Data Security Posture Management (DSPM) 提供以資料為中心的 Google Cloud 安全性檢視畫面。DSPM 可協助您瞭解擁有哪些敏感資料、這些資料在Google Cloud中的儲存位置,以及資料使用方式是否符合安全性與法規遵循規定,進而持續識別及降低資料風險。
DSPM 可協助團隊完成下列資料安全工作:
資料探索和分類:自動探索及分類 Google Cloud 環境中的機密資料資源,包括 BigQuery 和 Cloud Storage。
資料控管:根據 Google 的最佳做法和法規遵循架構,評估目前的資料安全防護機制,找出並修正潛在的安全性問題。
控管執行:將安全需求對應至特定的資料治理雲端控制項,例如資料存取治理和資料流程治理。
法規遵循監控:根據套用的資料安全架構監控工作負載,證明符合規定、修正違規事項,並產生稽核證據。
DSPM 的核心元件
以下各節說明 DSPM 的元件。
使用 DSPM 資訊主頁監控資料安全防護機制
您可以在Google Cloud 控制台中查看資料安全資訊主頁,瞭解貴機構的資料是否符合資料安全和法規遵循規定。
資料安全資訊主頁的資料地圖探索工具會顯示資料儲存的地理位置,並讓您依地理位置、資料機密程度、相關聯的專案,以及Google Cloud 儲存資料的服務,篩選資料相關資訊。資料地圖上的圓圈代表區域中資料資源的相對數量,以及有快訊的資料資源。
您可以查看資料安全性發現項目,這類項目會在資料資源違反資料安全性雲端控制項時出現。系統偵測到新發現後,最多可能需要兩小時,資料地圖探索工具才會顯示該發現。
您也可以查看已部署的資料安全架構相關資訊、與各架構相關的未解決發現項目數量,以及環境中至少有一個架構涵蓋的資源百分比。
DSPM 資料安全架構和法規遵循
您可以使用架構定義資料安全和法規遵循需求,並將這些需求套用至 Google Cloud 環境。DSPM 包含資料安全與隱私權基本架構,其中定義了資料安全與法規遵循的建議基準控制項。啟用 DSPM 後,系統會自動以偵測模式將這個架構套用至Google Cloud 機構。您可以根據產生的結果強化資料防護機制。
如有需要,您可以複製架構,建立自訂資料安全架構。您可以將進階資料安全雲端控制項新增至自訂架構,並將自訂架構套用至已設定應用程式管理功能的資料夾中的機構、資料夾、專案和 App Hub 應用程式。舉例來說,您可以建立自訂架構,對特定資料夾套用管轄區控管措施,確保這些資料夾中的資料留在特定地理區域。
資料安全與隱私權基本架構 (基準控制項)
下列雲端控制項是資料安全與隱私權基本架構的一部分。
| CloudControl | 說明 |
|---|---|
偵測未對含有私密資料的 BigQuery 資料表使用 CMEK。 |
|
偵測包含機密資料的 BigQuery 資料集是否未使用 CMEK。 |
|
偵測可公開存取的 BigQuery 資料集中的機密資料。 |
|
偵測可公開存取的 SQL 資料庫中的機密資料。 |
|
偵測包含私密資料的 SQL 資料庫是否未使用 CMEK。 |
進階資料管理與安全雲端控制項
DSPM 包含進階資料安全功能,可協助您滿足額外的資料安全需求。這些進階資料安全雲端控制項可分為以下幾類:
- 監控使用者權限:偵測您指定的以外的主體是否正在存取私密資料。這項控制措施的名稱為「Restrict Access to Sensitive Data to Permitted Users」(限制只有獲准的使用者可以存取機密資料)。
- 防止資料外洩:偵測指定地理位置 (國家/地區) 以外的用戶端是否存取機密資料。控制項名稱為「Restrict Flow of Sensitive Data Across Geographic Jurisdictions」(限制私密資料在地理管轄區間流動)。
- 強制執行 CMEK 加密:偵測是否在沒有客戶自行管理的加密金鑰 (CMEK) 加密的情況下建立機密資料。多項控制項可協助對不同 Google Cloud服務強制執行 CMEK。
- 管理資料保留:偵測是否違反機密資料的保留期限上限政策。控管名稱為「Govern the Maximum Retention Period for Sensitive Data」(控管機密資料的最長保留期限)。
這些控制選項僅支援偵測模式。如要進一步瞭解如何部署這些控制項,請參閱「使用 DSPM」。
監控使用者權限
「限制只有獲准的使用者才能存取機密資料」控制項會限制只有指定主體集才能存取機密資料。如果有人嘗試以不符規定的方式存取資料資源 (也就是由允許主體以外的主體存取),系統就會建立調查結果。支援的主體類型為使用者帳戶或群組。如要瞭解應使用的格式,請參閱支援的主體格式表格。
使用者帳戶包括:
- 使用者在 google.com 註冊的 Google 個人帳戶,例如 Gmail.com 帳戶
- 企業專用的受管理 Google 帳戶
- Google Workspace for Education 帳戶
使用者帳戶不包括機器人帳戶、服務帳戶、僅供委派的品牌帳戶、資源帳戶和裝置帳戶。
支援的資產類型包括:
- BigQuery 資料集和資料表
- Cloud Storage 值區
- Vertex AI 模型、資料集、特徵儲存庫和中繼資料儲存庫
每當使用者帳戶讀取支援的資源類型時,DSPM 就會評估是否符合這項控制項。
這項雲端控管機制需要為 Cloud Storage 和 Vertex AI 啟用資料存取稽核記錄。
限制包括:
