הפעלה של מיון מידע אישי רגיש

במסמך הזה מתואר התכונה גילוי נתונים רגישים מתוך Sensitive Data Protection, איך היא פועלת בכל רמת שירות של Security Command Center ואיך מפעילים אותה.

לפני שמתחילים

כדי להשתמש במיון מידע אישי רגיש באמצעות Security Command Center, צריך לבצע את המשימות הבאות.

הפעלת Security Command Center

הפעלת Security Command Center בהתאם לאופן ההפעלה של Security Command Center, יכול להיות שתחויבו בחיובים נוספים על Sensitive Data Protection. פרטים נוספים מופיעים במאמר תמחור של Discovery ללקוחות Security Command Center.

מוודאים ש-Security Command Center מוגדר לקבל ממצאים של Sensitive Data Protection

כברירת מחדל, Security Command Center מוגדר לקבל ממצאים מ-Sensitive Data Protection. אם הארגון שלכם השבית את Sensitive Data Protection כשירות משולב, אתם צריכים להפעיל אותו מחדש כדי לקבל ממצאים לגבי גילוי מידע אישי רגיש. מידע נוסף זמין במאמר הוספת שירות משולב Google Cloud .

הגדרת ההרשאות

כדי לקבל את ההרשאות שנדרשות להגדרה של מיון מידע אישי רגיש, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:

מטרה תפקיד מוגדר מראש הרשאות רלוונטיות
יצירת הגדרות לסריקת גילוי וצפייה בפרופילים של נתונים אדמין DLP (roles/dlp.admin)
  • dlp.columnDataProfiles.list
  • dlp.fileStoreProfiles.list
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobs.list
  • dlp.jobTriggers.create
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
יוצרים פרויקט שישמש כקונטיינר של סוכן השירות1 Project Creator (roles/resourcemanager.projectCreator)
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
הענקת גישה לגילוי2 אחת מהאפשרויות הבאות:
  • אדמין בארגון (roles/resourcemanager.organizationAdmin)
  • Security Admin (roles/iam.securityAdmin)
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 אם אין לכם את התפקיד Project Creator (יוצר פרויקטים) (roles/resourcemanager.projectCreator), אתם עדיין יכולים ליצור הגדרת סריקה, אבל קונטיינר סוכן השירות שבו אתם משתמשים חייב להיות פרויקט קיים.

2 אם אין לכם את התפקיד Organization Administrator (roles/resourcemanager.organizationAdmin) או Security Admin (roles/iam.securityAdmin), עדיין תוכלו ליצור הגדרת סריקה. אחרי שיוצרים את הגדרת הסריקה, מישהו בארגון עם אחד מהתפקידים האלה צריך להעניק לסוכן השירות גישה לגילוי.

מידע נוסף על מתן תפקידים זמין במאמר ניהול הגישה.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

יתרונות

היתרונות של התכונה הזו:

מיון מידע אישי רגיש ב-Security Command Center Enterprise

‫Security Command Center Enterprise כולל מינוי ברמת הארגון לשירות הגילוי של Sensitive Data Protection. עם המינוי הזה, לא תחויבו על Sensitive Data Protection כשמריצים מיון מידע אישי רגיש ברמת הארגון או התיקייה. מידע נוסף מופיע במאמר קיבולת של Discovery ב-Enterprise וב-Premium.

כשמפעילים את מהדורת Security Command Center Enterprise, קורים הדברים הבאים:

  • ‫Cloud Data Loss Prevention API מופעל אוטומטית בפרויקט הניהול ששימש להפעלת Security Command Center Enterprise. פרויקט הניהול הזה משמש כמאגר של סוכני שירות לגילוי מידע אישי רגיש.

  • מיון מידע אישי רגיש מופעל אוטומטית לכל סוגי המשאבים הנתמכים ברמת הארגון. Sensitive Data Protection מבצע סריקות לגילוי בכל הפרויקטים בארגון, אלא אם משנים את ההגדרה של הסריקה לגילוי כדי להחריג פרויקטים מסוימים.

    תהליך ההפעלה האוטומטי הזה הוא פעולה חד-פעמית שחלה רק על סוגי משאבים שנתמכים בזמן ההפעלה של מהדורת Enterprise. אם בהמשך Sensitive Data Protection יוסיף תמיכה בגילוי של סוגי משאבים חדשים, תצטרכו להפעיל את סוגי הגילוי האלה באופן ידני. הוראות מופיעות במאמר הזה בקטע הפעלת גילוי עם הגדרות ברירת מחדל בארגון.

מיון מידע אישי רגיש ב-Security Command Center Premium

  • אם הפעלתם את Security Command Center Premium ברמת הארגון, המינוי Premium שלכם כולל מינוי ברמת הארגון לשירות הגילוי של Sensitive Data Protection. עם המינוי הזה, לא תחויבו על Sensitive Data Protection כשאתם מפעילים מיון מידע אישי רגיש ברמת הארגון או התיקייה. מידע נוסף מופיע במאמר הזה בקטע קיבולת של Discovery ב-Enterprise וב-Premium.

