Die Datensicherheitsstatus-Verwaltung (Data Security Posture Management, DSPM) bietet eine datenzentrierte Ansicht der Google Cloud Sicherheit. Mit DSPM können Sie Datenrisiken kontinuierlich erkennen und verringern. Sie erhalten Informationen darüber, welche sensiblen Daten Sie haben, wo sie inGoogle Cloudgespeichert sind und ob ihre Verwendung Ihren Sicherheits- und Compliance-Anforderungen entspricht.
Mit DSPM kann Ihr Team die folgenden Datensicherheitsaufgaben ausführen:
Datenerkennung und -klassifizierung:Sensible Datenressourcen in Ihrer Google Cloud Umgebung, einschließlich BigQuery und Cloud Storage, werden automatisch erkannt und klassifiziert.
Data Governance:Vergleichen Sie Ihre aktuelle Datensicherheit mit den Best Practices und Compliance-Frameworks von Google, um potenzielle Sicherheitsprobleme zu erkennen und zu beheben.
Kontrolldurchsetzung:Ordnen Sie Ihre Sicherheitsanforderungen bestimmten Cloud-Steuerelementen für die Data Governance zu, z. B. Data Access Governance und Data Flow Governance.
Compliance-Monitoring:Arbeitslasten werden anhand angewendeter Datensicherheitsframeworks überwacht, um die Einhaltung nachzuweisen, Verstöße zu beheben und Nachweise für Audits zu erstellen.
Kernkomponenten von DSPM
In den folgenden Abschnitten werden die Komponenten von DSPM beschrieben.
Datensicherheitsstatus mit dem DSPM-Dashboard überwachen
Im Datensicherheitsdashboard in derGoogle Cloud -Konsole können Sie sehen, wie die Daten Ihrer Organisation mit Ihren Anforderungen an Datensicherheit und Compliance übereinstimmen.
Im Datenübersicht-Explorer im Dashboard für Datensicherheit sehen Sie die geografischen Standorte, an denen Ihre Daten gespeichert sind. Sie können Informationen zu Ihren Daten nach geografischem Standort, Sensibilität der Daten, zugehörigem Projekt und denGoogle Cloud Diensten filtern, in denen die Daten gespeichert sind. Die Kreise auf der Datenkarte stellen die relative Anzahl von Datenressourcen und Datenressourcen mit Benachrichtigungen in der Region dar.
Sie können Ergebnisse zur Datensicherheit aufrufen, die auftreten, wenn eine Datenressource gegen eine Cloud-Kontrolle zur Datensicherheit verstößt. Wenn ein neues Ergebnis generiert wird, kann es bis zu zwei Stunden dauern, bis es im Data Map Explorer angezeigt wird.
Sie können sich auch Informationen zu den eingesetzten Datensicherheits-Frameworks, die Anzahl der offenen Ergebnisse, die mit jedem Framework verknüpft sind, und den Prozentsatz der Ressourcen in Ihrer Umgebung ansehen, die von mindestens einem Framework abgedeckt werden.
Frameworks zur Datensicherheit und Compliance für DSPM
Sie verwenden Frameworks, um Ihre Anforderungen an Datensicherheit und Compliance zu definieren und auf Ihre Google Cloud Umgebung anzuwenden. DSPM umfasst das Framework für die Grundlagen von Datensicherheit und Datenschutz, in dem empfohlene grundlegende Kontrollen für Datensicherheit und Compliance definiert sind. Wenn Sie DSPM aktivieren, wird dieses Framework automatisch auf die OrganisationGoogle Cloud im Erkennungsmodus angewendet. Sie können die generierten Ergebnisse verwenden, um Ihre Datensicherheit zu verbessern.
Bei Bedarf können Sie Kopien des Frameworks erstellen, um benutzerdefinierte Frameworks für Datensicherheit zu erstellen. Sie können die erweiterten Cloud-Steuerelemente für Datensicherheit zu Ihren benutzerdefinierten Frameworks hinzufügen und die benutzerdefinierten Frameworks auf die Organisation, Ordner, Projekte und App Hub-Anwendungen in für die Anwendungsverwaltung konfigurierten Ordnern anwenden. Sie können beispielsweise benutzerdefinierte Frameworks erstellen, die Gerichtsbarkeitskontrollen auf bestimmte Ordner anwenden, um sicherzustellen, dass Daten in diesen Ordnern in einer bestimmten geografischen Region verbleiben.
