La gestion de la stratégie de sécurité des données (DSPM) offre une vue de la sécurité axée sur les données Google Cloud . Elle vous permet d'identifier et de réduire en permanence les risques liés aux données en vous aidant à comprendre quelles données sensibles vous possédez, où elles sont stockées dans Google Cloud, et si leur utilisation est conforme à vos exigences de sécurité et de conformité
Les fonctionnalités de la gestion de la stratégie de sécurité des données dépendent de votre niveau de service Security Command Center. Pour en savoir plus sur les fonctionnalités de la gestion de la stratégie de sécurité des données disponibles dans le niveau Standard, consultez la présentation de la gestion de la stratégie de sécurité des données dans le niveau Standard.
Dans les niveaux Premium et Enterprise, la gestion de la stratégie de sécurité des données permet à votre équipe d'effectuer les tâches de sécurité des données suivantes :
Découverte et classification des données : découvrez et classez automatiquement les données sensibles ressources dans votre Google Cloud environnement, y compris BigQuery et Cloud Storage.
Gouvernance des données : évaluez votre stratégie de sécurité des données actuelle par rapport aux bonnes pratiques et aux frameworks de conformité de Google pour identifier et corriger les problèmes de sécurité potentiels.
Application des contrôles : mappez vos exigences de sécurité avec des contrôles cloud spécifiques de gouvernance des données, tels que la gouvernance de l'accès aux données et la gouvernance des flux de données.
Surveillance de la conformité : surveillez les charges de travail par rapport aux frameworks de sécurité des données appliqués pour prouver l'alignement, corriger les violations et générer des preuves à des fins d'audit.
Composants principaux de la gestion de la stratégie de sécurité des données
Les sections suivantes décrivent les composants de la gestion de la stratégie de sécurité des données.
Surveiller votre stratégie de sécurité des données avec le tableau de bord de la gestion de la stratégie de sécurité des données
Le tableau de bord de sécurité des données de la Google Cloud console vous permet de voir comment les données de votre organisation sont alignées sur vos exigences de sécurité et de conformité des données.
L'explorateur de la carte des données du tableau de bord de sécurité des données indique les emplacements géographiques où vos données sont stockées et vous permet de filtrer les informations sur vos données par emplacement géographique, niveau de sensibilité, projet associé, et les Google Cloud services qui stockent les données. Les cercles sur la carte des données représentent le nombre relatif de ressources de données et de ressources de données avec des alertes dans la région.
Vous pouvez afficher les résultats de sécurité des données, qui se produisent lorsqu'une ressource de données enfreint un contrôle cloud de sécurité des données. Lorsqu'un nouveau résultat est généré, il peut s'écouler jusqu'à deux heures avant qu'il n'apparaisse dans l'explorateur de la carte des données.
Vous pouvez également consulter des informations sur les frameworks de sécurité des données déployés, le nombre de résultats ouverts associés à chaque framework et le pourcentage de ressources de votre environnement couvertes par au moins un framework.
(Preview) Le tableau de bord affiche également des insights sur la sécurité des données que vous pouvez utiliser pour identifier de manière proactive les risques potentiels liés aux données. Les insights ne sont disponibles que pour les ressources contenant des données hautement sensibles. Les ressources doivent être analysées par Sensitive Data Protection, et l'analyse doit être configurée pour publier les résultats dans Security Command Center.
Le tableau de bord affiche les éléments suivants :
- Les utilisateurs qui accèdent le plus fréquemment aux données hautement sensibles. Un tableau qui met en évidence les utilisateurs et les comptes de service qui accèdent le plus souvent aux données sensibles. Il présente une vue axée sur l'IA qui vous permet de filtrer les agents d'IA. Par défaut, le tableau n'affiche que l'activité des agents d'IA, le cas échéant. Sinon, le tableau affiche tous les comptes principaux. Vous pouvez activer ou désactiver le filtre pour afficher tous les accès. Les données affichées sont limitées aux buckets Cloud Storage, aux tables BigQuery et aux ressources Gemini Enterprise Agent Platform.
- Les instances d'accès transfrontalier (limitées aux buckets Cloud Storage, aux tables BigQuery et aux ressources Gemini Enterprise Agent Platform uniquement).
