La administración de la postura de seguridad de los datos (DSPM) proporciona una vista centrada en los datos de la Google Cloud seguridad. La DSPM te permite identificar y reducir continuamente el riesgo de los datos, ya que te ayuda a comprender qué datos sensibles tienes, dónde se almacenan en Google Cloud, y si su uso se alinea con tus requisitos de seguridad y cumplimiento
Las capacidades de DSPM dependen de tu nivel de servicio de Security Command Center. Consulta Administración de la postura de seguridad de los datos en la descripción general del nivel Standard para obtener más información sobre qué capacidades de DSPM están disponibles en el nivel Standard.
La DSPM en los niveles Premium y Enterprise permite que tu equipo complete las siguientes tareas de seguridad de los datos:
Descubrimiento y clasificación de datos: Descubre y clasifica automáticamente los recursos de datos sensibles en tu Google Cloud entorno, incluidos BigQuery y Cloud Storage.
Gobernanza de datos: Evalúa tu postura de seguridad de los datos actual en función de las prácticas recomendadas y los marcos de cumplimiento de Google para identificar y corregir posibles problemas de seguridad.
Aplicación de controles: Asigna tus requisitos de seguridad a controles de nube específicos de administración de datos, como la administración del acceso a los datos y la administración del flujo de datos.
Supervisión del cumplimiento: Supervisa las cargas de trabajo en función de los marcos de seguridad de los datos aplicados para demostrar la alineación, corregir las infracciones y generar evidencia para la auditoría.
Componentes principales de la DSPM
En las siguientes secciones, se describen los componentes de la DSPM.
Supervisa tu postura de seguridad de los datos con el panel de DSPM
El panel de seguridad de los datos en la Google Cloud consola te permite ver cómo los datos de tu organización se alinean con los requisitos de seguridad y cumplimiento de los datos.
En el explorador del mapa de datos, ubicado en el panel de seguridad de los datos, se muestran las ubicaciones geográficas en las que se almacenan y te permite filtrarlos por ubicación geográfica, nivel de sensibilidad, proyecto asociado y los servicios Google Cloud deque almacenan la información. Los círculos del mapa de datos representan el recuento relativo de los recursos de datos y de aquellos que presentan alertas en la región.
Puedes ver los hallazgos de seguridad de los datos, que se producen cuando un recurso de datos infringe un control de nube de seguridad de los datos. Cuando se genera un hallazgo nuevo, puede tardar hasta dos horas en aparecer en el explorador del mapa de datos.
También puedes revisar información sobre los marcos de seguridad de los datos implementados, la cantidad de hallazgos abiertos asociados con cada marco y el porcentaje de recursos en tu entorno cubiertos por al menos un marco.
(Versión preliminar) El panel también muestra estadísticas de seguridad de los datos que puedes usar para identificar de forma proactiva posibles riesgos de datos. Las estadísticas solo están disponibles para los recursos que contienen datos muy sensibles. Sensitive Data Protection debe analizar los recursos, y el análisis debe configurarse para publicar los resultados en Security Command Center.
En el panel, se muestra lo siguiente:
- Usuarios que acceden con mayor frecuencia a datos muy sensibles (limitado solo a los buckets de Cloud Storage, las tablas de BigQuery y los recursos de Agent Platform de Gemini Enterprise).
- Instancias de acceso transfronterizo (limitado solo a los buckets de Cloud Storage, las tablas de BigQuery y los recursos de Agent Platform de Gemini Enterprise).
- Instancias en las que los datos sensibles específicos de un país se almacenan fuera de su región asociada (se aplica a todos los Google Cloud recursos).
El panel no incluye estadísticas de seguridad para lo siguiente:
- Recursos encriptados por CMEK
- Recursos en la región
me-central2
Marcos de seguridad de los datos y cumplimiento de la DSPM
Usas marcos para definir tus requisitos de seguridad y cumplimiento de los datos, y aplicar esos requisitos a tu Google Cloud entorno. La DSPM incluye el marco de aspectos esenciales de seguridad y privacidad de los datos, que define los controles de referencia recomendados para la seguridad y el cumplimiento de los datos. Cuando habilitas la DSPM, este marco se aplica automáticamente a la Google Cloud organización en modo de detección. Puedes usar los hallazgos generados para reforzar tu postura de datos.
Si es necesario, puedes hacer copias del marco para crear marcos de seguridad de los datos personalizados. Puedes agregar los controles avanzados de seguridad de los datos a tus marcos personalizados y aplicar los marcos personalizados a la organización, las carpetas, los proyectos y las aplicaciones de App Hub en carpetas configuradas para la administración de aplicaciones. Por ejemplo, puedes crear marcos personalizados que apliquen controles jurisdiccionales a carpetas específicas para garantizar que los datos dentro de esas carpetas permanezcan dentro de una región geográfica en particular.
