Die Datensicherheitsstatus-Verwaltung (Data Security Posture Management, DSPM) bietet eine datenzentrierte Sicht auf die Google Cloud Sicherheit. Mit DSPM können Sie Datenrisiken kontinuierlich erkennen und reduzieren, indem Sie besser verstehen, welche sensiblen Daten Sie haben, wo sie in Google Cloudgespeichert sind und ob ihre Verwendung Ihren Sicherheits- und Compliance Anforderungen entspricht.
Die DSPM-Funktionen hängen von Ihrer Security Command Center-Dienststufe ab. Weitere Informationen zu den DSPM-Funktionen, die in der Dienststufe „Standard“ verfügbar sind, finden Sie in der Übersicht zur Dienststufe „Standard“ unter Verwaltung des Datensicherheitsstatus.
Mit DSPM in den Dienststufen „Premium“ und „Enterprise“ kann Ihr Team die folgenden Aufgaben zur Datensicherheit ausführen:
Datenerkennung und ‑klassifizierung: Sensible Datenressourcen in Ihrer Umgebung, einschließlich BigQuery und Cloud Storage, automatisch erkennen und klassifizieren. Google Cloud
Data Governance:Ihren aktuellen Datensicherheitsstatus anhand der Best Practices und Compliance-Frameworks von Google bewerten, um potenzielle Sicherheitsprobleme zu erkennen und zu beheben.
Kontrollenerzwingung:Ihre Sicherheitsanforderungen bestimmten Cloud-Kontrollen für die Data Governance zuordnen, z. B. Data Access Governance und Data Flow Governance.
Compliance-Monitoring:Arbeitslasten anhand angewendeter Frameworks zur Datensicherheit überwachen, um die Übereinstimmung nachzuweisen, Verstöße zu beheben und Nachweise für Audits zu generieren.
Kernkomponenten von DSPM
In den folgenden Abschnitten werden die Komponenten von DSPM beschrieben.
Datensicherheitsstatus mit dem DSPM-Dashboard überwachen
Im Dashboard zur Datensicherheit in der Google Cloud Console können Sie sehen, inwiefern die Daten Ihrer Organisation Ihren Anforderungen an Daten sicherheit und Compliance entsprechen.
Im Datenkarten-Explorer im Dashboard zur Datensicherheit werden die geografischen Standorte angezeigt, an denen Ihre Daten gespeichert sind. Sie können Informationen zu Ihren Daten nach geografischem Standort, Sensibilität der Daten, zugehörigem Projekt und den Google Cloud Diensten filtern, in denen die Daten gespeichert sind. Die Kreise auf der Datenkarte stellen die relative Anzahl von Datenressourcen und Datenressourcen mit Benachrichtigungen in der Region dar.
Sie können Ergebnisse zur Datensicherheit ansehen, die auftreten, wenn eine Datenressource gegen eine Cloud-Kontrolle zur Datensicherheit verstößt. Wenn ein neues Ergebnis generiert wird, kann es bis zu zwei Stunden dauern, bis es im Datenkarten-Explorer angezeigt wird.
Sie können auch Informationen zu den bereitgestellten Frameworks zur Datensicherheit, zur Anzahl der offenen Ergebnisse, die mit den einzelnen Frameworks verknüpft sind, und zum Prozentsatz der Ressourcen in Ihrer Umgebung ansehen, die von mindestens einem Framework abgedeckt werden.
(Vorschau) Im Dashboard werden auch Erkenntnisse zur Daten sicherheit angezeigt, mit denen Sie potenzielle Datenrisiken proaktiv erkennen können. Die Erkenntnisse sind nur für Ressourcen verfügbar, die vertrauliche Daten enthalten. Die Ressourcen müssen mit Sensitive Data Protection gescannt werden und der Scan muss so konfiguriert sein, dass Ergebnisse in Security Command Center veröffentlicht werden.
Das Dashboard zeigt Folgendes:
- Nutzer, die am häufigsten auf vertrauliche Daten zugreifen (nur auf Cloud Storage-Buckets, BigQuery-Tabellen und Vertex AI-Ressourcen beschränkt).
- Instanzen des grenzüberschreitenden Zugriffs (nur auf Cloud Storage-Buckets, BigQuery-Tabellen und Vertex AI-Ressourcen beschränkt).
- Instanzen, in denen länderspezifische sensible Daten außerhalb der zugehörigen Region gespeichert sind (gilt für alle Google Cloud Ressourcen).
