Habilitar el descubrimiento de datos sensibles

Standard, Premium y Enterprise

En este documento se describe la función de detección de datos sensibles de Protección de Datos Sensibles, cómo funciona en cada nivel de servicio de Security Command Center y cómo habilitarla.

Antes de empezar

Para usar la detección de datos sensibles con Security Command Center, completa estas tareas.

Activa Security Command Center

Activa Security Command Center. En función de cómo actives Security Command Center, es posible que se te apliquen cargos adicionales por Protección de Datos Sensibles. Para obtener más información, consulta los precios de Discovery para clientes de Security Command Center.

Asegúrate de que Security Command Center esté configurado para aceptar resultados de Protección de Datos Sensibles

De forma predeterminada, Security Command Center está configurado para aceptar resultados de Protección de Datos Sensibles. Si tu organización ha inhabilitado Protección de Datos Sensibles como servicio integrado, debes volver a habilitarlo para recibir los resultados de la detección de datos sensibles. Para obtener más información, consulta Añadir un servicio integrado. Google Cloud

Configurar permisos

Para obtener los permisos que necesitas para configurar la detección de datos sensibles, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en la organización:

Finalidad	Rol predefinido	Permisos pertinentes
Crear una configuración de análisis de descubrimiento y ver perfiles de datos	Administrador de DLP (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un proyecto que se usará como contenedor de agentes de servicio1.	Creador del proyecto (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
Conceder acceso a la detección2	Una de las siguientes: Administrador de la organización (roles/resourcemanager.organizationAdmin) Administrador de seguridad (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Si no tienes el rol Project Creator (roles/resourcemanager.projectCreator), puedes crear una configuración de análisis, pero el contenedor del agente de servicio que utilices debe ser un proyecto que ya exista.

² Si no tienes el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) o de administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Después de crear la configuración de análisis, alguien de tu organización que tenga uno de estos roles debe conceder acceso de descubrimiento al agente de servicio.

Para obtener más información sobre cómo conceder roles, consulta el artículo sobre cómo gestionar el acceso.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Ventajas

Esta función ofrece las siguientes ventajas:

• Puedes usar los resultados de Protección de Datos Sensibles para identificar y corregir vulnerabilidades y configuraciones incorrectas en tus recursos que puedan exponer datos sensibles al público o a agentes maliciosos.

• Puede usar los resultados de Protección de Datos Sensibles para añadir contexto al proceso de triaje y priorizar las amenazas dirigidas a recursos que contengan datos sensibles.

• Puedes configurar la simulación de ruta de ataque para que priorice automáticamente los recursos en función de la sensibilidad de los datos que contengan. Para obtener más información, consulta Asignar automáticamente valores de prioridad de recursos según la sensibilidad de los datos.

Descubrimiento de datos sensibles en Security Command Center Enterprise

Security Command Center Enterprise incluye una suscripción a nivel de organización al servicio de detección de protección de datos sensibles. Con esta suscripción, no se te aplicarán cargos de Protección de Datos Sensibles cuando ejecutes la detección de datos sensibles a nivel de organización o de carpeta. Para obtener más información, consulta la sección Capacidad de detección en Enterprise y Premium de este documento.

Cuando activas el nivel Enterprise de Security Command Center, la detección de datos sensibles se habilita automáticamente en todos los tipos de recursos admitidos a nivel de organización. Este proceso de habilitación automática es una operación única que solo se aplica a los tipos de recursos admitidos en el momento de la activación del nivel Enterprise. Si Protección de Datos Sensibles añade compatibilidad con la detección de nuevos tipos de recursos más adelante, deberá habilitar esos tipos de detección manualmente. Para obtener instrucciones, consulta la sección Habilitar la detección con la configuración predeterminada en una organización de este documento.

Descubrimiento de datos sensibles en Security Command Center Premium

Premium

• Si has activado Security Command Center Premium a nivel de organización, tu suscripción Premium incluye una suscripción a nivel de organización al servicio de descubrimiento de Sensitive Data Protection. Con esta suscripción, no se te aplicarán cargos de Protección de Datos Sensibles cuando ejecutes la detección de datos sensibles a nivel de organización o carpeta. Para obtener más información, consulta la sección Capacidad de detección en Enterprise y Premium de este documento.

  Para realizar la detección de datos sensibles a nivel de organización, consulta la sección Habilitar la detección con la configuración predeterminada en una organización de este documento.

