本頁說明如何為 Amazon S3 設定 Sensitive Data Protection 探索功能。
如要進一步瞭解探索服務,請參閱資料設定檔。
這項功能僅適用於已啟用 Enterprise 級 Security Command Center 的客戶。
事前準備
在 Security Command Center 中,為 Amazon Web Services (AWS) 建立連接器。請勿取消勾選「將權限授予 Sensitive Data Protection 探索服務」核取方塊。Sensitive Data Protection 需要這些權限,才能剖析 Amazon S3 資料。
如果現有連接器未選取「將權限授予 Sensitive Data Protection 探索服務」,請參閱「將機密資料探索權限授予現有 AWS 連接器」。
確認您具備在機構層級設定資料剖析所需的 IAM 權限。
如果您沒有機構管理員 (
roles/resourcemanager.organizationAdmin) 或安全管理員 (roles/iam.securityAdmin) 角色,仍可建立掃描設定。不過,建立掃描設定後,具有上述任一角色的人員必須授予服務代理人資料剖析存取權。確認
global區域或您打算儲存探索掃描設定和所有產生的資料剖析檔的區域中,有檢查範本。這項工作只會在
global區域自動建立檢查範本。如果組織政策禁止您在global區域建立檢查範本,請先在您打算儲存探索掃描設定的區域建立檢查範本,再執行這項工作。如要在發生特定事件時 (例如 Sensitive Data Protection 剖析新的 bucket 時) 將 Pub/Sub 通知傳送至主題,請先建立 Pub/Sub 主題,再執行這項工作。
如要產生資料剖析檔,您需要服務代理容器和其中的服務代理。這項工作可讓您自動建立這些項目。
建立掃描設定
前往「建立掃描設定」頁面。
前往貴機構。在工具列上按一下專案選取器,然後選取機構。
以下各節將詳細說明「建立掃描設定」頁面中的步驟。在每個部分結尾,按一下「繼續」。
選取探索類型
選取「Amazon S3」。
選取範圍
執行下列其中一個步驟:
- 如要掃描 AWS 連接器可存取的所有 S3 資料,請選取「透過連接器掃描所有可用的 AWS 帳戶」。
- 如要掃描單一 AWS 帳戶中的 S3 資料,請選取「掃描所選帳戶」。輸入 AWS 帳戶 ID。
- 如要掃描單一 S3 儲存貯體,請選取「掃描一個儲存貯體」。 輸入包含該值區的 AWS 帳戶 ID,然後輸入值區名稱。
管理時間表
如果預設剖析頻率符合需求,可以略過「建立掃描設定」頁面的這個部分。
設定這個專區的原因如下:
- 微調所有資料或特定資料子集的剖析頻率。
- 指定您不想分析的 bucket。
- 指定您不想多次分析的 buckets。
如要精細調整剖析頻率,請按照下列步驟操作:
按一下「新增時間表」。
在「篩選器」部分,定義一或多個篩選器,指定排程範圍內的儲存區。如果儲存區符合至少一個已定義的篩選器,就會納入排程範圍。
如要設定篩選器,請至少指定下列其中一項:
- 帳戶 ID 或規則運算式,用於指定一或多個帳戶 ID
- bucket 名稱或規則運算式,可指定一或多個 bucket
規則運算式必須遵循 RE2 語法。
舉例來說,如要將帳戶中的所有 bucket 納入篩選器,請在「Account ID」(帳戶 ID) 欄位中輸入帳戶 ID。
如要符合篩選器,值區必須符合該篩選器中指定的所有規則運算式。
如要新增更多篩選器,請按一下「新增篩選器」,然後重複這個步驟。
按一下「頻率」。
在「頻率」部分,指定是否要分析所選值區,以及分析頻率:
如果不想剖析值區,請關閉「剖析這項資料」。
如要至少剖析一次值區,請將「剖析這項資料」保持開啟。
指定是否要重新剖析資料,以及哪些事件應觸發重新剖析作業。詳情請參閱「資料剖析產生頻率」。
- 如果是「On a schedule」(依排程),請指定重新分析資料桶的頻率。無論儲存區是否經過任何變更,都會重新設定設定檔。
- 如果是「檢查範本變更時」,請指定是否要在相關聯的檢查範本更新時重新剖析資料,以及重新剖析的頻率。
如果發生下列任一情況,系統就會偵測到檢查範本變更:
- 掃描設定中的檢查範本名稱有變。
- 檢查範本的
updateTime變更。
選用:按一下「條件」。
在「條件」部分,指定篩選器中定義的 bucket 必須符合哪些條件,Sensitive Data Protection 才能剖析這些 bucket。
