Nesta página, descrevemos como ativar a descoberta de dados sensíveis usando as configurações padrão. Você pode personalizar as configurações a qualquer momento depois de ativar a descoberta.
Se você for cliente do Security Command Center Enterprise, o serviço de descoberta da Proteção de Dados Sensíveis estará incluído na sua assinatura do Enterprise. Para mais informações, consulte Alocação de capacidade de descoberta nesta página.
Durante o processo de ativação do nível Security Command Center Enterprise, o serviço de descoberta da Proteção de dados sensíveis é ativado automaticamente para todos os tipos de recursos compatíveis. Esse processo de ativação automática é uma operação única que se aplica apenas aos tipos de recursos compatíveis no momento da ativação do nível Enterprise. Se a Proteção de Dados Sensíveis adicionar suporte à descoberta de novos tipos de recursos, você precisará ativar esses tipos manualmente seguindo estas instruções.
Vantagens
Esse recurso oferece os seguintes benefícios:
Use as descobertas da Proteção de dados sensíveis para identificar e corrigir vulnerabilidades e configurações incorretas nos seus recursos que podem expor dados sensíveis ao público ou a usuários mal-intencionados.
É possível usar essas descobertas para adicionar contexto ao processo de triagem e priorizar ameaças que visam recursos com dados sensíveis.
É possível configurar o Security Command Center para priorizar automaticamente os recursos para o recurso de simulação de caminho de ataque de acordo com a sensibilidade dos dados que eles contêm. Para mais informações, consulte Definir valores de prioridade de recursos automaticamente com base na sensibilidade dos dados.
Como funciona
O serviço de descoberta da Proteção de Dados Sensíveis ajuda a proteger os dados em toda a organização, identificando onde estão os dados sensíveis e de alto risco. Na Proteção de Dados Sensíveis, o serviço gera perfis de dados, que fornecem métricas e insights sobre seus dados em vários níveis de detalhes. No Security Command Center, o serviço faz o seguinte:
Gere descobertas de observação no Security Command Center que mostram os níveis calculados de sensibilidade e risco de dados. Use essas descobertas para informar sua resposta quando encontrar ameaças e vulnerabilidades relacionadas aos recursos de dados. Para ver uma lista dos tipos de descobertas geradas, consulte Descobertas de observação do serviço de descoberta.
Essas descobertas podem informar a designação automática de recursos de alto valor com base na sensibilidade dos dados. Para mais informações, consulte Usar insights de descoberta para identificar recursos de alto valor nesta página.
Gerar descobertas de vulnerabilidade no Security Command Center quando a proteção de dados sensíveis detectar a presença de dados altamente sensíveis que não estão protegidos. Para conferir uma lista dos tipos de descobertas geradas, consulte Descobertas de vulnerabilidades do serviço de descoberta da proteção de dados confidenciais.
Latência de geração de descobertas
Dependendo do tamanho da sua organização, as descobertas da Proteção de Dados Sensíveis podem começar a aparecer no Security Command Center alguns minutos depois que você ativa a descoberta de dados sensíveis. Para organizações maiores ou com configurações específicas que afetam a geração de descobertas, pode levar até 12 horas para que as descobertas iniciais apareçam no Security Command Center.
Em seguida, a Proteção de Dados Sensíveis gera descobertas no Security Command Center alguns minutos após o serviço de descoberta verificar seus recursos.
Antes de começar
Conclua essas tarefas antes de concluir as restantes nesta página.
Ativar o nível Security Command Center Enterprise
Conclua as etapas 1 e 2 do guia de configuração para ativar o nível Security Command Center Enterprise. Para mais informações, consulte Ativar o Security Command Center Enterprise Center.
Verifique se a Proteção de Dados Sensíveis está ativada como um serviço integrado
Por padrão, a Proteção de dados sensíveis é ativada no Security Command Center como um serviço integrado. Se a Proteção de Dados Sensíveis ainda não estiver ativada, faça isso. Para mais informações, consulte Adicionar um Google Cloud serviço integrado.
Configurar permissões
Para receber as permissões necessárias para configurar a descoberta de dados sensíveis, peça ao administrador para conceder a você os seguintes papéis do IAM na organização:
| Finalidade | Papel predefinido | Permissões relevantes |
|---|---|---|
| Criar uma configuração de verificação de descoberta e visualizar perfis de dados | Administrador do DLP (roles/dlp.admin) |
|
| Crie um projeto para ser usado como o contêiner do agente de serviço1 | roles/resourcemanager.projectCreatorCriador do projeto |
|
| Conceder acesso à descoberta2 | Uma das seguintes opções:
|
|
1 Se você não tiver o papel de
Criador de projetos (roles/resourcemanager.projectCreator), ainda poderá criar uma configuração de
verificação, mas o contêiner do agente de
serviço usado precisa ser um projeto existente.
2 Se você não tiver o papel de administrador da organização (roles/resourcemanager.organizationAdmin) ou administrador de segurança (roles/iam.securityAdmin), ainda poderá criar uma configuração de verificação. Depois de
criar a configuração de verificação, alguém na sua organização com uma dessas funções precisa conceder acesso à descoberta ao
agente de serviço.
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.
Ativar a descoberta com as configurações padrão
Para ativar a descoberta, crie uma configuração para cada fonte de dados que você quer verificar. Esse procedimento permite criar essas configurações de descoberta automaticamente usando as configurações padrão. Você pode personalizar as configurações a qualquer momento depois de realizar esse procedimento.
