במסמך הזה מתואר התכונה גילוי נתונים רגישים מתוך Sensitive Data Protection, איך היא פועלת בכל רמת שירות של Security Command Center ואיך מפעילים אותה.
לפני שמתחילים
כדי להשתמש במיון מידע אישי רגיש באמצעות Security Command Center, צריך לבצע את המשימות הבאות.
הפעלת Security Command Center
הפעלת Security Command Center בהתאם לאופן ההפעלה של Security Command Center, יכול להיות שתחויבו בחיובים נוספים על Sensitive Data Protection. פרטים נוספים מופיעים במאמר תמחור של Discovery ללקוחות Security Command Center.
מוודאים ש-Security Command Center מוגדר לקבל ממצאים של Sensitive Data Protection
כברירת מחדל, Security Command Center מוגדר לקבל ממצאים מ-Sensitive Data Protection. אם הארגון שלכם השבית את Sensitive Data Protection כשירות משולב, אתם צריכים להפעיל אותו מחדש כדי לקבל ממצאים לגבי גילוי מידע אישי רגיש. מידע נוסף זמין במאמר הוספת שירות משולב Google Cloud .
הגדרת ההרשאות
כדי לקבל את ההרשאות שנדרשות להגדרה של מיון מידע אישי רגיש, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:
| מטרה | תפקיד מוגדר מראש | הרשאות רלוונטיות |
|---|---|---|
| יצירת הגדרות לסריקת גילוי וצפייה בפרופילים של נתונים | אדמין DLP (roles/dlp.admin)
|
|
| יוצרים פרויקט שישמש כקונטיינר של סוכן השירות1 | Project Creator (roles/resourcemanager.projectCreator) |
|
| הענקת גישה לגילוי2 | אחת מהאפשרויות הבאות:
|
|
1 אם אין לכם את התפקיד Project Creator (יוצר פרויקטים) (roles/resourcemanager.projectCreator), אתם עדיין יכולים ליצור הגדרת סריקה, אבל קונטיינר סוכן השירות שבו אתם משתמשים חייב להיות פרויקט קיים.
2 אם אין לכם את התפקיד Organization Administrator (roles/resourcemanager.organizationAdmin) או Security Admin (roles/iam.securityAdmin), עדיין תוכלו ליצור הגדרת סריקה. אחרי שיוצרים את הגדרת הסריקה, מישהו בארגון עם אחד מהתפקידים האלה צריך להעניק לסוכן השירות גישה לגילוי.
מידע נוסף על מתן תפקידים זמין במאמר ניהול הגישה.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
יתרונות
היתרונות של התכונה הזו:
אתם יכולים להשתמש בממצאים של Sensitive Data Protection כדי לזהות ולתקן נקודות חולשה והגדרות שגויות במשאבים שלכם, שעלולות לחשוף מידע אישי רגיש לציבור או לגורמים זדוניים.
אפשר להשתמש בתוצאות של Sensitive Data Protection כדי להוסיף הקשר לתהליך המיון ולתת עדיפות לאיומים שמטרגטים מקורות שמכילים נתונים רגישים.
אתם יכולים להגדיר את התכונה 'סימולציה של נתיב התקפה' כדי לתעדף באופן אוטומטי את המשאבים בהתאם לרגישות הנתונים שהם מכילים. מידע נוסף זמין במאמר בנושא הגדרת ערכי עדיפות של משאבים באופן אוטומטי לפי רגישות הנתונים.
מיון מידע אישי רגיש ב-Security Command Center Enterprise
Security Command Center Enterprise כולל מינוי ברמת הארגון לשירות הגילוי של Sensitive Data Protection. עם המינוי הזה, לא תחויבו על Sensitive Data Protection כשמריצים מיון מידע אישי רגיש ברמת הארגון או התיקייה. מידע נוסף מופיע במאמר קיבולת של Discovery ב-Enterprise וב-Premium.
כשמפעילים את מהדורת Security Command Center Enterprise, קורים הדברים הבאים:
Cloud Data Loss Prevention API מופעל אוטומטית בפרויקט הניהול ששימש להפעלת Security Command Center Enterprise. פרויקט הניהול הזה משמש כמאגר של סוכני שירות לגילוי מידע אישי רגיש.
