Verwaltung des Datensicherheitsstatus – Übersicht

Die Datensicherheitsstatus-Verwaltung (Data Security Posture Management, DSPM) bietet eine datenzentrierte Ansicht der Google Cloud Sicherheit. Mit DSPM können Sie Datenrisiken kontinuierlich erkennen und verringern. Sie erhalten Informationen darüber, welche sensiblen Daten Sie haben, wo sie inGoogle Cloudgespeichert sind und ob ihre Verwendung Ihren Sicherheits- und Compliance-Anforderungen entspricht.

Mit DSPM kann Ihr Team die folgenden Datensicherheitsaufgaben ausführen:

  • Datenerkennung und -klassifizierung:Sensible Datenressourcen in Ihrer Google Cloud Umgebung, einschließlich BigQuery und Cloud Storage, werden automatisch erkannt und klassifiziert.

  • Data Governance:Vergleichen Sie Ihre aktuelle Datensicherheit mit den Best Practices und Compliance-Frameworks von Google, um potenzielle Sicherheitsprobleme zu erkennen und zu beheben.

  • Kontrolldurchsetzung:Ordnen Sie Ihre Sicherheitsanforderungen bestimmten Cloud-Kontrollen für die Data Governance zu, z. B. Data Access Governance und Data Flow Governance.

  • Compliance-Monitoring:Arbeitslasten werden anhand angewendeter Datensicherheitsframeworks überwacht, um die Einhaltung nachzuweisen, Verstöße zu beheben und Nachweise für Audits zu erstellen.

Kernkomponenten von DSPM

In den folgenden Abschnitten werden die Komponenten von DSPM beschrieben.

Datensicherheitsstatus mit dem DSPM-Dashboard überwachen

Im Datensicherheitsdashboard in derGoogle Cloud -Konsole können Sie sehen, wie die Daten Ihrer Organisation mit Ihren Anforderungen an Datensicherheit und Compliance übereinstimmen.

Im Datenkarten-Explorer im Dashboard zur Datensicherheit sehen Sie die geografischen Standorte, an denen Ihre Daten gespeichert sind. Sie können Informationen zu Ihren Daten nach geografischem Standort, Sensibilität der Daten, zugehörigem Projekt und denGoogle Cloud -Diensten filtern, in denen die Daten gespeichert sind. Die Kreise auf der Datenkarte stellen die relative Anzahl von Datenressourcen und Datenressourcen mit Benachrichtigungen in der Region dar.

Sie können Ergebnisse zur Datensicherheit aufrufen, die auftreten, wenn eine Datenressource gegen eine Cloud-Kontrolle zur Datensicherheit verstößt. Wenn ein neues Ergebnis generiert wird, kann es bis zu zwei Stunden dauern, bis es im Data Map Explorer angezeigt wird.

Sie können sich auch Informationen zu den eingesetzten Datensicherheits-Frameworks, die Anzahl der offenen Ergebnisse, die mit jedem Framework verknüpft sind, und den Prozentsatz der Ressourcen in Ihrer Umgebung ansehen, die von mindestens einem Framework abgedeckt werden.

Frameworks zur Datensicherheit und Compliance für DSPM

Sie verwenden Frameworks, um Ihre Anforderungen an Datensicherheit und Compliance zu definieren und auf Ihre Google Cloud Umgebung anzuwenden. DSPM umfasst das Framework für die Grundlagen von Datensicherheit und Datenschutz, in dem empfohlene grundlegende Kontrollen für Datensicherheit und Compliance definiert sind. Wenn Sie DSPM aktivieren, wird dieses Framework automatisch auf dieGoogle Cloud -Organisation im Erkennungsmodus angewendet. Sie können die generierten Ergebnisse verwenden, um Ihre Datensicherheit zu verbessern.