    כדי לבצע מיון מידע אישי רגיש ברמת הארגון, אפשר לעיין במאמר הפעלת גילוי עם הגדרות ברירת מחדל בארגון.

  • אם הפעלתם את Security Command Center Premium ברמת הפרויקט, תוכלו להפעיל את התכונה 'מיון מידע אישי רגיש' ברמת הפרויקט ולקבל את הממצאים ב-Security Command Center. עם זאת, התכונה הזו כרוכה בתשלום נפרד. במאמר יצירת הגדרת סריקה בחומרי העזר בנושא Sensitive Data Protection מוסבר איך להפעיל את הגילוי ברמת הפרויקט.

כדי לראות את סוג ההפעלה הנוכחי של מופע Security Command Center, אפשר לעיין במאמר בנושא הצגת סוג ההפעלה הנוכחי.

מיון מידע אישי רגיש ב-Security Command Center Standard

אם יש לכם Security Command Center Standard, אתם יכולים להפעיל את התכונה 'מיון מידע אישי רגיש' ולקבל את הממצאים ב-Security Command Center. עם זאת, התכונה הזו כרוכה בתשלום נפרד.

איך זה עובד

שירות הגילוי Sensitive Data Protection עוזר לכם להגן על נתונים בארגון על ידי זיהוי המיקום של נתונים רגישים ונתונים בסיכון גבוה.

  • בשירות Sensitive Data Protection, שירות הגילוי יוצר פרופילים של נתונים, שמספקים מדדים ותובנות לגבי הנתונים ברמות פירוט שונות.
  • ב-Security Command Center, שירות הגילוי יוצר ממצאים.

ממצאים שנוצרו

רשימה מלאה של הממצאים מ-Sensitive Data Protection מופיעה במאמר בנושא Sensitive Data Protection.

איך מוצאים את זמן האחזור של יצירת התוכן

בהתאם לגודל הארגון, הממצאים של Sensitive Data Protection יכולים להתחיל להופיע ב-Security Command Center תוך כמה דקות אחרי שמפעילים את האפשרות 'מיון מידע אישי רגיש'. בארגונים גדולים או בארגונים עם הגדרות ספציפיות שמשפיעות על יצירת הממצאים, יכול להיות שיחלפו עד 12 שעות לפני שהממצאים הראשוניים יופיעו ב-Security Command Center.

לאחר מכן, Sensitive Data Protection יוצר ממצאים ב-Security Command Center תוך כמה דקות אחרי ששירות הגילוי סורק את המשאבים.

הפעלת גילוי עם הגדרות ברירת מחדל בארגון

כדי להפעיל את האפשרות 'גילוי', צריך ליצור הגדרת גילוי לכל מקור נתונים שרוצים לסרוק. אפשר לערוך את ההגדרות אחרי שיוצרים אותן. כדי להתאים אישית את ההגדרות במהלך יצירת ההגדרה, אפשר לעיין במאמר יצירת הגדרת סריקה.

כדי להפעיל את האפשרות 'גילוי' עם הגדרות ברירת מחדל ברמת הארגון, מבצעים את השלבים הבאים:

  1. במסוף Google Cloud , עוברים לדף Sensitive Data Protection (הגנה על נתונים רגישים) Enable discovery (הפעלת גילוי).

    איך מפעילים את האפשרות 'חשיפת הפרופיל'

  2. מוודאים שאתם צופים בארגון שבו הפעלתם את Security Command Center.

  3. בחלונית Enable discovery, בשדה Service agent container, מגדירים את הפרויקט שישמש כמאגר של סוכני שירות. בפרויקט הזה, המערכת יוצרת סוכן שירות ומקצה לו באופן אוטומטי את תפקידי הגילוי הנדרשים.

    • כדי ליצור באופן אוטומטי פרויקט לשימוש כמאגר של סוכן השירות:

      1. לוחצים על יצירה.
      2. מציינים את השם, החשבון לחיוב והארגון הראשי של הפרויקט החדש. אם רוצים, עורכים את מזהה הפרויקט.
      3. לוחצים על יצירה.

      יכול להיות שיחלפו כמה דקות עד שהתפקידים יוקצו לסוכן השירות של הפרויקט החדש.

    • כדי לבחור פרויקט שהשתמשתם בו בעבר לפעולות גילוי, לוחצים על השדה Service agent container ובוחרים את הפרויקט.

  4. כדי לראות את הגדרות ברירת המחדל, לוחצים על סמל ההרחבה .