Das Dashboard enthält keine Sicherheitsinformationen für Folgendes:
- Mit CMEK verschlüsselte Assets
- Ressourcen in der Region
me-central2
DSPM-Frameworks zur Datensicherheit und Compliance
Mit Frameworks definieren Sie Ihre Anforderungen an Datensicherheit und Compliance und wenden diese Anforderungen auf Ihre Google Cloud Umgebung an. DSPM umfasst das Framework „Grundlagen für Datensicherheit und Datenschutz“, in dem empfohlene Baseline-Kontrollen für Datensicherheit und Compliance definiert sind. Wenn Sie DSPM aktivieren, wird dieses Framework automatisch im Erkennungsmodus auf die Google Cloud Organisation angewendet. Sie können die generierten Ergebnisse verwenden, um Ihren Datensicherheitsstatus zu verbessern.
Bei Bedarf können Sie Kopien des Frameworks erstellen, um benutzerdefinierte Frameworks zur Datensicherheit zu erstellen. Sie können Ihren benutzerdefinierten Frameworks die erweiterten Cloud-Kontrollen zur Datensicherheit hinzufügen und die benutzerdefinierten Frameworks auf die Organisation, Ordner, Projekte und App Hub-Anwendungen in Ordnern anwenden, die für die Anwendungsverwaltung konfiguriert sind. Sie können beispielsweise benutzerdefinierte Frameworks erstellen, mit denen Sie Kontrollen für bestimmte Rechtsräume auf bestimmte Ordner anwenden, um sicherzustellen, dass Daten in diesen Ordnern in einer bestimmten geografischen Region verbleiben.
Framework „Grundlagen für Datensicherheit und Datenschutz“ (Baseline-Kontrollen)
Die folgenden Cloud-Kontrollen sind Teil des Frameworks „Grundlagen für Datensicherheit und Datenschutz“.
| Cloud-Kontrolle | Beschreibung |
|---|---|
Erkennen, wenn CMEK nicht für BigQuery-Tabellen verwendet wird, die sensible Daten enthalten. |
|
Erkennen, wenn CMEK nicht für BigQuery-Datasets verwendet wird, die sensible Daten enthalten. |
|
Öffentlichen Zugriff auf BigQuery-Datasets mit sensiblen Daten blockieren |
Sensible Daten in öffentlich zugänglichen BigQuery-Datasets erkennen. |
Öffentlichen Zugriff auf Cloud SQL-Instanzen mit sensiblen Daten blockieren |
Sensible Daten in öffentlich zugänglichen SQL-Datenbanken erkennen. |
CMEK für Cloud SQL-Instanzen mit sensiblen Daten erforderlich |
Erkennen, wenn CMEK nicht für SQL-Datenbanken verwendet wird, die sensible Daten enthalten. |
Erweiterte Cloud-Kontrollen für Data Governance und Sicherheit
DSPM umfasst erweiterte Datensicherheitsfunktionen, mit denen Sie zusätzliche Anforderungen an die Datensicherheit erfüllen können. Diese erweiterten Cloud-Kontrollen zur Datensicherheit sind wie folgt gruppiert:
- Nutzerberechtigungen überwachen:Erkennt, ob andere Prinzipale als die von Ihnen angegebenen auf sensible Daten zugreifen. Der Name der Kontrolle ist Zugriff auf sensible Daten auf zulässige Nutzer beschränken.
- Daten-Exfiltration verhindern:Erkennt, ob Clients außerhalb der angegebenen geografischen Standorte (Länder) auf sensible Daten zugreifen. Der Name der Kontrolle ist Fluss sensibler Daten über geografische Rechtsräume hinweg beschränken.
- CMEK-Verschlüsselung erzwingen: Erkennt, ob sensible Daten ohne vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) Verschlüsselung erstellt werden. Mehrere Kontrollen helfen dabei, CMEK für verschiedene Google Cloud Dienste zu erzwingen.
- Datenlöschung verwalten:Erkennt Verstöße gegen Richtlinien zur maximalen Aufbewahrungsdauer für sensible Daten. Der Name der Kontrolle ist Maximale Aufbewahrungsdauer für sensible Daten verwalten.
- Datenaufbewahrung verwalten: (Vorschau) Erzwingt eine Mindestaufbewahrungsdauer (in Sekunden) für Cloud Storage-Objekte, um sicherzustellen, dass sie für einen bestimmten Zeitraum aufbewahrt werden. Der Name der Kontrolle ist Mindestaufbewahrungsdauer für Cloud Storage-Objekte verwalten. Sie müssen sich registrieren um diese Kontrolle zu verwenden.