מיון מידע אישי רגיש מופעל אוטומטית לכל סוגי המשאבים הנתמכים ברמת הארגון. Sensitive Data Protection מבצע סריקות לגילוי בכל הפרויקטים בארגון, אלא אם משנים את ההגדרה של הסריקה לגילוי כדי להחריג פרויקטים מסוימים.
תהליך ההפעלה האוטומטי הזה הוא פעולה חד-פעמית שחלה רק על סוגי משאבים שנתמכים בזמן ההפעלה של מהדורת Enterprise. אם בהמשך Sensitive Data Protection יוסיף תמיכה בגילוי של סוגי משאבים חדשים, תצטרכו להפעיל את סוגי הגילוי האלה באופן ידני. הוראות מופיעות במאמר הזה בקטע הפעלת גילוי עם הגדרות ברירת מחדל בארגון.
מיון מידע אישי רגיש ב-Security Command Center Premium
אם הפעלתם את Security Command Center Premium ברמת הארגון, המינוי Premium שלכם כולל מינוי ברמת הארגון לשירות הגילוי של Sensitive Data Protection. עם המינוי הזה, לא תחויבו על Sensitive Data Protection כשאתם מפעילים מיון מידע אישי רגיש ברמת הארגון או התיקייה. מידע נוסף מופיע במאמר הזה בקטע קיבולת של Discovery ב-Enterprise וב-Premium.
כדי לבצע מיון מידע אישי רגיש ברמת הארגון, אפשר לעיין במאמר הפעלת גילוי עם הגדרות ברירת מחדל בארגון.
אם הפעלתם את Security Command Center Premium ברמת הפרויקט, תוכלו להפעיל את התכונה 'מיון מידע אישי רגיש' ברמת הפרויקט ולקבל את הממצאים ב-Security Command Center. עם זאת, התכונה הזו כרוכה בתשלום נפרד. במאמר יצירת הגדרת סריקה בחומרי העזר בנושא Sensitive Data Protection מוסבר איך להפעיל את הגילוי ברמת הפרויקט.
כדי לראות את סוג ההפעלה הנוכחי של מופע Security Command Center, אפשר לעיין במאמר בנושא הצגת סוג ההפעלה הנוכחי.
מיון מידע אישי רגיש ב-Security Command Center Standard
אם יש לכם Security Command Center Standard, אתם יכולים להפעיל את התכונה 'מיון מידע אישי רגיש' ולקבל את הממצאים ב-Security Command Center. עם זאת, התכונה הזו כרוכה בתשלום נפרד.
איך זה עובד
שירות הגילוי Sensitive Data Protection עוזר לכם להגן על נתונים בארגון על ידי זיהוי המיקום של נתונים רגישים ונתונים בסיכון גבוה.
- בשירות Sensitive Data Protection, שירות הגילוי יוצר פרופילים של נתונים, שמספקים מדדים ותובנות לגבי הנתונים ברמות פירוט שונות.
- ב-Security Command Center, שירות הגילוי יוצר ממצאים.
ממצאים שנוצרו
Sensitive Data Protection יוצרת ממצאי תצפית ב-Security Command Center שמציגים את רמות הרגישות וסיכון הנתונים המחושבות של הנתונים שלכם. אפשר להשתמש בממצאים האלה כדי לקבל החלטות מושכלות לגבי התגובה שלכם כשאתם נתקלים באיומים ובנקודות חולשה שקשורים לנכסי הנתונים שלכם. רשימה של סוגי הממצאים שנוצרו מופיעה במאמר ממצאי תצפית משירות הגילוי.
הממצאים האלה יכולים לשמש כבסיס להקצאה אוטומטית של משאבים בעלי ערך גבוה על סמך רגישות הנתונים. מידע נוסף מופיע בקטע שימוש בתובנות לגבי גילוי כדי לזהות משאבים בעלי ערך גבוה במסמך הזה.
