Pengelolaan Postur Keamanan Data (DSPM) memberikan tampilan keamanan yang berpusat pada data Google Cloud . DSPM memungkinkan Anda terus mengidentifikasi dan mengurangi risiko data dengan membantu Anda memahami data sensitif yang Anda miliki, tempat data tersebut disimpan di Google Cloud, dan apakah penggunaannya sesuai dengan persyaratan keamanan dan kepatuhan Anda.
Kemampuan DSPM bergantung pada paket layanan Security Command Center Anda. Lihat Pengelolaan Postur Keamanan Data di ringkasan paket Standard untuk mengetahui informasi selengkapnya tentang kemampuan DSPM yang tersedia di paket Standard.
DSPM di paket Premium dan Enterprise memungkinkan tim Anda menyelesaikan tugas keamanan data berikut:
Penemuan dan klasifikasi data: Otomatis menemukan dan mengklasifikasikan resource data sensitif di seluruh Google Cloud lingkungan Anda, termasuk BigQuery dan Cloud Storage.
Tata kelola data: Mengevaluasi postur keamanan data Anda saat ini berdasarkan praktik terbaik dan framework kepatuhan Google untuk mengidentifikasi dan memperbaiki potensi masalah keamanan.
Penerapan kontrol: Memetakan persyaratan keamanan Anda ke kontrol cloud tata kelola data tertentu, seperti Tata Kelola Akses Data dan Tata Kelola Alur Data.
Pemantauan kepatuhan: Memantau workload berdasarkan framework keamanan data yang diterapkan untuk membuktikan keselarasan, memperbaiki pelanggaran, dan membuat bukti untuk audit.
Komponen inti DSPM
Bagian berikut menjelaskan komponen DSPM.
Memantau postur keamanan data Anda dengan dasbor DSPM
Dasbor keamanan data di Google Cloud konsol memungkinkan Anda melihat kesesuaian data organisasi Anda dengan persyaratan keamanan dan kepatuhan data Anda.
Penjelajah peta data di dasbor keamanan data menampilkan lokasi geografis tempat data Anda disimpan dan memungkinkan Anda memfilter informasi tentang data Anda berdasarkan lokasi geografis, tingkat sensitivitas data, project terkait, dan layanan Google Cloud yang menyimpan data. Lingkaran pada peta data mewakili jumlah relatif resource data dan resource data dengan pemberitahuan di region tersebut.
Anda dapat melihat temuan keamanan data, yang terjadi saat resource data melanggar kontrol cloud keamanan data. Saat temuan baru dibuat, temuan tersebut dapat memerlukan waktu hingga dua jam untuk muncul di penjelajah peta data.
Anda juga dapat meninjau informasi tentang framework keamanan data yang di-deploy, jumlah temuan terbuka yang terkait dengan setiap framework, dan persentase resource di lingkungan Anda yang tercakup oleh setidaknya satu framework.
(Pratinjau) Dasbor juga menampilkan insight keamanan data yang dapat Anda gunakan untuk mengidentifikasi potensi risiko data secara proaktif. Insight hanya tersedia untuk resource yang berisi data yang sangat sensitif. Resource harus dipindai oleh Sensitive Data Protection, dan pemindaian harus dikonfigurasi untuk memublikasikan hasil ke Security Command Center.
Dasbor menampilkan hal berikut:
- Pengguna yang paling sering mengakses data yang sangat sensitif. Tabel yang menandai pengguna dan akun layanan mana yang paling sering mengakses data sensitif. Tabel ini menampilkan tampilan yang berpusat pada AI yang memungkinkan Anda memfilter agen AI. Secara default, tabel hanya menampilkan aktivitas agen AI jika ada. Jika tidak, tabel akan menampilkan semua akun utama. Anda dapat mengaktifkan atau menonaktifkan filter untuk melihat semua akses. Data yang ditampilkan terbatas pada bucket Cloud Storage, tabel BigQuery, dan resource Platform Agen Gemini Enterprise.
- Instance akses lintas batas (hanya terbatas pada bucket Cloud Storage, tabel BigQuery, dan resource Platform Agen Gemini Enterprise).