- Datenverschlüsselung verwalten: (Vorschau) Erfordert die Verschlüsselung für Objekte in Cloud Storage-Buckets. Der Name der Kontrolle ist Vom Kunden verwaltete Verschlüsselung für Cloud Storage-Objekte erforderlich. Sie müssen sich registrieren um diese Kontrolle zu verwenden.
- Öffentlichen Zugriff auf Daten verwalten: (Vorschau) Beschränkt den öffentlichen Zugriff auf Objekte in Cloud Storage-Buckets, um das Risiko der Datenoffenlegung zu vermeiden. Der Name der Kontrolle ist Öffentlichen Zugriff auf Cloud Storage-Objekte beschränken. Sie müssen sich registrieren um diese Kontrolle zu verwenden.
Diese Kontrollen unterstützen nur den Erkennungsmodus. Weitere Informationen zum Bereitstellen dieser Kontrollen finden Sie unter DSPM verwenden.
Nutzerberechtigungen überwachen
Mit der Kontrolle „Zugriff auf sensible Daten auf zulässige Nutzer beschränken“ wird der Zugriff auf sensible Daten auf bestimmte Hauptkontogruppen beschränkt. Wenn ein nicht konformer Zugriffsversuch (Zugriff durch andere Prinzipale als die zulässigen) auf Datenressourcen erfolgt, wird ein Ergebnis erstellt. Unterstützte Hauptkontotypen sind Nutzerkonten oder Gruppen. Informationen zum zu verwendenden Format finden Sie in der Tabelle der unterstützten Hauptkontoformate.
Nutzerkonten umfassen Folgendes:
- Private Google-Konten, für die sich Nutzer auf google.com registrieren, z. B. Gmail.com-Konten
- Verwaltete Google-Konten für Unternehmen
- Google Workspace for Education-Konten
Nutzerkonten umfassen keine Roboterkonten, Dienstkonten, Markenkonten, die nur für die Delegierung verwendet werden, Ressourcenkonten und Gerätekonten.
Zu den unterstützten Assettypen gehören:
- BigQuery-Datasets und ‑Tabellen
- Cloud Storage-Buckets
- Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher
DSPM prüft die Konformität mit dieser Kontrolle, wenn ein Nutzerkonto einen unterstützten Ressourcentyp liest.
Für diese Cloud-Kontrolle müssen Sie Audit-Logs zum Datenzugriff für Cloud Storage und Vertex AI aktivieren.
Es gelten die folgenden Einschränkungen:
- Es werden nur Lesevorgänge unterstützt.
- Der Zugriff durch Dienstkonten, einschließlich der Identitätsübernahme des Dienstkontos, ist von dieser Kontrolle ausgenommen. Als Abhilfemaßnahme sollten Sie dafür sorgen, dass nur vertrauenswürdige Dienstkonten Zugriff auf sensible Cloud Storage-, BigQuery- und Vertex AI-Ressourcen haben. Gewähren Sie außerdem Nutzern, die keinen Zugriff haben sollten, nicht die Rolle „Ersteller von Dienstkonto-Tokens“ (
roles/iam.serviceAccountTokenCreator). - Diese Kontrolle verhindert nicht den Zugriff von Nutzern auf Kopien, die durch Dienstkonto-Vorgänge erstellt wurden, z. B. durch Storage Transfer Service und BigQuery Data Transfer Service. Nutzer können auf Kopien von Daten zugreifen, für die diese Kontrolle nicht aktiviert ist.
- Verknüpfte Datasets
werden nicht unterstützt. Verknüpfte Datasets erstellen ein schreibgeschütztes BigQuery-Dataset, das als symbolischer Link zu einem Quelldataset dient. Für verknüpfte Datasets werden keine Audit-Logs zum Datenzugriff erstellt und ein nicht autorisierter Nutzer kann möglicherweise Daten lesen, ohne dass dies gemeldet wird. Ein Nutzer könnte beispielsweise die Zugriffssteuerung umgehen, indem er ein Dataset mit einem Dataset außerhalb Ihrer Compliance-Grenze verknüpft. Anschließend könnte er das neue Dataset abfragen, ohne Logs für das Quelldataset zu generieren. Als Abhilfemaßnahme sollten Sie Nutzern, die keinen Zugriff auf sensible BigQuery-Ressourcen haben sollten, nicht die Rollen „BigQuery-Administrator (
roles/bigquery.admin)“, „BigQuery-Dateninhaber (roles/bigquery.dataOwner)“ oder „BigQuery Studio-Administrator (roles/bigquery.studioAdmin)“ gewähren. - Abfragen von Platzhaltertabellen werden auf Datasetebene, aber nicht auf Tabellensatzebene unterstützt. Mit dieser Funktion können Sie mehrere BigQuery-Tabellen gleichzeitig mit Platzhaltern abfragen. DSPM verarbeitet Platzhalterabfragen so, als würden Sie auf das übergeordnete BigQuery-Dataset zugreifen, nicht auf einzelne Tabellen im Dataset.
