La gestione della security posture dei dati (DSPM) fornisce una visualizzazione della sicurezza incentrata sui dati Google Cloud . La DSPM ti consente di identificare e ridurre continuamente il rischio dei dati aiutandoti a capire quali dati sensibili hai, dove sono archiviati in Google Cloud, e se il loro utilizzo è conforme ai requisiti di sicurezza e conformità.
Le funzionalità DSPM dipendono dal tuo livello di servizio Security Command Center. Per saperne di più sulle funzionalità DSPM disponibili nel livello Standard, consulta Gestione della security posture dei dati nella panoramica del livello Standard.
La DSPM nei livelli Premium ed Enterprise consente al tuo team di completare le seguenti attività di sicurezza dei dati:
Rilevamento e classificazione dei dati: rileva e classifica automaticamente le risorse di dati sensibili nel tuo Google Cloud ambiente, inclusi BigQuery e Cloud Storage.
Governance dei dati: valuta la tua security posture dei dati attuale in base alle best practice e ai framework di conformità di Google per identificare e correggere potenziali problemi di sicurezza.
Applicazione dei controlli: mappa i tuoi requisiti di sicurezza a controlli cloud specifici per la governance dei dati, come la governance degli accessi ai dati e la governance del flusso di dati.
Monitoraggio della conformità: monitora i carichi di lavoro in base ai framework di sicurezza dei dati applicati per dimostrare l'allineamento, correggere le violazioni e generare prove per gli audit.
Componenti principali della DSPM
Nelle sezioni che seguono vengono descritti i componenti della DSPM.
Monitorare la sicurezza dei dati con la dashboard DSPM
La dashboard di sicurezza dei dati nella Google Cloud console ti consente di vedere in che modo i dati della tua organizzazione sono allineati ai requisiti di sicurezza e conformità dei dati.
L'esploratore della mappa dei dati nella dashboard di sicurezza dei dati mostra le posizioni geografiche in cui sono archiviati i tuoi dati e ti consente di filtrare le informazioni sui dati in base alla posizione geografica, alla sensibilità dei dati, al progetto associato e aiGoogle Cloud servizi che archiviano i dati. I cerchi sulla mappa dei dati rappresentano il conteggio relativo delle risorse di dati e delle risorse di dati con avvisi nella regione.
Puoi visualizzare i risultati di sicurezza dei dati, che si verificano quando una risorsa di dati viola un controllo cloud di sicurezza dei dati. Quando viene generato un nuovo risultato, possono essere necessarie fino a due ore prima che venga visualizzato nell'esploratore della mappa dei dati.
Puoi anche esaminare le informazioni sui framework di sicurezza dei dati di cui è stato eseguito il deployment, il numero di risultati aperti associati a ogni framework e la percentuale di risorse nel tuo ambiente coperte da almeno un framework.
(Anteprima) La dashboard mostra anche gli insight sulla sicurezza dei dati che puoi utilizzare per identificare in modo proattivo i potenziali rischi per i dati. Gli insight sono disponibili solo per le risorse che contengono dati altamente sensibili. Le risorse devono essere analizzate da Sensitive Data Protection e l'analisi deve essere configurata per pubblicare i risultati in Security Command Center.
La dashboard mostra quanto segue:
- Utenti che accedono più frequentemente a dati altamente sensibili (limitati solo a bucket Cloud Storage, tabelle BigQuery e risorse Vertex AI).
- Istanze di accesso transfrontaliero (limitato solo a bucket Cloud Storage, tabelle BigQuery e risorse Vertex AI).
- Istanze in cui i dati sensibili specifici per paese sono archiviati al di fuori della regione associata (si applica a tutte le Google Cloud risorse).
La dashboard non include insight sulla sicurezza per quanto segue:
- Asset criptati da CMEK
- Risorse nella regione
me-central2
Framework di sicurezza dei dati e conformità DSPM
Utilizza i framework per definire i requisiti di sicurezza dei dati e conformità e applicare tali requisiti al tuo Google Cloud ambiente. La DSPM include il framework Nozioni di base sulla sicurezza e la privacy dei dati, che definisce i controlli di base consigliati per la sicurezza e la conformità dei dati. Quando abiliti la DSPM, questo framework viene applicato automaticamente all' Google Cloud organizzazione in modalità di rilevamento. Puoi utilizzare i risultati generati per rafforzare la security posture dei dati.
Se necessario, puoi creare copie del framework per creare framework di sicurezza dei dati personalizzati. Puoi aggiungere i controlli cloud avanzati per la sicurezza dei dati ai framework personalizzati e applicare i framework personalizzati all'organizzazione, alle cartelle, ai progetti e alle applicazioni App Hub nelle cartelle configurate per la gestione delle applicazioni. Ad esempio, puoi creare framework personalizzati che applicano controlli giurisdizionali a cartelle specifiche per garantire che i dati all'interno di queste cartelle rimangano in una regione geografica specifica.