- Instance tempat data sensitif khusus negara disimpan di luar region terkait (berlaku untuk semua Google Cloud resource).
Dasbor tidak menyertakan insight keamanan untuk hal berikut:
- Aset yang dienkripsi oleh CMEK
- Resource di region
me-central2
Framework dan kepatuhan keamanan data DSPM
Anda menggunakan framework untuk menentukan persyaratan keamanan dan kepatuhan data Anda serta menerapkan persyaratan tersebut ke lingkungan Google Cloud Anda. DSPM menyertakan framework Dasar-dasar keamanan dan privasi data, yang menentukan kontrol dasar yang direkomendasikan untuk keamanan dan kepatuhan data. Saat Anda mengaktifkan DSPM, framework ini akan otomatis diterapkan ke Google Cloud organisasi dalam mode detektif. Anda dapat menggunakan temuan yang dihasilkan untuk memperkuat postur data Anda.
Jika diperlukan, Anda dapat membuat salinan framework untuk membuat framework keamanan data kustom. Anda dapat menambahkan kontrol cloud keamanan data lanjutan ke framework kustom Anda dan menerapkan framework kustom ke organisasi, folder, project, dan aplikasi App Hub di folder yang dikonfigurasi untuk pengelolaan aplikasi. Misalnya, Anda dapat membuat framework kustom yang menerapkan kontrol yurisdiksi ke folder tertentu untuk memastikan bahwa data dalam folder tersebut tetap berada di dalam region geografis tertentu.
Framework dasar-dasar keamanan dan privasi data (kontrol dasar)
Kontrol cloud berikut adalah bagian dari framework Dasar-dasar keamanan dan privasi data.
| Kontrol cloud | Deskripsi |
|---|---|
Mendeteksi saat CMEK tidak digunakan untuk tabel BigQuery yang menyertakan data sensitif. |
|
Mewajibkan CMEK untuk Set Data BigQuery dengan Data Sensitif |
Mendeteksi saat CMEK tidak digunakan untuk set data BigQuery yang menyertakan data sensitif. |
Memblokir Akses Publik ke Set Data BigQuery dengan Data Sensitif |
Mendeteksi data sensitif dalam set data BigQuery yang dapat diakses publik. |
Memblokir Akses Publik ke Instance Cloud SQL dengan Data Sensitif |
Mendeteksi data sensitif dalam database SQL yang dapat diakses publik. |
Mewajibkan CMEK untuk Instance Cloud SQL dengan Data Sensitif |
Mendeteksi saat CMEK tidak digunakan untuk database SQL yang menyertakan data sensitif. |
Kontrol cloud keamanan dan tata kelola data lanjutan
DSPM menyertakan keamanan data lanjutan untuk membantu Anda memenuhi persyaratan keamanan data tambahan. Kontrol cloud keamanan data lanjutan ini dikelompokkan sebagai berikut:
- Memantau izin pengguna: Mendeteksi apakah akun utama selain yang Anda tentukan mengakses data sensitif. Nama kontrolnya adalah Membatasi Akses ke Data Sensitif untuk Pengguna yang Diizinkan.
- Mencegah pemindahan data yang tidak sah: Mendeteksi apakah klien yang berada di luar lokasi geografis (negara) yang ditentukan mengakses data sensitif. Nama kontrolnya adalah Membatasi Alur Data Sensitif di Seluruh Yurisdiksi Geografis.
- Mewajibkan enkripsi CMEK: Mendeteksi apakah data sensitif dibuat tanpa kunci enkripsi yang dikelola pelanggan (CMEK) enkripsi. Beberapa kontrol membantu menerapkan CMEK untuk berbagai Google Cloud layanan.
- Mengelola penghapusan data: Mendeteksi pelanggaran terhadap kebijakan periode retensi maksimum untuk data sensitif. Nama kontrolnya adalah Mengatur Periode Retensi Maksimum untuk Data Sensitif.
- Mengelola retensi data: (Pratinjau) Menerapkan periode retensi minimum (dalam detik) untuk objek Cloud Storage guna memastikan objek tersebut dipertahankan selama periode waktu minimum tertentu. Nama kontrolnya adalah Mengatur periode retensi minimum untuk objek Cloud Storage. Anda harus mendaftar untuk menggunakan kontrol ini.
