Attiva rilevamento di dati sensibili

Questo documento descrive la funzionalità di rilevamento di dati sensibili di Sensitive Data Protection, come funziona in ogni livello di servizio di Security Command Center, e come abilitarla.

Prima di iniziare

Per utilizzare il rilevamento di dati sensibili con Security Command Center, completa queste attività.

Attiva Security Command Center

Attiva Security Command Center. A seconda di come attivi Security Command Center, potresti incorrere in costi aggiuntivi per Sensitive Data Protection. Per maggiori dettagli, consulta Prezzi per il rilevamento per i clienti di Security Command Center.

Assicurati che Security Command Center sia configurato per accettare i risultati di Sensitive Data Protection

Per impostazione predefinita, Security Command Center è configurato per accettare i risultati di Sensitive Data Protection. Se la tua organizzazione ha disattivato Sensitive Data Protection come servizio integrato, devi riattivarlo per ricevere i risultati del rilevamento di dati sensibili. Per maggiori informazioni, consulta Aggiungere un Google Cloud servizio integrato.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per configurare il rilevamento di dati sensibili, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:

Finalità	Ruolo predefinito	Autorizzazioni pertinenti
Crea una configurazione di scansione del rilevamento e visualizza i profili di dati	Amministratore DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un progetto da utilizzare come container dell'agente di servizio¹	Autore progetto (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Concedi l'accesso al rilevamento²	Una delle seguenti opzioni: Amministratore organizzazione (`roles/resourcemanager.organizationAdmin`) Amministratore sicurezza (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se non hai il ruolo Project Creator (roles/resourcemanager.projectCreator), puoi comunque creare una configurazione di scansione, ma il container dell'agente di servizio che utilizzi deve essere un progetto esistente.

² Se non hai il ruolo Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), puoi comunque creare una configurazione di scansione. Dopo aver creato la configurazione di scansione, un utente della tua organizzazione con uno di questi ruoli deve concedere l'accesso al rilevamento all' agente di servizio.

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Vantaggi

Questa funzionalità offre i seguenti vantaggi:

Puoi utilizzare i risultati di Sensitive Data Protection per identificare e correggere vulnerabilità e errori di configurazione nelle risorse che possono esporre dati sensibili al pubblico o ad attori malintenzionati.
Puoi utilizzare i risultati di Sensitive Data Protection per aggiungere contesto al processo di triage e dare la priorità alle minacce che prendono di mira le risorse contenenti dati sensibili.
Puoi configurare la funzionalità di simulazione del percorso di attacco per dare automaticamente la priorità alle risorse in base alla sensibilità dei dati che contengono. Per maggiori informazioni, consulta Impostare automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati.

Rilevamento di dati sensibili in Security Command Center Enterprise

Security Command Center Enterprise include un abbonamento a livello di organizzazione al servizio di rilevamento Sensitive Data Protection. Con questo abbonamento, non ti vengono addebitati costi di Sensitive Data Protection quando esegui il rilevamento di dati sensibili a livello di organizzazione o cartella. Per maggiori informazioni, consulta Capacità di rilevamento in Enterprise e Premium in questo documento.

Quando attivi il livello Security Command Center Enterprise, il rilevamento di dati sensibili viene abilitato automaticamente per tutti i tipi di risorse supportati a livello di organizzazione. Questo processo di attivazione automatica è un'operazione una tantum che si applica solo ai tipi di risorse supportati al momento dell'attivazione del livello Enterprise. Se Sensitive Data Protection aggiunge in un secondo momento il supporto per il rilevamento per nuovi tipi di risorse, devi abilitare manualmente questi tipi di rilevamento. Per istruzioni, consulta Abilitare il rilevamento con le impostazioni predefinite in un'organizzazione in questo documento.

Rilevamento di dati sensibili in Security Command Center Premium

Se hai un'attivazione a livello di organizzazione di Security Command Center Premium, l'abbonamento Premium include un abbonamento a livello di organizzazione al servizio di rilevamento Sensitive Data Protection. Con questo abbonamento, non ti vengono addebitati costi di Sensitive Data Protection quando esegui il rilevamento di dati sensibili a livello di organizzazione o cartella. Per maggiori informazioni, consulta Capacità di rilevamento in Enterprise e Premium in questo documento.

Importante: quando configuri il rilevamento di dati sensibili, assicurati che l'ambito della configurazione (noto anche come parent) sia la tua organizzazione e non un progetto. L'abbonamento a livello di organizzazione include il rilevamento solo nell'ambito dell'organizzazione. Se utilizzi un ambito a livello di progetto, ti vengono addebitati costi di rilevamento separati.

Per utilizzare l'abbonamento a livello di organizzazione per eseguire il rilevamento su un singolo progetto, consulta Creare profili di progetti o asset di dati selezionati in un'organizzazione o in una cartella nella documentazione di Sensitive Data Protection.

