סקירה כללית על Data Security Posture Management‏ (DSPM)

‫

הפיצ'ר Data Security Posture Management‏ (DSPM) מספק תצוגה של אבטחה שמתמקדת בנתונים. Google Cloud הפתרון DSPM מאפשר לכם לזהות באופן רציף את הסיכונים לנתונים ולצמצם אותם. הוא עוזר לכם להבין אילו מידע אישי רגיש יש לכם, איפה הם מאוחסנים ב-Google Cloud, והאם השימוש בהם תואם לדרישות האבטחה והתאימות שלכם.

היכולות של DSPM תלויות ברמת השירות של Security Command Center. מידע נוסף על היכולות של Data Security Posture Management שזמינות במסלול Standard אפשר למצוא במאמר סקירה כללית של Data Security Posture Management במסלול Standard.

‫DSPM ברמות Premium ו-Enterprise מאפשר לצוות שלכם לבצע את משימות אבטחת הנתונים הבאות:

• גילוי וסיווג נתונים: גילוי וסיווג אוטומטי של מקורות מידע אישי רגיש בסביבת Google Cloud , כולל BigQuery ו-Cloud Storage.

• ניהול נתונים: כדאי להעריך את מצב אבטחת הנתונים הנוכחי שלכם בהשוואה לשיטות המומלצות ולמסגרות התאימות של Google, כדי לזהות בעיות אבטחה פוטנציאליות ולפתור אותן.

• אכיפת אמצעי בקרה: מיפוי דרישות האבטחה לאמצעי בקרה ספציפיים בענן של משילות מידע (data governance), כמו Access Governance וניהול זרימת נתונים.

• מעקב אחרי תאימות: מעקב אחרי עומסי עבודה (workloads) בהשוואה למסגרות אבטחת נתונים שהוחלו, כדי להוכיח התאמה, לתקן הפרות וליצור ראיות לביקורת.

רכיבי הליבה של DSPM

בקטעים הבאים מתוארים הרכיבים של DSPM.

מעקב אחרי מצב אבטחת המידע באמצעות מרכז הבקרה של DSPM

במרכז השליטה של אבטחת מידע במסוף Google Cloud אפשר לראות איך הנתונים של הארגון עומדים בדרישות של אבטחת מידע והתאימות. הוא כולל כלי לחיפוש במפת הנתונים, שמאפשר להציג את מיקומי הנתונים ולסנן לפי מאפיינים כמו רגישות ופרויקט. לוח הבקרה מספק ממצאי אבטחה לגבי הפרות מדיניות, פרטים על פריסת מסגרת האבטחה והכיסוי שלה ועוד.

מידע נוסף על השימוש בלוח הבקרה זמין במאמר מעקב אחרי מצב אבטחת הנתונים.

תאימות ו-frameworks של אבטחת מידע ב-DSPM

אתם משתמשים במסגרות כדי להגדיר את דרישות האבטחה והתאימות של הנתונים, ולהחיל את הדרישות האלה על סביבת Google Cloud . ‫DSPM כולל את מסגרת העבודה בנושא יסודות אבטחת מידע והגנה על פרטיות, שמגדירה אמצעי בקרה מומלצים לאבטחת מידע ולעמידה בדרישות. כשמפעילים את DSPM, המסגרת הזו מוחלת באופן אוטומטי על הארגוןGoogle Cloud במצב זיהוי. אפשר להשתמש בממצאים שנוצרו כדי לשפר את אבטחת הנתונים.

אם צריך, אפשר ליצור עותקים של המסגרת כדי ליצור מסגרות מותאמות אישית לאבטחת מידע. אתם יכולים להוסיף את אמצעי הבקרה המתקדמים לאבטחת מידע בענן למסגרות המותאמות אישית שלכם ולהחיל את המסגרות המותאמות אישית על הארגון, על התיקיות, על הפרויקטים ועל האפליקציות ב-מרכז האפליקציות בתיקיות שהוגדרו לניהול אפליקציות. לדוגמה, אתם יכולים ליצור מסגרות מותאמות אישית שמחילות אמצעי בקרה משפטיים על תיקיות ספציפיות כדי לוודא שהנתונים בתיקיות האלה יישארו באזור גיאוגרפי מסוים.

מסגרת של יסודות אבטחת נתונים ופרטיות (אמצעי בקרה בסיסיים)

אמצעי הבקרה הבאים בענן הם חלק ממסגרת העבודה בנושא אבטחת מידע ופרטיות.