שירות Sensitive Data Protection יוצר ממצאים של נקודות חולשה וטעויות בהגדרות ב-Security Command Center, כשהוא מזהה נתונים ברמת רגישות גבוהה או בינונית שלא מוגנים. לרשימה של סוגי הממצאים שנוצרו, אפשר לעיין במקורות המידע הבאים:
רשימה מלאה של הממצאים מ-Sensitive Data Protection מופיעה במאמר בנושא Sensitive Data Protection.
איך מוצאים את זמן האחזור של יצירת התוכן
בהתאם לגודל הארגון, הממצאים של Sensitive Data Protection יכולים להתחיל להופיע ב-Security Command Center תוך כמה דקות אחרי שמפעילים את האפשרות 'מיון מידע אישי רגיש'. בארגונים גדולים או בארגונים עם הגדרות ספציפיות שמשפיעות על יצירת הממצאים, יכול להיות שיחלפו עד 12 שעות לפני שהממצאים הראשוניים יופיעו ב-Security Command Center.
לאחר מכן, Sensitive Data Protection יוצר ממצאים ב-Security Command Center תוך כמה דקות אחרי ששירות הגילוי סורק את המשאבים.
הפעלת גילוי עם הגדרות ברירת מחדל בארגון
כדי להפעיל את האפשרות 'גילוי', צריך ליצור הגדרת גילוי לכל מקור נתונים שרוצים לסרוק. אפשר לערוך את ההגדרות אחרי שיוצרים אותן. כדי להתאים אישית את ההגדרות במהלך יצירת ההגדרה, אפשר לעיין במאמר יצירת הגדרת סריקה.
כדי להפעיל את האפשרות 'גילוי' עם הגדרות ברירת מחדל ברמת הארגון, מבצעים את השלבים הבאים:
במסוף Google Cloud , עוברים לדף Sensitive Data Protection (הגנה על נתונים רגישים) Enable discovery (הפעלת גילוי).
מוודאים שאתם צופים בארגון שבו הפעלתם את Security Command Center.
בחלונית Enable discovery, בשדה Service agent container, מגדירים את הפרויקט שישמש כמאגר של סוכני שירות. בפרויקט הזה, המערכת יוצרת סוכן שירות ומקצה לו באופן אוטומטי את תפקידי הגילוי הנדרשים.
כדי ליצור באופן אוטומטי פרויקט לשימוש כמאגר של סוכן השירות:
- לוחצים על יצירה.
- מציינים את השם, החשבון לחיוב והארגון הראשי של הפרויקט החדש. אם רוצים, עורכים את מזהה הפרויקט.
- לוחצים על יצירה.
יכול להיות שיחלפו כמה דקות עד שהתפקידים יוקצו לסוכן השירות של הפרויקט החדש.
כדי לבחור פרויקט שהשתמשתם בו בעבר לפעולות גילוי, לוחצים על השדה Service agent container ובוחרים את הפרויקט.
כדי לראות את הגדרות ברירת המחדל, לוחצים על סמל ההרחבה .
בקטע Enable discovery, לוחצים על Enable ליד כל סוג של Discovery שרוצים להפעיל. הפעלת סוג גילוי מסוים גורמת לפעולות הבאות:
- BigQuery: יוצר הגדרת גילוי ליצירת פרופילים של טבלאות ב-BigQuery בכל הארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של נתוני BigQuery ושולח את הפרופילים ל-Security Command Center.
- Cloud SQL: יצירת הגדרת גילוי ליצירת פרופילים של טבלאות Cloud SQL בארגון. Sensitive Data Protection התחילה יצירה של חיבורי ברירת מחדל לכל אחת מהמכונות של Cloud SQL. התהליך הזה יכול להימשך כמה שעות. כשהחיבורים שמוגדרים כברירת מחדל מוכנים, צריך לתת ל-Sensitive Data Protection גישה למכונות Cloud SQL. לשם כך, מעדכנים כל חיבור עם פרטי הכניסה המתאימים של משתמש מסד הנתונים.
- פגיעויות של סודות/פרטי כניסה: יוצרת הגדרת גילוי לזיהוי ולדיווח על סודות לא מוצפנים במשתני סביבה של Cloud Run. השירות Sensitive Data Protection מתחיל לסרוק את משתני הסביבה.
