Attivare il rilevamento dei dati sensibili nel livello Enterprise

Questa pagina descrive come abilitare Sensitive Data Discovery utilizzando le impostazioni predefinite. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver attivato il rilevamento.

Se sei un cliente di Security Command Center Enterprise, il servizio di rilevamento di Sensitive Data Protection è incluso nel tuo abbonamento Enterprise. Per saperne di più, consulta Allocazione della capacità di discovery in questa pagina.

Durante il processo di attivazione del livello Security Command Center Enterprise, il servizio di rilevamento Sensitive Data Protection viene attivato automaticamente per tutti i tipi di risorse supportati. Questo processo di attivazione automatica è un'operazione una tantum che si applica solo ai tipi di risorse supportati al momento dell'attivazione del livello Enterprise. Se in un secondo momento Sensitive Data Protection aggiunge il supporto della scoperta per nuovi tipi di risorse, devi abilitare manualmente questi tipi di scoperta seguendo queste istruzioni.

Vantaggi

Questa funzionalità offre i seguenti vantaggi:

• Puoi utilizzare i risultati di Sensitive Data Protection per identificare e correggere vulnerabilità e configurazioni errate nelle tue risorse che possono esporre dati sensibili al pubblico o a malintenzionati.

• Puoi utilizzare questi risultati per aggiungere contesto al processo di triage e dare la priorità alle minacce che prendono di mira le risorse contenenti dati sensibili.

• Puoi configurare Security Command Center in modo da dare automaticamente la priorità alle risorse per la funzionalità di simulazione del percorso di attacco in base alla sensibilità dei dati contenuti nelle risorse. Per saperne di più, consulta Impostare automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati.

Come funziona

Il servizio di rilevamento Sensitive Data Protection ti aiuta a proteggere i dati in tutta l'organizzazione identificando la posizione dei dati sensibili e ad alto rischio. In Protezione dei dati sensibili, il servizio genera profili di dati, che forniscono metriche e approfondimenti sui tuoi dati a vari livelli di dettaglio. In Security Command Center, il servizio esegue le seguenti operazioni:

• Genera risultati di osservazione in Security Command Center che mostrano i livelli di rischio dei dati e sensibilità calcolati per i tuoi dati. Puoi utilizzare questi risultati per informare la tua risposta quando riscontri minacce e vulnerabilità relative alle tue risorse di dati. Per un elenco dei tipi di risultati generati, vedi Risultati dell'osservazione dal servizio di rilevamento.

  Questi risultati possono essere utilizzati per la designazione automatica delle risorse di alto valore in base alla sensibilità dei dati. Per ulteriori informazioni, vedi Utilizzare gli approfondimenti sulla scoperta per identificare le risorse di alto valore in questa pagina.

• Genera risultati di vulnerabilità in Security Command Center quando Sensitive Data Protection rileva la presenza di dati altamente sensibili non protetti. Per un elenco dei tipi di risultati generati, vedi Risultati delle vulnerabilità dal servizio di rilevamento di Sensitive Data Protection.

Trovare la latenza di generazione

A seconda delle dimensioni della tua organizzazione, i risultati di Sensitive Data Protection possono iniziare a essere visualizzati in Security Command Center pochi minuti dopo l'attivazione del rilevamento di dati sensibili. Per le organizzazioni più grandi o con configurazioni specifiche che influiscono sulla generazione dei risultati, possono trascorrere fino a 12 ore prima che i risultati iniziali vengano visualizzati in Security Command Center.

Successivamente, Sensitive Data Protection genera risultati in Security Command Center pochi minuti dopo che il servizio di rilevamento ha eseguito la scansione delle risorse.

Prima di iniziare

Completa queste attività prima di completare le attività rimanenti in questa pagina.

Attiva il livello Security Command Center Enterprise

Completa i passaggi 1 e 2 della guida alla configurazione per attivare il livello Security Command Center Enterprise. Per saperne di più, consulta Attivare il livello Security Command Center Enterprise.

