Pengelolaan Postur Keamanan Data (DSPM) memberikan tampilan keamanan yang berfokus pada data. Google Cloud DSPM memungkinkan Anda terus mengidentifikasi dan mengurangi risiko data dengan membantu Anda memahami data sensitif yang Anda miliki, tempat data tersebut disimpan di Google Cloud, dan apakah penggunaannya sesuai dengan persyaratan keamanan dan kepatuhan Anda.
Kemampuan DSPM bergantung pada paket layanan Security Command Center Anda. Lihat Ringkasan Pengelolaan Postur Keamanan Data di tingkat Standar untuk mengetahui informasi selengkapnya tentang kemampuan DSPM yang tersedia di tingkat Standar.
DSPM di tingkat Premium dan Enterprise memungkinkan tim Anda menyelesaikan tugas keamanan data berikut:
Penemuan dan klasifikasi data: Menemukan dan mengklasifikasikan resource data sensitif secara otomatis di seluruh lingkungan Google Cloud Anda, termasuk BigQuery dan Cloud Storage.
Tata kelola data: Evaluasi postur keamanan data Anda saat ini berdasarkan praktik terbaik dan kerangka kerja kepatuhan Google untuk mengidentifikasi dan memperbaiki potensi masalah keamanan.
Penerapan kontrol: Petakan persyaratan keamanan Anda ke kontrol cloud tata kelola data tertentu, seperti Tata Kelola Akses Data dan Tata Kelola Alur Data.
Pemantauan kepatuhan: Memantau workload terhadap framework keamanan data yang diterapkan untuk membuktikan keselarasan, memulihkan pelanggaran, dan menghasilkan bukti untuk audit.
Komponen inti DSPM
Bagian berikut menjelaskan komponen DSPM.
Memantau postur keamanan data Anda dengan dasbor DSPM
Dasbor keamanan data di konsol Google Cloud memungkinkan Anda melihat kesesuaian data organisasi Anda dengan persyaratan keamanan dan kepatuhan data Anda.
Penjelajah peta data di dasbor keamanan data menampilkan lokasi geografis tempat data Anda disimpan dan memungkinkan Anda memfilter informasi tentang data Anda menurut lokasi geografis, tingkat sensitivitas data, project terkait, dan layanan yang menyimpan data.Google Cloud Lingkaran pada peta data mewakili jumlah relatif resource data dan resource data dengan pemberitahuan di wilayah tersebut.
Anda dapat melihat temuan keamanan data, yang terjadi saat resource data melanggar kontrol cloud keamanan data. Saat temuan baru dibuat, temuan tersebut mungkin memerlukan waktu hingga dua jam untuk muncul di penjelajah peta data.
Anda juga dapat meninjau informasi tentang framework keamanan data yang di-deploy, jumlah temuan terbuka yang terkait dengan setiap framework, dan persentase resource di lingkungan Anda yang tercakup oleh setidaknya satu framework.
(Pratinjau) Dasbor juga menampilkan insight keamanan data yang dapat Anda gunakan untuk mengidentifikasi potensi risiko data secara proaktif. Insight hanya tersedia untuk resource yang berisi data yang sangat sensitif. Resource harus dipindai oleh Sensitive Data Protection, dan pemindaian harus dikonfigurasi untuk memublikasikan hasil ke Security Command Center.
Dasbor menampilkan hal berikut:
- Pengguna yang paling sering mengakses data yang sangat sensitif (terbatas hanya pada bucket Cloud Storage, tabel BigQuery, dan resource Platform Agen Gemini Enterprise).
- Instance akses lintas batas (hanya terbatas pada bucket Cloud Storage, tabel BigQuery, dan resource Gemini Enterprise Agent Platform).
- Instance tempat data sensitif khusus negara disimpan di luar region terkait (berlaku untuk semua resource Google Cloud).