Bei Bedarf können Sie Kopien des Frameworks erstellen, um benutzerdefinierte Frameworks für Datensicherheit zu erstellen. Sie können die erweiterten Cloud-Steuerelemente für Datensicherheit zu Ihren benutzerdefinierten Frameworks hinzufügen und die benutzerdefinierten Frameworks auf die Organisation, Ordner, Projekte und App Hub-Anwendungen in für die Anwendungsverwaltung konfigurierten Ordnern anwenden. Sie können beispielsweise benutzerdefinierte Frameworks erstellen, die Gerichtsbarkeitskontrollen auf bestimmte Ordner anwenden, um sicherzustellen, dass Daten in diesen Ordnern in einer bestimmten geografischen Region verbleiben.

Framework für Datensicherheit und Datenschutz (Basiskontrollen)

Die folgenden Cloud-Kontrollen sind Teil des Frameworks „Grundlagen für Datensicherheit und Datenschutz“.

Cloud-Kontrolle Beschreibung

SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED

Erkennen, wenn CMEK nicht für BigQuery-Tabellen mit sensiblen Daten verwendet wird.

CMEK FÜR DATASET MIT SENSIBLEN DATEN DEAKTIVIERT

Erkennen, wenn CMEK nicht für BigQuery-Datasets mit sensiblen Daten verwendet wird.

ÖFFENTLICHES DATASET MIT SENSIBLEN DATEN

Sensible Daten in öffentlich zugänglichen BigQuery-Datasets erkennen.

SENSIBLE DATEN ÖFFENTLICHE SQL-INSTANZ

Sensible Daten in öffentlich zugänglichen SQL-Datenbanken erkennen.

SENSITIVE DATA SQL CMEK DISABLED

Erkennen, wenn CMEK nicht für SQL-Datenbanken mit sensiblen Daten verwendet wird.

Erweiterte Cloud-Kontrollen für Data Governance und Sicherheit

DSPM bietet erweiterte Datensicherheit, damit Sie zusätzliche Datensicherheitsanforderungen erfüllen können. Diese erweiterten Cloud-Einstellungen für Datensicherheit sind in folgende Gruppen unterteilt:

  • Governance für den Datenzugriff:Erkennt, ob andere Hauptkonten als die von Ihnen angegebenen auf sensible Daten zugreifen.
  • Governance für Datenfluss:Erkennt, ob Clients, die sich außerhalb eines angegebenen geografischen Standorts (Land) befinden, auf vertrauliche Daten zugreifen.
  • Datenschutz und Schlüsselverwaltung:Erkennt, ob vertrauliche Daten ohne Verschlüsselung mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) erstellt werden.
  • Datenlöschung:Erkennt Verstöße gegen Richtlinien zum maximalen Aufbewahrungszeitraum für sensible Daten.

Diese Einstellungen unterstützen nur den Erkennungsmodus. Weitere Informationen zum Bereitstellen dieser Steuerelemente finden Sie unter DSPM verwenden.

Nutzerberechtigungen mit der Cloud-Kontrolle für die Datenzugriffs-Governance überwachen

Mit dieser Steuerung wird der Zugriff auf sensible Daten auf bestimmte Hauptkontogruppen beschränkt. Wenn ein nicht konformer Zugriffsversuch (Zugriff durch andere als die zulässigen Hauptkonten) auf Datenressourcen erfolgt, wird ein Ergebnis erstellt. Unterstützte Hauptkontotypen sind Nutzerkonten oder Gruppen. Informationen zum zu verwendenden Format finden Sie in der Tabelle mit unterstützten Hauptkontenformaten.

Nutzerkonten umfassen Folgendes:

  • Private Google-Konten, für die sich Nutzer auf google.com registrieren, z. B. Gmail.com-Konten
  • Verwaltete Google-Konten für Unternehmen
  • Google Workspace for Education-Konten

Nutzerkonten umfassen keine Robot-Konten, Dienstkonten, Markenkonten, die nur für die Delegation verwendet werden, Ressourcenkonten und Gerätekonten.

Die folgenden Asset-Typen werden unterstützt:

  • BigQuery-Datasets und -Tabellen
  • Cloud Storage-Buckets
  • Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher

DSPM prüft die Einhaltung dieser Kontrolle immer dann, wenn ein Nutzerkonto einen unterstützten Ressourcentyp liest.