如有需要,請設定下列項目:
最低條件:如要延後剖析值區,直到值區達到特定時間長度,請啟用這個選項。然後輸入最短時間。
物件儲存空間級別條件:根據預設,Sensitive Data Protection 會掃描值區中的所有物件。如要只掃描具有特定屬性的物件,請選取這些屬性。
範例條件
假設您有下列設定:
最低條件
- 最短時間:24 小時
物件儲存空間級別條件
- 掃描儲存空間級別為 S3 Standard Object 的物件
- 掃描儲存空間級別為 S3 Glacier Instant Retrieval 的物件
在這種情況下,Sensitive Data Protection 只會考慮存在時間滿 24 小時的 bucket。在這些值區中,資訊保護服務只會剖析 Amazon S3 Standard 或 Amazon S3 Glacier Instant Retrieval 儲存空間類別中的物件。
按一下 [完成]。
選用:如要新增更多時間表,請按一下「新增時間表」,然後重複上述步驟。
如要指定排程的優先順序,請使用 向上鍵和 向下鍵重新排序。
時間表的順序會指定如何解決時間表之間的衝突。如果儲存區符合兩個不同時間表的篩選條件,系統會採用時間表清單中較靠前時間表的設定,決定該儲存區的剖析頻率。
選用:編輯或關閉「所有其他時間」。
清單中的最後一個時間表是適用所有情況的時間表。這項排程涵蓋所選範圍內不符合任何您建立排程的 bucket。一律適用的排程會遵循系統預設的剖析頻率。
- 如要調整適用於所有情況的時段,請按一下「編輯時段」,然後視需要調整設定。
- 如要防止 Sensitive Data Protection 剖析適用於全面排程的任何資源,請關閉「剖析不符合任何自訂排程的資源」。
選取檢查範本
視您要提供檢查設定的方式而定,請選擇下列其中一個選項。無論選擇哪一個選項,Sensitive Data Protection 都會在資料儲存的區域掃描資料。也就是說,資料不會離開原始區域。
方法 1:建立檢查範本
如果您想在 global 區域建立新的檢查範本,請選擇這個選項。
- 按一下「建立新的檢查範本」。
選用:如要修改 infoType 的預設選取項目,請按一下「管理 infoType」。
如要進一步瞭解如何管理內建和自訂的 infoType,請參閱透過Google Cloud 控制台管理 infoType。
您必須選取至少一個 infoType 才能繼續。
選用:新增規則集並設定信賴度門檻,進一步設定檢查範本。詳情請參閱「設定偵測」。
Sensitive Data Protection 建立掃描設定時,會將這個新的檢查範本儲存在 global 區域。
選項 2:使用現有的檢查範本
如果您想使用現有的檢查範本,請選擇這個選項。
- 按一下「選取現有的檢查範本」。
- 輸入要使用的檢查範本完整資源名稱。
「Region」(區域) 欄位會自動填入儲存檢查範本的區域名稱。
輸入的檢查範本必須與您打算儲存此探索掃描設定和所有產生的資料設定檔的區域相同。
為遵守資料落地規定,Sensitive Data Protection 不會使用儲存區域以外的檢查範本。
如要找出檢查範本的完整資源名稱,請按照下列步驟操作:
- 前往檢查範本清單。這個頁面會在另一個分頁中開啟。
- 切換至包含要使用檢查範本的專案。
- 在「範本」分頁中,按一下要使用的範本 ID。
- 在隨即開啟的頁面中,複製範本的完整資源名稱。完整資源名稱的格式如下:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
- 在「建立掃描設定」頁面的「範本名稱」欄位中,貼上範本的完整資源名稱。
- 前往檢查範本清單。這個頁面會在另一個分頁中開啟。
新增動作
本節說明如何指定 Sensitive Data Protection 在剖析 bucket 後要採取的動作。如果您想將從資料設定檔收集的洞察資料傳送至其他Google Cloud 服務,這些動作就非常實用。
發布至 Google Security Operations
從資料設定檔收集的指標可為 Google Security Operations 發現項目提供背景資訊。新增的背景資訊可協助您判斷要解決的最重要安全性問題。
舉例來說,如果您正在調查特定服務代理程式,Google Security Operations 可以判斷該服務代理程式存取了哪些資源,以及這些資源是否含有高度敏感的資料。
