Data Security Posture Management (DSPM) fornisce una visione incentrata sui dati della Google Cloud sicurezza. DSPM ti consente di identificare e ridurre continuamente i rischi per i dati aiutandoti a capire quali dati sensibili hai, dove sono archiviati inGoogle Cloude se il loro utilizzo è in linea con i tuoi requisiti di sicurezza e conformità.
La DSPM consente al tuo team di completare le seguenti attività di sicurezza dei dati:
Rilevamento e classificazione dei dati:rileva e classifica automaticamente le risorse di dati sensibili nel tuo ambiente Google Cloud , tra cui BigQuery e Cloud Storage.
Governance dei dati:valuta la tua attuale strategia di sicurezza dei dati in base alle best practice e ai framework di conformità di Google per identificare e risolvere potenziali problemi di sicurezza.
Applicazione dei controlli:mappa i tuoi requisiti di sicurezza in base a controlli cloud specifici per la governance dei dati, come la governance dell'accesso ai dati e la governance del flusso di dati.
Monitoraggio della conformità:monitora i carichi di lavoro rispetto ai framework di sicurezza dei dati applicati per dimostrare l'allineamento, correggere le violazioni e generare prove per l'audit.
Componenti principali di DSPM
Le sezioni seguenti descrivono i componenti di DSPM.
Monitora la tua security posture dei dati con la dashboard DSPM
La dashboard per la sicurezza dei dati nella console Google Cloud ti consente di vedere in che modo i dati della tua organizzazione sono in linea con i requisiti di sicurezza e conformità dei dati.
L'esploratore della mappa dei dati nella dashboard per la sicurezza dei dati mostra le posizioni geografiche in cui sono archiviati i tuoi dati e ti consente di filtrare le informazioni sui tuoi dati in base alla posizione geografica, alla sensibilità dei dati, al progetto associato e ai serviziGoogle Cloud che archiviano i dati. I cerchi sulla mappa dei dati rappresentano il conteggio relativo delle risorse di dati e delle risorse di dati con avvisi nella regione.
Puoi visualizzare i risultati sulla sicurezza dei dati, che si verificano quando una risorsa di dati viola un controllo cloud di sicurezza dei dati. Quando viene generato un nuovo risultato, potrebbero essere necessarie fino a due ore prima che venga visualizzato nello strumento di esplorazione della mappa dei dati.
Puoi anche esaminare le informazioni sui framework di sicurezza dei dati di cui è stato eseguito il deployment, il numero di risultati aperti associati a ciascun framework e la percentuale di risorse nel tuo ambiente coperte da almeno un framework.
Framework di sicurezza dei dati e conformità DSPM
Utilizzi i framework per definire i requisiti di sicurezza e conformità dei dati e applicarli al tuo ambiente Google Cloud . DSPM include il framework Essentials per la sicurezza e la privacy dei dati, che definisce i controlli di base consigliati per la sicurezza e la conformità dei dati. Quando attivi DSPM, questo framework viene applicato automaticamente all'organizzazione Google Cloud in modalità investigativa. Puoi utilizzare i risultati generati per rafforzare la tua postura di sicurezza dati.
Se necessario, puoi creare copie del framework per creare framework personalizzati per la sicurezza dei dati. Puoi aggiungere i controlli avanzati per la sicurezza dei dati nel cloud ai tuoi framework personalizzati e applicarli all'organizzazione, alle cartelle, ai progetti e alle applicazioni App Hub nelle cartelle configurate per la gestione delle applicazioni. Ad esempio, puoi creare framework personalizzati che applicano controlli giurisdizionali a cartelle specifiche per garantire che i dati all'interno di queste cartelle rimangano in una particolare regione geografica.
Framework di elementi essenziali per la sicurezza e la privacy dei dati (controlli di base)
I seguenti controlli cloud fanno parte del framework Data security and privacy essentials.
| Controllo cloud | Descrizione |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
Rileva quando CMEK non viene utilizzato per le tabelle BigQuery che includono dati sensibili. |
CMEK DEL SET DI DATI SENSIBILI DISATTIVATA |
Rileva quando CMEK non viene utilizzato per i set di dati BigQuery che includono dati sensibili. |
SET DI DATI PUBBLICI CON DATI SENSIBILI |
Rileva i dati sensibili all'interno dei set di dati BigQuery accessibili pubblicamente. |
ISTANZA SQL PUBBLICA CON DATI SENSIBILI |
Rileva i dati sensibili all'interno dei database SQL accessibili pubblicamente. |
SENSITIVE DATA SQL CMEK DISABLED |
Rileva quando CMEK non viene utilizzato per i database SQL che includono dati sensibili. |
Controlli cloud avanzati per la governance e la sicurezza dei dati
La DSPM include la sicurezza avanzata dei dati per aiutarti a soddisfare ulteriori requisiti di sicurezza dei dati. Questi controlli avanzati per la sicurezza dei dati nel cloud sono raggruppati come segue:
- Governance dell'accesso ai dati:rileva se entità diverse da quelle che specifichi accedono a dati sensibili.