Für diese Cloud-Kontrolle müssen Sie Audit-Logs zum Datenzugriff für Cloud Storage und Vertex AI aktivieren.

Es gelten unter anderem die folgenden Einschränkungen:

  • Es werden nur Lesevorgänge unterstützt.
  • Der Zugriff durch Dienstkonten, einschließlich der Identitätsübernahme für Dienstkonten, ist von dieser Kontrolle ausgenommen. Als Gegenmaßnahme sollten Sie dafür sorgen, dass nur vertrauenswürdige Dienstkonten Zugriff auf vertrauliche Cloud Storage-, BigQuery- und Vertex AI-Ressourcen haben. Weisen Sie Nutzern, die keinen Zugriff haben sollen, nicht die Rolle „Ersteller von Dienstkonto-Tokens“ (roles/iam.serviceAccountTokenCreator) zu.
  • Diese Einstellung verhindert nicht, dass Nutzer auf Kopien zugreifen, die durch Dienstkontovorgänge wie die von Storage Transfer Service und BigQuery Data Transfer Service erstellt wurden. Nutzer konnten auf Kopien von Daten zugreifen, für die diese Funktion nicht aktiviert war.
  • Verknüpfte Datasets werden nicht unterstützt. Mit verknüpften Datasets wird ein schreibgeschütztes BigQuery-Dataset erstellt, das als symbolischer Link zu einem Quelldataset dient. Für verknüpfte Datasets werden keine Audit-Logs zum Datenzugriff erstellt. Dadurch kann ein nicht autorisierter Nutzer Daten lesen, ohne dass dies erkannt wird. Ein Nutzer könnte beispielsweise die Zugriffssteuerung umgehen, indem er ein Dataset mit einem Dataset außerhalb Ihrer Compliance-Grenze verknüpft und dann das neue Dataset abfragt, ohne Protokolle für das Quelldataset zu generieren. Als Gegenmaßnahme sollten Sie Nutzern, die keinen Zugriff auf vertrauliche BigQuery-Ressourcen haben sollten, nicht die Rollen BigQuery-Administrator (roles/bigquery.admin), BigQuery-Dateninhaber (roles/bigquery.dataOwner) oder BigQuery Studio-Administrator (roles/bigquery.studioAdmin) zuweisen.
  • Abfragen für Platzhaltertabellen werden auf Dataset-Ebene, aber nicht auf Tableset-Ebene unterstützt. Mit dieser Funktion können Sie mehrere BigQuery-Tabellen gleichzeitig mit Platzhaltern abfragen. DSPM verarbeitet Platzhalterabfragen so, als würden Sie auf das übergeordnete BigQuery-Dataset zugreifen und nicht auf einzelne Tabellen im Dataset.
  • Der öffentliche Zugriff auf Cloud Storage-Objekte wird nicht unterstützt. Der öffentliche Zugriff gewährt allen Nutzern Zugriff ohne Richtlinienprüfungen.
  • Der Zugriff auf oder das Herunterladen von Cloud Storage-Objekten über authentifizierte Browsersitzungen wird nicht unterstützt.
  • Bei der Bereitstellung in einer App Hub-Anwendung werden BigQuery-Tabellen und ‑Datasets nicht unterstützt.

Daten-Exfiltration mit der Cloud-Kontrolle für die Datenfluss-Governance verhindern

Mit dieser Einstellung können Sie die zulässigen Länder angeben, aus denen auf Daten zugegriffen werden darf. Die Cloud-Steuerung funktioniert so:

  • Wenn eine Leseanfrage aus dem Internet stammt, wird das Land anhand der IP-Adresse der Leseanfrage ermittelt. Wenn ein Proxy zum Senden der Leseanfrage verwendet wird, werden Benachrichtigungen basierend auf dem Standort des Proxys gesendet.

  • Wenn die Leseanfrage von einer Compute Engine-VM stammt, wird das Land anhand der Cloud-Zone bestimmt, aus der die Anfrage stammt.