Framework Elementi essenziali per la sicurezza e la privacy dei dati (controlli di base)
I seguenti controlli cloud fanno parte del framework Nozioni di base sulla sicurezza e la privacy dei dati.
| Controllo cloud | Descrizione |
|---|---|
Rileva quando CMEK non viene utilizzato per le tabelle BigQuery che includono dati sensibili. |
|
Rileva quando CMEK non viene utilizzato per i set di dati BigQuery che includono dati sensibili. |
|
Blocca l'accesso pubblico ai set di dati BigQuery con dati sensibili |
Rileva i dati sensibili all'interno dei set di dati BigQuery accessibili pubblicamente. |
Blocca l'accesso pubblico alle istanze Cloud SQL con dati sensibili |
Rileva i dati sensibili all'interno dei database SQL accessibili pubblicamente. |
Rileva quando CMEK non viene utilizzato per i database SQL che includono dati sensibili. |
Controlli cloud avanzati per la governance e la sicurezza dei dati
La DSPM include la sicurezza avanzata dei dati per aiutarti a soddisfare requisiti di sicurezza dei dati aggiuntivi. Questi controlli cloud avanzati per la sicurezza dei dati sono raggruppati come segue:
- Monitora le autorizzazioni utente: rileva se entità diverse da quelle specificate accedono a dati sensibili. Il nome del controllo è Limita l'accesso ai dati sensibili agli utenti autorizzati.
- Impedisci l'esfiltrazione di dati: rileva se i client esterni alle località geografiche (paesi) specificate accedono a dati sensibili. Il nome del controllo è Limita il flusso di dati sensibili tra le giurisdizioni geografiche.
- Applica la crittografia CMEK: rileva se i dati sensibili vengono creati senza chiavi di crittografia gestite dal cliente (CMEK) crittografia. Più controlli consentono di applicare CMEK per servizi diversi Google Cloud.
- Gestisci l'eliminazione dei dati: rileva le violazioni delle norme relative al periodo di conservazione massimo per i dati sensibili. Il nome del controllo è Regolamenta il periodo di conservazione massimo per i dati sensibili.
- Gestisci la conservazione dei dati: (anteprima) applica un periodo di conservazione minimo (in secondi) per gli oggetti Cloud Storage per garantire che vengano conservati per un periodo minimo di tempo. Il nome del controllo è Regolamenta il periodo di conservazione minimo per gli oggetti Cloud Storage. Per utilizzare questo controllo, devi registrarti.
- Gestisci la crittografia dei dati: (anteprima) richiede la crittografia per gli oggetti nei bucket Cloud Storage. Il nome del controllo è Richiedi la crittografia gestita dal cliente per gli oggetti Cloud Storage. Per utilizzare questo controllo, devi registrarti.
- Gestisci l'accesso pubblico ai dati: (anteprima) limita l'accesso pubblico agli oggetti nei bucket Cloud Storage per evitare il rischio di esposizione dei dati. Il nome del controllo è Limita l'accesso pubblico agli oggetti Cloud Storage. Per utilizzare questo controllo, devi registrarti.
Questi controlli supportano solo la modalità di rilevamento. Per saperne di più sul deployment di questi controlli, consulta Utilizzare la DSPM.
Monitorare le autorizzazioni utente
Il controllo Limita l'accesso ai dati sensibili agli utenti autorizzati limita l'accesso ai dati sensibili a set di entità specifici. Quando si verifica un tentativo di accesso non conforme (accesso da parte di entità diverse da quelle consentite) alle risorse di dati, viene creato un risultato. I tipi di entità supportati sono account utente o gruppi. Per informazioni sul formato da utilizzare, consulta la tabella dei formati di entità supportati.
Gli account utente includono:
- Account Google di tipo consumer per cui gli utenti si registrano su google.com, ad esempio gli account Gmail.com
- Account Google gestiti per le aziende
- Account Google Workspace for Education
Gli account utente non includono account robot, account di servizio, account brand solo per la delega, account risorsa e account dispositivo.
I tipi di asset supportati includono:
- Set di dati e tabelle BigQuery
- Bucket Cloud Storage
- Modelli, set di dati, feature store e archivi di metadati Vertex AI
La DSPM valuta la conformità a questo controllo ogni volta che un account utente legge un tipo di risorsa supportato.
Questo controllo cloud richiede l'abilitazione degli audit log di accesso ai dati per Cloud Storage e Vertex AI.
Le limitazioni includono:
- Sono supportate solo le operazioni di lettura.