如要將資料剖析檔傳送至 Google Security Operations 執行個體,請開啟「發布至 Google Security Operations」。
如果您的機構未啟用 Google Security Operations 執行個體 (透過獨立產品或 Security Command Center Enterprise),開啟這個選項不會有任何作用。
發布至 Security Command Center
在 Security Command Center 中,資料剖析檔的發現項目可提供背景資訊,協助您分類安全漏洞和威脅發現項目,並制定因應計畫。
如要將資料剖析結果傳送至 Security Command Center,請務必開啟「發布至 Security Command Center」選項。
詳情請參閱「將資料剖析檔發布至 Security Command Center」。
將資料設定檔副本儲存至 BigQuery
Sensitive Data Protection 會將每個產生的資料剖析檔副本儲存至 BigQuery 資料表。如果未提供偏好資料表的詳細資料,Sensitive Data Protection 會在服務代理程式容器中建立資料集和資料表。根據預設,資料集名稱為 sensitive_data_protection_discovery,資料表名稱為 discovery_profiles。
這項操作可讓您保留所有產生的設定檔記錄。這項記錄有助於建立稽核報告和顯示資料設定檔。你也可以將這項資訊載入其他系統。
此外,無論資料位於哪個區域,您都能透過這個選項在單一檢視畫面中查看所有資料設定檔。雖然您也可以透過Google Cloud 控制台查看資料設定檔,但控制台一次只會顯示一個區域的設定檔。
如果 Sensitive Data Protection 無法剖析 bucket,系統會定期重試。為盡量減少匯出資料中的干擾,Sensitive Data Protection 只會將成功產生的剖析檔匯出至 BigQuery。
開啟這個選項後,Sensitive Data Protection 就會開始匯出剖析檔。啟用匯出功能前產生的剖析檔不會儲存至 BigQuery。
如需分析資料設定檔時可使用的查詢範例,請參閱「分析資料設定檔」。
將部分探索發現項目儲存至 BigQuery
Sensitive Data Protection 可將範例發現項目新增至您選擇的 BigQuery 資料表。樣本結果僅代表所有結果的子集,可能無法呈現所有已發現的 infoType。一般來說,系統會為每個儲存區產生約 10 個樣本結果,但每次探索作業的結果數量可能不同。
每個發現項目都會包含偵測到的實際字串 (也稱為「引文」) 和確切位置。
如果您想評估檢查設定是否正確比對出您要標示為機密的資訊類型,這項動作就很有用。您可以使用匯出的資料設定檔和匯出的樣本結果執行查詢,進一步瞭解遭標記的特定項目、相符的 infoType、確切位置、計算出的敏感度等級和其他詳細資料。
查詢範例:顯示與檔案儲存庫資料剖析檔相關的樣本結果
這個範例需要啟用「將資料剖析檔副本儲存至 BigQuery」和「將部分探索發現項目儲存至 BigQuery」。
下列查詢會對匯出的資料剖析表和匯出的樣本結果表執行 INNER JOIN 作業。在產生的表格中,每筆記錄都會顯示發現項目的引用內容、相符的 infoType、包含發現項目的資源,以及資源的計算敏感度等級。
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
如要將發現項目示例儲存至 BigQuery 資料表,請按照下列步驟操作:
開啟「將部分探索發現項目儲存至 BigQuery」。
輸入要儲存發現項目示例的 BigQuery 資料表詳細資料。
您為這項動作指定的資料表,必須與「將資料剖析檔副本儲存至 BigQuery」動作所用的資料表不同。
在「Project ID」(專案 ID) 中,輸入要匯出調查結果的現有專案 ID。
在「Dataset ID」(資料集 ID) 部分,輸入專案中現有資料集的名稱。
在「Table ID」(資料表 ID),輸入要儲存發現項目的 BigQuery 資料表名稱。如果這個資料表不存在,Sensitive Data Protection 會使用您提供的名稱,自動為您建立資料表。
如要瞭解儲存在 BigQuery 資料表中的每個發現項目內容,請參閱DataProfileFinding。
