Die Datensicherheitsstatus-Verwaltung (Data Security Posture Management, DSPM) bietet eine datenzentrierte Sicht auf die Google Cloud Sicherheit. Mit DSPM können Sie Datenrisiken kontinuierlich erkennen und reduzieren, indem Sie nachvollziehen, welche sensiblen Daten Sie haben, wo sie in Google Cloudgespeichert sind und ob ihre Verwendung Ihren Sicherheits- und Compliance Anforderungen entspricht.
Die DSPM-Funktionen hängen von Ihrer Security Command Center-Dienststufe ab. Weitere Informationen zu den DSPM-Funktionen, die in der Dienststufe „Standard“ verfügbar sind, finden Sie in der Übersicht zur Dienststufe „Standard“ unter Verwaltung des Datensicherheitsstatus.
Mit DSPM in den Dienststufen „Premium“ und „Enterprise“ kann Ihr Team die folgenden Aufgaben zur Datensicherheit ausführen:
Datenerkennung und ‑klassifizierung: Automatische Erkennung und Klassifizierung sensibler Datenressourcen in Ihrer Google Cloud Umgebung, einschließlich BigQuery und Cloud Storage.
Data Governance:Bewerten Sie Ihren aktuellen Datensicherheitsstatus anhand der Best Practices und Compliance-Frameworks von Google, um potenzielle Sicherheitsprobleme zu erkennen und zu beheben.
Kontrollenerzwingung:Zuordnung Ihrer Sicherheitsanforderungen zu bestimmten Cloud-Steuerelementen für die Data Governance, z. B. Data Access Governance und Data Flow Governance.
Compliance-Monitoring:Überwachung von Arbeitslasten anhand angewendeter Frameworks zur Datensicherheit, um die Übereinstimmung nachzuweisen, Verstöße zu beheben und Nachweise für Audits zu generieren.
Kernkomponenten von DSPM
In den folgenden Abschnitten werden die Komponenten von DSPM beschrieben.
Datensicherheitsstatus mit dem DSPM-Dashboard überwachen
Im Dashboard für die Datensicherheit in der Google Cloud Console können Sie sehen, inwiefern die Daten Ihrer Organisation Ihren Anforderungen an Datensicherheit und Compliance entsprechen.
Im Datenkarten-Explorer auf dem Dashboard für die Datensicherheit werden die geografischen Standorte angezeigt, an denen Ihre Daten gespeichert sind. Sie können Informationen zu Ihren Daten nach geografischem Standort, Empfindlichkeit der Daten, zugehörigem Projekt und den Google Cloud Diensten filtern, in denen die Daten gespeichert sind. Die Kreise auf der Datenkarte stellen die relative Anzahl von Datenressourcen und Datenressourcen mit Benachrichtigungen in der Region dar.
Sie können Ergebnisse zur Datensicherheit ansehen, die auftreten, wenn eine Datenressource gegen ein Cloud-Steuerelement zur Datensicherheit verstößt. Wenn ein neues Ergebnis generiert wird, kann es bis zu zwei Stunden dauern, bis es im Datenkarten-Explorer angezeigt wird.
Sie können auch Informationen zu den bereitgestellten Frameworks zur Datensicherheit, zur Anzahl der offenen Ergebnisse, die mit den einzelnen Frameworks verknüpft sind, und zum Prozentsatz der Ressourcen in Ihrer Umgebung ansehen, die von mindestens einem Framework abgedeckt werden.
(Vorabversion) Auf dem Dashboard werden auch Statistiken zur Daten sicherheit angezeigt, mit denen Sie potenzielle Datenrisiken proaktiv erkennen können. Die Statistiken sind nur für Ressourcen verfügbar, die hochsensible Daten enthalten. Die Ressourcen müssen mit Sensitive Data Protection gescannt werden und der Scan muss so konfiguriert sein, dass Ergebnisse in Security Command Center veröffentlicht werden.