- Les instances où des données sensibles spécifiques à un pays sont stockées en dehors de leur région associée (s'appliquent à toutes les Google Cloud ressources).
Le tableau de bord n'inclut pas d'insights sur la sécurité pour les éléments suivants :
- Les éléments chiffrés par CMEK
- Les ressources de la région
me-central2
Frameworks de sécurité des données et conformité de la gestion de la stratégie de sécurité des données
Vous utilisez des frameworks pour définir vos exigences de sécurité et de conformité des données, et appliquer ces exigences à votre Google Cloud environnement. La gestion de la stratégie de sécurité des données inclut le framework "Data security and privacy essentials" (Principes essentiels de sécurité et de confidentialité des données), qui définit les contrôles de base recommandés pour la sécurité et la conformité des données. Lorsque vous activez la gestion de la stratégie de sécurité des données, ce framework est automatiquement appliqué à l'organisation Google Cloud en mode détection. Vous pouvez utiliser les résultats générés pour renforcer votre stratégie de données.
Si nécessaire, vous pouvez créer des copies du framework pour créer des frameworks de sécurité des données personnalisés. Vous pouvez ajouter les contrôles cloud avancés de sécurité des données à vos frameworks personnalisés et appliquer les frameworks personnalisés à l'organisation, aux dossiers, aux projets et aux applications App Hub dans les dossiers configurés pour la gestion des applications. Par exemple, vous pouvez créer des frameworks personnalisés qui appliquent des contrôles juridictionnels à des dossiers spécifiques pour vous assurer que les données de ces dossiers restent dans une région géographique particulière.
Framework "Data security and privacy essentials" (Principes essentiels de sécurité et de confidentialité des données) (contrôles de base)
Les contrôles cloud suivants font partie du framework "Data security and privacy essentials" (Principes essentiels de sécurité et de confidentialité des données).
| Contrôle cloud | Description |
|---|---|
Exiger CMEK pour les tables BigQuery contenant des données sensibles |
Détecter lorsque CMEK n'est pas utilisé pour les tables BigQuery qui incluent des données sensibles. |
Exiger CMEK pour les ensembles de données BigQuery contenant des données sensibles |
Détecter lorsque CMEK n'est pas utilisé pour les ensembles de données BigQuery qui incluent des données sensibles. |
Bloquer l'accès public aux ensembles de données BigQuery contenant des données sensibles |
Détecter les données sensibles dans les ensembles de données BigQuery accessibles au public. |
Bloquer l'accès public aux instances Cloud SQL contenant des données sensibles |
Détecter les données sensibles dans les bases de données SQL accessibles au public. |
Exiger CMEK pour les instances Cloud SQL contenant des données sensibles |
Détecter lorsque CMEK n'est pas utilisé pour les bases de données SQL qui incluent des données sensibles. |
Contrôles cloud avancés de gouvernance et de sécurité des données
La gestion de la stratégie de sécurité des données inclut une sécurité avancée des données pour vous aider à répondre à des exigences supplémentaires en matière de sécurité des données. Ces contrôles cloud avancés de sécurité des données sont regroupés comme suit :
- Surveiller les autorisations des utilisateurs : détecte si des comptes principaux autres que ceux que vous spécifiez accèdent à des données sensibles. Le nom du contrôle est Restreindre l'accès aux données sensibles aux utilisateurs autorisés.
- Empêcher l'exfiltration de données : détecte si des clients situés en dehors des emplacements géographiques (pays) spécifiés accèdent à des données sensibles. Le nom du contrôle est Restreindre le flux de données sensibles entre les juridictions géographiques.
- Appliquer le chiffrement CMEK : détecte si des données sensibles sont créées sans chiffrement à l'aide de clés de chiffrement gérées par le client (CMEK). Plusieurs contrôles permettent d'appliquer CMEK pour différents Google Cloud services.
- Gérer la suppression des données : détecte les violations des règles de période de conservation maximale pour les données sensibles. Le nom du contrôle est Gérer la période de conservation maximale des données sensibles.
- Gérer la conservation des données (Preview) applique une période de conservation minimale (en secondes) aux objets Cloud Storage pour s'assurer qu'ils sont conservés pendant une période minimale de temps. Le nom du contrôle est Gérer la période de conservation minimale des objets Cloud Storage. Vous devez vous inscrire pour utiliser ce contrôle.