• Si has activado Security Command Center Premium a nivel de proyecto, puedes habilitar el descubrimiento de datos sensibles a nivel de proyecto y obtener los resultados en Security Command Center. Sin embargo, esta función tiene un precio independiente. Para habilitar el descubrimiento a nivel de proyecto, consulta el artículo Crear una configuración de análisis de la documentación de Protección de Datos Sensibles.

Para determinar el tipo de activación de tu instancia de Security Command Center, consulta Ver el tipo de activación actual.

Descubrimiento de datos sensibles en Security Command Center Standard

Si tienes Security Command Center Standard, puedes habilitar la detección de datos sensibles y obtener los resultados en Security Command Center. Sin embargo, esta función tiene un precio independiente.

Cómo funciona

El servicio de descubrimiento de Protección de Datos Sensibles te ayuda a proteger los datos de toda tu organización identificando dónde se encuentran los datos sensibles y de alto riesgo.

• En Protección de datos sensibles, el servicio de descubrimiento genera perfiles de datos, que proporcionan métricas e información valiosa sobre tus datos con distintos niveles de detalle.
• En Security Command Center, el servicio de detección genera resultados.

Resultados generados

• Protección de Datos Sensibles genera resultados de observaciones en Security Command Center que muestran los niveles de sensibilidad y riesgo de datos calculados de sus datos. Puedes usar estos resultados para informar de tu respuesta cuando detectes amenazas y vulnerabilidades relacionadas con tus recursos de datos. Para ver una lista de los tipos de detecciones generados, consulta Detecciones de observaciones del servicio de descubrimiento.

  Estos resultados pueden servir para designar automáticamente los recursos de alto valor en función de la confidencialidad de los datos. Para obtener más información, consulta la sección Usar estadísticas de descubrimiento para identificar recursos de alto valor de este documento.

• Protección de Datos Sensibles genera resultados de vulnerabilidades y errores de configuración en Security Command Center cuando detecta datos de alta o media sensibilidad sin protección. Para ver una lista de los tipos de detecciones generados, consulta lo siguiente:

  • Resultados de vulnerabilidades del servicio de descubrimiento de Protección de Datos Sensibles
  • Resultados de configuraciones erróneas del servicio de descubrimiento de Protección de Datos Sensibles

Para ver una lista completa de los hallazgos de Protección de Datos Sensibles, consulta Protección de Datos Sensibles.

Buscar la latencia de generación

En función del tamaño de tu organización, los resultados de Protección de Datos Sensibles pueden empezar a aparecer en Security Command Center unos minutos después de habilitar la detección de datos sensibles. En el caso de las organizaciones más grandes o de las que tienen configuraciones específicas que afectan a la generación de resultados, pueden pasar hasta 12 horas antes de que aparezcan los resultados iniciales en Security Command Center.

Después, Protección de Datos Sensibles genera resultados en Security Command Center unos minutos después de que el servicio de descubrimiento analice tus recursos.

Habilitar la detección con la configuración predeterminada en una organización

Para habilitar el descubrimiento, crea una configuración de descubrimiento para cada fuente de datos que quieras analizar. Puedes editar las configuraciones después de crearlas. Para personalizar los ajustes durante el proceso de creación de una configuración, consulta el artículo Crear una configuración de análisis.

Para habilitar la detección con la configuración predeterminada a nivel de organización, sigue estos pasos:

1. En la consola, ve a la página Protección de datos sensibles Habilitar descubrimiento. Google Cloud

   Habilitar el descubrimiento

2. Comprueba que estás viendo la organización en la que has activado Security Command Center.

3. En el panel Habilitar descubrimiento, en el campo Contenedor de agente de servicio, define el proyecto que se va a usar como contenedor de agente de servicio. En este proyecto, el sistema crea un agente de servicio y le asigna automáticamente los roles de descubrimiento necesarios.

   • Para crear automáticamente un proyecto que se usará como contenedor de tu agente de servicio, sigue estos pasos:

     1. Haz clic en Crear.
     2. Especifica el nombre, la cuenta de facturación y la organización principal del nuevo proyecto. También puedes editar el ID del proyecto.
     3. Haz clic en Crear.

     Los roles pueden tardar unos minutos en asignarse al agente de servicio del nuevo proyecto.

   • Para seleccionar un proyecto que hayas usado anteriormente en operaciones de descubrimiento, haz clic en el campo Contenedor del agente de servicio y selecciona el proyecto.