Das Dashboard zeigt Folgendes:
- Nutzer, die am häufigsten auf hochsensible Daten zugreifen. Eine Tabelle, in der hervorgehoben wird, welche Nutzer und Dienstkonten am häufigsten auf sensible Daten zugreifen. Sie bietet eine KI-zentrierte Ansicht, mit der Sie nach KI-Agenten filtern können. Standardmäßig werden in der Tabelle nur Aktivitäten von KI-Agenten angezeigt, sofern vorhanden. Andernfalls werden in der Tabelle alle Hauptkonten angezeigt. Sie können den Filter umschalten, um alle Zugriffe zu sehen. Die angezeigten Daten sind auf Cloud Storage-Buckets, BigQuery-Tabellen und Ressourcen der Gemini Enterprise Agent Platform beschränkt.
- Instanzen des grenzüberschreitenden Zugriffs (nur auf Cloud Storage-Buckets, BigQuery-Tabellen und Ressourcen der Gemini Enterprise Agent Platform beschränkt).
- Instanzen, in denen länderspezifische sensible Daten außerhalb der zugehörigen Region gespeichert sind (gilt für alle Google Cloud Ressourcen).
Das Dashboard enthält keine Sicherheitsstatistiken für Folgendes:
- Mit CMEK verschlüsselte Assets
- Ressourcen in der Region
me-central2
DSPM-Frameworks zur Datensicherheit und Compliance
Mit Frameworks können Sie Ihre Anforderungen an Datensicherheit und Compliance definieren und diese Anforderungen auf Ihre Google Cloud Umgebung anwenden. DSPM umfasst das Framework „Grundlagen der Datensicherheit und des Datenschutzes“, in dem empfohlene Baseline-Kontrollen für Datensicherheit und Compliance definiert sind. Wenn Sie DSPM aktivieren, wird dieses Framework automatisch im Erkennungsmodus auf die Google Cloud Organisation angewendet. Sie können die generierten Ergebnisse verwenden, um Ihren Datensicherheitsstatus zu verbessern.
Bei Bedarf können Sie Kopien des Frameworks erstellen, um benutzerdefinierte Frameworks zur Datensicherheit zu erstellen. Sie können Ihren benutzerdefinierten Frameworks die erweiterten Cloud-Steuerelemente zur Datensicherheit hinzufügen und die benutzerdefinierten Frameworks auf die Organisation, Ordner, Projekte und App Hub-Anwendungen in Ordnern anwenden, die für die Anwendungsverwaltung konfiguriert sind. Sie können beispielsweise benutzerdefinierte Frameworks erstellen, die Kontrollen für den Justizbezirk auf bestimmte Ordner anwenden, um sicherzustellen, dass Daten in diesen Ordnern in einer bestimmten geografischen Region verbleiben.
Framework „Grundlagen der Datensicherheit und des Datenschutzes“ (Baseline-Kontrollen)
Die folgenden Cloud-Steuerelemente sind Teil des Frameworks „Grundlagen der Datensicherheit und des Datenschutzes“.
| Cloud-Kontrolle | Beschreibung |
|---|---|
Erkennt, wenn CMEK nicht für BigQuery-Tabellen verwendet wird, die sensible Daten enthalten. |
|
Erkennt, wenn CMEK nicht für BigQuery-Datasets verwendet wird, die sensible Daten enthalten. |
|
Öffentlichen Zugriff auf BigQuery-Datasets mit sensiblen Daten blockieren |
Erkennt sensible Daten in öffentlich zugänglichen BigQuery-Datasets. |
Öffentlichen Zugriff auf Cloud SQL-Instanzen mit sensiblen Daten blockieren |
Erkennt sensible Daten in öffentlich zugänglichen SQL-Datenbanken. |
CMEK für Cloud SQL-Instanzen mit sensiblen Daten erforderlich |
Erkennt, wenn CMEK nicht für SQL-Datenbanken verwendet wird, die sensible Daten enthalten. |
Erweiterte Cloud-Steuerelemente für Data Governance und Sicherheit
DSPM umfasst erweiterte Funktionen zur Datensicherheit, mit denen Sie zusätzliche Anforderungen an die Datensicherheit erfüllen können. Diese erweiterten Cloud-Steuerelemente zur Datensicherheit sind wie folgt gruppiert:
- Nutzerberechtigungen überwachen:Erkennt, ob andere Hauptkonten als die von Ihnen angegebenen auf sensible Daten zugreifen. Der Name des Steuerelements ist Zugriff auf sensible Daten auf zulässige Nutzer beschränken.