Die folgenden Asset-Typen werden unterstützt:

  • BigQuery-Datasets und -Tabellen
  • Cloud Storage-Buckets
  • Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher

Es gelten unter anderem die folgenden Einschränkungen:

  • Es werden nur Lesevorgänge unterstützt.
  • Für Vertex AI werden nur Anfragen aus dem Internet unterstützt.
  • Der öffentliche Zugriff auf Cloud Storage-Objekte wird nicht unterstützt.
  • Der Zugriff auf oder das Herunterladen von Cloud Storage-Objekten über authentifizierte Browsersitzungen wird nicht unterstützt.
  • Wenn sie in einer App Hub-Anwendung in einem für die Anwendungsverwaltung konfigurierten Ordner bereitgestellt werden, werden BigQuery-Tabellen und ‑Datasets nicht unterstützt.

CMEK-Verschlüsselung mit den Cloud-Steuerelementen für Datenschutz und Schlüsselverwaltung erzwingen

Bei diesen Kontrollen müssen Sie bestimmte Ressourcen mit CMEKs verschlüsseln. Dazu gehören:

  • CMEK für Vertex AI-Datasets aktivieren
  • CMEK für Vertex AI-Metadatenspeicher aktivieren
  • CMEK für Vertex AI-Modelle aktivieren
  • CMEK für Vertex AI Feature Store aktivieren
  • CMEK für BigQuery-Tabellen aktivieren

Wenn Sie diese Steuerelemente in einer App Hub-Anwendung bereitstellen, werden BigQuery-Tabellen nicht unterstützt.

Richtlinien zur maximalen Datenaufbewahrung mit der Cloud-Kontrolle für das Löschen von Daten verwalten

Mit dieser Einstellung wird der Aufbewahrungszeitraum für vertrauliche Daten festgelegt. Sie können Ressourcen (z. B. BigQuery-Tabellen) auswählen und eine Cloud-Kontrolle zum Löschen von Daten anwenden, die erkennt, ob eine der Ressourcen die Aufbewahrungslimits für das maximale Alter überschreitet.

Die folgenden Asset-Typen werden unterstützt:

  • BigQuery-Datasets und -Tabellen
  • Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher

Wenn Sie dieses Steuerelement für eine App Hub-Anwendung bereitstellen, werden BigQuery-Tabellen und ‑Datasets nicht unterstützt.

DSPM mit Schutz sensibler Daten verwenden

DSPM funktioniert mit Sensitive Data Protection. Mit Sensitive Data Protection werden die sensiblen Daten in Ihrer Organisation gefunden. Mit DSPM können Sie Cloud-Kontrollen für Datensicherheit für die sensiblen Daten bereitstellen, um Ihre Sicherheits- und Compliance-Anforderungen zu erfüllen.

In der folgenden Tabelle wird beschrieben, wie Sie Sensitive Data Protection für die Datenermittlung und DSPM für die Richtliniendurchsetzung und die Verwaltung des Sicherheitsstatus verwenden können.

Dienst

Sensitive Data Protection

DSPM
Datenumfang

Sucht und klassifiziert sensible Daten (z. B. personenidentifizierbare Informationen oder Secrets) im Speicher auf Google Cloud.

Bewertet den Sicherheitsstatus rund um die klassifizierten sensiblen Daten.
Kernaktionen

Sensible Daten werden gescannt, profiliert und de-identifiziert.

Erzwingt, überwacht und validiert Richtlinien.
Fokus der Ergebnisse

Berichte darüber, wo sich die sensiblen Daten befinden (z. B. in BigQuery oder Cloud Storage).

Berichte darüber, warum die Daten offengelegt werden (z. B. öffentlicher Zugriff, fehlende CMEK oder übermäßige Berechtigungen).
Integration

Stellt DSPM Metadaten zur Sensibilität und Klassifizierung zur Verfügung.

Verwendet Daten zum Schutz sensibler Daten, um Sicherheitskontrollen und Risikobewertungen anzuwenden und zu überwachen.

Nächste Schritte