הפעלה של מיון מידע אישי רגיש

‫

במאמר הזה מתואר התכונה גילוי נתונים רגישים מתוך Sensitive Data Protection, מוסבר איך היא פועלת בכל רמת שירות של Security Command Center ואיך מפעילים אותה.

לפני שמתחילים

כדי להשתמש במיון מידע אישי רגיש באמצעות Security Command Center, צריך לבצע את המשימות הבאות.

הפעלת Security Command Center

הפעלת Security Command Center בהתאם לאופן ההפעלה של Security Command Center, יכול להיות שתחויבו בעלויות נוספות על Sensitive Data Protection. פרטים נוספים מופיעים במאמר בנושא תמחור של Discovery ללקוחות Security Command Center.

מוודאים ש-Security Command Center מוגדר לקבל ממצאים של Sensitive Data Protection

כברירת מחדל, Security Command Center מוגדר לקבל ממצאים מ-Sensitive Data Protection. אם הארגון שלכם השבית את Sensitive Data Protection כשירות משולב, אתם צריכים להפעיל אותו מחדש כדי לקבל ממצאים לגבי גילוי מידע אישי רגיש. מידע נוסף זמין במאמר הוספת שירות Google Cloud משולב.

הגדרת ההרשאות

כדי לקבל את ההרשאות שנדרשות להגדרה של מיון מידע אישי רגיש, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:

מטרה	תפקיד מוגדר מראש	הרשאות רלוונטיות
יצירת הגדרות לסריקת גילוי והצגת פרופילי נתונים	אדמין DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
יוצרים פרויקט שישמש כקונטיינר של סוכן השירות¹	יצירת פרויקטים (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
הענקת גישה לגילוי²	אחת מהאפשרויות הבאות: אדמין ארגוני (`roles/resourcemanager.organizationAdmin`) אדמין לענייני אבטחה (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ אם אין לכם את התפקיד Project Creator (יוצר פרויקטים) (roles/resourcemanager.projectCreator), אתם עדיין יכולים ליצור הגדרת סריקה, אבל מאגר סוכני השירות שבו אתם משתמשים צריך להיות פרויקט קיים.

² אם אין לכם את התפקיד אדמין ארגוני (roles/resourcemanager.organizationAdmin) או אדמין לענייני אבטחה (roles/iam.securityAdmin), עדיין תוכלו ליצור הגדרת סריקה. אחרי שיוצרים את הגדרות הסריקה, מישהו בארגון עם אחד מהתפקידים האלה צריך להעניק לסוכן השירות גישה לגילוי.

להסבר על מתן תפקידים, ראו איך מנהלים את הרשאות הגישה.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

יתרונות

התכונה הזו מציעה את היתרונות הבאים:

אתם יכולים להשתמש בממצאים של Sensitive Data Protection כדי לזהות ולתקן נקודות חולשה וטעויות בהגדרות במשאבים שלכם, שעלולות לחשוף מידע אישי רגיש לציבור או לגורמים זדוניים.
אפשר להשתמש בתוצאות של Sensitive Data Protection כדי להוסיף הקשר לתהליך המיון ולתת עדיפות לאיומים שמטרגטים משאבים שמכילים נתונים רגישים.
אתם יכולים להגדיר את התכונה 'סימולציה של נתיב התקפה' כך שתתעדף באופן אוטומטי את המשאבים בהתאם לרגישות הנתונים שהם מכילים. מידע נוסף זמין במאמר בנושא הגדרת ערכי עדיפות למשאבים באופן אוטומטי לפי רגישות הנתונים.

מיון מידע אישי רגיש ב-Security Command Center Enterprise

‫

‫Security Command Center Enterprise כולל מינוי ברמת הארגון לשירות הגילוי של Sensitive Data Protection. עם המינוי הזה, לא תחויבו על Sensitive Data Protection כשמריצים מיון מידע אישי רגיש ברמת הארגון או התיקייה. מידע נוסף זמין במאמר קיבולת של Discovery ב-Enterprise וב-Premium במסמך הזה.

כשמפעילים את מהדורת Enterprise של Security Command Center, האפשרות 'גילוי נתונים רגישים' מופעלת אוטומטית לכל סוגי המשאבים הנתמכים ברמת הארגון. תהליך ההפעלה האוטומטי הזה הוא פעולה חד-פעמית שחלה רק על סוגי משאבים שנתמכים בזמן ההפעלה של מהדורת Enterprise. אם בהמשך Sensitive Data Protection יוסיף תמיכה בגילוי של סוגי משאבים חדשים, תצטרכו להפעיל את סוגי הגילוי האלה באופן ידני. הוראות מופיעות במאמר הזה בקטע הפעלת גילוי עם הגדרות ברירת מחדל בארגון.

