Ativar a descoberta de dados sensíveis no nível Enterprise

Nesta página, descrevemos como ativar a descoberta de dados sensíveis usando caso você tenha uma assinatura no nível Enterprise e ative Proteção de Dados Sensíveis, um produto com preço separado. Você pode personalizar as configurações a qualquer momento após ativar a descoberta.

Quando você ativa a descoberta, a Proteção de dados sensíveis gera descobertas do Security Command Center que mostram os níveis de confidencialidade e risco de dados em toda a organização.

Para saber como ativar a descoberta de dados sensíveis, independentemente nível de serviço do Security Command Center, consulte as páginas a seguir na Documentação da Proteção de Dados Sensíveis:

Como funciona

O serviço de descoberta da proteção de dados sensíveis ajuda você a proteger os dados em toda a organização, identificando onde os dados sensíveis e de alto risco residir. Na Proteção de Dados Sensíveis, o serviço gera dados de perfis, que apresentam métricas e insights sobre seus dados em vários níveis de detalhes. No Security Command Center, a faz o seguinte:

Para ativar a descoberta de dados sensíveis na sua organização, crie uma da verificação de descoberta para cada conteúdo recurso que você quer verificar.

Preços

A descoberta de dados sensíveis é cobrada separadamente do Security Command Center, independente do nível de serviço. Se você não comprar uma assinatura para descoberta, você é cobrado com base no consumo (bytes verificados). Para mais informações, consulte Descoberta preços na documentação de proteção de dados sensíveis.

Antes de começar

Conclua essas tarefas antes de concluir as tarefas restantes nesta página.

Ativar o nível Security Command Center Enterprise

Conclua as etapas 1 e 2 do guia de configuração para ativar o nível Security Command Center Enterprise. Para mais informações, consulte Ativar o Security Command Center Enterprise nível 2.

Ativar a proteção de dados sensíveis como um serviço integrado

Se a proteção de dados sensíveis ainda não estiver ativada como um serviço integrado, ativá-la. Para mais informações, acesse Adicionar uma conta do Google Cloud serviço.

Configurar permissões

Para receber as permissões necessárias para configurar a descoberta de dados sensíveis, peça que o administrador conceda a você os seguintes papéis do IAM na organização:

Finalidade Papel predefinido Permissões relevantes
Criar uma configuração de verificação de descoberta e ver perfis de dados Administrador do DLP (roles/dlp.admin)
  • dlp.columnDataProfiles.list
  • dlp.fileStoreProfiles.list
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobs.list
  • dlp.jobTriggers.create
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Criar um projeto para ser usado como o contêiner do agente de serviço1 roles/resourcemanager.projectCreatorCriador do projeto
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Conceder acesso de descoberta2 Uma das seguintes opções:
  • Administrador da organização (roles/resourcemanager.organizationAdmin)
  • Administrador de segurança (roles/iam.securityAdmin)
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Se você não tiver o projeto Criador (roles/resourcemanager.projectCreator), você ainda pode criar uma verificação mas o agente de serviço O contêiner usado precisa ser um projeto atual.

2 Se você não tiver o papel de administrador da organização (roles/resourcemanager.organizationAdmin) ou de administrador de segurança (roles/iam.securityAdmin), ainda poderá criar uma configuração de verificação. Depois de criar a configuração de verificação, alguém em sua organização que tenha um desses papéis deverá conceder acesso de descoberta ao agente de serviço.

Para mais informações sobre como conceder papéis, consulte Gerenciar .

Também é possível conseguir as permissões necessárias por meio de configurações de ou outras funções predefinidas papéis.

Ativar descoberta com as configurações padrão

Para ativar a descoberta, crie uma configuração de descoberta para cada fonte de dados que você quer verificar. Esse procedimento permite criar essas configurações de detecção automaticamente usando as configurações padrão. É possível personalizar configurações a qualquer momento depois de realizar esse procedimento.

Se você quiser personalizar as configurações desde o início, consulte as páginas a seguir:

Para ativar a descoberta com as configurações padrão, siga estas etapas:

  1. No console do Google Cloud, acesse "Proteção de dados sensíveis" Ativar descoberta.

    Acesse Ativar descoberta

  2. Verifique se você está visualizando a organização ativada. Security Command Center ativado.

  3. No campo Contêiner do agente de serviço, defina o projeto a ser usado como um agente de serviço contêiner do Docker. Nesse projeto, o sistema cria um agente de serviço e concede automaticamente as permissões de descoberta necessárias a ele.

    Se você já usou o serviço de descoberta na sua organização, talvez já tem um projeto de contêiner de agente de serviço que pode ser reutilizado.