- Gérer le chiffrement des données (Preview) exige le chiffrement des objets dans les buckets Cloud Storage. Le nom du contrôle est Exiger le chiffrement géré par le client pour les objets Cloud Storage. Vous devez vous inscrire pour utiliser ce contrôle.
- Gérer l'accès public aux données : (Preview) limite l'accès public aux objets dans les buckets Cloud Storage pour éviter tout risque d'exposition des données. Le nom du contrôle est Restreindre l'accès public aux objets Cloud Storage. Vous devez vous inscrire pour utiliser ce contrôle.
Ces contrôles ne sont compatibles qu'avec le mode détection. Pour en savoir plus sur le déploiement de ces contrôles, consultez la section Utiliser la gestion de la stratégie de sécurité des données.
Surveiller les autorisations des utilisateurs
Le contrôle "Restreindre l'accès aux données sensibles aux utilisateurs autorisés" limite l'accès aux données sensibles à des ensembles de comptes principaux spécifiés. Lorsqu'une tentative d'accès non conforme (accès par des comptes principaux autres que ceux autorisés) est effectuée sur des ressources de données, un résultat est créé. Les types de comptes principaux compatibles sont les comptes utilisateur ou les groupes. Pour savoir quel format utiliser, consultez le tableau des formats de comptes principaux compatibles.
Les comptes utilisateur incluent les éléments suivants :
- Les comptes Google grand public pour lesquels les utilisateurs s'inscrivent sur google.com, tels que les comptes Gmail.com
- Les comptes Google gérés pour les entreprises
- Les comptes Google Workspace for Education
Les comptes utilisateur n'incluent pas les comptes de robot, les comptes de service, les comptes de marque avec délégation uniquement, les comptes de ressources ni les comptes d'appareil.
Les types d'éléments compatibles incluent les éléments suivants :
- Les ensembles de données et les tables BigQuery
- Les buckets Cloud Storage
- Les modèles, ensembles de données, magasins de fonctionnalités et magasins de métadonnées Gemini Enterprise Agent Platform
La gestion de la stratégie de sécurité des données évalue la conformité à ce contrôle chaque fois qu'un compte utilisateur lit un type de ressource compatible.
Ce contrôle cloud nécessite que vous activiez les journaux d'audit pour l'accès aux données pour Cloud Storage et Agent Platform.
Les limites incluent les éléments suivants :
- Seules les opérations de lecture sont compatibles.
- L'accès par les comptes de service, y compris l'emprunt d'identité d'un compte de service, est exempté de ce contrôle. Pour atténuer ce problème, assurez-vous que seuls les comptes de service de confiance ont accès aux ressources sensibles Cloud Storage, BigQuery et Agent Platform. De plus, n'accordez pas le rôle de créateur de jetons de compte de service (
roles/iam.serviceAccountTokenCreator) aux utilisateurs qui ne devraient pas y avoir accès. - Ce contrôle n'empêche pas les utilisateurs d'accéder aux copies créées via des opérations de compte de service telles que celles effectuées par le service de transfert de stockage et le service de transfert de données BigQuery. Les utilisateurs peuvent accéder à des copies de données pour lesquelles ce contrôle n'est pas activé.
- Les ensembles de données associés
ne sont pas compatibles. Les ensembles de données associés créent un ensemble de données BigQuery en lecture seule qui sert de lien symbolique vers un ensemble de données source. Les ensembles de données associés ne génèrent pas de journaux d'audit pour l'accès aux données et peuvent permettre à un utilisateur non autorisé de lire des données sans qu'elles ne soient signalées. Par exemple, un utilisateur peut contourner le contrôle d'accès en associant un ensemble de données à un ensemble de données en dehors de votre limite de conformité, puis interroger le nouvel ensemble de données sans générer de journaux par rapport à l'ensemble de données source. Pour atténuer ce problème, n'accordez pas les rôles d'administrateur BigQuery
(
roles/bigquery.admin), de propriétaire de données BigQuery (roles/bigquery.dataOwner) ni d'administrateur BigQuery Studio (roles/bigquery.studioAdmin) aux utilisateurs qui ne devraient pas avoir accès aux ressources BigQuery sensibles. - Les requêtes de table générique sont compatibles au niveau de l'ensemble de données, mais pas au niveau de l'ensemble de tables. Cette fonctionnalité vous permet d'interroger plusieurs tables BigQuery en même temps à l'aide d'expressions génériques. La gestion de la stratégie de sécurité des données traite les requêtes génériques comme si vous accédiez à l'ensemble de données BigQuery parent, et non à des tables individuelles de l'ensemble de données.