發布至 Pub/Sub
開啟「發布至 Pub/Sub」後,您就能根據剖析結果採取程式輔助動作。您可以運用 Pub/Sub 通知,開發工作流程來擷取並修正具有重大資料風險或敏感度的發現項目。
如要將通知傳送至 Pub/Sub 主題,請按照下列步驟操作:
開啟「發布至 Pub/Sub」。
畫面上會顯示選項清單。每個選項都說明會導致 Sensitive Data Protection 將通知傳送至 Pub/Sub 的事件。
選取應觸發 Pub/Sub 通知的事件。
如果選取「每當更新設定檔時傳送 Pub/Sub 通知」,當設定檔中的敏感度等級、資料風險等級、偵測到的 infoType、公開存取權和其他重要指標發生變化時,Sensitive Data Protection 就會傳送通知。
針對選取的每個事件,請按照下列步驟操作:
輸入主題名稱。名稱必須採用下列格式:
projects/PROJECT_ID/topics/TOPIC_ID更改下列內容:
- PROJECT_ID:與 Pub/Sub 主題相關聯的專案 ID。
- TOPIC_ID:Pub/Sub 主題的 ID。
指定要在通知中加入完整 bucket 設定檔,還是只加入已設定檔的 bucket 完整資源名稱。
設定最低資料風險和機密程度,達到這些程度時,Sensitive Data Protection 就會傳送通知。
指定是否必須同時符合資料風險和敏感度條件,或只要符合其中一項即可。舉例來說,如果您選擇
AND,則資料風險和敏感度條件都必須符合,Sensitive Data Protection 才會傳送通知。
管理服務代理人容器和帳單
在本節中,您會指定要當做服務代理容器使用的專案。您可以讓 Sensitive Data Protection 自動建立新專案,也可以選擇現有專案。
無論是使用新建立的服務代理,還是重複使用現有服務代理,請務必確保服務代理具有要剖析資料的讀取權。
自動建立專案
如果您沒有在機構中建立專案的必要權限,請選取現有專案,或取得必要權限。如要瞭解必要權限,請參閱「在機構或資料夾層級使用資料設定檔時所需的角色」。
如要自動建立專案做為服務代理容器,請按照下列步驟操作:
- 在「服務代理容器」欄位中,檢查建議的專案 ID,並視需要編輯。
- 點選「建立」。
- 選用:更新預設專案名稱。
選取帳戶,以支付與這個新專案相關的所有計費作業,包括與探索無關的作業。
點選「建立」。
Sensitive Data Protection 會建立新專案。這個專案中的服務代理將用於向 Sensitive Data Protection 和其他 API 進行驗證。
選取現有專案
如要選取現有專案做為服務代理容器,請按一下「服務代理容器」欄位,然後選取專案。
設定儲存設定的位置
按一下「資源位置」清單,然後選取要儲存這項掃描設定的區域。您稍後建立的所有掃描設定也會儲存在這個位置。
您選擇的掃描設定儲存位置不會影響要掃描的資料。系統會在資料儲存的同一區域掃描資料。詳情請參閱「資料落地注意事項」。
檢查並建立設定
- 如要確保剖析功能不會在您建立掃描設定後自動啟動,請選取「在暫停模式下建立掃描作業」。
在下列情況中,這個選項會相當實用:
- 您的 Google Cloud 管理員仍須將資料剖析服務的存取權授予服務代理。
- 您想建立多項掃描設定,並希望部分設定覆寫其他設定。
- 您選擇將資料剖析檔儲存至 BigQuery,並想確保服務代理程式有權寫入要儲存資料剖析檔副本的 BigQuery 資料表。
- 您選擇將部分探索發現項目儲存至 BigQuery,並希望確保服務代理程式具有 BigQuery 資料表的寫入權限,可將部分發現項目儲存至該資料表。
- 您已設定 Pub/Sub 通知,並想授予服務代理發布存取權。
- 檢查相關設定,然後點按「建立」。
Sensitive Data Protection 會建立掃描設定,並新增至探索掃描設定清單。
如要查看或管理掃描設定,請參閱「管理掃描設定」。
後續步驟
- 如果您沒有機構管理員 (
roles/resourcemanager.organizationAdmin) 或安全管理員 (roles/iam.securityAdmin) 角色,則必須請具備其中一個角色的使用者,授予服務代理人資料剖析存取權。 - 瞭解如何管理資料設定檔。
- 瞭解如何管理掃描設定。
- 瞭解如何接收及剖析資料剖析器發布的 Pub/Sub 訊息。
- 瞭解如何排解資料設定檔問題。