Auf dieser Seite wird beschrieben, wie Sie die Erkennung sensibler Daten mit Standardeinstellungen aktivieren. Sie können die Einstellungen jederzeit anpassen, nachdem Sie die Erkennung aktiviert haben.
Wenn Sie Security Command Center Enterprise-Kunde sind, ist der Dienst zur Erkennung sensibler Daten in Ihrem Enterprise-Abo enthalten. Weitere Informationen finden Sie auf dieser Seite unter Zuweisung der Ermittlungskapazität.
Während der Aktivierung von Security Command Center Enterprise wird der Sensitive Data Protection-Erkennungsdienst automatisch für alle unterstützten Ressourcentypen aktiviert. Diese automatische Aktivierung ist ein einmaliger Vorgang, der nur für Ressourcentypen gilt, die zum Zeitpunkt der Aktivierung des Enterprise-Tarifs unterstützt werden. Wenn Sensitive Data Protection später die Erkennung für neue Ressourcentypen unterstützt, müssen Sie diese Erkennungstypen manuell aktivieren. Folgen Sie dazu dieser Anleitung.
Vorteile
Diese Funktion bietet folgende Vorteile:
Mit den Ergebnissen von Sensitive Data Protection können Sie Sicherheitslücken und Fehlkonfigurationen in Ihren Ressourcen identifizieren und beheben, die sensible Daten für die Öffentlichkeit oder für böswillige Akteure offenlegen können.
Mithilfe dieser Ergebnisse können Sie dem Triage-Prozess Kontext hinzufügen und Bedrohungen priorisieren, die auf Ressourcen mit vertraulichen Daten abzielen.
Sie können Security Command Center so konfigurieren, dass Ressourcen für die Simulation von Angriffspfaden automatisch nach der Vertraulichkeit der Daten priorisiert werden, die die Ressourcen enthalten. Weitere Informationen finden Sie unter Prioritätswerte für Ressourcen automatisch anhand der Vertraulichkeit von Daten festlegen.
Funktionsweise
Der Sensitive Data Protection-Erkennungsdienst hilft Ihnen, Daten in Ihrer Organisation zu schützen, indem er ermittelt, wo sich sensible und risikoreiche Daten befinden. Im Schutz sensibler Daten werden Datenprofile generiert, die Messwerte und Statistiken zu Ihren Daten auf verschiedenen Detailebenen enthalten. Im Security Command Center führt der Dienst folgende Aktionen aus:
Erstellen Sie Beobachtungsergebnisse in Security Command Center, in denen die berechneten Vertraulichkeits- und Datenrisikostufen Ihrer Daten angezeigt werden. Sie können diese Erkenntnisse nutzen, um auf Bedrohungen und Sicherheitslücken im Zusammenhang mit Ihren Daten-Assets zu reagieren. Eine Liste der generierten Ergebnistypen finden Sie unter Beobachtungsergebnisse des Discovery-Dienstes.
Diese Erkenntnisse können in die automatische Zuweisung von Ressourcen mit hohem Wert auf Grundlage der Vertraulichkeit von Daten einfließen. Weitere Informationen finden Sie auf dieser Seite unter Statistiken zur Ermittlung verwenden, um hochwertige Ressourcen zu identifizieren.
Ergebnisse zu Sicherheitslücken in Security Command Center generieren, wenn Sensitive Data Protection das Vorhandensein von hochsensiblen Daten erkennt, die nicht geschützt sind. Eine Liste der generierten Ergebnistypen finden Sie unter Ergebnisse zu Sicherheitslücken aus dem Erkennungsdienst für den Schutz sensibler Daten.
Latenz bei der Ergebnisgenerierung
Je nach Größe Ihrer Organisation können Ergebnisse zum Schutz sensibler Daten innerhalb weniger Minuten nach der Aktivierung der Erkennung sensibler Daten in Security Command Center angezeigt werden. Bei größeren Organisationen oder Organisationen mit bestimmten Konfigurationen, die sich auf die Generierung von Ergebnissen auswirken, kann es bis zu 12 Stunden dauern, bis erste Ergebnisse in Security Command Center angezeigt werden.
Anschließend werden in Security Command Center innerhalb weniger Minuten nach dem Scannen Ihrer Ressourcen durch den Dienst zur Erkennung sensibler Daten Ergebnisse generiert.
Hinweise
Führen Sie diese Aufgaben aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite erledigen.
Security Command Center Enterprise-Stufe aktivieren
Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um den Security Command Center Enterprise-Tarif zu aktivieren. Weitere Informationen finden Sie unter Security Command Center Enterprise-Version aktivieren.
