La administración de la postura de seguridad de los datos (DSPM) proporciona una vista centrada en los datos de la Google Cloud seguridad. La DSPM te permite identificar y reducir continuamente el riesgo de los datos, ya que te ayuda a comprender qué datos sensibles tienes, dónde se almacenan enGoogle Cloudy si su uso se alinea con tus requisitos de seguridad y cumplimiento.
La DSPM permite a tu equipo completar las siguientes tareas de seguridad de los datos:
Descubrimiento y clasificación de datos: Descubre y clasifica automáticamente los recursos de datos sensibles en tu entorno de Google Cloud , incluidos BigQuery y Cloud Storage.
Administración de datos: Evalúa tu postura actual de seguridad de los datos en comparación con las prácticas recomendadas y los marcos de cumplimiento de Google para identificar y corregir posibles problemas de seguridad.
Aplicación de controles: Asigna tus requisitos de seguridad a controles específicos de administración de datos en la nube, como la administración del acceso a los datos y la administración del flujo de datos.
Supervisión del cumplimiento: Supervisa las cargas de trabajo en función de los marcos de trabajo de seguridad de los datos aplicados para demostrar la alineación, corregir los incumplimientos y generar evidencia para la auditoría.
Componentes principales de la DSPM
En las siguientes secciones, se describen los componentes de la DSPM.
Supervisa tu postura de seguridad de los datos con el panel de DSPM
El panel de seguridad de los datos de la consola deGoogle Cloud te permite ver cómo se alinean los datos de tu organización con los requisitos de seguridad y cumplimiento de los datos.
El explorador del mapa de datos en el panel de seguridad de los datos muestra las ubicaciones geográficas en las que se almacenan tus datos y te permite filtrar información sobre ellos por ubicación geográfica, nivel de sensibilidad, proyecto asociado y quéGoogle Cloud servicios almacenan los datos. Los círculos del mapa de datos representan el recuento relativo de los recursos de datos y los recursos de datos con alertas en la región.
Puedes ver los hallazgos de seguridad de los datos, que se producen cuando un recurso de datos incumple un control de seguridad de datos en la nube. Cuando se genera un resultado nuevo, puede tardar hasta dos horas en aparecer en el Explorador del mapa de datos.
También puedes revisar información sobre los marcos de seguridad de los datos implementados, la cantidad de hallazgos abiertos asociados con cada marco y el porcentaje de recursos de tu entorno cubiertos por al menos un marco.
Frameworks de seguridad de los datos y cumplimiento de la DSPM
Usas marcos de trabajo para definir tus requisitos de seguridad y cumplimiento de datos, y aplicar esos requisitos a tu entorno de Google Cloud . La DSPM incluye el marco de trabajo de aspectos básicos de la seguridad y la privacidad de los datos, que define los controles de referencia recomendados para la seguridad y el cumplimiento de los datos. Cuando habilitas la DSPM, este framework se aplica automáticamente a la organización deGoogle Cloud en modo de detección. Puedes usar los resultados generados para fortalecer tu postura de datos.
Si es necesario, puedes crear copias del framework para crear frameworks personalizados de seguridad de los datos. Puedes agregar los controles de seguridad de los datos avanzados en la nube a tus marcos personalizados y aplicarlos a la organización, las carpetas, los proyectos y las aplicaciones de App Hub en las carpetas configuradas para la administración de aplicaciones. Por ejemplo, puedes crear marcos personalizados que apliquen controles jurisdiccionales a carpetas específicas para garantizar que los datos dentro de esas carpetas permanezcan dentro de una región geográfica en particular.
Marco de trabajo de aspectos básicos de la seguridad y la privacidad de los datos (controles de referencia)
Los siguientes controles de la nube forman parte del marco de trabajo de aspectos básicos de la seguridad y la privacidad de los datos.
| Control de nube | Descripción |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
Detecta cuándo no se usa la CMEK para las tablas de BigQuery que incluyen datos sensibles. |
Se inhabilitó la CMEK del conjunto de datos de DATOS SENSIBLES |
Detectar cuándo no se usa la CMEK para los conjuntos de datos de BigQuery que incluyen datos sensibles |
DATASET PÚBLICO DE DATOS SENSIBLES |
Detectar datos sensibles en conjuntos de datos de BigQuery accesibles de forma pública |
INSTANCIA DE SQL PÚBLICA CON DATOS SENSIBLES |
Detectar datos sensibles en bases de datos SQL con acceso público |
DATOS SENSIBLES: CMEK DE SQL INHABILITADA |
Detectar cuándo no se usa la CMEK para las bases de datos SQL que incluyen datos sensibles |
Controles avanzados de seguridad y administración de datos en la nube
La DSPM incluye seguridad de los datos avanzada para ayudarte a cumplir con requisitos adicionales de seguridad de los datos. Estos controles avanzados de seguridad de los datos en la nube se agrupan de la siguiente manera:
- Administración del acceso a los datos: Detecta si las entidades principales que no especificaste acceden a datos sensibles.