- Governance del flusso di dati:rileva se i client che si trovano al di fuori di una località geografica (paese) specificata accedono a dati sensibili.
- Protezione dei dati e governance delle chiavi:rileva se vengono creati dati sensibili senza la crittografia con chiavi di crittografia gestite dal cliente (CMEK).
- Eliminazione dei dati:rileva le violazioni delle norme relative al periodo di conservazione massimo per i dati sensibili.
Questi controlli supportano solo la modalità di rilevamento. Per saperne di più sull'implementazione di questi controlli, consulta Utilizzare DSPM.
Monitorare le autorizzazioni utente con il controllo cloud di governance degli accessi ai dati
Questo controllo limita l'accesso ai dati sensibili ai set di entità specificati. Quando si verifica un tentativo di accesso non conforme (accesso da parte di entità diverse da quelle consentite) alle risorse di dati, viene creato un problema. I tipi di entità supportati sono account utente o gruppi. Per informazioni sul formato da utilizzare, consulta la tabella dei formati principali supportati.
Gli account utente includono quanto segue:
- Account Google di tipo consumer a cui gli utenti si registrano su google.com, ad esempio account Gmail.com
- Account Google gestiti per le aziende
- Account Google Workspace for Education
Gli account utente non includono account robot, service account, account brand solo con delega, account risorsa e account dispositivo.
I tipi di asset supportati includono:
- Set di dati e tabelle BigQuery
- Bucket Cloud Storage
- Modelli, set di dati, feature store e archivi dei metadati di Vertex AI
DSPM valuta la conformità a questo controllo ogni volta che un account utente legge un tipo di risorsa supportato.
Questo controllo cloud richiede l'abilitazione degli audit log di accesso ai dati per Cloud Storage e Vertex AI.
Le limitazioni includono quanto segue:
- Sono supportate solo le operazioni di lettura.
- L'accesso da parte dei service account, inclusa la simulazione dell'identità dei account di servizio, è
esente da questo controllo. Come mitigazione, assicurati che solo i service account attendibili abbiano accesso alle risorse sensibili di Cloud Storage, BigQuery e Vertex AI. Inoltre, non concedere il ruolo
Creatore token service account (
roles/iam.serviceAccountTokenCreator) agli utenti che non devono avere accesso. - Questo controllo non impedisce l'accesso degli utenti alle copie create tramite operazioni del account di servizio, ad esempio quelle eseguite da Storage Transfer Service e BigQuery Data Transfer Service. Gli utenti potrebbero accedere a copie dei dati per cui questo controllo non è attivo.
- I set di dati collegati
non sono supportati. I set di dati collegati creano un set di dati BigQuery di sola lettura che funge da link simbolico a un set di dati di origine. I set di dati collegati
non generano log di controllo dell'accesso ai dati e potrebbero consentire a un utente non autorizzato di leggere
i dati senza che vengano segnalati. Ad esempio, un utente potrebbe aggirare il controllo
dell'accesso collegando un set di dati a un set di dati al di fuori del tuo confine di conformità
e potrebbe quindi eseguire query sul nuovo set di dati senza generare log
sul set di dati di origine. Come mitigazione, non concedere i ruoli BigQuery Admin
(
roles/bigquery.admin), BigQuery Data Owner (roles/bigquery.dataOwner) o BigQuery Studio Admin (roles/bigquery.studioAdmin) agli utenti che non devono avere accesso alle risorse BigQuery sensibili. - Le query sulle tabelle con caratteri jolly sono supportate a livello di set di dati, ma non a livello di set di tabelle. Questa funzionalità consente di eseguire query su più tabelle BigQuery contemporaneamente utilizzando espressioni con caratteri jolly. DSPM elabora le query con caratteri jolly come se stessi accedendo al set di dati BigQuery padre, non a singole tabelle all'interno del set di dati.