Marco de aspectos esenciales de seguridad y privacidad de los datos (controles de referencia)
Los siguientes controles de nube forman parte del marco de aspectos esenciales de seguridad y privacidad de los datos.
| Control de nube | Descripción |
|---|---|
Detecta cuándo no se usa CMEK para las tablas de BigQuery que incluyen datos sensibles. |
|
Detecta cuándo no se usa CMEK para los conjuntos de datos de BigQuery que incluyen datos sensibles. |
|
Block Public Access to BigQuery Datasets with Sensitive Data |
Detecta datos sensibles dentro de los conjuntos de datos de BigQuery de acceso público. |
Block Public Access to Cloud SQL Instances with Sensitive Data |
Detecta datos sensibles dentro de las bases de datos SQL de acceso público. |
Detecta cuándo no se usa CMEK para las bases de datos SQL que incluyen datos sensibles. |
Controles de nube avanzados de seguridad y administración de datos
La DSPM incluye seguridad de datos avanzada para ayudarte a satisfacer requisitos adicionales de seguridad de los datos. Estos controles de nube avanzados de seguridad de los datos se agrupan de la siguiente manera:
- Supervisa los permisos de los usuarios: Detecta si principales distintos de los que especificas acceden a datos sensibles. El nombre del control es Restringe el acceso a datos sensibles a usuarios permitidos.
- Impide el robo de datos: Detecta si los clientes que están fuera de las ubicaciones geográficas (países) especificadas acceden a datos sensibles. El nombre del control es Restringe el flujo de datos sensibles en las jurisdicciones geográficas.
- Aplica la encriptación de CMEK: Detecta si se están creando datos sensibles sin claves de encriptación administradas por el cliente (CMEK) encriptación. Varios controles ayudan a aplicar la CMEK para diferentes Google Cloud servicios.
- Administra el borrado de datos: Detecta infracciones de las políticas de período de retención máximo para datos sensibles. El nombre del control es Controla el período de retención máximo para datos sensibles.
- Administra la retención de datos: (Versión preliminar) Aplica un período de retención mínimo (en segundos) para los objetos de Cloud Storage para garantizar que se retengan durante un período mínimo de tiempo. El nombre del control es Controla el período de retención mínimo para los objetos de Cloud Storage. Debes registrarte para usar este control.
- Administra la encriptación de datos: (Versión preliminar) Requiere encriptación para los objetos en buckets de Cloud Storage. El nombre del control es Requiere encriptación administrada por el cliente para objetos de Cloud Storage. Debes registrarte para usar este control.
- Administra el acceso público a los datos: (Versión preliminar) Restringe el acceso público a los objetos en buckets de Cloud Storage para evitar el riesgo de exposición de datos. El nombre del control es Restringe el acceso público a los objetos de Cloud Storage. Debes registrarte para usar este control.
Estos controles solo admiten el modo de detección. Para obtener más información sobre la implementación de estos controles, consulta Usa la DSPM.
Supervisa los permisos de los usuarios
El control Restringe el acceso a datos sensibles a usuarios permitidos restringe el acceso a datos sensibles a conjuntos de principales especificados. Cuando hay un intento de acceso no conforme (acceso por principales distintos de los permitidos) a los recursos de datos, se crea un hallazgo. Los tipos de principales admitidos son cuentas de usuario o grupos. Para obtener información sobre qué formato usar, consulta la tabla de formatos de principales admitidos.
Las cuentas de usuario incluyen lo siguiente:
- Cuentas de Google personales a las que los usuarios se registran en google.com, como las cuentas de Gmail.com
- Cuentas de Google administradas para empresas
- Cuentas de Google Workspace for Education
Las cuentas de usuario no incluyen cuentas de robots, cuentas de servicio, cuentas de marca solo de delegación, cuentas de recursos ni cuentas de dispositivos.
Entre los tipos de recursos que se admiten, se incluyen los siguientes:
- Tablas y conjuntos de datos de BigQuery
- Buckets de Cloud Storage
- Modelos, conjuntos de datos, almacenes de atributos y almacenes de metadatos de Agent Platform de Gemini Enterprise
La DSPM evalúa el cumplimiento de este control cada vez que una cuenta de usuario lee un tipo de recurso admitido.
Este control de nube requiere que habilites los registros de auditoría de acceso a los datos para Cloud Storage y Agent Platform.
Las limitaciones incluyen lo siguiente:
- Solo se admiten operaciones de lectura.
