affichent.

Le tableau de bord indique les frameworks qui incluent le contrôle cloud et le nombre de ressources (organisation, dossiers et projets) auxquelles le contrôle cloud est appliqué.
Pour afficher des informations sur un contrôle cloud, cliquez sur son nom.

Créer un contrôle cloud personnalisé

Un contrôle cloud personnalisé ne s'applique qu'à un seul type de ressource. Les seuls types de données acceptés sont les ressources inventaire des éléments cloud.

Dans la console Google Cloud , accédez à la page Conformité.

Accéder
Dans l'onglet Configurer, cliquez sur Contrôles cloud. La liste des contrôles cloud disponibles s'affiche.
Créez un contrôle cloud avec Gemini ou manuellement :

Utilisez Gemini

Demandez à Gemini de générer un contrôle cloud pour vous. En fonction de votre requête, Gemini fournit un identifiant unique, un nom, une logique de détection associée et des mesures correctives possibles.
Examinez les recommandations et apportez les modifications nécessaires.
Enregistrez votre contrôle cloud personnalisé.

Créer manuellement

Dans ID du contrôle cloud, indiquez un identifiant unique pour votre contrôle.
Saisissez un nom et une description pour aider les utilisateurs de votre organisation à comprendre l'objectif du contrôle cloud personnalisé.
Facultatif : Sélectionnez les catégories du contrôle. Cliquez sur Continuer.
Sélectionnez un type de ressource disponible pour votre contrôle cloud personnalisé.
Indiquez la logique de détection de votre contrôle cloud au format CEL (Common Expression Language).

Les expressions CEL vous permettent de définir la manière dont vous souhaitez évaluer les propriétés d'une ressource. Pour en savoir plus et obtenir des exemples, consultez Écrire des règles pour les contrôles cloud personnalisés. Cliquez sur Continuer.
Sélectionnez le niveau de gravité approprié pour les résultats.
Rédigez vos instructions de correction afin que les responsables de la gestion des incidents et les administrateurs de votre organisation puissent résoudre les problèmes liés au contrôle du cloud. Cliquez sur Continuer.
Vérifiez vos entrées, puis cliquez sur Créer.

Créer un framework

Une fois que vous avez déterminé les contrôles cloud qui s'appliquent aux ressources de votre organisation, ou d'un dossier ou projet spécifique, vous pouvez créer un framework. Vous pouvez créer un framework personnalisé ou copier un framework existant et le modifier.

Dans la console Google Cloud , accédez à la page Conformité.

Accéder
Dans l'onglet Configurer, cliquez sur Créer un framework personnalisé.
Effectuez l'une des actions suivantes :
- Pour utiliser un framework existant, procédez comme suit :
  1. Sélectionnez Démarrer à partir d'un framework existant.
  2. Sélectionnez le framework que vous souhaitez copier.
  3. Cliquez sur Ajouter.
- Pour créer un framework personnalisé, sélectionnez Commencer.
Saisissez un nom, un identifiant unique et une description pour votre framework. Cliquez sur Continuer.

Si vous copiez un framework existant, la liste des contrôles cloud qui en faisaient partie s'affiche.
Pour ajouter les contrôles cloud dont vous avez besoin, procédez comme suit :
- Pour ajouter un contrôle cloud existant, cliquez sur Ajouter des contrôles cloud. Sélectionnez tous les contrôles cloud dont vous avez besoin, puis cliquez sur Ajouter.
- Pour créer un contrôle cloud personnalisé, cliquez sur Créer un contrôle cloud personnalisé. Pour obtenir des instructions, consultez Créer un contrôle cloud personnalisé.
Cliquez sur Continuer.
Ajoutez les paramètres supplémentaires requis par les contrôles cloud.

Par exemple, si vous souhaitez activer un contrôle cloud de gestion de la stratégie de sécurité des données (DSPM), tel que le contrôle cloud Gouvernance de l'accès aux données, spécifiez les emplacements que les principaux doivent utiliser. Pour en savoir plus sur les contrôles de gestion de la posture de sécurité des données, consultez Contrôle cloud de gouvernance des accès aux données.
Cliquez sur Créer.

Déployer un framework

Déployez un framework dans une organisation, un dossier ou un projet pour pouvoir contrôler et surveiller ces ressources à l'aide des contrôles cloud du framework. Vous pouvez déployer plusieurs frameworks dans chaque organisation, dossier ou projet.

Les dossiers et les projets héritent des frameworks via la Google Cloud hiérarchie des ressources. Par conséquent, si vous déployez des frameworks au niveau de l'organisation et au niveau d'un projet, tous les contrôles cloud des deux frameworks s'appliquent aux ressources du projet. En cas de différences dans les définitions de contrôle du cloud, le contrôle du cloud de niveau inférieur est utilisé par les ressources du projet. Par exemple, si une règle de contrôle du cloud est définie sur "Autoriser" au niveau de l'organisation et sur "Refuser" au niveau du projet, le paramètre "Refuser" au niveau du projet est appliqué aux ressources du projet.

Nous vous recommandons de déployer un framework au niveau de l'organisation qui inclut les contrôles cloud pouvant s'appliquer à l'ensemble de votre activité. Vous pouvez ensuite déployer des frameworks plus stricts dans les dossiers et projets qui en ont besoin.

Dans la console Google Cloud , accédez à la page Conformité.

Accéder
Dans l'onglet Configurer, pour le framework que vous souhaitez déployer, cliquez sur Autres actions > Appliquer aux ressources.
Choisissez l'une des options suivantes :
- Pour surveiller uniquement la dérive, sélectionnez Surveiller.
- Pour surveiller la dérive et prévenir activement les cas de non-respect, sélectionnez Surveiller et prévenir.
Sélectionnez la ressource sur laquelle vous souhaitez déployer le framework. Vous pouvez choisir une organisation, un dossier ou un projet existants. Si vous avez choisi d'empêcher activement les cas de non-respect, vous pouvez créer un dossier ou un projet, puis y déployer le framework.
Effectuez l'une des actions suivantes :
- Si vous avez sélectionné Surveiller, vérifiez les informations, puis cliquez sur Surveiller.
- Si vous avez sélectionné Surveiller et empêcher, procédez comme suit :
  1. Cliquez sur Suivant. Consultez les commandes et les modes cloud.
  2. Cliquez sur Continuer.
  3. Si des informations supplémentaires s'affichent, vérifiez-les. Elles sont requises pour certains contrôles cloud.
  4. Cliquez sur Suivant.
  5. Vérifiez votre sélection, puis cliquez sur Appliquer.

Une fois le framework déployé, vous pouvez surveiller votre environnement pour détecter toute dérive par rapport aux contrôles cloud que vous avez définis. Security Command Center signale les cas de dérive sous forme de résultats que vous pouvez examiner, filtrer et résoudre. Une fois que vous avez déployé un framework, il peut s'écouler environ six heures avant que les résultats liés aux contrôles cloud s'affichent.

Cet aperçu ne permet pas de supprimer les déploiements de frameworks. Si vous n'avez plus besoin d'un framework, vous pouvez désactiver ses résultats. Pour obtenir des instructions, consultez Ignorer les résultats dans Security Command Center.