- Daten-Exfiltration verhindern:Erkennt, ob Clients außerhalb der angegebenen geografischen Standorte (Länder) auf sensible Daten zugreifen. Der Name des Steuerelements ist Datenfluss sensibler Daten über geografische Justizbezirke hinweg einschränken.
- CMEK-Verschlüsselung erzwingen: Erkennt, ob sensible Daten ohne vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) Verschlüsselung erstellt werden. Mehrere Steuerelemente helfen dabei, CMEK für verschiedene Google Cloud Dienste zu erzwingen.
- Datenlöschung verwalten:Erkennt Verstöße gegen Richtlinien zur maximalen Aufbewahrungsdauer für sensible Daten. Der Name des Steuerelements ist Maximale Aufbewahrungsdauer für sensible Daten verwalten.
- Datenaufbewahrung verwalten: (Vorabversion) Erzwingt eine Mindestaufbewahrungsdauer (in Sekunden) für Cloud Storage-Objekte, um sicherzustellen, dass sie für einen Mindestzeitraum aufbewahrt werden. Der Name des Steuerelements ist Mindestaufbewahrungsdauer für Cloud Storage-Objekte verwalten. Sie müssen sich registrieren, um dieses Steuerelement zu verwenden.
- Datenverschlüsselung verwalten: (Vorabversion) Erfordert die Verschlüsselung für Objekte in Cloud Storage-Buckets. Der Name des Steuerelements ist Vom Kunden verwaltete Verschlüsselung für Cloud Storage-Objekte erforderlich. Sie müssen sich registrieren, um dieses Steuerelement zu verwenden.
- Öffentlichen Zugriff auf Daten verwalten (Vorabversion) Beschränkt den öffentlichen Zugriff auf Objekte in Cloud Storage-Buckets, um das Risiko der Datenoffenlegung zu vermeiden. Der Name des Steuerelements ist Öffentlichen Zugriff auf Cloud Storage-Objekte beschränken. Sie müssen sich registrieren, um dieses Steuerelement zu verwenden.
Diese Steuerelemente unterstützen nur den Erkennungsmodus. Weitere Informationen zum Bereitstellen dieser Steuerelemente finden Sie unter DSPM verwenden.
Nutzerberechtigungen überwachen
Mit dem Steuerelement „Zugriff auf sensible Daten auf zulässige Nutzer beschränken“ wird der Zugriff auf sensible Daten auf bestimmte Hauptkontogruppen beschränkt. Wenn ein nicht konformer Zugriffsversuch (Zugriff durch andere Hauptkonten als die zulässigen) auf Datenressourcen erfolgt, wird ein Ergebnis erstellt. Unterstützte Hauptkontotypen sind Nutzerkonten oder Gruppen. Informationen zum zu verwendenden Format finden Sie in der Tabelle mit den unterstützten Hauptkontoformaten.
Nutzerkonten umfassen Folgendes:
- Private Google-Konten, für die sich Nutzer auf google.com registrieren, z. B. Gmail.com-Konten
- Verwaltete Google-Konten für Unternehmen
- Google Workspace for Education-Konten
Nutzerkonten umfassen keine Roboterkonten, Dienstkonten, Markenkonten, die nur für die Delegierung verwendet werden, Ressourcenkonten und Gerätekonten.
Zu den unterstützten Assettypen gehören:
- BigQuery-Datasets und ‑Tabellen
- Cloud Storage-Buckets
- Modelle, Datasets, Feature Stores und Metadatenspeicher der Gemini Enterprise Agent Platform
DSPM prüft die Konformität mit diesem Steuerelement, wenn ein Nutzerkonto einen unterstützten Ressourcentyp liest.