שליטה בענן	תיאור
דרישת CMEK לטבלאות BigQuery עם נתונים רגישים	זיהוי מקרים שבהם לא נעשה שימוש ב-CMEK בטבלאות BigQuery שכוללות מידע אישי רגיש.
דרישת CMEK למערכי נתונים ב-BigQuery עם נתונים רגישים	זיהוי מקרים שבהם לא נעשה שימוש ב-CMEK במערכי נתונים של BigQuery שכוללים מידע אישי רגיש.
חסימת גישה ציבורית למערכי נתונים ב-BigQuery עם נתונים רגישים	זיהוי מידע אישי רגיש במערכי נתונים של BigQuery שנגישים לציבור.
חסימת גישה ציבורית למכונות Cloud SQL עם נתונים רגישים	זיהוי מידע אישי רגיש במסדי נתונים של SQL שנגישים לציבור.
דרישת CMEK למכונות Cloud SQL עם נתונים רגישים	זיהוי מקרים שבהם לא נעשה שימוש ב-CMEK במסדי נתונים של SQL שכוללים מידע אישי רגיש.

אמצעי בקרה מתקדמים בענן לצורכי אבטחה ומשילות מידע

ה-DSPM כולל אבטחת מידע מתקדמת שעוזרת לכם לעמוד בדרישות נוספות של אבטחת מידע. אמצעי הבקרה המתקדמים האלה לאבטחת מידע בענן מחולקים לקבוצות הבאות:

• מעקב אחרי הרשאות משתמשים: המערכת מזהה אם גורמים שהם לא אלה שציינתם ניגשים לנתונים רגישים. שם אמצעי הבקרה הוא הגבלת הגישה למידע רגיש למשתמשים מורשים.
• מניעת זליגת מידע: המערכת מזהה אם לקוחות שנמצאים מחוץ למיקומים גיאוגרפיים (מדינות) ספציפיים ניגשים למידע רגיש. שם האמצעי לבקרה הוא הגבלת הזרימה של מידע רגיש בין אזורים גיאוגרפיים שונים.
• אכיפת הצפנה באמצעות CMEK: המערכת מזהה אם נוצרים מידע אישי רגיש ללא הצפנה באמצעות מפתחות הצפנה בניהול הלקוח (CMEK). יש כמה אמצעי בקרה שמאפשרים לאכוף CMEK בשירותים שונים Google Cloud.
• ניהול מחיקת נתונים: זיהוי הפרות של מדיניות בנושא תקופת שמירה מקסימלית של מידע אישי רגיש. שם האמצעי הוא פיקוח על תקופת השמירה המקסימלית של נתונים רגישים.
• ניהול שמירת נתונים: (גרסת Preview) מאפשר להגדיר תקופת שמירה מינימלית (בשניות) לאובייקטים ב-Cloud Storage, כדי לוודא שהם יישמרו למשך תקופה מינימלית. שם הבקרה הוא הגדרת תקופת השמירה המינימלית לאובייקטים ב-Cloud Storage. כדי להשתמש באמצעי הבקרה הזה, צריך להירשם.
• ניהול הצפנת נתונים: (גרסת Preview) דורש הצפנה של אובייקטים בקטגוריות של Cloud Storage. שם הבקרה הוא Require Customer-Managed Encryption for Cloud Storage Objects (דרישה להצפנה בניהול הלקוח של אובייקטים ב-Cloud Storage). כדי להשתמש באמצעי הבקרה הזה, צריך להירשם.
• ניהול גישה ציבורית לנתונים: (גרסת Preview) הגבלת הגישה הציבורית לאובייקטים בקטגוריות של Cloud Storage כדי למנוע סיכון לחשיפת נתונים. שם הבקרה הוא Restrict Public Access to Cloud Storage Objects (הגבלת גישה ציבורית לאובייקטים ב-Cloud Storage). כדי להשתמש באמצעי הבקרה הזה, צריך להירשם.

אמצעי הבקרה האלה תומכים רק במצב זיהוי. מידע נוסף על פריסת אמצעי הבקרה האלה זמין במאמר שימוש ב-DSPM.

מעקב אחר הרשאות המשתמשים

האמצעי הגבלת הגישה למידע אישי רגיש למשתמשים מורשים מגביל את הגישה למידע אישי רגיש לקבוצות ספציפיות של ישויות. כשמתבצע ניסיון גישה לא תואם (גישה על ידי גורמים שהם לא הגורמים המורשים) למקורות נתונים, נוצרת ממצא. סוגי החשבונות הראשיים הנתמכים הם חשבונות משתמשים או קבוצות. בטבלה של פורמטים נתמכים של חשבונות משתמש מפורט מידע על הפורמט שבו צריך להשתמש.