Dasbor tidak menyertakan insight keamanan untuk hal berikut:
- Aset yang dienkripsi oleh CMEK
- Resource di wilayah
me-central2
Framework keamanan dan kepatuhan data DSPM
Anda menggunakan framework untuk menentukan persyaratan keamanan dan kepatuhan data Anda serta menerapkan persyaratan tersebut ke lingkungan Google Cloud Anda. DSPM mencakup Framework dasar-dasar keamanan dan privasi data, yang menentukan kontrol dasar yang direkomendasikan untuk keamanan dan kepatuhan data. Jika Anda mengaktifkan DSPM, framework ini akan otomatis diterapkan ke organisasiGoogle Cloud dalam mode detektif. Anda dapat menggunakan temuan yang dihasilkan untuk memperkuat postur data Anda.
Jika diperlukan, Anda dapat membuat salinan framework untuk membuat framework keamanan data kustom. Anda dapat menambahkan kontrol cloud keamanan data lanjutan ke framework kustom dan menerapkan framework kustom ke organisasi, folder, project, dan aplikasi App Hub di folder yang dikonfigurasi untuk pengelolaan aplikasi. Misalnya, Anda dapat membuat framework kustom yang menerapkan kontrol yurisdiksi ke folder tertentu untuk memastikan bahwa data dalam folder tersebut tetap berada di wilayah geografis tertentu.
Framework dasar privasi dan keamanan data (kontrol dasar)
Kontrol cloud berikut adalah bagian dari framework Dasar-dasar keamanan dan privasi data.
| Kontrol cloud | Deskripsi |
|---|---|
Mendeteksi saat CMEK tidak digunakan untuk tabel BigQuery yang menyertakan data sensitif. |
|
Mewajibkan CMEK untuk Set Data BigQuery dengan Data Sensitif |
Mendeteksi saat CMEK tidak digunakan untuk set data BigQuery yang menyertakan data sensitif. |
Memblokir Akses Publik ke Set Data BigQuery dengan Data Sensitif |
Mendeteksi data sensitif dalam set data BigQuery yang dapat diakses secara publik. |
Memblokir Akses Publik ke Instance Cloud SQL dengan Data Sensitif |
Mendeteksi data sensitif dalam database SQL yang dapat diakses secara publik. |
Mewajibkan CMEK untuk Instance Cloud SQL dengan Data Sensitif |
Mendeteksi saat CMEK tidak digunakan untuk database SQL yang menyertakan data sensitif. |
Kontrol cloud keamanan dan tata kelola data tingkat lanjut
DSPM mencakup keamanan data tingkat lanjut untuk membantu Anda memenuhi persyaratan keamanan data tambahan. Kontrol cloud keamanan data tingkat lanjut ini dikelompokkan sebagai berikut:
- Memantau izin pengguna: Mendeteksi apakah prinsipal selain yang Anda tentukan mengakses data sensitif. Nama kontrolnya adalah Batasi Akses ke Data Sensitif untuk Pengguna yang Diizinkan.
- Mencegah pemindahan data yang tidak sah: Mendeteksi apakah klien yang berada di luar lokasi geografis (negara) tertentu mengakses data sensitif. Nama kontrolnya adalah Batasi Aliran Data Sensitif di Seluruh Yurisdiksi Geografis.
- Terapkan enkripsi CMEK: Mendeteksi apakah data sensitif sedang dibuat tanpa enkripsi kunci enkripsi yang dikelola pelanggan (CMEK). Beberapa kontrol membantu menerapkan CMEK untuk berbagai layanan Google Cloud.
- Mengelola penghapusan data: Mendeteksi pelanggaran terhadap kebijakan periode retensi maksimum untuk data sensitif. Nama kontrolnya adalah Atur Periode Retensi Maksimum untuk Data Sensitif.
- Mengelola retensi data: (Pratinjau) Menerapkan periode retensi minimum (dalam detik) untuk objek Cloud Storage guna memastikan bahwa objek tersebut dipertahankan selama jangka waktu minimum. Nama kontrolnya adalah Atur periode retensi minimum untuk objek Cloud Storage. Anda harus mendaftar untuk menggunakan kontrol ini.