Für dieses Cloud-Steuerelement müssen Sie Audit-Logs zum Datenzugriff für Cloud Storage und die Agent Platform aktivieren.
Einschränkungen:
- Es werden nur Lesevorgänge unterstützt.
- Der Zugriff durch Dienstkonten, einschließlich der Identitätsübernahme des Dienstkontos, ist von diesem Steuerelement ausgenommen. Als Abhilfemaßnahme sollten Sie dafür sorgen, dass nur vertrauenswürdige Dienstkonten Zugriff auf sensible Cloud Storage-, BigQuery- und Agent Platform-Ressourcen haben. Erteilen Sie außerdem Nutzern, die keinen Zugriff haben sollten, nicht die Dienstkonto-Token-Ersteller (
roles/iam.serviceAccountTokenCreator) role to users who shouldn't have access. - Dieses Steuerelement verhindert nicht den Zugriff von Nutzern auf Kopien, die durch Dienstkonto-Vorgänge erstellt wurden, z. B. durch Storage Transfer Service und BigQuery Data Transfer Service. Nutzer können auf Kopien von Daten zugreifen, für die dieses Steuerelement nicht aktiviert ist.
- Verknüpfte Datasets
werden nicht unterstützt. Verknüpfte Datasets erstellen ein schreibgeschütztes BigQuery-Dataset, das als symbolischer Link zu einem Quelldataset dient. Verknüpfte Datasets erzeugen keine Audit-Logs zum Datenzugriff und ermöglichen es möglicherweise einem nicht autorisierten Nutzer, Daten zu lesen, ohne dass dies gekennzeichnet wird. Ein Nutzer könnte beispielsweise die Zugriffssteuerung umgehen, indem er ein Dataset mit einem Dataset außerhalb Ihrer Compliance-Grenze verknüpft. Anschließend könnte er das neue Dataset abfragen, ohne Logs für das Quelldataset zu generieren. Als Abhilfemaßnahme sollten Sie Nutzern, die keinen Zugriff auf sensible
BigQuery-Ressourcen haben sollten, nicht die Rollen „BigQuery-Administrator
(
roles/bigquery.admin), BigQuery-Dateninhaber (roles/bigquery.dataOwner) oder „BigQuery Studio-Administrator (roles/bigquery.studioAdmin) zuweisen. - Abfragen von Platzhaltertabellen werden auf Dataset-Ebene, aber nicht auf Tabellensatzebene unterstützt. Mit dieser Funktion können Sie mehrere BigQuery-Tabellen gleichzeitig mit Platzhaltern abfragen. DSPM verarbeitet Platzhalterabfragen so, als würden Sie auf das übergeordnete BigQuery-Dataset zugreifen, nicht auf einzelne Tabellen im Dataset.
- Der öffentliche Zugriff auf Cloud Storage-Objekte wird nicht unterstützt. Der öffentliche Zugriff gewährt allen Nutzern Zugriff ohne Richtlinienprüfungen.
- Der Zugriff auf oder das Herunterladen von Cloud Storage-Objekten über authentifizierte Browsersitzungen wird nicht unterstützt.
- Bei der Bereitstellung für eine App Hub-Anwendung werden BigQuery-Tabellen und ‑Datasets nicht unterstützt.
Daten-Exfiltration verhindern
Mit dem Steuerelement „Datenfluss sensibler Daten über geografische Justizbezirke hinweg einschränken“ können Sie die zulässigen Länder angeben, von denen aus auf Daten zugegriffen werden kann. Die Cloud-Kontrolle funktioniert so:
Wenn eine Leseanfrage aus dem Internet kommt, wird das Land anhand der IP-Adresse der Leseanfrage ermittelt. Wenn ein Proxy zum Senden der Leseanfrage verwendet wird, werden Benachrichtigungen basierend auf dem Standort des Proxys gesendet.