- El acceso por cuentas de servicio, incluida la identidad temporal como cuenta de servicio, está exento de este control. Como mitigación, asegúrate de que solo las cuentas de servicio de confianza tengan acceso a los recursos sensibles de Cloud Storage, BigQuery y Agent Platform. Además, no otorgues el rol de creador de tokens de cuenta de servicio (
roles/iam.serviceAccountTokenCreator) alos usuarios que no deberían tener acceso. - Este control no impide que los usuarios accedan a las copias que se realizan a través de operaciones de cuentas de servicio, como las que realizan el Servicio de transferencia de almacenamiento y el Servicio de transferencia de datos de BigQuery. Los usuarios podrían acceder a copias de datos que no tienen habilitado este control.
- No se admiten los conjuntos de datos vinculados. Los conjuntos de datos vinculados crean un conjunto de datos de BigQuery de solo lectura que actúa como un vínculo simbólico a un conjunto de datos de origen. Los conjuntos de datos vinculados no producen registros de auditoría de acceso a los datos y pueden permitir que un usuario no autorizado lea datos sin que se marquen. Por ejemplo, un usuario podría omitir el control de acceso vinculando un conjunto de datos a un conjunto de datos fuera de tu límite de cumplimiento y, luego, podría consultar el conjunto de datos nuevo sin generar registros en el conjunto de datos de origen. Como mitigación, no otorgues los roles de administrador de BigQuery
(
roles/bigquery.admin), propietario de datos de BigQuery (roles/bigquery.dataOwner) o administrador de BigQuery Studio (roles/bigquery.studioAdmin) a los usuarios que no deberían tener acceso a los recursos sensibles de BigQuery. - Las consultas de tablas comodín se admiten a nivel del conjunto de datos, pero no a nivel del conjunto de tablas. Esta función te permite consultar varias tablas de BigQuery al mismo tiempo con expresiones comodín. La DSPM procesa las consultas comodín como si accedieras al conjunto de datos de BigQuery superior, no a las tablas individuales dentro del conjunto de datos.
- No se admite el acceso público a los objetos de Cloud Storage. El acceso público otorga acceso a todos los usuarios sin ninguna verificación de políticas.
- No se admite el acceso ni las descargas de objetos de Cloud Storage con sesiones de navegador autenticadas .
- Cuando se implementan en una aplicación de App Hub, no se admiten las tablas ni los conjuntos de datos de BigQuery.
Impide el robo de datos
El control Restringe el flujo de datos sensibles en las jurisdicciones geográficas te permite especificar los países permitidos desde los que se puede acceder a los datos. El control de nube funciona de la siguiente manera:
Si una solicitud de lectura proviene de Internet, el país se determina según la dirección IP de la solicitud de lectura. Si se usa un proxy para enviar la solicitud de lectura, se envían alertas según la ubicación del proxy.
Si la solicitud de lectura proviene de una VM de Compute Engine, el país se determina según la zona de la nube desde la que se origina la solicitud.
Entre los tipos de recursos que se admiten, se incluyen los siguientes:
- Tablas y conjuntos de datos de BigQuery
- Buckets de Cloud Storage
- Modelos, conjuntos de datos, almacenes de atributos y almacenes de metadatos de Agent Platform
Las limitaciones incluyen lo siguiente:
- Solo se admiten operaciones de lectura.
- En el caso de Agent Platform, solo se admiten solicitudes de Internet.
- No se admite el acceso público a los objetos de Cloud Storage.
- No se admite el acceso ni las descargas de objetos de Cloud Storage con sesiones de navegador autenticadas .
- Cuando se implementan en una aplicación de App Hub en una carpeta configurada para la administración de aplicaciones, no se admiten las tablas ni los conjuntos de datos de BigQuery.
- Cuando un principal accede a un recurso más de una vez desde una ubicación no conforme en un plazo de 24 horas, solo se admiten infracciones para el primer acceso.
Aplica la encriptación de CMEK
Estos controles requieren que encriptes recursos específicos con CMEK. Incluyen lo siguiente:
- Habilita la CMEK para los conjuntos de datos de Agent Platform de Gemini Enterprise
- Habilita la CMEK para los almacenes de metadatos de Agent Platform de Gemini Enterprise
- Habilita la CMEK para los modelos de Agent Platform de Gemini Enterprise
- Habilita la CMEK para el almacén de atributos de Agent Platform de Gemini Enterprise
- Habilita la CMEK para las tablas de BigQuery
Cuando implementas estos controles en una aplicación de App Hub, no se admiten las tablas de BigQuery.
Administra las políticas de retención de datos máximas
El control Controla el período de retención máximo para datos sensibles Datos controla el período de retención de los datos sensibles. Puedes seleccionar recursos (por ejemplo, tablas de BigQuery) y aplicar un control de nube de borrado de datos que detecte si alguno de los recursos infringe los límites máximos de retención de antigüedad.