- Administración del flujo de datos: Detecta si los clientes que se encuentran fuera de las ubicaciones geográficas (países) especificadas acceden a datos sensibles.
- Protección de datos y administración de claves: Detecta si se están creando datos sensibles sin la encriptación de claves de encriptación administradas por el cliente (CMEK).
- Borrado de datos: Detecta incumplimientos de las políticas sobre el período máximo de retención de datos sensibles.
Estos controles solo admiten el modo de detección. Para obtener más información sobre la implementación de estos controles, consulta Usa DSPM.
Supervisa los permisos del usuario con el control de nube de administración de acceso a los datos
Este control restringe el acceso a datos sensibles a conjuntos de principales especificados. Cuando se intenta acceder a recursos de datos de forma no conforme (acceso por parte de principales que no son las permitidas), se crea un hallazgo. Los tipos de principales admitidos son cuentas de usuario o grupos. Para obtener información sobre qué formato usar, consulta la tabla de formatos de principales admitidos.
Las cuentas de usuario incluyen lo siguiente:
- Cuentas de Google personales con las que los usuarios se registran en google.com, como las cuentas de Gmail.com
- Cuentas de Google administradas para empresas
- Cuentas de Google Workspace for Education
Las cuentas de usuario no incluyen cuentas de robots, cuentas de servicio, cuentas de marca solo para delegación, cuentas de recursos ni cuentas de dispositivos.
Los tipos de recursos admitidos incluyen los siguientes:
- Tablas y conjuntos de datos de BigQuery
- Depósitos de Cloud Storage
- Modelos, conjuntos de datos, almacenes de atributos y almacenes de metadatos de Vertex AI
La DSPM evalúa el cumplimiento de este control cada vez que una cuenta de usuario lee un tipo de recurso compatible.
Este control de nube requiere que habilites los registros de auditoría de acceso a los datos para Cloud Storage y Vertex AI.
Las limitaciones incluyen lo siguiente:
- Solo se admiten operaciones de lectura.
- El acceso por parte de las cuentas de servicio, incluida la suplantación de identidad de cuentas de servicio, está exento de este control. Como medida de mitigación, asegúrate de que solo las cuentas de servicio de confianza tengan acceso a los recursos sensibles de Cloud Storage, BigQuery y Vertex AI. Además, no otorgues el rol de creador de tokens de cuenta de servicio (
roles/iam.serviceAccountTokenCreator) a los usuarios que no deberían tener acceso. - Este control no impide que los usuarios accedan a las copias que se realizan a través de operaciones de cuentas de servicio, como las que realizan el Servicio de transferencia de almacenamiento y el Servicio de transferencia de datos de BigQuery. Los usuarios podrían acceder a copias de datos que no tienen habilitado este control.
- No se admiten los conjuntos de datos vinculados. Los conjuntos de datos vinculados crean un conjunto de datos de BigQuery de solo lectura que actúa como un vínculo simbólico a un conjunto de datos fuente. Los conjuntos de datos vinculados no generan registros de auditoría de acceso a los datos y pueden permitir que un usuario no autorizado lea datos sin que se marque la acción. Por ejemplo, un usuario podría eludir el control de acceso vinculando un conjunto de datos a otro que se encuentre fuera de tu límite de cumplimiento y, luego, podría consultar el nuevo conjunto de datos sin generar registros en el conjunto de datos de origen. Como medida de mitigación, no otorgues los roles de administrador de BigQuery (
roles/bigquery.admin), propietario de datos de BigQuery (roles/bigquery.dataOwner) ni administrador de BigQuery Studio (roles/bigquery.studioAdmin) a los usuarios que no deberían tener acceso a los recursos sensibles de BigQuery. - Las consultas de tablas comodín se admiten a nivel del conjunto de datos, pero no a nivel del conjunto de tablas. Esta función te permite consultar varias tablas de BigQuery al mismo tiempo con expresiones comodín. El DSPM procesa las búsquedas con comodines como si accedieras al conjunto de datos principal de BigQuery, no a las tablas individuales dentro del conjunto de datos.