Wenn die Leseanfrage von einer Compute Engine-VM stammt, wird das Land durch die Cloud-Zone bestimmt, aus der die Anfrage stammt.
Zu den unterstützten Assettypen gehören:
- BigQuery-Datasets und ‑Tabellen
- Cloud Storage-Buckets
- Modelle, Datasets, Feature Stores und Metadatenspeicher der Agent Platform
Einschränkungen:
- Es werden nur Lesevorgänge unterstützt.
- Für die Agent Platform werden nur Anfragen aus dem Internet unterstützt.
- Der öffentliche Zugriff auf Cloud Storage-Objekte wird nicht unterstützt.
- Der Zugriff auf oder das Herunterladen von Cloud Storage-Objekten über authentifizierte Browsersitzungen wird nicht unterstützt.
- Bei der Bereitstellung für eine App Hub-Anwendung in einem Ordner, der für die Anwendungsverwaltung konfiguriert ist, werden BigQuery Tabellen und ‑Datasets nicht unterstützt.
- Wenn ein Hauptkonto innerhalb von 24 Stunden mehrmals von einem nicht konformen Standort aus auf eine Ressource zugreift, werden Verstöße nur für den ersten Zugriff unterstützt.
CMEK-Verschlüsselung erzwingen
Für diese Steuerelemente müssen Sie bestimmte Ressourcen mit CMEKs verschlüsseln. Dazu gehören:
- CMEK für Datasets der Gemini Enterprise Agent Platform aktivieren
- CMEK für Metadatenspeicher der Gemini Enterprise Agent Platform aktivieren
- CMEK für Modelle der Gemini Enterprise Agent Platform aktivieren
- CMEK für Feature Stores der Gemini Enterprise Agent Platform aktivieren
- CMEK für BigQuery-Tabellen aktivieren
Wenn Sie diese Steuerelemente für eine App Hub-Anwendung bereitstellen, werden BigQuery-Tabellen nicht unterstützt.
Richtlinien zur maximalen Datenaufbewahrung verwalten
Mit dem Steuerelement „Maximale Aufbewahrungsdauer für sensible Daten verwalten“ wird die Aufbewahrungsdauer für sensible Daten verwaltet. Sie können Ressourcen (z. B. BigQuery-Tabellen) auswählen und ein Cloud-Steuerelement zur Datenlöschung anwenden, das erkennt, ob eine der Ressourcen die Aufbewahrungslimits für das maximale Alter überschreitet.
Zu den unterstützten Assettypen gehören:
- BigQuery-Datasets und ‑Tabellen
- Modelle, Datasets, Feature Stores und Metadatenspeicher der Agent Platform
- Cloud Storage-Objekte (Vorabversion). Sie müssen sich registrieren, um dieses Steuerelement zu verwenden.
Wenn Sie dieses Steuerelement für eine App Hub-Anwendung bereitstellen, werden BigQuery-Tabellen und ‑Datasets nicht unterstützt.
Datenaufbewahrung verwalten
Mit dem Steuerelement Mindestaufbewahrungsdauer für Cloud Storage-Objekte verwalten wird eine Mindestaufbewahrungsdauer für Cloud Storage-Objekte erzwungen. Dieses Steuerelement verhindert das Löschen oder Ändern von Cloud Storage-Objekten, bis die Mindestaufbewahrungsdauer (in Sekunden angegeben) abgelaufen ist.
Dieses Steuerelement erkennt Cloud Storage-Objekte, die nicht der konfigurierten Mindestaufbewahrungsrichtlinie entsprechen. Ergebnisse werden in Security Command Center auf Bucket-Ebene generiert. Sie können die Ergebnisse auf Objektebene in Storage Intelligence-Datasets abfragen (in object_security_findings_view). Ergebnisse auf Objektebene haben findingType: SCC_DSPM_DATA_RETENTION und findingReason: MINIMUM_RETENTION_VIOLATION.
Unterstützte Assettypen: Cloud Storage-Objekte
Sie müssen sich registrieren, um dieses Steuerelement zu verwenden.