Entre los tipos de recursos que se admiten, se incluyen los siguientes:
- Tablas y conjuntos de datos de BigQuery
- Modelos, conjuntos de datos, almacenes de atributos y almacenes de metadatos de Agent Platform
- Objetos de Cloud Storage (versión preliminar). Debes registrarte para usar este control.
Cuando implementas este control en una aplicación de App Hub, no se admiten las tablas ni los conjuntos de datos de BigQuery.
Administra la retención de datos
El control Controla el período de retención mínimo para los objetos de Cloud Storage aplica un período de retención mínimo para los objetos de Cloud Storage. Este control impide el borrado o la modificación de objetos de Cloud Storage hasta que haya transcurrido el período de retención mínimo (especificado en segundos).
Este control detecta objetos de Cloud Storage que no cumplen con la política de retención mínima configurada. Los hallazgos se generan en Security Command Center a nivel del bucket. Puedes consultar los hallazgos a nivel del objeto dentro de los conjuntos de datos de Storage Intelligence (en object_security_findings_view). Los hallazgos a nivel del objeto tienen findingType: SCC_DSPM_DATA_RETENTION y findingReason: MINIMUM_RETENTION_VIOLATION.
Tipos de recursos admitidos: Objetos de Cloud Storage
Debes registrarte para usar este control.
Administra la encriptación de datos
El control Requiere encriptación administrada por el cliente para objetos de Cloud Storage te ayuda a aplicar la encriptación para los objetos en buckets de Cloud Storage con CMEK. El control detecta objetos de Cloud Storage que no están encriptados con CMEK, lo que infringe tu política de encriptación.
Los hallazgos se generan en Security Command Center a nivel del bucket. Puedes consultar los hallazgos a nivel del objeto dentro de los conjuntos de datos de Storage Intelligence (en object_security_findings_view). Los hallazgos a nivel del objeto tienen findingType: SCC_DSPM_ENCRYPTION_NO_CMEK y findingReason: ENCRYPTION_CMEK_VIOLATION.
Tipos de recursos admitidos: Objetos de Cloud Storage
Debes registrarte para usar este control.
Administra el acceso público a los datos
El control Restringe el acceso público a los objetos de Cloud Storage te ayuda a restringir el acceso público a los objetos en buckets de Cloud Storage para evitar el riesgo de exposición de datos. Este control detecta objetos de Cloud Storage que son de acceso público, lo que infringe tu política de acceso público.
Los hallazgos se generan en Security Command Center a nivel del bucket. Puedes consultar los hallazgos detallados a nivel del objeto dentro de los conjuntos de datos de Storage Intelligence (en object_security_findings_view). Los hallazgos a nivel del objeto tienen findingType: SCC_DSPM_PUBLIC_ACCESS_GOVERNANCE y findingReason: PUBLIC_ACCESS_VIOLATION.
El campo sccDspmFinding.securityInsights en el hallazgo a nivel del objeto proporciona más detalles sobre el estado de accesibilidad pública, incluido el acceso de lectura y escritura.
Tipos de recursos admitidos: Objetos de Cloud Storage
Debes registrarte para usar este control.
Usa la DSPM con Sensitive Data Protection
La DSPM funciona con Sensitive Data Protection. Sensitive Data Protection encuentra los datos sensibles en tu organización, y la DSPM te permite implementar controles de nube de seguridad de los datos en los datos sensibles para satisfacer tus requisitos de seguridad y cumplimiento.
En la siguiente tabla, se describe cómo puedes usar Sensitive Data Protection para el descubrimiento de datos y la DSPM para la aplicación de políticas y la administración de la postura de seguridad.
| Servicio | Sensitive Data Protection |
DSPM |
|---|---|---|
| Alcance de los datos | Encuentra y clasifica datos sensibles (como PII o secretos) en el almacenamiento de Google Cloud. |
Evalúa la postura de seguridad alrededor de los datos sensibles clasificados. |
| Acciones principales | Analiza, genera perfiles y desidentifica datos sensibles. |
Aplica, supervisa y valida políticas. |
| Enfoque de los hallazgos | Informa dónde se encuentran los datos sensibles (por ejemplo, BigQuery o Cloud Storage). |
Informa por qué se exponen los datos (por ejemplo, acceso público, falta de CMEK o permisos excesivos). |
| Integración | Alimenta la DSPM con metadatos de sensibilidad y clasificación. |
Usa datos de Sensitive Data Protection para aplicar y supervisar controles de seguridad y evaluaciones de riesgos. |
¿Qué sigue?
- Habilita la DSPM.
- Envía los resultados del trabajo de inspección de Sensitive Data Protection a Security Command Center.