- L'accesso da parte dei service account, inclusa la simulazione dell'identità dei account di servizio, è esente da questo controllo. Come mitigazione, assicurati che solo gli account di servizio attendibili abbiano accesso alle risorse sensibili di Cloud Storage, BigQuery e Vertex AI. Inoltre, non concedere il ruolo Creatore token account di servizio (
roles/iam.serviceAccountTokenCreator) agliutenti che non devono avere accesso. - Questo controllo non impedisce agli utenti di accedere alle copie create tramite operazioni dell'account di servizio, ad esempio quelle eseguite da Storage Transfer Service e BigQuery Data Transfer Service. Gli utenti potrebbero accedere a copie di dati per cui questo controllo non è abilitato.
- I set di dati collegati
non sono supportati. I set di dati collegati creano un set di dati BigQuery di sola lettura che funge da link simbolico a un set di dati di origine. I set di dati collegati non producono audit log di accesso ai dati e potrebbero consentire a un utente non autorizzato di leggere i dati senza che vengano contrassegnati. Ad esempio, un utente potrebbe bypassare il controllo dell'accesso collegando un set di dati a un set di dati al di fuori del limite di conformità e quindi eseguire query sul nuovo set di dati senza generare log sul set di dati di origine. Come mitigazione, non concedere i ruoli Amministratore BigQuery
(
roles/bigquery.admin), Proprietario dati BigQuery (roles/bigquery.dataOwner) o Amministratore BigQuery Studio (roles/bigquery.studioAdmin) agli utenti che non devono avere accesso alle risorse BigQuery sensibili. - Le query sulle tabelle con funzione carattere jolly sono supportate a livello di set di dati, ma non a livello di set di tabelle. Questa funzionalità consente di eseguire query su più tabelle BigQuery contemporaneamente utilizzando espressioni con caratteri jolly. La DSPM elabora le query con caratteri jolly come se stessi accedendo al set di dati BigQuery padre, non alle singole tabelle all'interno del set di dati.
- L'accesso pubblico agli oggetti Cloud Storage non è supportato. L'accesso pubblico concede l'accesso a tutti gli utenti senza controlli dei criteri.
- L'accesso o il download di oggetti Cloud Storage utilizzando sessioni del browser autenticate non è supportato.
- Quando viene eseguito il deployment in un'applicazione App Hub, le tabelle e i set di dati BigQuery non sono supportati.
Impedire l'esfiltrazione di dati
Il controllo Limita il flusso di dati sensibili tra le giurisdizioni geografiche consente di specificare i paesi consentiti da cui è possibile accedere ai dati. Il controllo cloud funziona nel seguente modo:
Se una richiesta di lettura proviene da internet, il paese viene determinato in base all'indirizzo IP della richiesta di lettura. Se viene utilizzato un proxy per inviare la richiesta di lettura, gli avvisi vengono inviati in base alla località del proxy.
Se la richiesta di lettura proviene da una VM di Compute Engine, il paese viene determinato dalla zona cloud da cui ha origine la richiesta.
I tipi di asset supportati includono:
- Set di dati e tabelle BigQuery
- Bucket Cloud Storage
- Modelli, set di dati, feature store e archivi di metadati Vertex AI
Le limitazioni includono:
- Sono supportate solo le operazioni di lettura.
- Per Vertex AI, sono supportate solo le richieste provenienti da internet.
- L'accesso pubblico agli oggetti Cloud Storage non è supportato.
- L'accesso o il download di oggetti Cloud Storage utilizzando sessioni del browser autenticate non è supportato.
- Quando viene eseguito il deployment in un'applicazione App Hub in una cartella configurata per la gestione delle applicazioni, le tabelle e i set di dati BigQuery non sono supportati.
- Quando un'entità accede a una risorsa più di una volta da una località non conforme entro 24 ore, le violazioni sono supportate solo per il primo accesso.
Applica la crittografia CMEK
Questi controlli richiedono la crittografia di risorse specifiche utilizzando le CMEK. Sono inclusi:
- Abilita CMEK per i set di dati Vertex AI
- Abilita CMEK per gli archivi di metadati Vertex AI
- Abilita CMEK per i modelli Vertex AI
- Abilita CMEK per Vertex AI Feature Store
- Abilita CMEK per le tabelle BigQuery
Quando esegui il deployment di questi controlli in un'applicazione App Hub, le tabelle BigQuery non sono supportate.
Gestisci le norme relative al periodo di conservazione massimo dei dati
Il controllo Regolamenta il periodo di conservazione massimo per i dati sensibili regola il periodo di conservazione dei dati sensibili. Puoi selezionare le risorse (ad esempio, le tabelle BigQuery) e applicare un controllo cloud di eliminazione dei dati che rileva se una delle risorse viola i limiti di conservazione dell'età massima.