- Mengelola enkripsi data: (Pratinjau) Memerlukan enkripsi untuk objek dalam bucket Cloud Storage. Nama kontrolnya adalah Require Customer-Managed Encryption for Cloud Storage Objects. Anda harus mendaftar untuk menggunakan kontrol ini.
- Mengelola akses publik ke data: (Pratinjau) Membatasi akses publik ke objek dalam bucket Cloud Storage untuk menghindari risiko eksposur data. Nama kontrolnya adalah Batasi Akses Publik ke Objek Cloud Storage. Anda harus mendaftar untuk menggunakan kontrol ini.
Kontrol ini hanya mendukung mode detektif. Untuk mengetahui informasi selengkapnya tentang cara men-deploy kontrol ini, lihat Menggunakan DSPM.
Memantau izin pengguna
Kontrol Batasi Akses ke Data Sensitif untuk Pengguna yang Diizinkan membatasi akses ke data sensitif untuk set utama yang ditentukan. Jika ada upaya akses yang tidak sesuai (akses oleh akun utama selain akun utama yang diizinkan) ke resource data, temuan akan dibuat. Jenis akun utama yang didukung adalah akun pengguna atau grup. Untuk mengetahui informasi tentang format yang akan digunakan, lihat tabel format utama yang didukung.
Akun pengguna mencakup hal berikut:
- Akun Google konsumen yang didaftarkan pengguna di google.com, seperti akun Gmail.com
- Akun Google terkelola untuk bisnis
- Akun Google Workspace for Education
Akun pengguna tidak mencakup akun robot, akun layanan, akun merek khusus delegasi, akun resource, dan akun perangkat.
Jenis aset yang didukung meliputi:
- Set data dan tabel BigQuery
- Bucket Cloud Storage
- Model, set data, penyimpanan fitur, dan penyimpanan metadata Platform Agen Gemini Enterprise
DSPM mengevaluasi kesesuaian dengan kontrol ini setiap kali akun pengguna membaca jenis resource yang didukung.
Kontrol cloud ini mengharuskan Anda mengaktifkan log audit Akses Data untuk Cloud Storage dan Agent Platform.
Batasan mencakup hal berikut:
- Hanya operasi baca yang didukung.
- Akses oleh akun layanan, termasuk peniruan akun layanan, dikecualikan dari kontrol ini. Sebagai mitigasi, pastikan hanya akun layanan tepercaya yang memiliki akses ke resource sensitif Cloud Storage, BigQuery, dan Agent Platform. Selain itu, jangan berikan peran
Pembuat Token Akun Layanan (
roles/iam.serviceAccountTokenCreator) kepada pengguna yang seharusnya tidak memiliki akses. - Kontrol ini tidak mencegah akses oleh pengguna ke salinan yang dibuat melalui operasi akun layanan seperti yang dibuat oleh Storage Transfer Service dan BigQuery Data Transfer Service. Pengguna dapat mengakses salinan data yang tidak mengaktifkan kontrol ini.
- Set data tertaut
tidak didukung. Set data tertaut membuat set data BigQuery hanya baca yang berfungsi sebagai link simbolis ke set data sumber. Set data tertaut tidak menghasilkan log audit akses data dan mungkin memungkinkan pengguna yang tidak sah membaca data tanpa ditandai. Misalnya, pengguna dapat melewati kontrol akses dengan menautkan set data ke set data di luar batas kepatuhan Anda, lalu membuat kueri set data baru tanpa membuat log terhadap set data sumber. Sebagai mitigasi, jangan berikan peran Admin BigQuery
(
roles/bigquery.admin), Pemilik Data BigQuery (roles/bigquery.dataOwner) atau Admin BigQuery Studio (roles/bigquery.studioAdmin) kepada pengguna yang tidak boleh memiliki akses ke resource BigQuery yang sensitif. - Kueri tabel karakter pengganti didukung di tingkat set data, tetapi tidak di tingkat set tabel. Fitur ini memungkinkan Anda membuat kueri beberapa tabel BigQuery secara bersamaan menggunakan ekspresi karakter pengganti. DSPM memproses kueri wildcard seolah-olah Anda mengakses set data BigQuery induk, bukan tabel individual dalam set data.