חשבונות משתמשים כוללים את הפרטים הבאים:

• חשבונות Google פרטיים שהמשתמשים נרשמים אליהם ב-google.com, כמו חשבונות Gmail.com
• חשבונות Google מנוהלים לעסקים
• חשבונות Google Workspace for Education

חשבונות משתמשים לא כוללים חשבונות רובוטים, חשבונות שירות, חשבונות מותג עם הרשאת גישה בלבד, חשבונות משאבים וחשבונות מכשירים.

אלה סוגי הנכסים הנתמכים:

• מערכי נתונים וטבלאות ב-BigQuery
• קטגוריות של Cloud Storage
• מודלים, מערכי נתונים, מאגרי תכונות ומאגרי מטא-נתונים של Gemini Enterprise Agent Platform

מערכת DSPM בודקת את התאימות לאמצעי הבקרה הזה בכל פעם שחשבון משתמש קורא סוג משאב נתמך.

אמצעי הבקרה הזה בענן מחייב הפעלה של יומני ביקורת של גישה לנתונים ב-Cloud Storage וב-Agent Platform.

המגבלות כוללות:

• יש תמיכה רק בפעולות קריאה.
• הגישה באמצעות חשבונות שירות, כולל התחזות לחשבון שירות, לא כפופה לבקרה הזו. כדי לצמצם את הסיכון, צריך לוודא שלחשבונות שירות מהימנים בלבד יש גישה למשאבים רגישים של Cloud Storage,‏ BigQuery ו-Agent Platform. בנוסף, אל תקצו את התפקיד'יצירת אסימונים בחשבון שירות' (roles/iam.serviceAccountTokenCreator) למשתמשים שלא אמורה להיות להם גישה.
• הבקרה הזו לא מונעת ממשתמשים לגשת לעותקים שנוצרו באמצעות פעולות של חשבון שירות, כמו אלה שנוצרו על ידי Storage Transfer Service ושירות העברת נתונים ל-BigQuery. המשתמשים יכולים לגשת לעותקים של נתונים שבהם האפשרות הזו לא מופעלת.
• אין תמיכה במערכי נתונים מקושרים. מערכי נתונים מקושרים יוצרים מערך נתונים ב-BigQuery לקריאה בלבד, שפועל כקישור סמלי למערך נתונים של מקור. מערכי נתונים מקושרים לא יוצרים יומני ביקורת של גישה לנתונים, ויכול להיות שהם מאפשרים למשתמש לא מורשה לקרוא נתונים בלי שהפעולה תסומן. לדוגמה, משתמש יכול לעקוף את בקרת הגישה על ידי קישור מערך נתונים למערך נתונים מחוץ לגבולות התאימות שלכם, ואז לשלוח שאילתות למערך הנתונים החדש בלי ליצור יומנים לגבי מערך הנתונים המקורי. כדי לצמצם את הסיכון, אל תקצו את התפקידים BigQuery Admin (אדמין ב-BigQuery) (roles/bigquery.admin),‏ BigQuery Data Owner (בעלים של נתונים ב-BigQuery) (roles/bigquery.dataOwner) או BigQuery Studio Admin (אדמין ב-BigQuery Studio) (roles/bigquery.studioAdmin) למשתמשים שלא אמורה להיות להם גישה למשאבי BigQuery רגישים.
• יש תמיכה בשאילתות של טבלאות תווים כלליים לחיפוש ברמת מערך הנתונים, אבל לא ברמת קבוצת הטבלאות. התכונה הזו מאפשרת לשאול שאילתות בכמה טבלאות BigQuery בו-זמנית באמצעות ביטויי תו כללי לחיפוש. הכלי DSPM מעבד שאילתות עם תווים כלליים כאילו אתם ניגשים למערך הנתונים הראשי ב-BigQuery, ולא לטבלאות ספציפיות בתוך מערך הנתונים.
• אין תמיכה בגישה ציבורית לאובייקטים ב-Cloud Storage. גישה ציבורית מעניקה גישה לכל המשתמשים ללא בדיקות מדיניות.
• אין תמיכה בגישה לאובייקטים ב-Cloud Storage או בהורדה שלהם באמצעות סשנים מאומתים בדפדפן.
• כשפורסים טבלאות ומערכי נתונים של BigQuery באפליקציה של מרכז האפליקציות, הם לא נתמכים.