I tipi di asset supportati includono:
- Set di dati e tabelle BigQuery
- Modelli, set di dati, feature store e archivi di metadati Vertex AI
- Oggetti Cloud Storage (anteprima). Per utilizzare questo controllo, devi registrarti.
Quando esegui il deployment di questo controllo in un'applicazione App Hub, le tabelle e i set di dati BigQuery non sono supportati.
Gestisci la conservazione dei dati
Il controllo Regolamenta il periodo di conservazione minimo per gli oggetti Cloud Storage applica un periodo di conservazione minimo per gli oggetti Cloud Storage. Questo controllo impedisce l'eliminazione o la modifica degli oggetti Cloud Storage fino a quando non è trascorso il periodo di conservazione minimo (specificato in secondi).
Questo controllo rileva gli oggetti Cloud Storage che non soddisfano la policy di conservazione minima configurata. I risultati vengono generati in Security Command Center a livello di bucket. Puoi eseguire query sui risultati a livello di oggetto all'interno dei set di dati di Storage Intelligence (in object_security_findings_view). I risultati a livello di oggetto hanno findingType: SCC_DSPM_DATA_RETENTION e findingReason: MINIMUM_RETENTION_VIOLATION.
Tipi di asset supportati: oggetti Cloud Storage
Per utilizzare questo controllo, devi registrarti.
Gestisci la crittografia dei dati
Il controllo Richiedi la crittografia gestita dal cliente per gli oggetti Cloud Storage ti aiuta ad applicare la crittografia per gli oggetti nei bucket Cloud Storage utilizzando le CMEK. Il controllo rileva gli oggetti Cloud Storage che non sono criptati con CMEK, in violazione della tua norma di crittografia.
I risultati vengono generati in Security Command Center a livello di bucket. Puoi eseguire query sui risultati a livello di oggetto all'interno dei set di dati di Storage Intelligence (in object_security_findings_view). I risultati a livello di oggetto hanno findingType: SCC_DSPM_ENCRYPTION_NO_CMEK e findingReason: ENCRYPTION_CMEK_VIOLATION.
Tipi di asset supportati: oggetti Cloud Storage
Per utilizzare questo controllo, devi registrarti.
Gestisci l'accesso pubblico ai dati
Il controllo Limita l'accesso pubblico agli oggetti Cloud Storage ti aiuta a limitare l'accesso pubblico agli oggetti nei bucket Cloud Storage per evitare il rischio di esposizione dei dati. Questo controllo rileva gli oggetti Cloud Storage accessibili pubblicamente, in violazione della tua norma di accesso pubblico.
I risultati vengono generati in Security Command Center a livello di bucket. Puoi eseguire query sui risultati dettagliati a livello di oggetto all'interno dei set di dati di Storage Intelligence (in object_security_findings_view). I risultati a livello di oggetto hanno findingType: SCC_DSPM_PUBLIC_ACCESS_GOVERNANCE e findingReason: PUBLIC_ACCESS_VIOLATION.
Il campo sccDspmFinding.securityInsights nel risultato a livello di oggetto fornisce maggiori dettagli sullo stato di accessibilità pubblica, inclusi l'accesso in lettura e scrittura.
Tipi di asset supportati: oggetti Cloud Storage
Per utilizzare questo controllo, devi registrarti.
Utilizzare la DSPM con Sensitive Data Protection
La DSPM funziona con Sensitive Data Protection. Sensitive Data Protection trova i dati sensibili nella tua organizzazione e la DSPM ti consente di eseguire il deployment dei controlli cloud di sicurezza dei dati sui dati sensibili per soddisfare i requisiti di sicurezza e conformità.
La tabella seguente descrive come puoi utilizzare Sensitive Data Protection per il rilevamento dei dati e la DSPM per l'applicazione delle norme e la gestione della security posture.
| Servizio | Sensitive Data Protection |
DSPM |
|---|---|---|
| Ambito dei dati | Trova e classifica i dati sensibili (ad esempio PII o secret) nell'archiviazione su Google Cloud. |
Valuta la security posture intorno ai dati sensibili classificati. |
| Azioni principali | Analizza, profila e de-identifica i dati sensibili. |
Applica, monitora e convalida le norme. |
| Focus sui risultati | Fornisce report su dove si trovano i dati sensibili (ad esempio, BigQuery o Cloud Storage). |
Fornisce report sul motivo per cui i dati sono esposti (ad esempio, accesso pubblico, CMEK mancante o autorizzazioni eccessive). |
| Integrazione | Fornisce alla DSPM metadati di sensibilità e classificazione. |
Utilizza i dati di Sensitive Data Protection per applicare e monitorare i controlli di sicurezza e le valutazioni del rischio. |
Passaggi successivi
- Abilita la DSPM.
- Invia i risultati del job di ispezione di Sensitive Data Protection a Security Command Center.