Framework für Datensicherheit und Datenschutz (Basiskontrollen)
Die folgenden Cloud-Kontrollen sind Teil des Frameworks „Grundlagen für Datensicherheit und Datenschutz“.
| Cloud-Kontrolle | Beschreibung |
|---|---|
CMEK für BigQuery-Tabellen mit sensiblen Daten erforderlich machen |
Erkennen, wenn CMEK nicht für BigQuery-Tabellen mit sensiblen Daten verwendet wird. |
CMEK für BigQuery-Datasets mit sensiblen Daten erforderlich machen |
Erkennen, wenn CMEK nicht für BigQuery-Datasets mit sensiblen Daten verwendet wird. |
Öffentlichen Zugriff auf BigQuery-Datasets mit vertraulichen Daten blockieren |
Sensible Daten in öffentlich zugänglichen BigQuery-Datasets erkennen. |
Öffentlichen Zugriff auf Cloud SQL-Instanzen mit vertraulichen Daten blockieren |
Sensible Daten in öffentlich zugänglichen SQL-Datenbanken erkennen. |
CMEK für Cloud SQL-Instanzen mit vertraulichen Daten erforderlich machen |
Erkennen, wenn CMEK nicht für SQL-Datenbanken mit sensiblen Daten verwendet wird. |
Erweiterte Cloud-Kontrollen für Data Governance und Sicherheit
DSPM umfasst erweiterte Datensicherheitsfunktionen, mit denen Sie zusätzliche Datensicherheitsanforderungen erfüllen können. Diese erweiterten Cloud-Einstellungen für Datensicherheit sind in folgende Gruppen unterteilt:
- Nutzerberechtigungen überwachen:Es wird erkannt, ob andere Hauptkonten als die von Ihnen angegebenen auf vertrauliche Daten zugreifen. Der Name der Steuerung ist Zugriff auf vertrauliche Daten auf zulässige Nutzer beschränken.
- Daten-Exfiltration verhindern:Erkennt, ob Clients außerhalb eines angegebenen geografischen Standorts (Land) auf vertrauliche Daten zugreifen. Der Name der Einstellung ist Flow of Sensitive Data Across Geographic Jurisdictions Restrict (Fluss sensibler Daten über geografische Gerichtsbarkeiten hinweg einschränken).
- CMEK-Verschlüsselung erzwingen:Erkennt, ob vertrauliche Daten ohne Verschlüsselung mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) erstellt werden. Mehrere Steuerelemente helfen dabei, CMEK für verschiedene Google Cloud-Dienste zu erzwingen.
- Datenaufbewahrung verwalten:Es werden Verstöße gegen Richtlinien zum maximalen Aufbewahrungszeitraum für sensible Daten erkannt. Der Name der Einstellung ist Maximalen Aufbewahrungszeitraum für vertrauliche Daten festlegen.
Diese Einstellungen unterstützen nur den Erkennungsmodus. Weitere Informationen zum Bereitstellen dieser Steuerelemente finden Sie unter DSPM verwenden.
Nutzerberechtigungen im Blick behalten
Mit der Steuerung Zugriff auf vertrauliche Daten auf zulässige Nutzer beschränken wird der Zugriff auf vertrauliche Daten auf bestimmte Prinzipalgruppen beschränkt. Wenn ein nicht konformer Zugriffsversuch (Zugriff durch andere als die zulässigen Prinzipale) auf Datenressourcen erfolgt, wird ein Ergebnis erstellt. Unterstützte Hauptkontotypen sind Nutzerkonten oder Gruppen. Informationen zum zu verwendenden Format finden Sie in der Tabelle mit unterstützten Prinzipalformaten.
Nutzerkonten umfassen Folgendes:
- Private Google-Konten, für die sich Nutzer auf google.com registrieren, z. B. Gmail.com-Konten
- Verwaltete Google-Konten für Unternehmen
- Google Workspace for Education-Konten
Nutzerkonten umfassen keine Robot-Konten, Dienstkonten, Markenkonten, die nur für die Delegation verwendet werden, Ressourcenkonten und Gerätekonten.