4. Para revisar la configuración predeterminada, haga clic en el icono de expand_more expansión.

5. En la sección Habilitar descubrimiento, haz clic en Habilitar junto a cada tipo de descubrimiento que quieras habilitar. Si habilitas un tipo de descubrimiento, ocurrirá lo siguiente:

   • BigQuery crea una configuración de descubrimiento para crear perfiles de tablas de BigQuery en toda la organización. Protección de Datos Sensibles empieza a crear perfiles de tus datos de BigQuery y los envía a Security Command Center.
   • Cloud SQL: crea una configuración de descubrimiento para crear perfiles de tablas de Cloud SQL en toda la organización. Protección de Datos Sensibles empieza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar unas horas. Cuando las conexiones predeterminadas estén listas, debes dar acceso a Protección de Datos Sensibles a tus instancias de Cloud SQL actualizando cada conexión con las credenciales de usuario de base de datos adecuadas.
   • Vulnerabilidades de secretos o credenciales: crea una configuración de descubrimiento para detectar y registrar secretos sin cifrar en variables de entorno de Cloud Run. Protección de Datos Sensibles empieza a analizar tus variables de entorno.
   • Cloud Storage: crea una configuración de descubrimiento para crear perfiles de segmentos de Cloud Storage en toda la organización. La protección de datos sensibles empieza a crear perfiles de tus datos de Cloud Storage y los envía a Security Command Center.
   • Conjuntos de datos de Vertex AI: crea una configuración de descubrimiento para crear perfiles de conjuntos de datos de Vertex AI de toda la organización. Protección de Datos Sensibles empieza a crear perfiles de tus conjuntos de datos de Vertex AI y los envía a Security Command Center.

   • Amazon S3: crea una configuración de descubrimiento para crear perfiles de todos los datos de Amazon S3 a los que tenga acceso tu conector de AWS.

   • Azure Blob Storage: crea una configuración de descubrimiento para crear perfiles de todos los datos de Azure Blob Storage a los que tenga acceso tu conector de Azure.

6. Para ver las configuraciones de descubrimiento que acabas de crear, haz clic en Ir a la configuración de descubrimiento.

   Si has habilitado la detección de Cloud SQL, la configuración de detección se crea en modo de pausa con errores que indican la ausencia de credenciales. Consulta Gestionar conexiones para usar con Discovery para asignar los roles de gestión de identidades y accesos necesarios a tu agente de servicio y proporcionar las credenciales de usuario de la base de datos de cada instancia de Cloud SQL.

7. Cierra el panel.

Para ver los resultados que genera Protección de Datos Sensibles, consulta el artículo Revisar los resultados de Protección de Datos Sensibles en la consolaGoogle Cloud .

Personalizar las configuraciones de análisis

Cada tipo de descubrimiento que habilites tiene una configuración de análisis de descubrimiento que puedes personalizar. Por ejemplo, puedes hacer lo siguiente:

• Ajusta la frecuencia de análisis.
• Especifica filtros para los recursos de datos de los que no quieras volver a crear un perfil.
• Cambia la plantilla de inspección, que define los tipos de información que busca Protección de Datos Sensibles.
• Publica los perfiles de datos generados en otros servicios. Google Cloud
• Cambiar el contenedor del agente de servicio.

Usar las estadísticas de descubrimiento para identificar recursos de alto valor

Security Command Center puede designar automáticamente como recurso de alto valor un recurso que contenga datos de alta o media sensibilidad. En el caso de los recursos de alto valor, Security Command Center proporciona puntuaciones de exposición a ataques y visualizaciones de rutas de ataque, que puedes usar para priorizar la seguridad de los recursos que contienen datos sensibles. Para obtener más información, consulta Definir automáticamente los valores de prioridad de los recursos según la sensibilidad de los datos.

Capacidad de descubrimiento en Enterprise y Premium

Si tus necesidades de detección de datos sensibles superan la capacidad asignada a los clientes de Security Command Center Enterprise o Premium (a nivel de organización), es posible que Sensitive Data Protection aumente tu capacidad temporalmente. Sin embargo, este aumento no está garantizado y depende de si hay recursos de computación disponibles. Si necesitas más capacidad de descubrimiento, ponte en contacto con tu representante de cuenta o con un Google Cloud especialista en ventas. Para obtener más información, consulta el artículo Monitorizar el uso de la documentación de Protección de Datos Sensibles.

Siguientes pasos

• Ver resultados de Protección de Datos Sensibles
• Consulta los perfiles de datos en Protección de Datos Sensibles.