Assicurati che Sensitive Data Protection sia abilitato come servizio integrato

Per impostazione predefinita, Sensitive Data Protection è abilitato in Security Command Center come servizio integrato. Se Sensitive Data Protection non è ancora abilitato, devi abilitarlo. Per maggiori informazioni, vedi Aggiungere un servizio integrato. Google Cloud

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per configurare il rilevamento dei dati sensibili, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:

Finalità	Ruolo predefinito	Autorizzazioni pertinenti
Crea una configurazione di scansione di rilevamento e visualizza i profili di dati	Amministratore DLP (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un progetto da utilizzare come container dell'agente di servizio1	Autore progetto (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
Concedere l'accesso alla scoperta2	Uno dei seguenti: Amministratore organizzazione (roles/resourcemanager.organizationAdmin) Amministratore sicurezza (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se non disponi del ruolo Project Creator (roles/resourcemanager.projectCreator), puoi comunque creare una configurazione di scansione, ma il container dell'agente di servizio che utilizzi deve essere un progetto esistente.

² Se non disponi del ruolo Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), puoi comunque creare una configurazione di scansione. Dopo aver creato la configurazione della scansione, un membro della tua organizzazione con uno di questi ruoli deve concedere l'accesso al rilevamento all'agente di servizio.

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Attivare il rilevamento con le impostazioni predefinite

Per attivare il rilevamento, crea una configurazione di rilevamento per ogni origine dati che vuoi analizzare. Questa procedura ti consente di creare automaticamente queste configurazioni di rilevamento utilizzando le impostazioni predefinite. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver eseguito questa procedura.

Se vuoi personalizzare le impostazioni fin dall'inizio, consulta le seguenti pagine:

• Profilare i dati BigQuery in un'organizzazione o una cartella
• Profilare i dati Cloud SQL in un'organizzazione o una cartella
• Profilare i dati Cloud Storage in un'organizzazione o una cartella
• Profilare i dati di Vertex AI in un'organizzazione o una cartella
• Individuazione dei dati sensibili per Amazon S3
• Segnala i secret nelle variabili di ambiente a Security Command Center

Per attivare la scoperta con le impostazioni predefinite:

1. Nella console Google Cloud , vai alla pagina Sensitive Data Protection Abilita rilevamento.

   Vai ad Abilita rilevamento

2. Verifica di visualizzare l'organizzazione su cui hai attivato Security Command Center.

3. Nel campo Container dell'agente di servizio, imposta il progetto da utilizzare come container dell'agente di servizio. All'interno di questo progetto, il sistema crea un service agent e gli concede automaticamente le autorizzazioni di rilevamento richieste.

   Se in precedenza hai utilizzato il servizio di rilevamento per la tua organizzazione, potresti già disporre di un progetto contenitore dell'agente di servizio che puoi riutilizzare.

   • Per creare automaticamente un progetto da utilizzare come container dell'agente di servizio, esamina l'ID progetto suggerito e modificalo se necessario. Quindi, fai clic su Crea. Potrebbero essere necessari alcuni minuti prima che le autorizzazioni vengano concesse all'agente di servizio del nuovo progetto.
   • Per selezionare un progetto esistente, fai clic sul campo Container dell'agente di servizio e seleziona il progetto.