  5. בקטע Enable discovery, לוחצים על Enable ליד כל סוג של Discovery שרוצים להפעיל. הפעלת סוג גילוי מסוים גורמת לפעולות הבאות:

    • BigQuery: יוצר הגדרת גילוי ליצירת פרופילים של טבלאות ב-BigQuery בכל הארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של נתוני BigQuery ושולח את הפרופילים ל-Security Command Center.
    • Cloud SQL: יצירת הגדרת גילוי ליצירת פרופילים של טבלאות Cloud SQL בארגון. Sensitive Data Protection התחילה יצירה של חיבורי ברירת מחדל לכל אחת מהמכונות של Cloud SQL. התהליך הזה יכול להימשך כמה שעות. כשהחיבורים שמוגדרים כברירת מחדל מוכנים, צריך לתת ל-Sensitive Data Protection גישה למכונות Cloud SQL. לשם כך, מעדכנים כל חיבור עם פרטי הכניסה המתאימים של משתמש מסד הנתונים.
    • פגיעויות של סודות/פרטי כניסה: יוצרת הגדרת גילוי לזיהוי ולדיווח על סודות לא מוצפנים במשתני סביבה של Cloud Run. השירות Sensitive Data Protection מתחיל לסרוק את משתני הסביבה.
    • Cloud Storage: יוצר תצורת גילוי ליצירת פרופילים של קטגוריות Cloud Storage בארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של הנתונים ב-Cloud Storage ושולח את הפרופילים ל-Security Command Center.
    • מערכי נתונים של Vertex AI: יוצר פרופיל של מערכי נתונים בפלטפורמת הסוכנים של Gemini Enterprise בכל הארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של מערכי הנתונים של Agent Platform ושולח את הפרופילים ל-Security Command Center.
    • Amazon S3: יוצרת הגדרת גילוי ליצירת פרופיל של כל הנתונים ב-Amazon S3 שלמחבר AWS יש גישה אליהם.

    • Azure Blob Storage: יוצר תצורת גילוי ליצירת פרופיל של כל הנתונים ב-Azure Blob Storage שהמחבר של Azure יכול לגשת אליהם.

  6. כדי לראות את הגדרות הגילוי החדשות שנוצרו, לוחצים על להגדרות הגילוי.

    אם הפעלתם את האפשרות 'גילוי Cloud SQL', הגדרת הגילוי נוצרת במצב מושהה עם שגיאות שמציינות היעדר פרטי כניסה. בקטע ניהול חיבורים לשימוש בתכונת הגילוי מוסבר איך להעניק לסוכן השירות את תפקידי ה-IAM הנדרשים ולספק פרטי כניסה של משתמש במסד הנתונים לכל מופע של Cloud SQL.

  7. סוגרים את החלונית.

כדי לראות את הממצאים שנוצרו על ידי Sensitive Data Protection, אפשר לעיין במאמר בדיקת הממצאים של Sensitive Data Protection במסוףGoogle Cloud .

התאמה אישית של הגדרות הסריקה

לכל סוג גילוי שמופעל יש הגדרה של סריקת גילוי שאפשר להתאים אישית. לדוגמה, אתם יכולים:

  • משנים את תדירות הסריקה.
  • מציינים מסננים לנכסי נתונים שלא רוצים ליצור להם פרופיל מחדש.
  • משנים את תבנית הבדיקה, שמגדירה את סוגי המידע ש-Sensitive Data Protection סורק.
  • פרסום פרופילי הנתונים שנוצרו בשירותים אחרים. Google Cloud
  • משנים את הקונטיינר של סוכן השירות.

שימוש בתובנות לגבי גילוי כדי לזהות משאבים בעלי ערך גבוה

ב-Security Command Center אפשר להגדיר באופן אוטומטי משאב שמכיל נתונים ברמת רגישות גבוהה או בינונית כמשאב בעל ערך גבוה. למשאבים בעלי ערך גבוה, Security Command Center מספק ניקוד חשיפה להתקפות והדמיות של נתיבי התקפה, שבהם אפשר להשתמש כדי לתת עדיפות לאבטחת משאבים שמכילים מידע אישי רגיש. מידע נוסף זמין במאמר בנושא הגדרת ערכי עדיפות של משאבים באופן אוטומטי לפי רגישות הנתונים.

קיבולת הגילוי ב-Enterprise וב-Premium

אם אתם צריכים מיון מידע אישי רגיש בהיקף שחורג מהקיבולת שהוקצתה ללקוחות Security Command Center Enterprise או Premium (ברמת הארגון), יכול להיות ש-Sensitive Data Protection יגדיל את הקיבולת שלכם באופן זמני. עם זאת, העלייה הזו לא מובטחת ותלויה בזמינות של משאבי מחשוב. אם אתם צריכים קיבולת גדולה יותר של גילוי, אתם יכולים לפנות לנציג שאחראי על החשבון שלכם או לGoogle Cloud מומחה מכירות. מידע נוסף זמין במאמר בנושא מעקב אחר השימוש במסמכי התיעוד בנושא Sensitive Data Protection.

מיון מידע אישי רגיש באזורי אבטחה

אם אתם משתמשים בגבולות גזרה לשירות של VPC Service Controls ואתם רוצים לגלות מידע אישי רגיש בתוך הגבולות האלה, כדאי לעיין במאמר איך מאפשרים גילוי של מידע אישי רגיש בתוך גבולות גזרה לשירות. אם לא תבצעו את המשימה הזו, יכול להיות שתקבלו אזהרות.

המאמרים הבאים