Per eseguire il rilevamento di dati sensibili a livello di organizzazione, consulta Abilitare il rilevamento con le impostazioni predefinite in un'organizzazione in questo documento.
Se hai un'attivazione a livello di progetto di Security Command Center Premium, puoi abilitare il rilevamento di dati sensibili a livello di progetto e ottenere i risultati in Security Command Center. Tuttavia, questa funzionalità ha un prezzo separato. Per abilitare il rilevamento a livello di progetto, consulta Creare una configurazione di scansione nella documentazione di Sensitive Data Protection.

Per determinare il tipo di attivazione dell'istanza di Security Command Center, consulta Visualizzare il tipo di attivazione corrente.

Rilevamento di dati sensibili in Security Command Center Standard

Se hai Security Command Center Standard, puoi abilitare il rilevamento di dati sensibili e ottenere i risultati in Security Command Center. Tuttavia, questa funzionalità ha un prezzo separato.

Come funziona

Il servizio di rilevamento Sensitive Data Protection ti aiuta a proteggere i dati nella tua organizzazione identificando la posizione dei dati sensibili e ad alto rischio.

In Sensitive Data Protection, il servizio di rilevamento genera profili di dati, che forniscono metriche e insight sui dati a vari livelli di dettaglio.
In Security Command Center, il servizio di rilevamento genera risultati.

Risultati generati

Sensitive Data Protection genera risultati di osservazione in Security Command Center che mostrano i livelli di sensibilità e rischio dei dati calcolati. Puoi utilizzare questi risultati per informare la tua risposta quando riscontri minacce e vulnerabilità relative ai tuoi asset di dati. Per un elenco dei tipi di risultati generati, consulta Risultati di osservazione del servizio di rilevamento.

Questi risultati possono informare la designazione automatica delle risorse di alto valore in base alla sensibilità dei dati. Per maggiori informazioni, consulta Utilizzare gli insight di rilevamento per identificare le risorse di alto valore in questo documento.
Sensitive Data Protection genera risultati di vulnerabilità ed errori di configurazione in Security Command Center quando rileva dati non protetti con sensibilità alta o moderata. Per un elenco dei tipi di risultati generati, consulta:
- Risultati di vulnerabilità del servizio di rilevamento Sensitive Data Protection
- Risultati di errori di configurazione del servizio di rilevamento Sensitive Data Protection

Per un elenco completo dei risultati di Sensitive Data Protection, consulta Sensitive Data Protection.

Latenza di generazione dei risultati

A seconda delle dimensioni della tua organizzazione, i risultati di Sensitive Data Protection possono iniziare a essere visualizzati in Security Command Center entro pochi minuti dall'attivazione del rilevamento di dati sensibili. Per le organizzazioni più grandi o con configurazioni specifiche che influiscono sulla generazione dei risultati, possono essere necessarie fino a 12 ore prima che i risultati iniziali vengano visualizzati in Security Command Center.

Successivamente, Sensitive Data Protection genera risultati in Security Command Center entro pochi minuti dalla scansione delle risorse da parte del servizio di rilevamento.

Abilitare il rilevamento con le impostazioni predefinite in un'organizzazione

Per abilitare il rilevamento, crea una configurazione di rilevamento per ogni origine dati che vuoi analizzare. Puoi modificare le configurazioni dopo averle create. Per personalizzare le impostazioni durante la creazione di una configurazione, consulta invece Creare una configurazione di scansione.

Per abilitare il rilevamento con le impostazioni predefinite a livello di organizzazione:

Nella Google Cloud console, vai alla pagina Abilita rilevamento di Sensitive Data Protection.