מיון מידע אישי רגיש ב-Security Command Center Premium

אם הפעלתם את Security Command Center Premium ברמת הארגון, המינוי שלכם ל-Premium כולל מינוי ברמת הארגון לשירות הגילוי של Sensitive Data Protection. עם המינוי הזה, לא תחויבו על Sensitive Data Protection כשאתם מפעילים מיון מידע אישי רגיש ברמת הארגון או התיקייה. מידע נוסף זמין במאמר הזה בקטע קיבולת של Discovery ב-Enterprise וב-Premium.

חשוב: כשמגדירים מיון מידע אישי רגיש, צריך לוודא שההיקף של ההגדרה (שנקרא גם parent) הוא הארגון ולא פרויקט. המינוי ברמת הארגון כולל גילוי רק בהיקף הארגון. אם משתמשים בהיקף ברמת הפרויקט, יחויבו עלויות נפרדות על גילוי.

כדי להשתמש במינוי ברמת הארגון כדי להריץ גילוי בפרויקט יחיד, אפשר לעיין במאמר בחירת פרויקטים או נכסי נתונים בפרופיל בארגון או בתיקייה במאמרי העזרה של Sensitive Data Protection.

כדי לבצע מיון מידע אישי רגיש ברמת הארגון, אפשר לעיין במאמר הפעלת גילוי עם הגדרות ברירת מחדל בארגון במסמך זה.
אם הפעלתם את Security Command Center Premium ברמת הפרויקט, תוכלו להפעיל את התכונה 'מיון מידע אישי רגיש' ברמת הפרויקט ולקבל את הממצאים ב-Security Command Center. עם זאת, התכונה הזו כרוכה בתשלום נפרד. כדי להפעיל גילוי ברמת הפרויקט, ראו יצירת הגדרות סריקה בחומרי העזר בנושא Sensitive Data Protection.

כדי לראות את סוג ההפעלה של מופע Security Command Center, אפשר לעיין במאמר בנושא הצגת סוג ההפעלה הנוכחי.

מיון מידע אישי רגיש ב-Security Command Center Standard

אם יש לכם Security Command Center Standard, אתם יכולים להפעיל את התכונה 'גילוי מידע אישי רגיש' ולקבל את הממצאים ב-Security Command Center. עם זאת, התכונה הזו כרוכה בתשלום נפרד.

איך זה עובד

שירות הגילוי Sensitive Data Protection עוזר לכם להגן על נתונים בארגון על ידי זיהוי המיקום של נתונים רגישים ונתונים בסיכון גבוה.

בשירות Sensitive Data Protection, שירות הגילוי יוצר פרופילי נתונים, שמספקים מדדים ותובנות לגבי הנתונים ברמות פירוט שונות.
ב-Security Command Center, שירות הגילוי יוצר ממצאים.

ממצאים שנוצרו

‫Sensitive Data Protection יוצרת ממצאי תצפית ב-Security Command Center שמציגים את רמות הרגישות וסיכוני הנתונים המחושבות של הנתונים שלכם. אתם יכולים להשתמש בממצאים האלה כדי לקבל החלטות מושכלות לגבי התגובה שלכם כשאתם נתקלים באיומים ובנקודות חולשה שקשורים לנכסי הנתונים שלכם. רשימה של סוגי הממצאים שנוצרו מופיעה במאמר ממצאי תצפית משירות הגילוי.

הממצאים האלה יכולים לשמש כבסיס להקצאה אוטומטית של משאבים בעלי ערך גבוה על סמך רגישות הנתונים. מידע נוסף מופיע בקטע שימוש בתובנות לגבי גילוי משאבים כדי לזהות משאבים בעלי ערך גבוה במסמך הזה.
שירות Sensitive Data Protection יוצר ממצאים של נקודות חולשה וטעויות בהגדרות ב-Security Command Center, כשהוא מזהה מידע ברמת רגישות גבוהה או בינונית שלא מוגן. לרשימה של סוגי הממצאים שנוצרו, אפשר לעיין במאמרים הבאים:
- ממצאי נקודות חולשה משירות החיפוש הרחב של Sensitive Data Protection
- ממצאי תצורה שגויה משירות הגילוי של Sensitive Data Protection

רשימה מלאה של הממצאים מ-Sensitive Data Protection מופיעה במאמר בנושא Sensitive Data Protection.