מניעת זליגת מידע

אמצעי הבקרה הגבלת זרימת מידע אישי רגיש בין אזורים גיאוגרפיים שונים מאפשר לכם לציין את המדינות המורשות שמתוכן אפשר לגשת לנתונים. הפקד בענן פועל באופן הבא:

• אם בקשת קריאה מגיעה מהאינטרנט, המדינה נקבעת על סמך כתובת ה-IP של בקשת הקריאה. אם נעשה שימוש בשרת proxy כדי לשלוח את בקשת הקריאה, ההתראות נשלחות על סמך המיקום של ה-proxy.

• אם בקשת הקריאה מגיעה ממכונה וירטואלית ב-Compute Engine, המדינה נקבעת לפי התחום בענן שממנו מגיעה הבקשה.

אלה סוגי הנכסים הנתמכים:

• מערכי נתונים וטבלאות ב-BigQuery
• קטגוריות של Cloud Storage
• מודלים, מערכי נתונים, מאגרי תכונות ומאגרי מטא-נתונים של Agent Platform

המגבלות כוללות:

• יש תמיכה רק בפעולות קריאה.
• ב-Agent Platform, יש תמיכה רק בבקשות מהאינטרנט.
• אין תמיכה בגישה ציבורית לאובייקטים ב-Cloud Storage.
• אין תמיכה בגישה לאובייקטים ב-Cloud Storage או בהורדה שלהם באמצעות סשנים מאומתים בדפדפן.
• כשפורסים את ה-API באפליקציה ב-App Hub בתיקייה שהוגדרה לניהול אפליקציות, אין תמיכה בטבלאות ובמערכי נתונים של BigQuery.
• כשמשתמש מקבל גישה למשאב יותר מפעם אחת ממיקום לא תואם תוך 24 שעות, ההפרות נתמכות רק לגישה הראשונה.

אכיפה של הצפנת CMEK

אמצעי הבקרה האלה מחייבים להצפין משאבים ספציפיים באמצעות CMEK. למשל:

• הפעלת CMEK למערכי נתונים של Gemini Enterprise Agent Platform
• הפעלת CMEK במאגרי המטא-נתונים של Gemini Enterprise Agent Platform
• הפעלת CMEK למודלים של Gemini Enterprise Agent Platform
• הפעלת CMEK ב-Gemini Enterprise Agent Platform Featurestore
• הפעלת CMEK לטבלאות BigQuery

כשפורסים את אמצעי הבקרה האלה על אפליקציה ב-App Hub, אין תמיכה בטבלאות BigQuery.

ניהול מדיניות מקסימלית לשמירת נתונים

ההגדרה קביעת תקופת השמירה המקסימלית למידע אישי רגיש קובעת את תקופת השמירה של מידע אישי רגיש. אתם יכולים לבחור משאבים (למשל, טבלאות BigQuery) ולהחיל עליהם אמצעי בקרה בענן למחיקת נתונים, שיזהה אם אחד מהמשאבים חורג ממגבלות השמירה של גיל מקסימלי.

אלה סוגי הנכסים הנתמכים:

• מערכי נתונים וטבלאות ב-BigQuery
• מודלים של Agent Platform, מערכי נתונים, Feature Store ומאגרי מטא-נתונים
• אובייקטים ב-Cloud Storage‏ (תצוגה מקדימה). כדי להשתמש באמצעי הבקרה הזה, צריך להירשם.

כשפורסים את אמצעי הבקרה הזה באפליקציה של מרכז האפליקציות, אין תמיכה בטבלאות ובמערכי נתונים של BigQuery.

ניהול שמירת נתונים

האמצעי הגדרת תקופת השמירה המינימלית לאובייקטים ב-Cloud Storage אוכף תקופת שמירה מינימלית לאובייקטים ב-Cloud Storage. האמצעי הזה מונע מחיקה או שינוי של אובייקטים ב-Cloud Storage עד שתקופת השמירה המינימלית (שמצוינת בשניות) מסתיימת.

הבקרה הזו מזהה אובייקטים ב-Cloud Storage שלא עומדים במדיניות המינימלית של שמירת הנתונים שהוגדרה. הממצאים נוצרים ב-Security Command Center ברמת מאגר הנתונים. אפשר להריץ שאילתות על הממצאים ברמת האובייקט בתוך מערכי נתונים של Storage Intelligence (ב-object_security_findings_view). ממצאים ברמת האובייקט כוללים findingType: SCC_DSPM_DATA_RETENTION ו-findingReason: MINIMUM_RETENTION_VIOLATION.