- Der öffentliche Zugriff auf Cloud Storage-Objekte wird nicht unterstützt. Der öffentliche Zugriff gewährt allen Nutzern Zugriff ohne Richtlinienprüfungen.
- Der Zugriff auf oder das Herunterladen von Cloud Storage-Objekten über authentifizierte Browsersitzungen wird nicht unterstützt.
- Bei der Bereitstellung für eine App Hub-Anwendung werden BigQuery-Tabellen und ‑Datasets nicht unterstützt.
Daten-Exfiltration verhindern
Mit der Kontrolle „Fluss sensibler Daten über geografische Rechtsräume hinweg beschränken“ können Sie die zulässigen Länder angeben, von denen aus auf Daten zugegriffen werden kann. Die Cloud-Kontrolle funktioniert so:
Wenn eine Leseanfrage aus dem Internet kommt, wird das Land anhand der IP-Adresse der Leseanfrage ermittelt. Wenn ein Proxy zum Senden der Leseanfrage verwendet wird, werden Benachrichtigungen basierend auf dem Standort des Proxys gesendet.
Wenn die Leseanfrage von einer Compute Engine-VM stammt, wird das Land durch die Cloud-Zone bestimmt, aus der die Anfrage stammt.
Zu den unterstützten Assettypen gehören:
- BigQuery-Datasets und ‑Tabellen
- Cloud Storage-Buckets
- Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher
Es gelten die folgenden Einschränkungen:
- Es werden nur Lesevorgänge unterstützt.
- Für Vertex AI werden nur Anfragen aus dem Internet unterstützt.
- Der öffentliche Zugriff auf Cloud Storage-Objekte wird nicht unterstützt.
- Der Zugriff auf oder das Herunterladen von Cloud Storage-Objekten über authentifizierte Browsersitzungen wird nicht unterstützt.
- Bei der Bereitstellung für eine App Hub-Anwendung in einem Ordner, der für die Anwendungsverwaltung konfiguriert ist, werden BigQuery Tabellen und ‑Datasets nicht unterstützt.
- Wenn ein Prinzipal innerhalb von 24 Stunden mehrmals von einem nicht konformen Standort aus auf eine Ressource zugreift, werden Verstöße nur für den ersten Zugriff unterstützt.
CMEK-Verschlüsselung erzwingen
Für diese Kontrollen müssen Sie bestimmte Ressourcen mit CMEKs verschlüsseln. Dazu gehören:
- CMEK für Vertex AI-Datasets aktivieren
- CMEK für Vertex AI-Metadatenspeicher aktivieren
- CMEK für Vertex AI-Modelle aktivieren
- CMEK für Vertex AI Feature Store aktivieren
- CMEK für BigQuery-Tabellen aktivieren
Wenn Sie diese Kontrollen für eine App Hub-Anwendung bereitstellen, werden BigQuery-Tabellen nicht unterstützt.
Richtlinien zur maximalen Datenaufbewahrung verwalten
Mit der Kontrolle „Maximale Aufbewahrungsdauer für sensible Daten verwalten“ wird die Aufbewahrungsdauer für sensible Daten verwaltet. Sie können Ressourcen (z. B. BigQuery-Tabellen) auswählen und eine Cloud-Kontrolle zur Datenlöschung anwenden, die erkennt, ob eine der Ressourcen die Aufbewahrungslimits für das maximale Alter überschreitet.
Zu den unterstützten Assettypen gehören:
- BigQuery-Datasets und ‑Tabellen
- Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher
- Cloud Storage-Objekte (Vorschau). Sie müssen sich registrieren, um diese Kontrolle zu verwenden.
Wenn Sie diese Kontrolle für eine App Hub-Anwendung bereitstellen, werden BigQuery-Tabellen und ‑Datasets nicht unterstützt.
Datenaufbewahrung verwalten
Mit der Kontrolle Mindestaufbewahrungsdauer für Cloud Storage-Objekte verwalten wird eine Mindestaufbewahrungsdauer für Cloud Storage-Objekte erzwungen. Diese Kontrolle verhindert das Löschen oder Ändern von Cloud Storage-Objekten, bis die Mindestaufbewahrungsdauer (in Sekunden angegeben) abgelaufen ist.