איך מוצאים את זמן האחזור של יצירת התמונה

בהתאם לגודל הארגון, הממצאים של Sensitive Data Protection יכולים להתחיל להופיע ב-Security Command Center תוך כמה דקות אחרי שמפעילים את האפשרות מיון מידע אישי רגיש. בארגונים גדולים או בארגונים עם הגדרות ספציפיות שמשפיעות על יצירת הממצאים, יכול להיות שיחלפו עד 12 שעות לפני שהממצאים הראשוניים יופיעו ב-Security Command Center.

לאחר מכן, Sensitive Data Protection יוצר ממצאים ב-Security Command Center תוך כמה דקות אחרי ששירות הגילוי סורק את המשאבים.

הפעלת גילוי עם הגדרות ברירת מחדל בארגון

כדי להפעיל את האפשרות 'גילוי', צריך ליצור הגדרת גילוי לכל מקור נתונים שרוצים לסרוק. אפשר לערוך את ההגדרות אחרי שיוצרים אותן. כדי להתאים אישית את ההגדרות במהלך יצירת ההגדרה, אפשר לעיין במאמר יצירת הגדרת סריקה.

כדי להפעיל את הגילוי עם הגדרות ברירת מחדל ברמת הארגון, מבצעים את השלבים הבאים:

במסוף Google Cloud , עוברים לדף Sensitive Data Protection (הגנה על מידע רגיש) Enable discovery (הפעלת גילוי).

איך מפעילים את האפשרות 'חיפוש רחב'
מוודאים שאתם צופים בארגון שבו הפעלתם את Security Command Center.
בחלונית Enable discovery, בשדה Service agent container, מגדירים את הפרויקט שישמש כמאגר של סוכני שירות. בפרויקט הזה, המערכת יוצרת סוכן שירות ומקצה לו באופן אוטומטי את תפקידי הגילוי הנדרשים.
- כדי ליצור באופן אוטומטי פרויקט לשימוש כמאגר של סוכני שירות:
  1. לוחצים על יצירה.
  2. מציינים את השם, החשבון לחיוב והארגון הראשי של הפרויקט החדש. אם רוצים, עורכים את מזהה הפרויקט.
  3. לוחצים על יצירה.
  יכול להיות שיחלפו כמה דקות עד שההרשאות יינתנו לסוכן השירות של הפרויקט החדש.
- כדי לבחור פרויקט שהשתמשתם בו בעבר לפעולות גילוי, לוחצים על השדה Service agent container ובוחרים את הפרויקט.
כדי לראות את הגדרות ברירת המחדל, לוחצים על סמל ההרחבה .
בקטע Enable discovery, לוחצים על Enable ליד כל סוג של גילוי שרוצים להפעיל. הפעלת סוג גילוי מסוים גורמת לפעולות הבאות:
- ‫BigQuery: יוצר הגדרת גילוי ליצירת פרופילים של טבלאות ב-BigQuery בארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של נתוני BigQuery ושולח את הפרופילים ל-Security Command Center.
- ‫Cloud SQL: יצירת הגדרת גילוי ליצירת פרופילים של טבלאות Cloud SQL בארגון. השירות Sensitive Data Protection מתחיל ליצור חיבורי ברירת מחדל לכל אחת מהמכונות של Cloud SQL. התהליך הזה יכול להימשך כמה שעות. כשהחיבורים שמוגדרים כברירת מחדל מוכנים, צריך לתת ל-Sensitive Data Protection גישה למכונות Cloud SQL. לשם כך, מעדכנים כל חיבור עם פרטי הכניסה המתאימים של משתמש מסד הנתונים.
- פגיעויות של סודות/פרטי כניסה: יוצרת הגדרת גילוי כדי לזהות ולדווח על סודות לא מוצפנים במשתני סביבה של Cloud Run. השירות Sensitive Data Protection מתחיל לסרוק את משתני הסביבה.
- ‫Cloud Storage: יוצר תצורת גילוי ליצירת פרופילים של קטגוריות Cloud Storage בארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של הנתונים ב-Cloud Storage ושולח את הפרופילים ל-Security Command Center.
- מערכי נתונים של Vertex AI: יוצר הגדרת חיפוש רחב ליצירת פרופיל של מערכי נתונים של Vertex AI בכל הארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של מערכי הנתונים ב-Vertex AI ושולח את הפרופילים ל-Security Command Center.
- ‫Amazon S3: יוצרת הגדרת גילוי ליצירת פרופיל של כל הנתונים ב-Amazon S3 שלמחבר AWS יש גישה אליהם.
  