- L'accesso pubblico agli oggetti Cloud Storage non è supportato. L'accesso pubblico concede l'accesso a tutti gli utenti senza controlli dei criteri.
- L'accesso o i download di oggetti Cloud Storage utilizzando sessioni del browser autenticate non sono supportati.
- Quando vengono implementati in un'applicazione App Hub, le tabelle e i set di dati BigQuery non sono supportati.
Prevenire l'esfiltrazione di dati con il controllo cloud di governance del flusso di dati
Questo controllo ti consente di specificare i paesi consentiti da cui è possibile accedere ai dati. Il controllo cloud funziona nel seguente modo:
Se una richiesta di lettura proviene da internet, il paese viene determinato in base all'indirizzo IP della richiesta di lettura. Se viene utilizzato un proxy per inviare la richiesta di lettura, gli avvisi vengono inviati in base alla posizione del proxy.
Se la richiesta di lettura proviene da una VM di Compute Engine, il paese viene determinato dalla zona cloud da cui ha origine la richiesta.
I tipi di asset supportati includono:
- Set di dati e tabelle BigQuery
- Bucket Cloud Storage
- Modelli, set di dati, feature store e archivi di metadati Vertex AI
Le limitazioni includono quanto segue:
- Sono supportate solo le operazioni di lettura.
- Per Vertex AI, sono supportate solo le richieste da internet.
- L'accesso pubblico agli oggetti Cloud Storage non è supportato.
- L'accesso o i download di oggetti Cloud Storage utilizzando sessioni del browser autenticate non sono supportati.
- Quando viene eseguito il deployment in un'applicazione App Hub in una cartella configurata per la gestione delle applicazioni, le tabelle e i set di dati BigQuery non sono supportati.
Applica la crittografia CMEK con i controlli cloud per la protezione dei dati e la gestione delle chiavi
Questi controlli richiedono la crittografia di risorse specifiche utilizzando le chiavi CMEK. Sono inclusi i seguenti:
- Abilita CMEK per i set di dati Vertex AI
- Abilita CMEK per gli archivi di metadati Vertex AI
- Attivare CMEK per i modelli Vertex AI
- Abilita CMEK per Vertex AI Feature Store
- Abilita CMEK per le tabelle BigQuery
Quando implementi questi controlli in un'applicazione App Hub, le tabelle BigQuery non sono supportate.
Gestire le policy di conservazione dei dati massime con il controllo cloud Eliminazione dei dati
Questo controllo regola il periodo di conservazione dei dati sensibili. Puoi selezionare risorse (ad esempio, tabelle BigQuery) e applicare un controllo cloud di eliminazione dei dati che rileva se una delle risorse viola i limiti di conservazione dell'età massima.
I tipi di asset supportati includono:
- Set di dati e tabelle BigQuery
- Modelli, set di dati, feature store e archivi dei metadati di Vertex AI
Quando implementi questo controllo in un'applicazione App Hub, le tabelle e i set di dati BigQuery non sono supportati.
Utilizzo di DSPM con Sensitive Data Protection
DSPM funziona con Sensitive Data Protection. Sensitive Data Protection individua i dati sensibili nella tua organizzazione e DSPM ti consente di implementare controlli cloud per la sicurezza dei dati sui dati sensibili per soddisfare i tuoi requisiti di sicurezza e conformità.
La seguente tabella descrive come puoi utilizzare Sensitive Data Protection per l'individuazione dei dati e DSPM per l'applicazione delle policy e la gestione della postura di sicurezza.
| Servizio | Sensitive Data Protection |
DSPM |
|---|---|---|
| Ambito dei dati | Trova e classifica i dati sensibili (come PII o secret) nell'archiviazione su Google Cloud. |
Valuta la postura di sicurezza intorno ai dati sensibili classificati. |
| Azioni principali | Esegue scansioni, profili e anonimizza i dati sensibili. |
Applica, monitora e convalida i criteri. |
| Concentrazione sui risultati | Report su dove si trovano i dati sensibili (ad esempio, BigQuery o Cloud Storage). |
Report sul motivo per cui i dati sono esposti (ad esempio, accesso pubblico, CMEK mancante o autorizzazioni eccessive). |
| Integrazione | Fornisce a DSPM metadati di sensibilità e classificazione. |
Utilizza i dati di Sensitive Data Protection per applicare e monitorare i controlli di sicurezza e le valutazioni del rischio. |
Passaggi successivi
- Attiva DSPM.
- Invia i risultati del job di ispezione di Sensitive Data Protection a Security Command Center.