- Cloud Storage: יוצר תצורת גילוי ליצירת פרופילים של קטגוריות Cloud Storage בארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של הנתונים ב-Cloud Storage ושולח את הפרופילים ל-Security Command Center.
- מערכי נתונים של Vertex AI: יוצר פרופיל של מערכי נתונים בפלטפורמת הסוכנים של Gemini Enterprise בכל הארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של מערכי הנתונים של Agent Platform ושולח את הפרופילים ל-Security Command Center.
Amazon S3: יוצרת הגדרת גילוי ליצירת פרופיל של כל הנתונים ב-Amazon S3 שלמחבר AWS יש גישה אליהם.
Azure Blob Storage: יוצר תצורת גילוי ליצירת פרופיל של כל הנתונים ב-Azure Blob Storage שהמחבר של Azure יכול לגשת אליהם.
כדי לראות את הגדרות הגילוי החדשות שנוצרו, לוחצים על להגדרות הגילוי.
אם הפעלתם את האפשרות 'גילוי Cloud SQL', הגדרת הגילוי נוצרת במצב מושהה עם שגיאות שמציינות היעדר פרטי כניסה. בקטע ניהול חיבורים לשימוש בתכונת הגילוי מוסבר איך להעניק לסוכן השירות את תפקידי ה-IAM הנדרשים ולספק פרטי כניסה של משתמש במסד הנתונים לכל מופע של Cloud SQL.
סוגרים את החלונית.
כדי לראות את הממצאים שנוצרו על ידי Sensitive Data Protection, אפשר לעיין במאמר בדיקת הממצאים של Sensitive Data Protection במסוףGoogle Cloud .
התאמה אישית של הגדרות הסריקה
לכל סוג גילוי שמופעל יש הגדרה של סריקת גילוי שאפשר להתאים אישית. לדוגמה, אתם יכולים:
- משנים את תדירות הסריקה.
- מציינים מסננים לנכסי נתונים שלא רוצים ליצור להם פרופיל מחדש.
- משנים את תבנית הבדיקה, שמגדירה את סוגי המידע ש-Sensitive Data Protection סורק.
- פרסום פרופילי הנתונים שנוצרו בשירותים אחרים. Google Cloud
- משנים את הקונטיינר של סוכן השירות.
שימוש בתובנות לגבי גילוי כדי לזהות משאבים בעלי ערך גבוה
ב-Security Command Center אפשר להגדיר באופן אוטומטי משאב שמכיל נתונים ברמת רגישות גבוהה או בינונית כמשאב בעל ערך גבוה. למשאבים בעלי ערך גבוה, Security Command Center מספק ניקוד חשיפה להתקפות והדמיות של נתיבי התקפה, שבהם אפשר להשתמש כדי לתת עדיפות לאבטחת משאבים שמכילים מידע אישי רגיש. מידע נוסף זמין במאמר בנושא הגדרת ערכי עדיפות של משאבים באופן אוטומטי לפי רגישות הנתונים.
קיבולת הגילוי ב-Enterprise וב-Premium
אם אתם צריכים מיון מידע אישי רגיש בהיקף שחורג מהקיבולת שהוקצתה ללקוחות Security Command Center Enterprise או Premium (ברמת הארגון), יכול להיות ש-Sensitive Data Protection יגדיל את הקיבולת שלכם באופן זמני. עם זאת, העלייה הזו לא מובטחת ותלויה בזמינות של משאבי מחשוב. אם אתם צריכים קיבולת גדולה יותר של גילוי, אתם יכולים לפנות לנציג שאחראי על החשבון שלכם או לGoogle Cloud מומחה מכירות. מידע נוסף זמין במאמר בנושא מעקב אחר השימוש במסמכי התיעוד בנושא Sensitive Data Protection.
מיון מידע אישי רגיש באזורי אבטחה
אם אתם משתמשים בגבולות גזרה לשירות של VPC Service Controls ואתם רוצים לגלות מידע אישי רגיש בתוך הגבולות האלה, כדאי לעיין במאמר איך מאפשרים גילוי של מידע אישי רגיש בתוך גבולות גזרה לשירות. אם לא תבצעו את המשימה הזו, יכול להיות שתקבלו אזהרות.