- No se admite el acceso público a los objetos de Cloud Storage. El acceso público otorga acceso a todos los usuarios sin ninguna verificación de políticas.
- No se admiten el acceso ni las descargas de objetos de Cloud Storage con sesiones autenticadas del navegador.
- Cuando se implementan en una aplicación de App Hub, no se admiten las tablas ni los conjuntos de datos de BigQuery.
Evita el robo de datos con el control de nube de administración de flujos de datos
Este control te permite especificar los países permitidos desde los que se puede acceder a los datos. El control de la nube funciona de la siguiente manera:
Si una solicitud de lectura proviene de Internet, el país se determina según la dirección IP de la solicitud de lectura. Si se usa un proxy para enviar la solicitud de lectura, las alertas se envían según la ubicación del proxy.
Si la solicitud de lectura proviene de una VM de Compute Engine, el país se determina según la zona de nube desde la que se origina la solicitud.
Los tipos de recursos admitidos incluyen los siguientes:
- Tablas y conjuntos de datos de BigQuery
- Depósitos de Cloud Storage
- Modelos, conjuntos de datos, almacenes de atributos y almacenes de metadatos de Vertex AI
Las limitaciones incluyen lo siguiente:
- Solo se admiten operaciones de lectura.
- En el caso de Vertex AI, solo se admiten las solicitudes de Internet.
- No se admite el acceso público a los objetos de Cloud Storage.
- No se admiten el acceso ni las descargas de objetos de Cloud Storage con sesiones autenticadas del navegador.
- Cuando se implementan en una aplicación de App Hub en una carpeta configurada para la administración de aplicaciones, no se admiten las tablas ni los conjuntos de datos de BigQuery.
Aplica la encriptación con CMEK con los controles de protección de datos y administración de claves de Cloud
Estos controles requieren que encriptes recursos específicos con CMEK. Incluyen lo siguiente:
- Habilita la CMEK para los conjuntos de datos de Vertex AI
- Habilita la CMEK para los almacenes de metadatos de Vertex AI
- Habilita la CMEK para los modelos de Vertex AI
- Habilita la CMEK para Vertex AI Feature Store
- Habilita la CMEK para las tablas de BigQuery
Cuando implementas estos controles en una aplicación de App Hub, no se admiten las tablas de BigQuery.
Administra las políticas de retención de datos máximas con el control de nube de eliminación de datos
Este control rige el período de retención de los datos sensibles. Puedes seleccionar recursos (por ejemplo, tablas de BigQuery) y aplicar un control de Cloud de eliminación de datos que detecte si alguno de los recursos incumple los límites máximos de retención por antigüedad.
Los tipos de recursos admitidos incluyen los siguientes:
- Tablas y conjuntos de datos de BigQuery
- Modelos, conjuntos de datos, almacenes de atributos y almacenes de metadatos de Vertex AI
Cuando implementas este control en una aplicación de App Hub, no se admiten las tablas ni los conjuntos de datos de BigQuery.
Usa DSPM con Sensitive Data Protection
La DSPM funciona con Sensitive Data Protection. Sensitive Data Protection encuentra los datos sensibles en tu organización, y la DSPM te permite implementar controles de seguridad de los datos en la nube en los datos sensibles para cumplir con tus requisitos de seguridad y cumplimiento.
En la siguiente tabla, se describe cómo puedes usar la Protección de datos sensibles para el descubrimiento de datos y la DSPM para la aplicación de políticas y la administración de la postura de seguridad.
| Servicio | Sensitive Data Protection |
DSPM |
|---|---|---|
| Alcance de los datos | Busca y clasifica datos sensibles (como PII o secretos) en el almacenamiento en Google Cloud. |
Evalúa la postura de seguridad en torno a los datos sensibles clasificados. |
| Acciones principales | Analiza, crea perfiles y desidentifica datos sensibles. |
Aplica, supervisa y valida políticas. |
| Enfoque de los hallazgos | Informa dónde se encuentran los datos sensibles (por ejemplo, BigQuery o Cloud Storage). |
Informes sobre por qué se exponen los datos (por ejemplo, acceso público, falta de CMEK o permisos excesivos) |
| Integración | Proporciona a la DSPM metadatos de sensibilidad y clasificación. |
Utiliza los datos de Sensitive Data Protection para aplicar y supervisar los controles de seguridad y las evaluaciones de riesgos. |
¿Qué sigue?
- Habilita DSPM.
- Envía los resultados del trabajo de inspección de la Protección de datos sensibles a Security Command Center.