- Mengelola enkripsi data: (Pratinjau) Mewajibkan enkripsi untuk objek di bucket Cloud Storage. Nama kontrolnya adalah Mewajibkan Enkripsi yang Dikelola Pelanggan untuk Objek Cloud Storage. Anda harus mendaftar untuk menggunakan kontrol ini.
- Mengelola akses publik ke data: (Pratinjau) Membatasi akses publik ke objek di bucket Cloud Storage untuk menghindari risiko eksposur data. Nama kontrolnya adalah Membatasi Akses Publik ke Objek Cloud Storage. Anda harus mendaftar untuk menggunakan kontrol ini.
Kontrol ini hanya mendukung mode detektif. Untuk mengetahui informasi selengkapnya tentang cara men-deploy kontrol ini, lihat Menggunakan DSPM.
Memantau izin pengguna
Kontrol Membatasi Akses ke Data Sensitif untuk Pengguna yang Diizinkan membatasi akses ke data sensitif untuk kumpulan akun utama yang ditentukan. Jika ada upaya akses yang tidak sesuai (akses oleh akun utama selain akun utama yang diizinkan) ke resource data, temuan akan dibuat. Jenis akun utama yang didukung adalah akun pengguna atau grup. Untuk mengetahui informasi tentang format yang akan digunakan, lihat tabel format akun utama yang didukung.
Akun pengguna mencakup hal berikut:
- Akun Google Konsumen yang didaftarkan pengguna di google.com, seperti akun Gmail.com
- Akun Google Terkelola untuk bisnis
- Akun Google Workspace for Education
Akun pengguna tidak mencakup akun robot, akun layanan, akun merek khusus delegasi, akun resource, dan akun perangkat.
Jenis aset yang didukung mencakup hal berikut:
- Set data dan tabel BigQuery
- Bucket Cloud Storage
- Model, set data, penyimpanan fitur, dan penyimpanan metadata Platform Agen Gemini Enterprise
DSPM mengevaluasi kesesuaian dengan kontrol ini setiap kali akun pengguna membaca jenis resource yang didukung.
Kontrol cloud ini mengharuskan Anda mengaktifkan log audit Akses Data untuk Cloud Storage dan Platform Agen.
Batasan mencakup hal berikut:
- Hanya operasi baca yang didukung.
- Akses oleh akun layanan, termasuk peniruan akun layanan, dikecualikan dari kontrol ini. Sebagai mitigasi, pastikan hanya akun layanan tepercaya yang memiliki akses ke resource Cloud Storage, BigQuery, dan Platform Agen yang sensitif. Selain itu, jangan berikan peran Pembuat Token Akun
Layanan (
roles/iam.serviceAccountTokenCreator) kepada pengguna yang tidak boleh memiliki akses. - Kontrol ini tidak mencegah akses pengguna ke salinan yang dibuat melalui operasi akun layanan seperti yang dibuat oleh Storage Transfer Service dan BigQuery Data Transfer Service. Pengguna dapat mengakses salinan data yang tidak mengaktifkan kontrol ini.
- Set data tertaut
tidak didukung. Set data tertaut membuat set data BigQuery hanya baca yang bertindak sebagai link simbolis ke set data sumber. Set data tertaut tidak menghasilkan log audit akses data dan mungkin memungkinkan pengguna yang tidak sah membaca data tanpa ditandai. Misalnya, pengguna dapat melewati kontrol akses dengan menautkan set data ke set data di luar batas kepatuhan Anda, lalu mereka dapat membuat kueri set data baru tanpa membuat log terhadap set data sumber. Sebagai mitigasi, jangan berikan peran Admin BigQuery
(
roles/bigquery.admin), Pemilik Data BigQuery (roles/bigquery.dataOwner) atau Admin BigQuery Studio (roles/bigquery.studioAdmin) kepada pengguna yang tidak boleh memiliki akses ke resource BigQuery yang sensitif. - Kueri tabel karakter pengganti didukung di tingkat set data, tetapi tidak di tingkat set tabel. Fitur ini memungkinkan Anda membuat kueri beberapa tabel BigQuery secara bersamaan menggunakan ekspresi karakter pengganti. DSPM memproses kueri karakter pengganti seolah-olah Anda mengakses set data BigQuery induk, bukan tabel individual dalam set data.