4. Per rivedere le impostazioni predefinite, fai clic sull'icona di espansione expand_more.

5. Nella sezione Attiva la scoperta, fai clic su Attiva per ogni tipo di scoperta che vuoi attivare. L'attivazione di un tipo di rilevamento comporta quanto segue:

   • BigQuery: crea una configurazione di rilevamento per la profilazione delle tabelle BigQuery nell'organizzazione. Sensitive Data Protection inizia a profilare i tuoi dati BigQuery e invia i profili a Security Command Center.
   • Cloud SQL: crea una configurazione di rilevamento per la profilazione delle tabelle Cloud SQL nell'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ciascuna delle tue istanze Cloud SQL. Questa procedura può richiedere alcune ore. Quando le connessioni predefinite sono pronte, devi concedere a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database corrette.
   • Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare i secret non criptati nelle variabili di ambiente di Cloud Run. Sensitive Data Protection inizia a scansionare le variabili di ambiente.
   • Cloud Storage: crea una configurazione di rilevamento per la profilazione dei bucket Cloud Storage nell'organizzazione. Sensitive Data Protection inizia a profilare i tuoi dati di Cloud Storage e invia i profili a Security Command Center.
   • Set di dati Vertex AI: crea una configurazione di rilevamento per la profilazione dei set di dati Vertex AI in tutta l'organizzazione. Sensitive Data Protection inizia a profilare i tuoi set di dati Vertex AI e invia i profili a Security Command Center.

   • Amazon S3: crea una configurazione di rilevamento per profilare tutti i dati Amazon S3 a cui il connettore AWS ha accesso.

   • Azure Blob Storage: crea una configurazione di rilevamento per profilare tutti i dati di Azure Blob Storage a cui ha accesso il connettore Azure.

6. Per visualizzare le configurazioni di rilevamento appena create, fai clic su Vai alla configurazione del rilevamento.

   Se hai abilitato il rilevamento Cloud SQL, la configurazione del rilevamento viene creata in modalità sospesa con errori che indicano l'assenza di credenziali. Consulta Gestire le connessioni da utilizzare con il rilevamento per concedere i ruoli IAM richiesti all'agente di servizio e per fornire le credenziali utente del database per ogni istanza Cloud SQL.

7. Chiudi il riquadro.

Per visualizzare i risultati generati da Sensitive Data Protection, consulta Esaminare i risultati di Sensitive Data Protection nella consoleGoogle Cloud .

Utilizzare gli approfondimenti sulla scoperta per identificare le risorse di alto valore

Puoi fare in modo che Security Command Center designi automaticamente una risorsa che contiene dati con sensibilità alta o media come risorsa di valore elevato attivando l'opzione di approfondimenti sulla scoperta di Sensitive Data Protection quando crei una configurazione del valore delle risorse per la funzionalità di simulazione del percorso di attacco.

Per le risorse di alto valore, Security Command Center fornisce punteggi di esposizione agli attacchi e visualizzazioni dei percorsi di attacco, che puoi utilizzare per dare la priorità alla sicurezza delle risorse che contengono dati sensibili. Per saperne di più, vedi Impostare automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati .

Personalizzare le configurazioni di scansione

Ogni tipo di rilevamento abilitato ha una configurazione di scansione del rilevamento che puoi personalizzare. Puoi ad esempio eseguire le seguenti operazioni:

• Regola le frequenze di scansione.
• Specifica i filtri per gli asset di dati di cui non vuoi eseguire nuovamente la profilazione.
• Modifica il modello di ispezione, che definisce i tipi di informazioni che Sensitive Data Protection analizza.
• Pubblica i profili dei dati generati in altri servizi Google Cloud .
• Modifica il container dell'agente di servizio.

Allocazione della capacità di rilevamento

Se le tue esigenze di rilevamento di dati sensibili superano la capacità allocata per i clienti di Security Command Center Enterprise, Sensitive Data Protection potrebbe aumentare temporaneamente la tua capacità. Tuttavia, questo aumento non è garantito e dipende dalla disponibilità di risorse di calcolo. Se hai bisogno di una maggiore capacità di rilevamento, contatta il tuo rappresentante dell'account o un Google Cloud esperto delle vendite. Per ulteriori informazioni, consulta Monitorare l'utilizzo nella documentazione di Sensitive Data Protection.

Passaggi successivi

• Visualizzare i risultati di Sensitive Data Protection
• Visualizza i profili dati in Sensitive Data Protection.