Die folgenden Asset-Typen werden unterstützt:
- BigQuery-Datasets und -Tabellen
- Cloud Storage-Buckets
- Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher
DSPM prüft die Einhaltung dieser Steuerung immer dann, wenn ein Nutzerkonto einen unterstützten Ressourcentyp liest.
Für diese Cloud-Kontrolle müssen Sie Audit-Logs zum Datenzugriff für Cloud Storage und Vertex AI aktivieren.
Es gelten unter anderem die folgenden Einschränkungen:
- Es werden nur Lesevorgänge unterstützt.
- Der Zugriff durch Dienstkonten, einschließlich der Identitätsübernahme für Dienstkonten, ist von dieser Kontrolle ausgenommen. Als Gegenmaßnahme sollten Sie dafür sorgen, dass nur vertrauenswürdige Dienstkonten Zugriff auf vertrauliche Cloud Storage-, BigQuery- und Vertex AI-Ressourcen haben. Weisen Sie Nutzern, die keinen Zugriff haben sollen, nicht die Rolle „Ersteller von Dienstkonto-Tokens“ (
roles/iam.serviceAccountTokenCreator) zu. - Diese Einstellung verhindert nicht, dass Nutzer auf Kopien zugreifen, die durch Dienstkontovorgänge wie Storage Transfer Service und BigQuery Data Transfer Service erstellt werden. Nutzer konnten auf Kopien von Daten zugreifen, für die diese Funktion nicht aktiviert war.
- Verknüpfte Datasets werden nicht unterstützt. Mit verknüpften Datasets wird ein schreibgeschütztes BigQuery-Dataset erstellt, das als symbolischer Link zu einem Quelldataset dient. Für verknüpfte Datasets werden keine Audit-Logs zum Datenzugriff erstellt. Dadurch kann ein nicht autorisierter Nutzer Daten lesen, ohne dass dies erkannt wird. Ein Nutzer könnte beispielsweise die Zugriffssteuerung umgehen, indem er ein Dataset mit einem Dataset außerhalb Ihrer Compliance-Grenze verknüpft und dann das neue Dataset abfragt, ohne Protokolle für das Quelldataset zu generieren. Als Gegenmaßnahme sollten Sie Nutzern, die keinen Zugriff auf vertrauliche BigQuery-Ressourcen haben sollten, nicht die Rollen BigQuery-Administrator (
roles/bigquery.admin), BigQuery-Dateninhaber (roles/bigquery.dataOwner) oder BigQuery Studio-Administrator (roles/bigquery.studioAdmin) zuweisen. - Abfragen für Platzhaltertabellen werden auf Dataset-Ebene, aber nicht auf Tableset-Ebene unterstützt. Mit dieser Funktion können Sie mehrere BigQuery-Tabellen gleichzeitig mit Platzhaltern abfragen. DSPM verarbeitet Platzhalterabfragen so, als würden Sie auf das übergeordnete BigQuery-Dataset zugreifen und nicht auf einzelne Tabellen im Dataset.
- Der öffentliche Zugriff auf Cloud Storage-Objekte wird nicht unterstützt. Der öffentliche Zugriff gewährt allen Nutzern Zugriff ohne Richtlinienprüfungen.
- Der Zugriff auf oder das Herunterladen von Cloud Storage-Objekten über authentifizierte Browsersitzungen wird nicht unterstützt.
- Bei der Bereitstellung in einer App Hub-Anwendung werden BigQuery-Tabellen und ‑Datasets nicht unterstützt.
Daten-Exfiltration verhindern
Mit der Einstellung Fluss sensibler Daten über geografische Gerichtsbarkeiten hinweg einschränken können Sie die zulässigen Länder angeben, aus denen auf Daten zugegriffen werden kann. Die Cloud-Steuerung funktioniert so:
Wenn eine Leseanfrage aus dem Internet stammt, wird das Land anhand der IP-Adresse der Leseanfrage ermittelt. Wenn ein Proxy zum Senden der Leseanfrage verwendet wird, werden Benachrichtigungen basierend auf dem Standort des Proxys gesendet.
Wenn die Leseanfrage von einer Compute Engine-VM stammt, wird das Land anhand der Cloud-Zone bestimmt, aus der die Anfrage stammt.