- L'accès public aux objets Cloud Storage n'est pas compatible. L'accès public accorde l'accès à tous les utilisateurs sans aucune vérification des règles.
- L'accès aux objets Cloud Storage ou leur téléchargement à l'aide de sessions de navigateur authentifiées ne sont pas compatibles.
- Lorsqu'elles sont déployées sur une application App Hub, les tables et les ensembles de données BigQuery ne sont pas compatibles.
Empêcher l'exfiltration de données
Le contrôle "Restreindre le flux de données sensibles entre les juridictions géographiques" vous permet de spécifier les pays autorisés à partir desquels les données sont accessibles. Le contrôle cloud fonctionne comme suit :
Si une requête de lecture provient d'Internet, le pays est déterminé en fonction de l'adresse IP de la requête de lecture. Si un proxy est utilisé pour envoyer la requête de lecture, des alertes sont envoyées en fonction de l'emplacement du proxy.
Si la requête de lecture provient d'une VM Compute Engine, le pays est déterminé par la zone cloud d'où provient la requête.
Les types d'éléments compatibles incluent les éléments suivants :
- Les ensembles de données et les tables BigQuery
- Les buckets Cloud Storage
- Les modèles, ensembles de données, magasins de fonctionnalités et magasins de métadonnées Agent Platform
Les limites incluent les éléments suivants :
- Seules les opérations de lecture sont compatibles.
- Pour Agent Platform, seules les requêtes provenant d'Internet sont compatibles.
- L'accès public aux objets Cloud Storage n'est pas compatible.
- L'accès aux objets Cloud Storage ou leur téléchargement à l'aide de sessions de navigateur authentifiées ne sont pas compatibles.
- Lorsqu'elles sont déployées sur une application App Hub dans un dossier configuré pour la gestion des applications, les tables et les ensembles de données BigQuery ne sont pas compatibles.
- Lorsqu'un compte principal accède à une ressource plusieurs fois à partir d'un emplacement non conforme dans un délai de 24 heures, les violations ne sont compatibles que pour le premier accès.
Appliquer le chiffrement CMEK
Ces contrôles nécessitent que vous chiffriez des ressources spécifiques à l'aide de CMEK. Ils incluent les éléments suivants :
- Activer CMEK pour les ensembles de données Gemini Enterprise Agent Platform
- Activer CMEK pour les magasins de métadonnées Gemini Enterprise Agent Platform
- Activer CMEK pour les modèles Gemini Enterprise Agent Platform
- Activer CMEK pour le magasin de fonctionnalités Gemini Enterprise Agent Platform
- Activer CMEK pour les tables BigQuery
Lorsque vous déployez ces contrôles sur une application App Hub, les tables BigQuery ne sont pas compatibles.
Gérer les règles de conservation maximale des données
Le contrôle "Gérer la période de conservation maximale des données sensibles Data" régit la période de conservation des données sensibles. Vous pouvez sélectionner des ressources (par exemple, des tables BigQuery) et appliquer un contrôle cloud de suppression des données qui détecte si l'une des ressources enfreint les limites de conservation d'âge maximal.
Les types d'éléments compatibles incluent les éléments suivants :
- Les ensembles de données et les tables BigQuery
- Les modèles, ensembles de données, magasins de fonctionnalités et magasins de métadonnées Agent Platform
- Les objets Cloud Storage (Preview). Vous devez vous inscrire pour utiliser ce contrôle.
Lorsque vous déployez ce contrôle sur une application App Hub, les tables et les ensembles de données BigQuery ne sont pas compatibles.
Gérer la conservation des données
Le contrôle Gérer la période de conservation minimale des objets Cloud Storage applique une période de conservation minimale aux objets Cloud Storage. Ce contrôle empêche la suppression ou la modification des objets Cloud Storage avant la fin de la période de conservation minimale (spécifiée en secondes).
