La gestion de la stratégie de sécurité des données (DSPM) fournit une vue axée sur les données de la sécurité Google Cloud . DSPM vous permet d'identifier et de réduire en continu les risques liés aux données. Pour ce faire, il vous aide à comprendre quelles données sensibles vous possédez, où elles sont stockées dansGoogle Cloudet si leur utilisation est conforme à vos exigences de sécurité et de conformité.
Le DSPM permet à votre équipe d'effectuer les tâches de sécurité des données suivantes :
Découverte et classification des données : découvrez et classez automatiquement les ressources de données sensibles dans votre environnement Google Cloud , y compris BigQuery et Cloud Storage.
Gouvernance des données : évaluez votre posture actuelle en matière de sécurité des données par rapport aux bonnes pratiques et aux cadres de conformité de Google pour identifier et résoudre les problèmes de sécurité potentiels.
Application des contrôles : mappez vos exigences de sécurité à des contrôles cloud spécifiques de gouvernance des données, tels que la gouvernance de l'accès aux données et la gouvernance du flux de données.
Surveillance de la conformité : surveillez les charges de travail par rapport aux frameworks de sécurité des données appliqués pour prouver l'alignement, corriger les cas de non-respect et générer des preuves pour l'audit.
Composants principaux de DSPM
Les sections suivantes décrivent les composants de DSPM.
Surveiller votre stratégie de sécurité des données avec le tableau de bord DSPM
Le tableau de bord de sécurité des données de la consoleGoogle Cloud vous permet de voir comment les données de votre organisation répondent à vos exigences en termes de sécurité et de conformité des données.
L'explorateur de cartographie des données du tableau de bord sur la sécurité des données indique les emplacements géographiques où vos données sont stockées. Il vous permet également de filtrer les informations sur vos données par emplacement géographique, par niveau de sensibilité, par projet associé et par servicesGoogle Cloud qui stockent les données. Les cercles sur la carte de données représentent le nombre relatif de ressources de données et de ressources de données avec des alertes dans la région.
Vous pouvez afficher les résultats de sécurité des données qui se produisent lorsqu'une ressource de données ne respecte pas un contrôle cloud de sécurité des données. Lorsqu'un résultat est généré, il peut s'écouler jusqu'à deux heures avant qu'il n'apparaisse dans l'explorateur de cartographie des données.
Vous pouvez également consulter des informations sur les frameworks de sécurité des données déployés, le nombre de résultats ouverts associés à chaque framework et le pourcentage de ressources de votre environnement couvertes par au moins un framework.
Frameworks de sécurité des données et conformité DSPM
Vous utilisez des frameworks pour définir vos exigences en termes de sécurité et de conformité des données, et les appliquer à votre environnement Google Cloud . La DSPM inclut le framework Essentials de sécurité et de confidentialité des données, qui définit les contrôles de base recommandés pour la sécurité et la conformité des données. Lorsque vous activez DSPM, ce framework est automatiquement appliqué à l'organisationGoogle Cloud en mode Détecteur. Vous pouvez utiliser les résultats générés pour renforcer votre posture de données.
Si nécessaire, vous pouvez créer des copies du framework pour créer des frameworks de sécurité des données personnalisés. Vous pouvez ajouter les paramètres cloud avancés de sécurité des données à vos frameworks personnalisés et appliquer ces frameworks personnalisés à l'organisation, aux dossiers, aux projets et aux applications du Hub d'applications dans les dossiers configurés pour la gestion des applications. Par exemple, vous pouvez créer des frameworks personnalisés qui appliquent des contrôles juridictionnels à des dossiers spécifiques pour vous assurer que les données qu'ils contiennent restent dans une région géographique particulière.
Cadre de base pour la sécurité et la confidentialité des données
Les contrôles cloud suivants font partie du framework "Principes essentiels de sécurité et de confidentialité des données".
| Contrôle cloud | Description |
|---|---|
DONNÉES SENSIBLES BIGQUERY TABLE_CMEK DISABLED |
Détectez quand les clés CMEK ne sont pas utilisées pour les tables BigQuery qui incluent des données sensibles. |
CHIFREMENT CMEK DÉSACTIVÉ POUR L'ENSEMBLE DE DONNÉES SENSIBLES |
Détectez quand les CMEK ne sont pas utilisées pour les ensembles de données BigQuery qui incluent des données sensibles. |
ENSEMBLE DE DONNÉES PUBLIQUES SENSIBLES |
Détectez les données sensibles dans les ensembles de données BigQuery accessibles publiquement. |
INSTANCE SQL PUBLIQUE AVEC DONNÉES SENSIBLES |
Détectez les données sensibles dans les bases de données SQL accessibles au public. |
DONNÉES SENSIBLES CMEK SQL DÉSACTIVÉ |
Détectez quand CMEK n'est pas utilisé pour les bases de données SQL qui incluent des données sensibles. |
Commandes cloud avancées pour la gouvernance et la sécurité des données
Le DSPM inclut une sécurité avancée des données pour vous aider à répondre à des exigences supplémentaires en la matière. Ces contrôles avancés de sécurité des données cloud sont regroupés comme suit :
- Gouvernance des accès aux données : détecte si des comptes principaux autres que ceux que vous spécifiez accèdent à des données sensibles.