Datenverschlüsselung verwalten
Mit dem Steuerelement Vom Kunden verwaltete Verschlüsselung für Cloud Storage-Objekte erforderlich können Sie die Verschlüsselung für Objekte in Cloud Storage-Buckets mit CMEKs erzwingen. Das Steuerelement erkennt Cloud Storage-Objekte, die nicht mit CMEK verschlüsselt sind und somit gegen Ihre Verschlüsselungsrichtlinie verstoßen.
Ergebnisse werden in Security Command Center auf Bucket-Ebene generiert. Sie können die Ergebnisse auf Objektebene in Storage Intelligence-Datasets abfragen (in object_security_findings_view). Ergebnisse auf Objektebene haben findingType: SCC_DSPM_ENCRYPTION_NO_CMEK und findingReason: ENCRYPTION_CMEK_VIOLATION.
Unterstützte Assettypen: Cloud Storage-Objekte
Sie müssen sich registrieren, um dieses Steuerelement zu verwenden.
Öffentlichen Zugriff auf Daten verwalten
Mit dem Steuerelement Öffentlichen Zugriff auf Cloud Storage-Objekte beschränken können Sie den öffentlichen Zugriff auf Objekte in Cloud Storage-Buckets beschränken, um das Risiko einer Datenpanne zu vermeiden. Dieses Steuerelement erkennt Cloud Storage-Objekte, die öffentlich zugänglich sind und somit gegen Ihre Richtlinie für den öffentlichen Zugriff verstoßen.
Ergebnisse werden in Security Command Center auf Bucket-Ebene generiert. Sie können die detaillierten Ergebnisse auf Objektebene in Storage Intelligence-Datasets abfragen (in object_security_findings_view). Ergebnisse auf Objektebene haben findingType: SCC_DSPM_PUBLIC_ACCESS_GOVERNANCE und findingReason: PUBLIC_ACCESS_VIOLATION.
Das Feld sccDspmFinding.securityInsights im Ergebnis auf Objektebene enthält weitere Details zum Status der öffentlichen Zugänglichkeit, einschließlich Lese- und Schreibzugriff.
Unterstützte Assettypen: Cloud Storage-Objekte
Sie müssen sich registrieren, um dieses Steuerelement zu verwenden.
DSPM mit Sensitive Data Protection verwenden
DSPM funktioniert mit Sensitive Data Protection. Sensitive Data Protection findet die sensiblen Daten in Ihrer Organisation und mit DSPM können Sie Cloud-Steuerelemente zur Datensicherheit für die sensiblen Daten bereitstellen, um Ihre Sicherheits- und Compliance-Anforderungen zu erfüllen.
In der folgenden Tabelle wird beschrieben, wie Sie Sensitive Data Protection für die Datenerkennung und DSPM für die Richtlinienerzwingung und die Verwaltung des Datensicherheitsstatus verwenden können.
| Dienst | Sensitive Data Protection |
DSPM |
|---|---|---|
| Datenumfang | Erkennt und klassifiziert sensible Daten (z. B. personenbezogene Daten oder Geheimnisse) im Speicher von Google Cloud. |
Bewertet den Sicherheitsstatus rund um die klassifizierten sensiblen Daten. |
| Kernaktionen | Scannt, profiliert und de-identifiziert sensible Daten. |
Erzwingt, überwacht und validiert Richtlinien. |
| Fokus der Ergebnisse | Berichtet, wo sich die sensiblen Daten befinden (z. B. BigQuery oder Cloud Storage). |
Berichtet, warum die Daten offengelegt werden (z. B. öffentlicher Zugriff, fehlender CMEK oder übermäßige Berechtigungen). |
| Integration | Liefert DSPM Metadaten zur Empfindlichkeit und Klassifizierung. |
Verwendet Sensitive Data Protection-Daten, um Sicherheitskontrollen und Risikobewertungen anzuwenden und zu überwachen. |
Nächste Schritte
- DSPM aktivieren.
- Ergebnisse von Sensitive Data Protection-Prüfjobs an Security Command Center senden.