啟用機密資料探索功能

本文說明 Sensitive Data Protection 的機密資料探索功能，以及該功能在各個 Security Command Center 服務層級的運作方式，並介紹如何啟用這項功能。

事前準備

如要搭配使用機密資料探索與 Security Command Center，請完成下列工作。

啟用 Security Command Center

啟用 Security Command Center。 視您啟用 Security Command Center 的方式而定，您可能需要支付額外的 Sensitive Data Protection 費用。詳情請參閱適用於 Security Command Center 客戶的 Discovery 計價方式。

確認 Security Command Center 已設定為接受 Sensitive Data Protection 發現項目

根據預設，Security Command Center 會接受 Sensitive Data Protection 的發現項目。如果貴機構停用了整合服務 Sensitive Data Protection，您必須重新啟用，才能收到私密/機密資料探索結果。詳情請參閱「新增 Google Cloud 整合式服務」。

設定權限

如要取得設定機密資料探索功能所需的權限，請要求管理員在組織中授予下列 IAM 角色：

目的	預先定義的角色	相關權限
建立探索掃描設定並查看資料剖析檔	DLP 管理員 (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
建立專案做為服務代理容器1	專案建立者 (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
授予探索存取權2	下列其中一項： 機構管理員 (roles/resourcemanager.organizationAdmin) 安全管理員 (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ 如果您沒有專案建立者 (roles/resourcemanager.projectCreator) 角色，還是可以建立掃描設定，但使用的服務代理程式容器必須是現有專案。

² 如果您沒有機構管理員 (roles/resourcemanager.organizationAdmin) 或安全管理員 (roles/iam.securityAdmin) 角色，還是可以建立掃描設定。建立掃描設定後，貴機構中具有下列任一角色的人員必須授予服務代理探索存取權。

如要進一步瞭解如何授予角色，請參閱「管理存取權」。

您或許也能透過自訂角色或其他預先定義的角色，取得必要權限。

優點

這項功能可帶來下列好處：

• 您可以根據 Sensitive Data Protection 的結果，找出並修正資源中的安全漏洞和設定錯誤，避免機密資料外洩給大眾或惡意行為人。

• 您可以運用「機密資料防護」的發現項目，為分類程序新增背景資訊，並優先處理以含有機密資料的資源為目標的威脅。

• 您可以設定攻擊路徑模擬功能，根據資源所含資料的機密程度，自動排定資源優先順序。詳情請參閱「自動依據資料機密程度設定資源優先順序值」。

在 Security Command Center Enterprise 中探索敏感資料

Security Command Center Enterprise 包含機構層級的 Sensitive Data Protection 探索服務訂閱方案。訂閱這項服務後，在機構或資料夾層級執行敏感資料探索作業時，就不會產生 Sensitive Data Protection 費用。詳情請參閱本文件的「Enterprise 和 Premium 方案的探索容量」。

啟用 Security Command Center Enterprise 級後，系統會自動為組織層級的所有支援資源類型啟用機密資料探索功能。這項自動啟用程序是一次性作業，僅適用於啟用 Enterprise 級別時支援的資源類型。如果 Sensitive Data Protection 日後新增支援的探索資源類型，您必須手動啟用這些探索類型。如需操作說明，請參閱本文的「在機構中啟用探索功能並使用預設設定」。

在 Security Command Center Premium 中探索敏感資料

• 如果您在機構層級啟用 Security Command Center Premium，則 Premium 訂閱方案會包含機構層級的 Sensitive Data Protection 探索服務訂閱方案。訂閱這項服務後，在機構或資料夾層級執行敏感資料探索作業時，就不會產生 Sensitive Data Protection 費用。詳情請參閱本文的「企業版和進階版中的探索容量」。

  如要在機構層級執行機密資料探索作業，請參閱本文的「在機構中啟用預設設定的探索功能」一節。

• 如果您在專案層級啟用 Security Command Center Premium，即可在專案層級啟用機密資料探索功能，並在 Security Command Center 中查看發現項目。不過，這項功能需另外付費。如要在專案層級啟用探索功能，請參閱 Sensitive Data Protection 說明文件中的建立掃描設定。

如要判斷 Security Command Center 執行個體的啟用類型，請參閱「查看目前的啟用類型」。

Security Command Center Standard 方案中的機密資料探索功能

如果您使用 Security Command Center Standard，可以啟用機密資料探索功能，並在 Security Command Center 中查看偵測結果。不過，這項功能需另外付費。

運作方式

Sensitive Data Protection 探索服務可找出機密和高風險資料的所在位置，協助您保護整個機構的資料。

• 在 Sensitive Data Protection 中，探索服務會產生資料剖析檔，提供各種詳細程度的資料指標和洞察資訊。
• 在 Security Command Center 中，探索服務會產生發現項目。

產生的發現項目

• Sensitive Data Protection 會在 Security Command Center 中產生觀察發現項目，顯示資料的計算機密程度和資料風險等級。當您遇到與資料資產相關的威脅和安全漏洞時，可以參考這些發現來採取因應措施。如需產生的發現項目類型清單，請參閱「探索服務的觀察結果發現項目」。

  這些發現可做為依據，自動指定高價值資源 (根據資料機密程度)。詳情請參閱本文中的「運用探索洞察資訊找出高價值資源」。

• 當 Sensitive Data Protection 偵測到未受保護的高敏感度或中等敏感度資料時，Security Command Center 會產生安全漏洞和錯誤設定的調查結果。如需系統產生的發現項目類型清單，請參閱下列內容：