Die folgenden Asset-Typen werden unterstützt:
- BigQuery-Datasets und -Tabellen
- Cloud Storage-Buckets
- Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher
Es gelten unter anderem die folgenden Einschränkungen:
- Es werden nur Lesevorgänge unterstützt.
- Für Vertex AI werden nur Anfragen aus dem Internet unterstützt.
- Der öffentliche Zugriff auf Cloud Storage-Objekte wird nicht unterstützt.
- Der Zugriff auf oder das Herunterladen von Cloud Storage-Objekten über authentifizierte Browsersitzungen wird nicht unterstützt.
- Wenn sie in einer App Hub-Anwendung in einem für die Anwendungsverwaltung konfigurierten Ordner bereitgestellt werden, werden BigQuery-Tabellen und -Datasets nicht unterstützt.
- Wenn ein Hauptkonto innerhalb von 24 Stunden mehrmals von einem nicht konformen Standort aus auf eine Ressource zugreift, werden Verstöße nur für den ersten Zugriff unterstützt.
CMEK-Verschlüsselung erzwingen
Bei diesen Kontrollen müssen Sie bestimmte Ressourcen mit CMEKs verschlüsseln. Dazu gehören:
- CMEK für Vertex AI-Datasets aktivieren
- CMEK für Vertex AI Metadata Stores aktivieren
- CMEK für Vertex AI-Modelle aktivieren
- CMEK für Vertex AI Feature Store aktivieren
- CMEK für BigQuery-Tabellen aktivieren
Wenn Sie diese Steuerelemente in einer App Hub-Anwendung bereitstellen, werden BigQuery-Tabellen nicht unterstützt.
Maximale Richtlinien zur Datenaufbewahrung verwalten
Mit der Einstellung Maximale Aufbewahrungsdauer für vertrauliche Daten festlegen wird die Aufbewahrungsdauer für vertrauliche Daten festgelegt. Sie können Ressourcen (z. B. BigQuery-Tabellen) auswählen und eine Cloud-Kontrolle zum Löschen von Daten anwenden, die erkennt, ob eine der Ressourcen die Aufbewahrungslimits für das maximale Alter überschreitet.
Die folgenden Asset-Typen werden unterstützt:
- BigQuery-Datasets und -Tabellen
- Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher
Wenn Sie dieses Steuerelement für eine App Hub-Anwendung bereitstellen, werden BigQuery-Tabellen und ‑Datasets nicht unterstützt.
DSPM mit Schutz sensibler Daten verwenden
DSPM funktioniert mit Sensitive Data Protection. Mit Sensitive Data Protection werden die sensiblen Daten in Ihrer Organisation gefunden. Mit DSPM können Sie Cloud-Kontrollen für die Datensicherheit für die sensiblen Daten bereitstellen, um Ihre Sicherheits- und Compliance-Anforderungen zu erfüllen.
In der folgenden Tabelle wird beschrieben, wie Sie Sensitive Data Protection für die Datenermittlung und DSPM für die Richtliniendurchsetzung und die Verwaltung des Sicherheitsstatus verwenden können.
| Dienst | Sensitive Data Protection |
DSPM |
|---|---|---|
| Datenumfang | Sucht und klassifiziert sensible Daten (z. B. personenidentifizierbare Informationen oder Secrets) im Speicher auf Google Cloud. |
Bewertet den Sicherheitsstatus rund um die klassifizierten sensiblen Daten. |
| Kernaktionen | Sensible Daten werden gescannt, profiliert und de-identifiziert. |
Erzwingt, überwacht und validiert Richtlinien. |
| Fokus der Ergebnisse | Berichte darüber, wo sich die sensiblen Daten befinden (z. B. in BigQuery oder Cloud Storage). |
Berichte darüber, warum die Daten offengelegt werden (z. B. öffentlicher Zugriff, fehlende CMEK oder übermäßige Berechtigungen). |
| Integration | Stellt DSPM Metadaten zur Sensibilität und Klassifizierung zur Verfügung. |
Verwendet Daten zum Schutz sensibler Daten, um Sicherheitskontrollen und Risikobewertungen anzuwenden und zu überwachen. |
Nächste Schritte
- DSPM aktivieren
- Ergebnisse von Jobs zur Überprüfung des Schutzes sensibler Daten an Security Command Center senden