- 僅支援讀取作業。
- 服務帳戶的存取權 (包括服務帳戶模擬) 不受這項控管措施限制。為減輕影響,請確保只有受信任的服務帳戶可以存取機密 Cloud Storage、BigQuery 和 Vertex AI 資源。此外,請勿將服務帳戶憑證建立者 (
roles/iam.serviceAccountTokenCreator) 角色授予不應具備存取權的使用者。 - 這項控管措施無法禁止使用者存取透過服務帳戶作業建立的副本,例如透過 Storage Transfer Service 和 BigQuery 資料移轉服務建立的副本。使用者可以存取未啟用這項控制項的資料副本。
- 不支援連結的資料集。連結的資料集會建立唯讀 BigQuery 資料集,做為來源資料集的符號連結。連結的資料集不會產生資料存取稽核記錄,且可能讓未經授權的使用者讀取資料,而不會遭到標記。舉例來說,使用者可以將資料集連結至法規遵循範圍外的資料集,藉此規避存取控制,然後查詢新資料集,而不必針對來源資料集產生記錄。為減輕影響,請勿將 BigQuery 管理員 (
roles/bigquery.admin)、BigQuery 資料擁有者 (roles/bigquery.dataOwner) 或 BigQuery Studio 管理員 (roles/bigquery.studioAdmin) 角色授予不應存取機密 BigQuery 資源的使用者。 - 萬用字元資料表查詢支援資料集層級,但不支援資料表集層級。這項功能可讓您使用萬用字元運算式,同時查詢多個 BigQuery 資料表。DSPM 會處理萬用字元查詢,就像您存取父項 BigQuery 資料集,而非資料集中的個別資料表。
- 不支援公開存取 Cloud Storage 物件。公開存取權:授予所有使用者存取權,不進行任何政策檢查。
- 系統不支援使用已驗證的瀏覽器工作階段存取或下載 Cloud Storage 物件。
- 部署至 App Hub 應用程式時,系統不支援 BigQuery 資料表和資料集。
防範資料竊取
限制機密資料跨地理管轄區流動控制項可讓您指定允許存取資料的國家/地區。雲端控制項的運作方式如下:
如果讀取要求來自網際網路,系統會根據讀取要求的 IP 位址判斷國家/地區。如果使用 Proxy 傳送讀取要求,系統會根據 Proxy 的位置傳送快訊。
如果讀取要求來自 Compute Engine VM,系統會根據要求來源的雲端區域判斷國家/地區。
支援的資產類型包括:
- BigQuery 資料集和資料表
- Cloud Storage 值區
- Vertex AI 模型、資料集、特徵儲存庫和中繼資料儲存庫
限制包括:
- 僅支援讀取作業。
- Vertex AI 僅支援來自網際網路的要求。
- 不支援公開存取 Cloud Storage 物件。
- 系統不支援使用已驗證的瀏覽器工作階段存取或下載 Cloud Storage 物件。
- 如果部署到為應用程式管理設定的資料夾中,App Hub 應用程式就不支援 BigQuery 表格和資料集。
- 如果主體在 24 小時內從不符規定的位置多次存取資源,系統只會針對第一次存取記錄違規事項。
強制執行 CMEK 加密
這些控制項要求您使用 CMEK 加密特定資源。包括:
- 為 Vertex AI 資料集啟用 CMEK
- 為 Vertex AI 中繼資料儲存庫啟用 CMEK
- 為 Vertex AI 模型啟用 CMEK
- 為 Vertex AI Featurestore 啟用 CMEK
- 為 BigQuery 資料表啟用 CMEK
將這些控制項部署至 App Hub 應用程式時,系統不支援 BigQuery 資料表。
管理最長資料保留政策
「控管機密資料的保留期限上限」控制項可控管機密資料的保留期限。您可以選取資源 (例如 BigQuery 資料表),並套用資料刪除雲端控制項,偵測是否有任何資源違反最長保留期限。
支援的資產類型包括:
- BigQuery 資料集和資料表
- Vertex AI 模型、資料集、特徵儲存庫和中繼資料儲存庫
將這項控制項部署至 App Hub 應用程式時,系統不支援 BigQuery 資料表和資料集。
搭配使用 DSPM 和 Sensitive Data Protection
DSPM 會與 Sensitive Data Protection 搭配運作。Sensitive Data Protection 會找出貴機構中的機密資料,而 DSPM 則可讓您在機密資料上部署資料安全雲端控制項,以符合安全性和法規遵循需求。
下表說明如何使用 Sensitive Data Protection 進行資料探索,以及如何使用 DSPM 執行政策和管理安全狀態。
| 服務 | Sensitive Data Protection |
DSPM |
|---|---|---|
| 資料範圍 | 在儲存空間中尋找及分類機密資料 (例如 PII 或密鑰) Google Cloud。 |
評估分類機密資料周圍的安全性態勢。 |
| 核心動作 | 掃描、剖析及去識別化機密資料。 |
強制執行、監控及驗證政策。 |
| 發現項目重點 | 報告機密資料的位置 (例如 BigQuery 或 Cloud Storage)。 |
報告會說明資料外洩的原因 (例如公開存取、缺少 CMEK 或權限過多)。 |
| 整合 | 將機密性和分類中繼資料提供給 DSPM。 |
使用 Sensitive Data Protection 資料套用及監控安全控制項和風險評估。 |