Diese Kontrolle erkennt Cloud Storage-Objekte, die nicht der konfigurierten Mindestaufbewahrungsrichtlinie entsprechen. Ergebnisse werden in Security Command Center auf Bucketebene generiert. Sie können die Ergebnisse auf Objektebene in Storage Intelligence-Datasets abfragen (in object_security_findings_view). Ergebnisse auf Objektebene haben findingType: SCC_DSPM_DATA_RETENTION und findingReason: MINIMUM_RETENTION_VIOLATION.
Unterstützte Assettypen: Cloud Storage-Objekte
Sie müssen sich registrieren, um diese Kontrolle zu verwenden.
Datenverschlüsselung verwalten
Mit der Kontrolle Vom Kunden verwaltete Verschlüsselung für Cloud Storage-Objekte erforderlich können Sie die Verschlüsselung für Objekte in Cloud Storage-Buckets mit CMEKs erzwingen. Die Kontrolle erkennt Cloud Storage-Objekte, die nicht mit CMEK verschlüsselt sind und somit gegen Ihre Verschlüsselungsrichtlinie verstoßen.
Ergebnisse werden in Security Command Center auf Bucketebene generiert. Sie können die Ergebnisse auf Objektebene in Storage Intelligence-Datasets abfragen (in object_security_findings_view). Ergebnisse auf Objektebene haben findingType: SCC_DSPM_ENCRYPTION_NO_CMEK und findingReason: ENCRYPTION_CMEK_VIOLATION.
Unterstützte Assettypen: Cloud Storage-Objekte
Sie müssen sich registrieren, um diese Kontrolle zu verwenden.
Öffentlichen Zugriff auf Daten verwalten
Mit der Kontrolle Öffentlichen Zugriff auf Cloud Storage-Objekte beschränken können Sie den öffentlichen Zugriff auf Objekte in Cloud Storage-Buckets beschränken, um das Risiko einer Datenpanne zu vermeiden. Diese Kontrolle erkennt Cloud Storage-Objekte, die öffentlich zugänglich sind und somit gegen Ihre Richtlinie für den öffentlichen Zugriff verstoßen.
Ergebnisse werden in Security Command Center auf Bucketebene generiert. Sie können die detaillierten Ergebnisse auf Objektebene in Storage Intelligence-Datasets abfragen (in object_security_findings_view). Ergebnisse auf Objektebene haben findingType: SCC_DSPM_PUBLIC_ACCESS_GOVERNANCE und findingReason: PUBLIC_ACCESS_VIOLATION.
Das Feld sccDspmFinding.securityInsights im Ergebnis auf Objektebene enthält weitere Details zum Status der öffentlichen Zugänglichkeit, einschließlich Lese- und Schreibzugriff.
Unterstützte Assettypen: Cloud Storage-Objekte
Sie müssen sich registrieren, um diese Kontrolle zu verwenden.
DSPM mit dem Schutz sensibler Daten verwenden
DSPM funktioniert mit dem Schutz sensibler Daten. Der Schutz sensibler Daten findet die sensiblen Daten in Ihrer Organisation und mit DSPM können Sie Cloud-Kontrollen zur Datensicherheit auf die sensiblen Daten anwenden, um Ihre Sicherheits- und Compliance-Anforderungen zu erfüllen.
In der folgenden Tabelle wird beschrieben, wie Sie Sensitive Data Protection für die Datenerkennung und DSPM für die Erzwingung von Richtlinien und die Verwaltung des Sicherheitsstatus verwenden können.
| Dienst | Schutz sensibler Daten |
DSPM |
|---|---|---|
| Datenumfang | Erkennt und klassifiziert sensible Daten (z. B. personenbezogene Daten oder Geheimnisse) im Speicher von Google Cloud. |
Bewertet den Sicherheitsstatus rund um die klassifizierten sensiblen Daten. |
| Kernaktionen | Scannt, profiliert und de-identifiziert sensible Daten. |
Erzwingt, überwacht und validiert Richtlinien. |
| Fokus der Ergebnisse | Berichtet, wo sich die sensiblen Daten befinden (z. B. BigQuery oder Cloud Storage). |
Berichtet, warum die Daten offengelegt werden (z. B. öffentlicher Zugriff, fehlender CMEK oder übermäßige Berechtigungen). |
| Integration | Stellt DSPM Metadaten zur Sensibilität und Klassifizierung zur Verfügung. |
Verwendet Sensitive Data Protection-Daten, um Sicherheitskontrollen und Risikobewertungen anzuwenden und zu überwachen. |
Nächste Schritte
- DSPM aktivieren.
- Ergebnisse von Sensitive Data Protection-Prüfjobs an Security Command Center senden.