- Gouvernance des flux de données : détecte si des clients situés en dehors d'une zone géographique (pays) spécifiée accèdent à des données sensibles.
- Protection des données et gouvernance des clés : détecte si des données sensibles sont créées sans chiffrement par clés de chiffrement gérées par le client (CMEK).
- Suppression des données : détecte les cas de non-respect des règles concernant la durée de conservation maximale des données sensibles.
Ces contrôles ne sont compatibles qu'avec le mode Détection. Pour en savoir plus sur le déploiement de ces contrôles, consultez Utiliser DSPM.
Surveiller les autorisations des utilisateurs avec le contrôle cloud de la gouvernance des accès aux données
Ce contrôle limite l'accès aux données sensibles à des ensembles de comptes principaux spécifiques. Lorsqu'une tentative d'accès non conforme (accès par des comptes principaux autres que ceux autorisés) à des ressources de données est détectée, un résultat est créé. Les types de comptes principaux acceptés sont les comptes utilisateur ou les groupes. Pour savoir quel format utiliser, consultez le tableau des formats de comptes principaux acceptés.
Les comptes utilisateur incluent les éléments suivants :
- Comptes Google grand public auxquels les utilisateurs s'inscrivent sur google.com, tels que les comptes Gmail.com
- Comptes Google gérés pour les entreprises
- Comptes Google Workspace for Education
Les comptes utilisateur n'incluent pas les comptes robot, les comptes de service, les comptes de marque avec délégation uniquement, les comptes de ressources ni les comptes d'appareils.
Voici les types de composants acceptés :
- Ensembles de données et tables BigQuery
- Buckets Cloud Storage
- Modèles, ensembles de données, feature stores et magasins de métadonnées Vertex AI
Le DSPM évalue la conformité avec ce contrôle chaque fois qu'un compte utilisateur lit un type de ressource compatible.
Ce contrôle cloud nécessite que vous activiez les journaux d'audit des accès aux données pour Cloud Storage et Vertex AI.
Voici quelques limites :
- Seules les opérations de lecture sont acceptées.
- L'accès par les comptes de service, y compris l'emprunt d'identité de compte de service, est exempté de ce contrôle. Pour atténuer ce risque, assurez-vous que seuls les comptes de service de confiance ont accès aux ressources sensibles de Cloud Storage, BigQuery et Vertex AI. De plus, n'attribuez pas le rôle Créateur de jetons du compte de service (
roles/iam.serviceAccountTokenCreator) aux utilisateurs qui ne devraient pas y avoir accès. - Ce contrôle n'empêche pas les utilisateurs d'accéder aux copies créées par le biais d'opérations de compte de service, telles que celles effectuées par le service de transfert de stockage et le service de transfert de données BigQuery. Les utilisateurs peuvent accéder à des copies de données pour lesquelles ce contrôle n'est pas activé.
- Les ensembles de données associés ne sont pas acceptés. Les ensembles de données associés créent un ensemble de données BigQuery en lecture seule qui sert de lien symbolique vers un ensemble de données source. Les ensembles de données associés ne génèrent pas de journaux d'audit des accès aux données et peuvent permettre à un utilisateur non autorisé de lire des données sans que cela soit signalé. Par exemple, un utilisateur peut contourner le contrôle des accès en associant un ensemble de données à un ensemble de données en dehors de votre périmètre de conformité. Il peut ensuite interroger le nouvel ensemble de données sans générer de journaux pour l'ensemble de données source. Pour atténuer ce problème, n'attribuez pas les rôles Administrateur BigQuery (
roles/bigquery.admin), Propriétaire de données BigQuery (roles/bigquery.dataOwner) ni Administrateur BigQuery Studio (roles/bigquery.studioAdmin) aux utilisateurs qui ne doivent pas avoir accès aux ressources BigQuery sensibles. - Les requêtes de table générique sont acceptées au niveau de l'ensemble de données, mais pas au niveau de l'ensemble de tables. Cette fonctionnalité vous permet d'interroger plusieurs tables BigQuery en même temps à l'aide d'expressions génériques. Le DSPM traite les requêtes avec caractères génériques comme si vous accédiez à l'ensemble de données BigQuery parent, et non aux tables individuelles de l'ensemble de données.