- Akses publik ke objek Cloud Storage tidak didukung. Akses publik memberikan akses ke semua pengguna tanpa pemeriksaan kebijakan apa pun.
- Akses atau download objek Cloud Storage menggunakan browser sesi yang diautentikasi tidak didukung.
- Saat di-deploy ke aplikasi App Hub, tabel dan set data BigQuery tidak didukung.
Mencegah pemindahan data yang tidak sah
Kontrol Membatasi Alur Data Sensitif di Seluruh Yurisdiksi Geografis memungkinkan Anda menentukan negara yang diizinkan untuk mengakses data. Kontrol cloud berfungsi sebagai berikut:
Jika permintaan baca berasal dari internet, negara akan ditentukan berdasarkan alamat IP permintaan baca. Jika proxy digunakan untuk mengirim permintaan baca, pemberitahuan akan dikirim berdasarkan lokasi proxy.
Jika permintaan baca berasal dari VM Compute Engine, negara akan ditentukan oleh zona cloud tempat permintaan berasal.
Jenis aset yang didukung mencakup hal berikut:
- Set data dan tabel BigQuery
- Bucket Cloud Storage
- Model, set data, penyimpanan fitur, dan penyimpanan metadata Platform Agen
Batasan mencakup hal berikut:
- Hanya operasi baca yang didukung.
- Untuk Platform Agen, hanya permintaan dari internet yang didukung.
- Akses publik ke objek Cloud Storage tidak didukung.
- Akses atau download objek Cloud Storage menggunakan browser sesi yang diautentikasi tidak didukung.
- Saat di-deploy ke aplikasi App Hub di folder yang dikonfigurasi untuk pengelolaan aplikasi, tabel dan set data BigQuery tidak didukung.
- Jika akun utama mengakses resource lebih dari satu kali dari lokasi yang tidak sesuai dalam waktu 24 jam, pelanggaran hanya didukung untuk akses pertama.
Mewajibkan enkripsi CMEK
Kontrol ini mengharuskan Anda mengenkripsi resource tertentu menggunakan CMEK. Kontrol ini mencakup hal berikut:
- Mengaktifkan CMEK untuk Set Data Platform Agen Gemini Enterprise
- Mengaktifkan CMEK untuk Penyimpanan Metadata Platform Agen Gemini Enterprise
- Mengaktifkan CMEK untuk Model Platform Agen Gemini Enterprise
- Mengaktifkan CMEK untuk Penyimpanan Fitur Platform Agen Gemini Enterprise
- Mengaktifkan CMEK untuk Tabel BigQuery
Saat Anda men-deploy kontrol ini ke aplikasi App Hub, tabel BigQuery tidak didukung.
Mengelola kebijakan retensi data maksimum
Kontrol Mengatur Periode Retensi Maksimum untuk Data Sensitif mengatur periode retensi untuk data sensitif. Anda dapat memilih resource (misalnya, tabel BigQuery) dan menerapkan kontrol cloud penghapusan data yang mendeteksi apakah salah satu resource melanggar batas retensi usia maksimum.
Jenis aset yang didukung mencakup hal berikut:
- Set data dan tabel BigQuery
- Model, set data, penyimpanan fitur, dan penyimpanan metadata Platform Agen
- Objek Cloud Storage (Pratinjau). Anda harus mendaftar untuk menggunakan kontrol ini.
Saat Anda men-deploy kontrol ini ke aplikasi App Hub, tabel dan set data BigQuery tidak didukung.
Mengelola retensi data
Kontrol Mengatur periode retensi minimum untuk objek Cloud Storage menerapkan periode retensi minimum untuk objek Cloud Storage. Kontrol ini mencegah penghapusan atau modifikasi objek Cloud Storage hingga periode retensi minimum (ditentukan dalam detik) telah berlalu.