Se você quiser personalizar as configurações desde o início, consulte as seguintes páginas:
- Criar perfil de dados do BigQuery em uma organização ou pasta
- Criar perfil de dados do Cloud SQL em uma organização ou pasta
- Criar perfil de dados do Cloud Storage em uma organização ou pasta
- Criar perfil de dados da Vertex AI em uma organização ou pasta
- Descoberta de dados sensíveis para o Amazon S3
- Informar segredos em variáveis de ambiente ao Security Command Center
Para ativar a descoberta com as configurações padrão, siga estas etapas:
No console Google Cloud , acesse a página Proteção de Dados Sensíveis Ativar descoberta.
Verifique se você está visualizando a organização em que ativou o Security Command Center.
No campo Contêiner do agente de serviço, defina o projeto a ser usado como um contêiner do agente de serviço. Nesse projeto, o sistema cria um agente de serviço e concede automaticamente as permissões de descoberta necessárias a ele.
Se você já usou o serviço de descoberta na sua organização, talvez já tenha um projeto de contêiner de agente de serviço que possa ser reutilizado.
- Para criar automaticamente um projeto para usar como contêiner do agente de serviço, revise o ID do projeto sugerido e edite-o conforme necessário. Em seguida, clique em Criar. Pode levar alguns minutos para que as permissões sejam concedidas ao agente de serviço do novo projeto.
- Para selecionar um projeto atual, clique no campo Contêiner do agente de serviço e escolha o projeto.
Para analisar as configurações padrão, clique no ícone de expansão .
Na seção Ativar descoberta, clique em Ativar para cada tipo de descoberta que você quer ativar. Ao ativar um tipo de descoberta, você faz o seguinte:
- BigQuery: cria uma configuração de descoberta para criar perfis de tabelas do BigQuery em toda a organização. A Proteção de dados sensíveis começa a criar perfis dos seus dados do BigQuery e os envia para o Security Command Center.
- Cloud SQL: cria uma configuração de descoberta para criar perfis de tabelas do Cloud SQL em toda a organização. A Proteção de dados sensíveis começa a criar conexões padrão para cada uma das suas instâncias do Cloud SQL. Esse processo pode levar algumas horas. Quando as conexões padrão estiverem prontas, atualize cada uma delas com as credenciais de usuário do banco de dados adequadas para dar à Proteção de Dados Sensíveis acesso às suas instâncias do Cloud SQL.
- Vulnerabilidades de Secrets/credenciais: cria uma configuração de descoberta para detectar e informar secrets não criptografados em variáveis de ambiente do Cloud Run. A Proteção de Dados Sensíveis começa a verificar suas variáveis de ambiente.
- Cloud Storage: cria uma configuração de descoberta para criar perfis de buckets do Cloud Storage em toda a organização. A proteção de dados sensíveis começa a criar perfis dos seus dados do Cloud Storage e envia os perfis para o Security Command Center.
- Conjuntos de dados da Vertex AI: cria uma configuração de descoberta para criar perfis de conjuntos de dados da Vertex AI em toda a organização. A Proteção de dados sensíveis começa a criar perfis dos seus conjuntos de dados da Vertex AI e envia os perfis para o Security Command Center.
Amazon S3: cria uma configuração de descoberta para criar perfis de todos os dados do Amazon S3 a que seu conector da AWS tem acesso.
Armazenamento de blobs do Azure: cria uma configuração de descoberta para criar perfis de todos os dados do Armazenamento de blobs do Azure a que seu conector do Azure tem acesso.
Para conferir as configurações de descoberta recém-criadas, clique em Acessar a configuração de descoberta.
Se você ativou a descoberta do Cloud SQL, a configuração de descoberta será criada no modo pausado com erros indicando a ausência de credenciais. Consulte Gerenciar conexões para uso com descoberta e conceda os papéis necessários do IAM ao seu agente de serviço e forneça as credenciais de usuário do banco de dados para cada instância do Cloud SQL.
Fechar painel.
Para ver as descobertas geradas pela Proteção de dados sensíveis, consulte Analisar descobertas da Proteção de dados sensíveis no console doGoogle Cloud .
Use insights de descoberta para identificar recursos de alto valor
Você pode fazer com que o Security Command Center designe automaticamente um recurso que contenha dados de alta ou média sensibilidade como um recurso de alto valor. Para isso, ative a opção de insights de descoberta da Proteção de Dados Sensíveis ao criar uma configuração de valor de recurso para o recurso de simulação de caminho de ataque.
Para recursos de alto valor, o Security Command Center oferece pontuações de exposição a ataques e visualizações de caminho de ataque, que podem ser usadas para priorizar a segurança dos recursos que contêm dados sensíveis. Para mais informações, consulte Definir valores de prioridade de recursos automaticamente por sensibilidade de dados .
Personalizar as configurações de verificação
Cada tipo de descoberta ativado tem uma configuração de verificação que pode ser personalizada. Por exemplo, é possível:
- Ajuste as frequências de verificação.
- Especifique filtros para recursos de dados que você não quer criar um novo perfil.
- Mude o modelo de inspeção, que define os tipos de informações que a Proteção de Dados Sensíveis procura.
- Publicar os perfis de dados gerados em outros Google Cloud serviços.
- Mude o contêiner do agente de serviço.
Alocação de capacidade de descoberta
Se as suas necessidades de descoberta de dados sensíveis excederem a capacidade alocada para clientes do Security Command Center Enterprise, a Proteção de Dados Sensíveis poderá aumentar sua capacidade temporariamente. No entanto, esse aumento não é garantido e depende da disponibilidade de recursos de computação. Se você precisar de mais capacidade de descoberta, entre em contato com seu representante da conta ou um especialista em vendas doGoogle Cloud . Para mais informações, consulte Monitorar o uso na documentação da Proteção de Dados Sensíveis.
A seguir
- Ver descobertas da Proteção de dados sensíveis
- Ver os perfis de dados na Proteção de Dados Sensíveis.