Prüfen Sie, ob Sensitive Data Protection als integrierter Dienst aktiviert ist.
Standardmäßig ist der Schutz sensibler Daten in Security Command Center als integrierter Dienst aktiviert. Wenn Sensitive Data Protection noch nicht aktiviert ist, müssen Sie es aktivieren. Weitere Informationen finden Sie unter Google Cloud Integrierten Dienst hinzufügen.
Berechtigungen einrichten
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Erkennung vertraulicher Daten benötigen:
Zweck | Vordefinierte Rolle | Relevante Berechtigungen |
---|---|---|
Konfiguration für Erkennungsscan erstellen und Datenprofile ansehen | DLP Administrator (roles/dlp.admin )
|
|
Erstellen Sie ein Projekt, das als Dienst-Agent-Container1 verwendet werden soll. | Projektersteller (roles/resourcemanager.projectCreator ) |
|
Zugriff auf die Auffindbarkeit gewähren2 | Eine der folgenden:
|
|
1 Wenn Sie nicht die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator
) haben, können Sie trotzdem eine Scankonfiguration erstellen. Der Dienst-Agent-Container, den Sie verwenden, muss jedoch ein vorhandenes Projekt sein.
2 Wenn Sie nicht die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin
) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin
) haben, können Sie trotzdem eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss jemand in Ihrer Organisation, der eine dieser Rollen hat, dem Dienst-Agent Zugriff auf die Ermittlung gewähren.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Erkennung mit Standardeinstellungen aktivieren
Um die Erkennung zu aktivieren, erstellen Sie für jede Datenquelle, die Sie scannen möchten, eine Erkennungskonfiguration. Mit diesem Verfahren können Sie diese Discovery-Konfigurationen automatisch mit Standardeinstellungen erstellen. Sie können die Einstellungen jederzeit anpassen.
Wenn Sie die Einstellungen gleich zu Beginn anpassen möchten, lesen Sie stattdessen die folgenden Seiten:
- BigQuery-Daten in einer Organisation oder einem Ordner profilieren
- Cloud SQL-Daten in einer Organisation oder einem Ordner profilieren
- Cloud Storage-Daten in einer Organisation oder einem Ordner profilieren
- Vertex AI-Daten in einer Organisation oder einem Ordner profilieren
- Auffinden sensibler Daten für Amazon S3
- Geheime Informationen in Umgebungsvariablen an Security Command Center melden
So aktivieren Sie die Suche mit Standardeinstellungen:
Rufen Sie in der Google Cloud Console die Seite „Sensitive Data Protection“ → Erkennung aktivieren auf.
Prüfen Sie, ob Sie die Organisation aufrufen, für die Sie Security Command Center aktiviert haben.
Legen Sie im Feld Dienst-Agent-Container das Projekt fest, das als Dienst-Agent-Container verwendet werden soll. In diesem Projekt erstellt das System einen Dienst-Agent und gewährt ihm automatisch die erforderlichen Berechtigungen für die Erkennung.
Wenn Sie den Discovery-Dienst bereits für Ihre Organisation verwendet haben, haben Sie möglicherweise bereits ein Dienst-Agent-Containerprojekt, das Sie wiederverwenden können.
- Wenn Sie automatisch ein Projekt erstellen möchten, das als Dienst-Agent-Container verwendet werden soll, prüfen Sie die vorgeschlagene Projekt-ID und bearbeiten Sie sie bei Bedarf. Klicken Sie dann auf Erstellen. Es kann einige Minuten dauern, bis die Berechtigungen für den Dienst-Agent des neuen Projekts erteilt werden.
- Wenn Sie ein vorhandenes Projekt auswählen möchten, klicken Sie auf das Feld Dienst-Agent-Container und wählen Sie das Projekt aus.
Wenn Sie sich die Standardeinstellungen ansehen möchten, klicken Sie auf das Symbol zum Maximieren
.Klicken Sie im Bereich Enable discovery (Erkennung aktivieren) für jeden Erkennungstyp, den Sie aktivieren möchten, auf Enable (Aktivieren). Wenn Sie einen Erkennungstyp aktivieren, passiert Folgendes:
- BigQuery: Erstellt eine Ermittlungskonfiguration für das Profiling von BigQuery-Tabellen in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Profilerstellung Ihrer BigQuery-Daten und sendet die Profile an Security Command Center.