- Akses publik ke objek Cloud Storage tidak didukung. Akses publik memberikan akses kepada semua pengguna tanpa pemeriksaan kebijakan apa pun.
- Akses atau download objek Cloud Storage menggunakan sesi browser terautentikasi tidak didukung.
- Saat di-deploy ke aplikasi App Hub, tabel dan set data BigQuery tidak didukung.
Mencegah pemindahan data yang tidak sah
Kontrol Batasi Aliran Data Sensitif di Seluruh Yurisdiksi Geografis memungkinkan Anda menentukan negara yang diizinkan untuk mengakses data. Kontrol cloud berfungsi sebagai berikut:
Jika permintaan baca berasal dari internet, negara ditentukan berdasarkan alamat IP permintaan baca. Jika proxy digunakan untuk mengirim permintaan baca, pemberitahuan akan dikirim berdasarkan lokasi proxy.
Jika permintaan baca berasal dari VM Compute Engine, negara ditentukan oleh zona cloud tempat permintaan berasal.
Jenis aset yang didukung meliputi:
- Set data dan tabel BigQuery
- Bucket Cloud Storage
- Model, set data, penyimpanan fitur, dan penyimpanan metadata Agent Platform
Batasan mencakup hal berikut:
- Hanya operasi baca yang didukung.
- Untuk Platform Agen, hanya permintaan dari internet yang didukung.
- Akses publik ke objek Cloud Storage tidak didukung.
- Akses atau download objek Cloud Storage menggunakan sesi browser terautentikasi tidak didukung.
- Saat di-deploy ke aplikasi App Hub dalam folder yang dikonfigurasi untuk pengelolaan aplikasi, tabel dan set data BigQuery tidak didukung.
- Jika akun utama mengakses resource lebih dari sekali dari lokasi yang tidak mematuhi kebijakan dalam waktu 24 jam, pelanggaran hanya didukung untuk akses pertama.
Menerapkan enkripsi CMEK
Kontrol ini mengharuskan Anda mengenkripsi resource tertentu menggunakan CMEK. Langkah tersebut mencakup hal berikut:
- Mengaktifkan CMEK untuk Kumpulan Data Platform Agen Gemini Enterprise
- Mengaktifkan CMEK untuk Penyimpanan Metadata Platform Agen Gemini Enterprise
- Mengaktifkan CMEK untuk Model Platform Agen Gemini Enterprise
- Mengaktifkan CMEK untuk Feature Store Platform Agen Gemini Enterprise
- Mengaktifkan CMEK untuk Tabel BigQuery
Saat Anda men-deploy kontrol ini ke aplikasi App Hub, tabel BigQuery tidak didukung.
Mengelola kebijakan retensi data maksimum
Kontrol Tentukan Periode Retensi Maksimum untuk Data Sensitif mengatur periode retensi untuk data sensitif. Anda dapat memilih resource (misalnya, tabel BigQuery) dan menerapkan kontrol cloud penghapusan data yang mendeteksi apakah ada resource yang melanggar batas retensi usia maksimum.
Jenis aset yang didukung meliputi:
- Set data dan tabel BigQuery
- Model, set data, penyimpanan fitur, dan penyimpanan metadata Agent Platform
- Objek Cloud Storage (Pratinjau). Anda harus mendaftar untuk menggunakan kontrol ini.
Saat Anda men-deploy kontrol ini ke aplikasi App Hub, tabel dan set data BigQuery tidak didukung.
Mengelola retensi data
Kontrol Atur periode retensi minimum untuk objek Cloud Storage menerapkan periode retensi minimum untuk objek Cloud Storage. Kontrol ini mencegah penghapusan atau modifikasi objek Cloud Storage hingga periode retensi minimum (ditentukan dalam detik) telah berlalu.
Kontrol ini mendeteksi objek Cloud Storage yang tidak memenuhi kebijakan retensi minimum yang dikonfigurasi. Temuan dibuat di Security Command Center pada tingkat bucket. Anda dapat membuat kueri temuan di tingkat objek dalam
Set Data Analisis Penyimpanan (di object_security_findings_view).