Vai ad Abilita rilevamento
Verifica di visualizzare l'organizzazione in cui hai attivato Security Command Center.
Nel riquadro Abilita rilevamento, nel campo Container dell'agente di servizio , imposta il progetto da utilizzare come container dell'agente di servizio. All'interno di questo progetto, il sistema crea un service agent e gli concede automaticamente i ruoli di rilevamento richiesti.
- Per creare automaticamente un progetto da utilizzare come container dell'agente di servizio, segui questi passaggi:
  1. Fai clic su Crea.
  2. Specifica il nome, l'account di fatturazione e l'organizzazione principale del nuovo progetto. (Facoltativo) Modifica l'ID progetto.
  3. Fai clic su Crea.
  L'assegnazione dei ruoli all'agente di servizio del nuovo progetto può richiedere alcuni minuti.
- Per selezionare un progetto utilizzato in precedenza per le operazioni di rilevamento, fai clic sul campo Container dell'agente di servizio e seleziona il progetto.
Per esaminare le impostazioni predefinite, fai clic sull'icona di espansione .
Nella sezione Abilita rilevamento , fai clic su Abilita per ogni tipo di rilevamento che vuoi abilitare. L'abilitazione di un tipo di rilevamento comporta quanto segue:
- BigQuery: crea una configurazione di rilevamento per la profilazione delle tabelle BigQuery nell'organizzazione. Sensitive Data Protection inizia a profilare i dati BigQuery e invia i profili a Security Command Center.
- Cloud SQL: crea una configurazione di rilevamento per la profilazione delle tabelle Cloud SQL nell'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ogni istanza Cloud SQL. Questa procedura può richiedere alcune ore. Quando le connessioni predefinite sono pronte, devi concedere a Sensitive Data Protection l'accesso alle istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database appropriate.
- Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare i secret non criptati nelle variabili di ambiente Cloud Run. Sensitive Data Protection inizia a scansionare le variabili di ambiente.
- Cloud Storage: crea una configurazione di rilevamento per la profilazione dei bucket Cloud Storage nell'organizzazione. Sensitive Data Protection inizia a profilare i dati Cloud Storage e invia i profili a Security Command Center.
- Set di dati Vertex AI: crea una configurazione di rilevamento per la profilazione dei set di dati della piattaforma di agenti Gemini Enterprise nell'organizzazione. Sensitive Data Protection inizia a profilare i set di dati della piattaforma di agenti e invia i profili a Security Command Center.
- Amazon S3: crea una configurazione di rilevamento per la profilazione di tutti i dati Amazon S3 a cui ha accesso il connettore AWS.
  
  Nota: questa funzionalità richiede Security Command Center Enterprise. Devi prima creare un connettore AWS con le autorizzazioni AWS necessarie per il rilevamento di Sensitive Data Protection discovery.
- Azure Blob Storage: crea una configurazione di rilevamento per la profilazione di tutti i dati di Azure Blob Storage a cui ha accesso il connettore Azure.
  
  Nota: questa funzionalità richiede Security Command Center Enterprise. Devi prima creare un connettore Azure con le autorizzazioni Azure necessarie per il rilevamento di Sensitive Data Protection discovery.
Per visualizzare le configurazioni di rilevamento appena create, fai clic su Vai alla configurazione di rilevamento.

Se hai abilitato il rilevamento di Cloud SQL, la configurazione di rilevamento viene creata in modalità in pausa con errori che indicano l'assenza di credenziali. Consulta Gestire le connessioni da utilizzare con il rilevamento per concedere i ruoli IAM richiesti all'agente di servizio e fornire le credenziali utente del database per ogni istanza Cloud SQL.
Chiudi il riquadro.

Per visualizzare i risultati generati da Sensitive Data Protection, consulta Esaminare i risultati di Sensitive Data Protection nella Google Cloud console.

Personalizzare le configurazioni di scansione

Ogni tipo di rilevamento che abiliti ha una configurazione di scansione del rilevamento che puoi personalizzare . Puoi ad esempio eseguire le seguenti operazioni:

Regola la frequenza di scansione.
Specifica i filtri per gli asset di dati di cui non vuoi eseguire la riprofilazione.
Modifica il modello di ispezione, che definisce i tipi di informazioni per cui Sensitive Data Protection esegue la scansione.
Pubblica i profili di dati generati in altri Google Cloud servizi.
Modifica il container dell'agente di servizio.

Utilizzare gli insight di rilevamento per identificare le risorse di alto valore

Security Command Center può designare automaticamente una risorsa contenente dati con sensibilità alta o media come risorsa di alto valore. Per le risorse di alto valore, Security Command Center fornisce punteggi di esposizione all'attacco e visualizzazioni del percorso di attacco, che puoi utilizzare per dare la priorità alla sicurezza delle risorse contenenti dati sensibili. Per maggiori informazioni, consulta Impostare automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati.

Capacità di rilevamento in Enterprise e Premium

Se le tue esigenze di rilevamento di dati sensibili superano la capacità allocata per i clienti di Security Command Center Enterprise o Premium (a livello di organizzazione), Sensitive Data Protection potrebbe aumentare temporaneamente la capacità. Tuttavia, questo aumento non è garantito e dipende dalla disponibilità delle risorse di calcolo. Se hai bisogno di una maggiore capacità di rilevamento, contatta il tuo rappresentante dell'account o uno Google Cloud specialista delle vendite. Per maggiori informazioni, consulta Monitorare l'utilizzo nella documentazione di Sensitive Data Protection.

Rilevamento di dati sensibili all'interno dei perimetri di servizio

Se utilizzi i perimetri di servizio di Controlli di servizio VPC e vuoi rilevare dati sensibili all'interno di questi perimetri, consulta Consentire il rilevamento di dati sensibili all'interno dei perimetri di servizio.