    • Para criar automaticamente um projeto para usar como contêiner do agente de serviço, faça o seguinte: revise o ID do projeto sugerido e edite-o conforme necessário. Em seguida, clique em Criar. Pode levar alguns minutos para que as permissões sejam concedidas a agente de serviço do novo projeto.
    • Para selecionar um projeto atual, clique no campo Contêiner do agente de serviço e selecione o projeto.

  4. Para revisar as configurações padrão, clique no ícone de expansão .

  5. Na seção Ativar descoberta, clique em Ativar para cada tipo de descoberta que você quer ativar. A ativação de um tipo de descoberta faz o seguinte:

    • BigQuery: cria uma configuração de descoberta para criação de perfil Tabelas do BigQuery em toda a organização. A Proteção de dados sensíveis começa a criar o perfil dos seus dados do BigQuery e envia os perfis para o Security Command Center.
    • Cloud SQL: cria uma configuração de descoberta para criação de perfil Tabelas do Cloud SQL em toda a organização. A Proteção de Dados Sensíveis começa a criar conexões padrão para para cada uma das instâncias do Cloud SQL. Esse processo pode levar alguns horas. Quando as conexões padrão estiverem prontas, dê o acesso à proteção de dados sensíveis instâncias do Cloud SQL atualizando cada conexão com as credenciais do usuário do banco de dados.
    • Vulnerabilidades de secrets/credenciais: cria uma configuração de descoberta. para detectar e relatar secrets não criptografados nas funções do Cloud Run variáveis de ambiente. A Proteção de Dados Sensíveis começa a verificar suas variáveis de ambiente.
    • Cloud Storage: cria uma configuração de descoberta para criar perfis de buckets do Cloud Storage em toda a organização. A Proteção de dados sensíveis começa a criar o perfil dos seus dados do Cloud Storage e envia os perfis para o Security Command Center.

    • Amazon S3: cria uma configuração de descoberta para criação de perfil. dados do Amazon S3 em toda a organização, uma única conta do S3 do Google Cloud.

  6. Para conferir as configurações de descoberta recém-criadas, clique em Acessar descoberta do Terraform.

    Se você ativou a descoberta do Cloud SQL, a configuração da descoberta será criado no modo pausado com erros que indicam a ausência de credenciais. Consulte Gerenciar conexões para usar com discovery para conceder a os papéis do IAM necessários ao agente de serviço e fornecer credenciais de usuário do banco de dados para cada instância do Cloud SQL.

  7. Fechar painel.

Quando a proteção de dados sensíveis gera os perfis de dados, pode levar até seis horas para que as descobertas associadas apareçam no Security Command Center.

A partir do momento em que você ativa a descoberta de secrets na Proteção de Dados Sensíveis, pode levar até 12 horas para que a verificação inicial das variáveis de ambiente seja concluída. concluída e que as descobertas de Secrets in environment variables apareçam em o Security Command Center. Em seguida, a Proteção de Dados Sensíveis verifica o ambiente a cada 24 horas. Na prática, as verificações podem ser executadas com mais frequência do que isso.

Para acessar as descobertas geradas pela Proteção de Dados Sensíveis, consulte Revisar descobertas sobre a proteção de dados sensíveis na Console do Google Cloud.

Usar insights de descoberta para identificar recursos de alto valor

É possível fazer com que o Security Command Center designe automaticamente um recurso que contenha dados de alta ou média sensibilidade como um recurso de alto valor, ativando a opção de insights da Proteção de dados sensíveis ao criar uma configuração de valor de recurso para o recurso de simulação de caminho de ataque.

Para recursos de alto valor, o Security Command Center fornece pontuações de exposição a ataques e visualizações de caminho de ataque, as quais podem ser usadas para priorizar a segurança recursos que contêm dados sensíveis.

As simulações de caminho de ataque podem definir automaticamente valores de prioridade com base nas classificações de sensibilidade de dados Proteção de Dados Sensíveis apenas para os seguintes tipos de recursos de dados:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Personalizar as configurações de verificação

Depois de criar as configurações de verificação, elas podem ser personalizadas. Por exemplo: faça o seguinte:

  • Ajuste as frequências de busca.
  • Especifique filtros para os recursos de dados que você não quer recriar.
  • Altere a inspeção modelo, que define as informações tipos que A Proteção de Dados Sensíveis verifica.
  • Publique os perfis de dados gerados em outros serviços do Google Cloud.
  • Altere o contêiner do agente de serviço.

Para personalizar uma configuração de verificação, siga estas etapas:

  1. Abra a configuração de verificação para edição.

  2. Atualize as configurações conforme necessário. Para mais informações sobre as opções na Editar configuração da verificação, consulte as seguintes páginas:

A seguir