Temuan tingkat objek memiliki findingType: SCC_DSPM_DATA_RETENTION dan
findingReason: MINIMUM_RETENTION_VIOLATION.
Jenis aset yang didukung: Objek Cloud Storage
Anda harus mendaftar untuk menggunakan kontrol ini.
Mengelola enkripsi data
Kontrol Wajibkan Enkripsi yang Dikelola Pelanggan untuk Objek Cloud Storage membantu Anda menerapkan enkripsi untuk objek di bucket Cloud Storage menggunakan CMEK. Kontrol ini mendeteksi objek Cloud Storage yang tidak dienkripsi dengan CMEK, yang melanggar kebijakan enkripsi Anda.
Temuan dibuat di Security Command Center pada tingkat bucket. Anda dapat membuat kueri
temuan di tingkat objek dalam Kumpulan Data Storage Intelligence
(di object_security_findings_view). Temuan tingkat objek memiliki
findingType: SCC_DSPM_ENCRYPTION_NO_CMEK dan
findingReason: ENCRYPTION_CMEK_VIOLATION.
Jenis aset yang didukung: Objek Cloud Storage
Anda harus mendaftar untuk menggunakan kontrol ini.
Mengelola akses publik ke data
Kontrol Batasi Akses Publik ke Objek Cloud Storage membantu Anda membatasi akses publik ke objek dalam bucket Cloud Storage untuk menghindari risiko eksposur data. Kontrol ini mendeteksi objek Cloud Storage yang dapat diakses publik, yang melanggar kebijakan akses publik Anda.
Temuan dibuat di Security Command Center pada tingkat bucket. Anda dapat membuat kueri temuan tingkat objek yang mendetail dalam Kumpulan Data Analisis Penyimpanan (di object_security_findings_view). Temuan tingkat objek memiliki
findingType: SCC_DSPM_PUBLIC_ACCESS_GOVERNANCE dan
findingReason: PUBLIC_ACCESS_VIOLATION.
Kolom sccDspmFinding.securityInsights dalam temuan tingkat objek memberikan detail selengkapnya tentang status aksesibilitas publik, termasuk akses baca dan tulis.
Jenis aset yang didukung: Objek Cloud Storage
Anda harus mendaftar untuk menggunakan kontrol ini.
Menggunakan DSPM dengan Sensitive Data Protection
DSPM berfungsi dengan Sensitive Data Protection. Sensitive Data Protection menemukan data sensitif di organisasi Anda, dan DSPM memungkinkan Anda men-deploy kontrol cloud keamanan data pada data sensitif untuk memenuhi persyaratan keamanan dan kepatuhan Anda.
Tabel berikut menjelaskan cara Anda dapat menggunakan Sensitive Data Protection untuk penemuan data dan DSPM untuk penegakan kebijakan dan pengelolaan postur keamanan.
| Layanan | Sensitive Data Protection |
DSPM |
|---|---|---|
| Cakupan data | Menemukan dan mengklasifikasikan data sensitif (seperti PII atau rahasia) dalam penyimpanan Google Cloud. |
Menilai postur keamanan di sekitar data sensitif yang diklasifikasikan. |
| Tindakan inti | Memindai, membuat profil, dan melakukan de-identifikasi data sensitif. |
Menerapkan, memantau, dan memvalidasi kebijakan. |
| Fokus temuan | Melaporkan lokasi data sensitif (misalnya, BigQuery, atau Cloud Storage). |
Laporan tentang alasan data diekspos (misalnya, akses publik, CMEK tidak ada, atau izin berlebihan). |
| Integrasi | Mengirimkan metadata sensitivitas dan klasifikasi ke DSPM. |
Menggunakan data Sensitive Data Protection untuk menerapkan dan memantau kontrol keamanan dan penilaian risiko. |
Langkah berikutnya
- Aktifkan DSPM.
- Mengirimkan hasil tugas inspeksi Sensitive Data Protection ke Security Command Center.