- Cloud SQL: Erstellt eine Discovery-Konfiguration zum Erstellen von Profilen für Cloud SQL-Tabellen in der gesamten Organisation. Sensitive Data Protection beginnt mit dem Erstellen von Standardverbindungen für jede Ihrer Cloud SQL-Instanzen. Dieser Vorgang kann einige Stunden dauern. Wenn die Standardverbindungen bereit sind, müssen Sie Sensitive Data Protection Zugriff auf Ihre Cloud SQL-Instanzen gewähren, indem Sie jede Verbindung mit den richtigen Datenbank-Nutzeranmeldedaten aktualisieren.
- Secrets/Anmeldedaten – Sicherheitslücken: Erstellt eine Erkennungskonfiguration zum Erkennen und Melden von unverschlüsselten Secrets in Cloud Run-Umgebungsvariablen. Sensitive Data Protection beginnt mit dem Scannen Ihrer Umgebungsvariablen.
- Cloud Storage: Erstellt eine Discovery-Konfiguration für das Profiling von Cloud Storage-Buckets in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Profilerstellung Ihrer Cloud Storage-Daten und sendet die Profile an Security Command Center.
- Vertex AI-Datasets: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für Vertex AI-Datasets in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Profilerstellung Ihrer Vertex AI-Datasets und sendet die Profile an Security Command Center.
Amazon S3: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für alle Amazon S3-Daten, auf die Ihr AWS-Connector Zugriff hat.
Azure Blob Storage: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für alle Azure Blob Storage-Daten, auf die Ihr Azure-Connector Zugriff hat.
Wenn Sie die neu erstellten Erkennungskonfigurationen aufrufen möchten, klicken Sie auf Zur Erkennungskonfiguration.
Wenn Sie die Cloud SQL-Erkennung aktiviert haben, wird die Erkennungskonfiguration im pausierten Modus mit Fehlern erstellt, die darauf hinweisen, dass keine Anmeldedaten vorhanden sind. Unter Verbindungen für die Verwendung mit Discovery verwalten finden Sie Informationen dazu, wie Sie Ihrem Dienst-Agent die erforderlichen IAM-Rollen zuweisen und Anmeldedaten für Datenbanknutzer für jede Cloud SQL-Instanz bereitstellen.
Schließen Sie den Bereich.
Informationen zum Ansehen der vom Schutz sensibler Daten generierten Ergebnisse finden Sie unter Ergebnisse des Schutzes sensibler Daten in derGoogle Cloud -Konsole ansehen.
Mithilfe von Statistiken zur Erkennung hochwertige Ressourcen identifizieren
Sie können Security Command Center automatisch eine Ressource, die Daten mit hoher oder mittlerer Vertraulichkeit enthält, als hochwertige Ressource kennzeichnen lassen. Dazu aktivieren Sie die Option „Sensitive Data Protection-Erkennungsdaten“ beim Erstellen einer Ressourcenwertkonfiguration für die Funktion „Angriffspfadsimulation“.
Für hochwertige Ressourcen bietet Security Command Center Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden, mit denen Sie die Sicherheit Ihrer Ressourcen mit sensiblen Daten priorisieren können. Weitere Informationen finden Sie unter Prioritätswerte für Ressourcen automatisch anhand der Vertraulichkeit von Daten festlegen .
Scankonfigurationen anpassen
Für jeden aktivierten Erkennungstyp gibt es eine Erkennungsscankonfiguration, die Sie anpassen können. Sie haben zum Beispiel folgende Möglichkeiten:
- Passen Sie die Scanfrequenzen an.
- Geben Sie Filter für Datenassets an, für die Sie kein neues Profil erstellen möchten.
- Ändern Sie die Inspektionsvorlage, in der die Informationstypen definiert sind, nach denen Sensitive Data Protection sucht.
- Die generierten Datenprofile in anderen Google Cloud Diensten veröffentlichen
- Ändern Sie den Dienst-Agent-Container.
Zuweisung von Erkennungskapazität
Wenn Ihre Anforderungen an die Erkennung sensibler Daten die für Security Command Center Enterprise-Kunden zugewiesene Kapazität überschreiten, kann Sensitive Data Protection Ihre Kapazität vorübergehend erhöhen. Diese Steigerung ist jedoch nicht garantiert und hängt davon ab, ob Rechenressourcen verfügbar sind. Wenn Sie mehr Kapazität für die Ermittlung benötigen, wenden Sie sich an Ihren Kundenbetreuer oder einen Google Cloud Vertriebsspezialisten. Weitere Informationen finden Sie in der Dokumentation zu Sensitive Data Protection unter Nutzung überwachen.