在 Enterprise 方案中啟用機密資料探索功能

本頁面說明如何使用預設設定啟用機密資料探索功能。啟用探索功能後，您可以隨時自訂設定。

如果您是 Security Command Center Enterprise 客戶，Enterprise 訂閱方案會包含 Sensitive Data Protection 探索服務。詳情請參閱本頁面的「探索容量分配」。

啟用 Security Command Center Enterprise 方案時，系統會自動為所有支援的資源類型啟用 Sensitive Data Protection 探索服務。這項自動啟用程序是一次性作業，僅適用於啟用 Enterprise 方案時支援的資源類型。如果 Sensitive Data Protection 日後支援新的資源類型，您必須按照這些操作說明手動啟用這些探索類型。

優點

這項功能有以下好處：

• 您可以根據私密資料防護的結果，找出並修正資源中的安全漏洞和設定錯誤，避免私密資料外洩給大眾或惡意行為人。

• 您可以運用這些發現，在分類程序中加入背景資訊，並優先處理以含有機密資料的資源為目標的威脅。

• 您可以設定 Security Command Center，讓系統根據資源所含資料的機密程度，自動為攻擊路徑模擬功能設定資源優先順序。詳情請參閱「自動依據資料機密程度設定資源優先順序值」。

運作方式

Sensitive Data Protection 探索服務可找出機密和高風險資料的所在位置，協助您保護整個機構的資料。在 Sensitive Data Protection 中，這項服務會產生資料剖析檔，提供各種詳細程度的資料指標和洞察資訊。在 Security Command Center 中，這項服務會執行下列操作：

• 在 Security Command Center 中產生觀察發現項目，顯示資料的計算機密程度和資料風險等級。當您遇到與資料資產相關的威脅和安全漏洞時，可以參考這些發現來制定因應措施。如需產生的發現項目類型清單，請參閱「探索服務的觀察發現項目」。

  這些發現可做為依據，自動指定高價值資源 (根據資料機密程度)。詳情請參閱本頁的「運用探索洞察資料找出高價值資源」。

• 當 Sensitive Data Protection 偵測到未受保護的高度機密資料時，會在 Security Command Center 中產生安全漏洞發現項目。如需產生的發現項目類型清單，請參閱「Sensitive Data Protection 探索服務的安全性弱點發現項目」。

找出生成延遲

視貴機構規模而定，啟用機密資料探索功能後，幾分鐘內 Security Command Center 就會開始顯示 Sensitive Data Protection 發現項目。如果組織規模較大，或有影響發現項目生成的特定設定，Security Command Center 最多可能需要 12 小時，才會顯示初始發現項目。

隨後，Sensitive Data Protection 會在探索服務掃描資源後幾分鐘內，在 Security Command Center 中產生發現項目。

事前準備

請先完成這些工作，再完成本頁面上的其餘工作。

啟用 Security Command Center Enterprise 級別

完成設定指南的步驟 1 和步驟 2，啟用 Security Command Center Enterprise 方案。詳情請參閱「啟用 Security Command Center Enterprise 層級」。

確認已啟用 Sensitive Data Protection 做為整合式服務

根據預設，Sensitive Data Protection 會在 Security Command Center 中啟用，做為整合式服務。如果尚未啟用 Sensitive Data Protection，請務必啟用。詳情請參閱「新增 Google Cloud 整合式服務」。

設定權限

如要取得設定機密資料探索功能所需的權限，請管理員在機構中授予下列 IAM 角色：

目的	預先定義的角色	相關權限
建立探索掃描設定並查看資料剖析檔	DLP 管理員 (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
建立專案做為服務代理容器1	專案建立者 (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
授予探索存取權2	下列其中一項： 機構管理員 (roles/resourcemanager.organizationAdmin) 安全性管理員 (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ 如果您沒有專案建立者 (roles/resourcemanager.projectCreator) 角色，還是可以建立掃描設定，但使用的服務代理程式容器必須是現有專案。

² 如果您沒有機構管理員 (roles/resourcemanager.organizationAdmin) 或安全管理員 (roles/iam.securityAdmin) 角色，還是可以建立掃描設定。建立掃描設定後，貴機構中具有下列任一角色的人員，必須授予服務代理探索存取權。

如要進一步瞭解如何授予角色，請參閱「管理存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

使用預設設定啟用探索功能

如要啟用探索功能，請為要掃描的每個資料來源建立探索設定。這個程序可讓您使用預設設定，自動建立探索設定。執行這項程序後，你隨時可以自訂設定。

如要從頭自訂設定，請改為參閱下列頁面：

• 剖析機構或資料夾中的 BigQuery 資料
• 剖析機構或資料夾中的 Cloud SQL 資料
• 剖析機構或資料夾中的 Cloud Storage 資料
• 剖析機構或資料夾中的 Vertex AI 資料
• Amazon S3 機密資料探索
• 向 Security Command Center 回報環境變數中的密碼