Ce contrôle détecte les objets Cloud Storage qui ne respectent pas la règle de conservation minimale configurée. Les résultats sont générés dans Security Command Center au niveau du bucket. Vous pouvez interroger les résultats au niveau de l'objet dans les ensembles de données Storage Intelligence (dans object_security_findings_view). Les résultats au niveau de l'objet ont findingType : SCC_DSPM_DATA_RETENTION et findingReason : MINIMUM_RETENTION_VIOLATION.
Types d'éléments compatibles : objets Cloud Storage
Vous devez vous inscrire pour utiliser ce contrôle.
Gérer le chiffrement des données
Le contrôle Exiger le chiffrement géré par le client pour les objets Cloud Storage vous aide à appliquer le chiffrement aux objets dans les buckets Cloud Storage à l'aide de CMEK. Le contrôle détecte les objets Cloud Storage qui ne sont pas chiffrés avec CMEK, en violation de votre règle de chiffrement.
Les résultats sont générés dans Security Command Center au niveau du bucket. Vous pouvez interroger les résultats au niveau de l'objet dans les ensembles de données Storage Intelligence (dans object_security_findings_view). Les résultats au niveau de l'objet ont findingType : SCC_DSPM_ENCRYPTION_NO_CMEK et findingReason : ENCRYPTION_CMEK_VIOLATION.
Types d'éléments compatibles : objets Cloud Storage
Vous devez vous inscrire pour utiliser ce contrôle.
Gérer l'accès public aux données
Le contrôle Restreindre l'accès public aux objets Cloud Storage vous aide à limiter l'accès public aux objets dans les buckets Cloud Storage pour éviter tout risque d'exposition des données. Ce contrôle détecte les objets Cloud Storage qui sont accessibles au public, en violation de votre règle d'accès public.
Les résultats sont générés dans Security Command Center au niveau du bucket. Vous pouvez interroger les résultats détaillés au niveau de l'objet dans les ensembles de données Storage Intelligence (dans object_security_findings_view). Les résultats au niveau de l'objet ont findingType : SCC_DSPM_PUBLIC_ACCESS_GOVERNANCE et findingReason : PUBLIC_ACCESS_VIOLATION.
Le champ sccDspmFinding.securityInsights du résultat au niveau de l'objet fournit plus de détails sur l'état d'accessibilité publique, y compris l'accès en lecture et en écriture.
Types d'éléments compatibles : objets Cloud Storage
Vous devez vous inscrire pour utiliser ce contrôle.
Utiliser la gestion de la stratégie de sécurité des données avec la protection des données sensibles
La gestion de la stratégie de sécurité des données fonctionne avec la protection des données sensibles. La protection des données sensibles détecte les données sensibles de votre organisation, et la gestion de la stratégie de sécurité des données vous permet de déployer des contrôles cloud de sécurité des données sur les données sensibles pour répondre à vos exigences de sécurité et de conformité.
Le tableau suivant décrit comment vous pouvez utiliser Sensitive Data Protection pour la détection des données et la gestion de la stratégie de sécurité des données pour l'application des règles et la gestion de la stratégie de sécurité.
| Service | Protection des données sensibles |
DSPM |
|---|---|---|
| Champ des données | Détecte et classe les données sensibles (telles que les informations personnelles ou les secrets) dans le stockage sur Google Cloud. |
Évalue la stratégie de sécurité autour des données sensibles classées. |
| Actions principales | Analyse, profile et anonymise les données sensibles. |
Applique, surveille et valide les règles. |
| Focus des résultats | Indique où se trouvent les données sensibles (par exemple, BigQuery ou Cloud Storage). |
Indique pourquoi les données sont exposées (par exemple, accès public, CMEK manquante ou autorisations excessives). |
| Intégration | Fournit à la gestion de la stratégie de sécurité des données des métadonnées de sensibilité et de classification. |
Utilise les données de Sensitive Data Protection pour appliquer et surveiller les contrôles de sécurité et les évaluations des risques. |
Étape suivante
- Activez la gestion de la stratégie de sécurité des données.
- Envoyez les résultats de la tâche d'inspection de Sensitive Data Protection à Security Command Center.