סוגי הנכסים הנתמכים: אובייקטים ב-Cloud Storage

כדי להשתמש באמצעי הבקרה הזה, צריך להירשם.

ניהול הצפנת נתונים

האמצעי Require Customer-Managed Encryption for Cloud Storage Objects עוזר לאכוף הצפנה של אובייקטים בקטגוריות של Cloud Storage באמצעות CMEK. הבקרה מזהה אובייקטים ב-Cloud Storage שלא מוצפנים באמצעות CMEK, בניגוד למדיניות ההצפנה שלכם.

הממצאים נוצרים ב-Security Command Center ברמת ה-bucket. אפשר לשלוח שאילתות לגבי הממצאים ברמת האובייקט בתוך מערכי נתונים של Storage Intelligence (ב-object_security_findings_view). לממצאים ברמת האובייקט יש findingType: SCC_DSPM_ENCRYPTION_NO_CMEK וfindingReason: ENCRYPTION_CMEK_VIOLATION.

סוגי הנכסים הנתמכים: אובייקטים ב-Cloud Storage

כדי להשתמש באמצעי הבקרה הזה, צריך להירשם.

ניהול הגישה הציבורית לנתונים

אמצעי הבקרה הגבלת הגישה הציבורית לאובייקטים ב-Cloud Storage עוזר להגביל את הגישה הציבורית לאובייקטים בקטגוריות של Cloud Storage כדי למנוע סיכון לחשיפת נתונים. הבקרה הזו מזהה אובייקטים ב-Cloud Storage שאפשר לגשת אליהם באופן ציבורי, בניגוד למדיניות הגישה הציבורית.

הממצאים נוצרים ב-Security Command Center ברמת ה-bucket. אפשר להריץ שאילתות על הממצאים המפורטים ברמת האובייקט בתוך מערכי הנתונים של Storage Intelligence (ב-object_security_findings_view). הממצאים ברמת האובייקט כוללים findingType: SCC_DSPM_PUBLIC_ACCESS_GOVERNANCE וfindingReason: PUBLIC_ACCESS_VIOLATION.

השדה sccDspmFinding.securityInsights בתוצאת החיפוש ברמת האובייקט מספק פרטים נוספים על סטטוס הגישה הציבורית, כולל גישת קריאה וכתיבה.

סוגי הנכסים הנתמכים: אובייקטים ב-Cloud Storage

כדי להשתמש באמצעי הבקרה הזה, צריך להירשם.

שימוש ב-DSPM עם Sensitive Data Protection

‫DSPM פועל עם Sensitive Data Protection. השירות Sensitive Data Protection מאתר את המידע האישי הרגיש בארגון, ו-DSPM מאפשר לפרוס אמצעי בקרה לאבטחת נתונים בענן על המידע האישי הרגיש כדי לעמוד בדרישות האבטחה והתאימות.

בטבלה הבאה מוסבר איך אפשר להשתמש ב-Sensitive Data Protection לגילוי נתונים וב-DSPM לאכיפת מדיניות ולניהול מצב האבטחה.

שירות	Sensitive Data Protection	DSPM
היקף הנתונים	איתור וסיווג של מידע אישי רגיש (כמו פרטים אישיים מזהים או סודות) באחסון ב- Google Cloud.	הערכת מצב האבטחה סביב המידע האישי הרגיש שסווג.
פעולות מרכזיות	סריקה, יצירת פרופילים והסרת פרטים מזהים של מידע אישי רגיש.	אוכף, עוקב ומאמת את כללי המדיניות.
התמקדות בממצאים	דוחות על המיקום של מידע אישי רגיש (לדוגמה, BigQuery או Cloud Storage).	דוחות על הסיבה לחשיפת הנתונים (לדוגמה, גישה ציבורית, חוסר ב-CMEK או הרשאות מוגזמות).
שילוב	הפלטפורמה מעבירה ל-DSPM מטא-נתונים של רגישות וסיווג.	משתמש בנתונים של Sensitive Data Protection כדי להחיל אמצעי אבטחה ולעקוב אחריהם, וגם כדי לבצע הערכות סיכונים.

המאמרים הבאים

• הפעלת DSPM.
• שליחת תוצאות של עבודת בדיקה של Sensitive Data Protection אל Security Command Center.