  • Sensitive Data Protection 探索服務發現的安全性弱點
  • Sensitive Data Protection 探索服務發現的設定錯誤

如需 Sensitive Data Protection 發現項目的完整清單，請參閱「Sensitive Data Protection」。

找出生成延遲

視貴機構規模而定，啟用機密資料探索功能後，Security Command Center 可能會在幾分鐘內開始顯示 Sensitive Data Protection 發現項目。如果貴機構規模較大，或有影響發現項目生成的特定設定，Security Command Center 最多可能需要 12 小時，才會顯示初始發現項目。

隨後，Sensitive Data Protection 會在探索服務掃描資源後幾分鐘內，在 Security Command Center 中產生發現項目。

在機構中啟用探索功能，並使用預設設定

如要啟用探索功能，請為每個要掃描的資料來源建立探索設定。建立設定後，您可以編輯設定。如要在建立設定的過程中自訂設定，請參閱「建立掃描設定」一文。

如要在機構層級啟用探索功能並使用預設設定，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「啟用探索」頁面。

   前往「啟用探索功能」

2. 確認您正在查看啟用 Security Command Center 的機構。

3. 在「啟用探索」窗格的「服務代理容器」欄位中，設定要當做服務代理容器使用的專案。系統會在專案中建立服務代理，並自動授予必要的探索角色。

   • 如要自動建立專案做為服務代理容器，請按照下列步驟操作：

     1. 點選「建立」。
     2. 指定新專案的名稱、帳單帳戶和上層機構。視需要編輯專案 ID。
     3. 點選「建立」。

     系統可能需要幾分鐘的時間，才會將角色授予新專案的服務代理程式。

   • 如要選取先前用於探索作業的專案，請按一下「服務代理容器」欄位並選取專案。

4. 如要查看預設設定，請按一下「展開」圖示 expand_more。

5. 在「啟用探索」部分中，針對要啟用的每種探索類型，按一下「啟用」。啟用探索類型會產生下列影響：

   • BigQuery：為整個機構的 BigQuery 資料表建立剖析探索設定。Sensitive Data Protection 會開始剖析 BigQuery 資料，並將剖析檔傳送至 Security Command Center。
   • Cloud SQL：為剖析整個機構的 Cloud SQL 資料表建立探索設定。Sensitive Data Protection 會開始為每個 Cloud SQL 執行個體建立預設連線。這項程序可能需要數小時才能完成。預設連線準備就緒後，您必須更新每項連線，提供正確的資料庫使用者憑證，授予 Sensitive Data Protection 存取 Cloud SQL 執行個體的權限。
   • 密鑰/憑證安全漏洞：建立探索設定，偵測並回報 Cloud Run 環境變數中未加密的密鑰。Sensitive Data Protection 開始掃描環境變數。
   • Cloud Storage：為整個機構的 Cloud Storage bucket 建立剖析探索設定。Sensitive Data Protection 會開始剖析 Cloud Storage 資料，並將剖析檔傳送至 Security Command Center。
   • Vertex AI 資料集：為整個機構的 Vertex AI 資料集建立剖析探索設定。Sensitive Data Protection 會開始剖析 Vertex AI 資料集，並將剖析檔傳送至 Security Command Center。

   • Amazon S3：為 AWS 連接器可存取的所有 Amazon S3 資料建立探索設定，以進行剖析。

   • Azure Blob 儲存體：建立探索設定，剖析 Azure 連接器可存取的所有 Azure Blob 儲存體資料。

6. 如要查看新建立的探索設定，請按一下「前往探索設定」。

   如果您已啟用 Cloud SQL 探索功能，系統會以暫停模式建立探索設定，並顯示缺少憑證的錯誤訊息。請參閱「管理用於探索的連線」，將必要的 IAM 角色授予服務代理程式，並為每個 Cloud SQL 執行個體提供資料庫使用者憑證。

7. 關閉窗格。

如要查看 Sensitive Data Protection 產生的發現項目，請參閱「在Google Cloud 控制台中查看 Sensitive Data Protection 發現項目」。

自訂掃描設定

您啟用的每個探索作業類型都有探索掃描作業設定，您可以自訂這些設定。 例如，您可以執行以下操作：

• 調整掃描頻率。
• 針對不想重新剖析的資料資產指定篩選器。
• 變更檢查範本，定義 Sensitive Data Protection 掃描的資訊類型。
• 將產生的資料設定檔發布至其他 Google Cloud 服務。
• 變更服務代理容器。

運用探索洞察資訊找出高價值資源

如果資源含有高度或中度機密資料，Security Command Center 會自動將其指定為高價值資源。針對高價值資源，Security Command Center 會提供受攻擊風險分數和攻擊路徑視覺化圖表，方便您優先保護含有機密資料的資源。詳情請參閱「自動依據資料機密程度設定資源優先順序值」。

Enterprise 和 Premium 方案的探索容量

如果機密資料探索需求超出為 Security Command Center Enterprise 或 Premium 客戶 (組織層級) 分配的容量，Sensitive Data Protection 可能會暫時增加容量。不過，這項增幅不保證實現，且取決於運算資源是否可用。如需更多探索容量，請與您的帳戶代表或Google Cloud 銷售專員聯絡。詳情請參閱 Sensitive Data Protection 說明文件中的「監控使用量」。

後續步驟

• 查看 Sensitive Data Protection 發現項目
• 在 Sensitive Data Protection 中查看資料剖析檔。