Kontrol ini mendeteksi objek Cloud Storage yang tidak memenuhi kebijakan retensi minimum yang dikonfigurasi. Temuan dibuat di Security Command Center di tingkat bucket. Anda dapat membuat kueri temuan di tingkat objek dalam Set Data Intelijen Penyimpanan (di object_security_findings_view). Temuan tingkat objek memiliki findingType: SCC_DSPM_DATA_RETENTION dan findingReason: MINIMUM_RETENTION_VIOLATION.
Jenis aset yang didukung: Objek Cloud Storage
Anda harus mendaftar untuk menggunakan kontrol ini.
Mengelola enkripsi data
Kontrol Mewajibkan Enkripsi yang Dikelola Pelanggan untuk Objek Cloud Storage membantu Anda menerapkan enkripsi untuk objek di bucket Cloud Storage menggunakan CMEK. Kontrol ini mendeteksi objek Cloud Storage yang tidak dienkripsi dengan CMEK, yang melanggar kebijakan enkripsi Anda.
Temuan dibuat di Security Command Center di tingkat bucket. Anda dapat membuat kueri temuan di tingkat objek dalam Set Data Intelijen Penyimpanan (di object_security_findings_view). Temuan tingkat objek memiliki findingType: SCC_DSPM_ENCRYPTION_NO_CMEK dan findingReason: ENCRYPTION_CMEK_VIOLATION.
Jenis aset yang didukung: Objek Cloud Storage
Anda harus mendaftar untuk menggunakan kontrol ini.
Mengelola akses publik ke data
Kontrol Membatasi Akses Publik ke Objek Cloud Storage membantu Anda membatasi akses publik ke objek di bucket Cloud Storage untuk menghindari risiko eksposur data. Kontrol ini mendeteksi objek Cloud Storage yang dapat diakses publik, yang melanggar kebijakan akses publik Anda.
Temuan dibuat di Security Command Center di tingkat bucket. Anda dapat membuat kueri temuan tingkat objek mendetail dalam Set Data Intelijen Penyimpanan (di object_security_findings_view). Temuan tingkat objek memiliki findingType: SCC_DSPM_PUBLIC_ACCESS_GOVERNANCE dan findingReason: PUBLIC_ACCESS_VIOLATION.
Kolom sccDspmFinding.securityInsights dalam temuan tingkat objek memberikan detail selengkapnya tentang status aksesibilitas publik, termasuk akses baca dan tulis.
Jenis aset yang didukung: Objek Cloud Storage
Anda harus mendaftar untuk menggunakan kontrol ini.
Menggunakan DSPM dengan Sensitive Data Protection
DSPM berfungsi dengan Sensitive Data Protection. Sensitive Data Protection menemukan data sensitif di organisasi Anda, dan DSPM memungkinkan Anda men-deploy kontrol cloud keamanan data pada data sensitif untuk memenuhi persyaratan keamanan dan kepatuhan Anda.
Tabel berikut menjelaskan cara menggunakan Sensitive Data Protection untuk penemuan data dan DSPM untuk penerapan kebijakan dan pengelolaan postur keamanan.
| Layanan | Sensitive Data Protection |
DSPM |
|---|---|---|
| Cakupan data | Menemukan dan mengklasifikasikan data sensitif (seperti PII atau secret) dalam penyimpanan di Google Cloud. |
Menilai postur keamanan di sekitar data sensitif yang diklasifikasikan. |
| Tindakan inti | Memindai, membuat profil, dan melakukan de-identifikasi data sensitif. |
Menerapkan, memantau, dan memvalidasi kebijakan. |
| Fokus temuan | Melaporkan lokasi data sensitif (misalnya, BigQuery, atau Cloud Storage). |
Melaporkan alasan data diekspos (misalnya, akses publik, CMEK tidak ada, atau izin berlebihan). |
| Integrasi | Memberikan metadata sensitivitas dan klasifikasi ke DSPM. |
Menggunakan data Sensitive Data Protection untuk menerapkan dan memantau kontrol keamanan dan penilaian risiko. |
Langkah berikutnya
- Mengaktifkan DSPM.
- Mengirim hasil tugas pemeriksaan Sensitive Data Protection ke Security Command Center.