- L'accès public aux objets Cloud Storage n'est pas pris en charge. L'accès public accorde l'accès à tous les utilisateurs sans vérification des règles.
- L'accès aux objets Cloud Storage ou leur téléchargement à l'aide de sessions de navigateur authentifiées ne sont pas compatibles.
- Les tables et ensembles de données BigQuery ne sont pas compatibles avec les applications App Hub.
Empêcher l'exfiltration de données avec le contrôle cloud de la gouvernance des flux de données
Ce contrôle vous permet de spécifier les pays autorisés à accéder aux données. Le contrôle cloud fonctionne comme suit :
Si une demande de lecture provient d'Internet, le pays est déterminé en fonction de l'adresse IP de la demande de lecture. Si un proxy est utilisé pour envoyer la demande de lecture, les alertes sont envoyées en fonction de l'emplacement du proxy.
Si la demande de lecture provient d'une VM Compute Engine, le pays est déterminé par la zone cloud d'où provient la demande.
Voici les types de composants acceptés :
- Ensembles de données et tables BigQuery
- Buckets Cloud Storage
- Modèles, ensembles de données, feature stores et magasins de métadonnées Vertex AI
Voici quelques limites :
- Seules les opérations de lecture sont acceptées.
- Pour Vertex AI, seules les requêtes provenant d'Internet sont acceptées.
- L'accès public aux objets Cloud Storage n'est pas pris en charge.
- L'accès aux objets Cloud Storage ou leur téléchargement à l'aide de sessions de navigateur authentifiées ne sont pas compatibles.
- Lorsque vous déployez une application App Hub dans un dossier configuré pour la gestion des applications, les tables et ensembles de données BigQuery ne sont pas compatibles.
Appliquer le chiffrement CMEK avec les contrôles cloud "Protection des données et gouvernance des clés"
Ces contrôles vous obligent à chiffrer des ressources spécifiques à l'aide de CMEK. En voici quelques exemples :
- Activer CMEK pour les ensembles de données Vertex AI
- Activer CMEK pour les magasins de métadonnées Vertex AI
- Activer CMEK pour les modèles Vertex AI
- Activer CMEK pour Vertex AI Feature Store
- Activer CMEK pour les tables BigQuery
Lorsque vous déployez ces contrôles sur une application App Hub, les tables BigQuery ne sont pas compatibles.
Gérer les règles de conservation maximale des données avec le contrôle cloud "Suppression des données"
Ce contrôle régit la période de conservation des données sensibles. Vous pouvez sélectionner des ressources (par exemple, des tables BigQuery) et appliquer un contrôle cloud de suppression de données qui détecte si l'une des ressources enfreint les limites de durée de conservation maximale.
Voici les types de composants acceptés :
- Ensembles de données et tables BigQuery
- Modèles, ensembles de données, feature stores et magasins de métadonnées Vertex AI
Lorsque vous déployez ce contrôle sur une application App Hub, les tables et ensembles de données BigQuery ne sont pas compatibles.
Utiliser la gestion de la stratégie de sécurité des données avec la protection des données sensibles
Le DSPM fonctionne avec Sensitive Data Protection. Sensitive Data Protection identifie les données sensibles de votre organisation, et DSPM vous permet de déployer des contrôles cloud de sécurité des données sur les données sensibles pour répondre à vos exigences en matière de sécurité et de conformité.
Le tableau suivant décrit comment utiliser Sensitive Data Protection pour la découverte des données et la gestion de la stratégie de sécurité des données pour l'application des règles et la gestion de la stratégie de sécurité.
| Service | Sensitive Data Protection |
DSPM |
|---|---|---|
| Champ des données | Recherche et classe les données sensibles (telles que les informations permettant d'identifier personnellement l'utilisateur ou les secrets) dans le stockage sur Google Cloud. |
Évalue la posture de sécurité autour des données sensibles classifiées. |
| Actions principales | Analyse, profile et anonymise les données sensibles. |
Applique, surveille et valide les règles. |
| Points à examiner | Indique où se trouvent les données sensibles (par exemple, BigQuery ou Cloud Storage). |
Des rapports sur pourquoi les données sont exposées (par exemple, accès public, CMEK manquant ou autorisations excessives). |
| Intégration | Fournit à DSPM des métadonnées de sensibilité et de classification. |
Utilise les données de la protection des données sensibles pour appliquer et surveiller les contrôles de sécurité et les évaluations des risques. |
Étapes suivantes
- Activez DSPM.
- Envoyez les résultats des tâches d'inspection de protection des données sensibles à Security Command Center.