  הערה: כדי להשתמש בתכונה הזו צריך מהדורת Enterprise של Security Command Center. קודם צריך ליצור מחבר AWS עם הרשאות AWS שנדרשות לגילוי נתונים רגישים.
- ‫Azure Blob Storage: יוצר הגדרת גילוי ליצירת פרופיל של כל הנתונים ב-Azure Blob Storage שהמחבר של Azure יכול לגשת אליהם.
  
  הערה: כדי להשתמש בתכונה הזו צריך מהדורת Enterprise של Security Command Center. קודם צריך ליצור מחבר Azure עם ההרשאות הנדרשות ב-Azure לגילוי נתונים רגישים.
כדי לראות את הגדרות הגילוי החדשות שנוצרו, לוחצים על להגדרות הגילוי.

אם הפעלתם את האפשרות 'גילוי Cloud SQL', הגדרת הגילוי נוצרת במצב מושהה עם שגיאות שמציינות שאין פרטי כניסה. במאמר ניהול חיבורים לשימוש בתכונת הגילוי מוסבר איך להעניק לסוכן השירות את תפקידי ה-IAM הנדרשים ולספק פרטי כניסה של משתמש במסד הנתונים לכל מופע של Cloud SQL.
סוגרים את החלונית.

כדי לראות את הממצאים שנוצרו על ידי Sensitive Data Protection, אפשר לעיין במאמר בדיקת הממצאים של Sensitive Data Protection במסוףGoogle Cloud .

התאמה אישית של הגדרות הסריקה

לכל סוג גילוי שמפעילים יש הגדרה של סריקת גילוי שאפשר להתאים אישית. לדוגמה, אתם יכולים:

משנים את תדירות הסריקה.
מציינים מסננים לנכסי נתונים שלא רוצים ליצור להם פרופיל מחדש.
משנים את תבנית הבדיקה, שמגדירה את סוגי המידע ש-Sensitive Data Protection סורק.
פרסום פרופילי הנתונים שנוצרו בשירותים אחרים. Google Cloud
משנים את הקונטיינר של סוכן השירות.

שימוש בתובנות לגבי חיפוש רחב כדי לזהות משאבים עם ערך גבוה

ב-Security Command Center אפשר להגדיר באופן אוטומטי משאב שמכיל נתונים ברמת רגישות גבוהה או בינונית כמשאב בעל ערך גבוה. למשאבים בעלי ערך גבוה, Security Command Center מספק ציוני חשיפה למתקפות והדמיות של נתיבי מתקפה, שבהם אפשר להשתמש כדי לתת עדיפות לאבטחת משאבים שמכילים מידע אישי רגיש. מידע נוסף זמין במאמר בנושא הגדרת ערכי עדיפות של משאבים באופן אוטומטי לפי רגישות הנתונים.

קיבולת הגילוי ב-Enterprise וב-Premium

אם אתם לקוחות של Security Command Center Enterprise או Premium (ברמת הארגון) והצרכים שלכם לגבי גילוי מידע אישי רגיש חורגים מהקיבולת שהוקצתה לכם, יכול להיות ש-Sensitive Data Protection יגדיל את הקיבולת שלכם באופן זמני. עם זאת, העלייה הזו לא מובטחת ותלויה בזמינות של משאבי מחשוב. אם אתם צריכים קיבולת גדולה יותר של איתור, אתם יכולים לפנות לאיש הקשר האחראי לחשבון שלכם או לGoogle Cloud מומחה מכירות. מידע נוסף זמין במאמר בנושא מעקב אחר השימוש במסמכי התיעוד בנושא Sensitive Data Protection.

מיון מידע אישי רגיש בתוך אזורי אבטחה

אם אתם משתמשים בגבולות גזרה לשירות של VPC Service Controls ואתם רוצים לגלות מידע אישי רגיש בתוך הגבולות האלה, כדאי לעיין במאמר בנושא איך מאפשרים גילוי של מידע אישי רגיש בתוך גבולות גזרה לשירות.