如要啟用探索功能並使用預設設定，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的 Sensitive Data Protection「啟用探索」頁面。

   前往「啟用探索功能」

2. 確認您正在查看啟用 Security Command Center 的機構。

3. 在「服務代理容器」欄位中，設定要當做服務代理容器使用的專案。系統會在專案中建立服務代理，並自動授予必要的探索權限。

   如果您先前曾為貴機構使用探索服務，可能已有可重複使用的服務代理程式容器專案。

   • 如要自動建立專案做為服務代理容器，請查看建議的專案 ID，並視需要編輯。然後按一下「建立」，系統可能需要幾分鐘的時間，才能將權限授予新專案的服務代理程式。
   • 如要選取現有專案，請按一下「服務代理容器」欄位，然後選取專案。

4. 如要查看預設設定，請按一下「展開」圖示 expand_more。

5. 在「啟用探索」部分中，針對要啟用的每種探索類型，按一下「啟用」。啟用探索類型會產生下列影響：

   • BigQuery：為整個機構的 BigQuery 資料表建立探索設定，以進行剖析。Sensitive Data Protection 會開始剖析 BigQuery 資料，並將剖析檔傳送至 Security Command Center。
   • Cloud SQL：為剖析整個機構的 Cloud SQL 資料表建立探索設定。Sensitive Data Protection 會開始為每個 Cloud SQL 執行個體建立預設連線。這項程序可能需要幾小時才能完成。預設連線準備就緒後，您必須更新每項連線，提供正確的資料庫使用者憑證，授予 Sensitive Data Protection 存取 Cloud SQL 執行個體的權限。
   • 密鑰/憑證安全漏洞：建立探索設定，偵測並回報 Cloud Run 環境變數中未加密的密鑰。Sensitive Data Protection 會開始掃描環境變數。
   • Cloud Storage：為整個機構的 Cloud Storage 值區建立探索設定，以進行剖析。Sensitive Data Protection 會開始剖析 Cloud Storage 資料，並將剖析檔傳送至 Security Command Center。
   • Vertex AI 資料集：為整個機構的 Vertex AI 資料集建立剖析探索設定。Sensitive Data Protection 會開始剖析 Vertex AI 資料集，並將剖析檔傳送至 Security Command Center。

   • Amazon S3：為 AWS 連接器可存取的所有 Amazon S3 資料建立探索設定，以進行剖析。

   • Azure Blob 儲存體：建立探索設定，剖析 Azure 連接器可存取的所有 Azure Blob 儲存體資料。

6. 如要查看新建立的探索設定，請按一下「前往探索設定」。

   如果您已啟用 Cloud SQL 探索功能，系統會以暫停模式建立探索設定，並顯示缺少憑證的錯誤訊息。請參閱「管理探索功能使用的連線」，將必要的 IAM 角色授予服務代理程式，並為每個 Cloud SQL 執行個體提供資料庫使用者憑證。

7. 關閉窗格。

如要查看 Sensitive Data Protection 產生的發現項目，請參閱「在Google Cloud 控制台中查看 Sensitive Data Protection 發現項目」。

運用探索洞察資訊找出高價值資源

您可以啟用 Sensitive Data Protection 探索洞察選項，讓 Security Command Center 在您為攻擊路徑模擬功能建立資源值設定時，自動將含有高或中等機密資料的資源指定為高價值資源。

針對高價值資源，Security Command Center 會提供受攻擊風險分數和攻擊路徑視覺化圖表，方便您優先保護含有機密資料的資源。詳情請參閱「自動依據資料機密程度設定資源優先順序值 」。

自訂掃描設定

每個已啟用的探索類型都有探索掃描設定，您可以自訂這些設定。 例如，您可以執行以下操作：

• 調整掃描頻率。
• 指定不想重新剖析的資料資產篩選器。
• 變更檢查範本，定義 Sensitive Data Protection 掃描的資訊類型。
• 將產生的資料設定檔發布至其他 Google Cloud 服務。
• 變更服務代理容器。

探索容量分配

如果機密資料探索需求超出為 Security Command Center Enterprise 客戶分配的容量，Sensitive Data Protection 可能會暫時增加容量。不過，這項增幅不保證實現，且取決於運算資源是否可用。如需更多探索容量，請與您的帳戶代表或Google Cloud 銷售專員聯絡。詳情請參閱 Sensitive Data Protection 說明文件中的「監控用量」。

後續步驟

• 查看 Sensitive Data Protection 發現項目
• 在 Sensitive Data Protection 中查看資料剖析檔。