Pengelolaan Postur Keamanan Data (DSPM) memberikan tampilan keamanan yang berfokus pada data. Google Cloud DSPM memungkinkan Anda terus mengidentifikasi dan mengurangi risiko data dengan membantu Anda memahami data sensitif yang Anda miliki, tempat data tersebut disimpan diGoogle Cloud, dan apakah penggunaannya sesuai dengan persyaratan keamanan dan kepatuhan Anda.
DSPM memungkinkan tim Anda menyelesaikan tugas keamanan data berikut:
Penemuan dan klasifikasi data: Menemukan dan mengklasifikasikan resource data sensitif secara otomatis di seluruh lingkungan Google Cloud Anda, termasuk BigQuery dan Cloud Storage.
Tata kelola data: Evaluasi postur keamanan data Anda saat ini berdasarkan praktik terbaik dan kerangka kerja kepatuhan Google untuk mengidentifikasi dan memperbaiki potensi masalah keamanan.
Penerapan kontrol: Petakan persyaratan keamanan Anda ke kontrol cloud tata kelola data tertentu, seperti Tata Kelola Akses Data dan Tata Kelola Alur Data.
Pemantauan kepatuhan: Memantau workload terhadap framework keamanan data yang diterapkan untuk membuktikan keselarasan, memulihkan pelanggaran, dan menghasilkan bukti untuk audit.
Komponen inti DSPM
Bagian berikut menjelaskan komponen DSPM.
Pantau postur keamanan data Anda dengan dasbor DSPM
Dasbor keamanan data di konsolGoogle Cloud memungkinkan Anda melihat kesesuaian data organisasi Anda dengan persyaratan keamanan dan kepatuhan data Anda.
Penjelajah peta data di dasbor keamanan data menampilkan lokasi geografis tempat data Anda disimpan dan memungkinkan Anda memfilter informasi tentang data Anda menurut lokasi geografis, tingkat sensitivitas data, project terkait, dan layanan yang menyimpan data.Google Cloud Lingkaran pada peta data mewakili jumlah relatif resource data dan resource data dengan pemberitahuan di wilayah tersebut.
Anda dapat melihat temuan keamanan data, yang terjadi saat resource data melanggar kontrol cloud keamanan data. Saat temuan baru dibuat, temuan tersebut mungkin memerlukan waktu hingga dua jam untuk muncul di penjelajah peta data.
Anda juga dapat meninjau informasi tentang framework keamanan data yang di-deploy, jumlah temuan terbuka yang terkait dengan setiap framework, dan persentase resource di lingkungan Anda yang tercakup oleh setidaknya satu framework.
Framework keamanan dan kepatuhan data DSPM
Anda menggunakan framework untuk menentukan persyaratan keamanan dan kepatuhan data Anda serta menerapkan persyaratan tersebut ke lingkungan Google Cloud Anda. DSPM mencakup Framework dasar-dasar keamanan dan privasi data, yang menentukan kontrol dasar yang direkomendasikan untuk keamanan dan kepatuhan data. Jika Anda mengaktifkan DSPM, framework ini akan otomatis diterapkan ke organisasiGoogle Cloud dalam mode detektif. Anda dapat menggunakan temuan yang dihasilkan untuk memperkuat postur data Anda.
Jika diperlukan, Anda dapat membuat salinan framework untuk membuat framework keamanan data kustom. Anda dapat menambahkan kontrol cloud keamanan data lanjutan ke framework kustom dan menerapkan framework kustom ke organisasi, folder, project, dan aplikasi App Hub di folder yang dikonfigurasi untuk pengelolaan aplikasi. Misalnya, Anda dapat membuat framework kustom yang menerapkan kontrol yurisdiksi ke folder tertentu untuk memastikan bahwa data dalam folder tersebut tetap berada di wilayah geografis tertentu.
Framework dasar privasi dan keamanan data (kontrol dasar)
Kontrol cloud berikut adalah bagian dari framework Dasar-dasar keamanan dan privasi data.
| Kontrol cloud | Deskripsi |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
Mendeteksi saat CMEK tidak digunakan untuk tabel BigQuery yang menyertakan data sensitif. |
CMEK SET DATA SENSITIF DINONAKTIFKAN |
Mendeteksi saat CMEK tidak digunakan untuk set data BigQuery yang menyertakan data sensitif. |
SET DATA PUBLIK BERISI DATA SENSITIF |
Mendeteksi data sensitif dalam set data BigQuery yang dapat diakses secara publik. |
INSTANCE SQL PUBLIK BERISI DATA SENSITIF |
Mendeteksi data sensitif dalam database SQL yang dapat diakses secara publik. |
CMEK SQL DATA SENSITIF DINONAKTIFKAN |
Mendeteksi saat CMEK tidak digunakan untuk database SQL yang menyertakan data sensitif. |
Kontrol cloud keamanan dan tata kelola data tingkat lanjut
DSPM mencakup keamanan data tingkat lanjut untuk membantu Anda memenuhi persyaratan keamanan data tambahan. Kontrol cloud keamanan data tingkat lanjut ini dikelompokkan sebagai berikut:
- Tata kelola akses data: Mendeteksi apakah akun utama selain yang Anda tentukan mengakses data sensitif.
- Tata kelola alur data: Mendeteksi apakah klien yang berada di luar lokasi geografis (negara) tertentu mengakses data sensitif.
- Perlindungan data dan tata kelola kunci: Mendeteksi apakah data sensitif sedang dibuat tanpa enkripsi kunci enkripsi yang dikelola pelanggan (CMEK).
- Penghapusan data: Mendeteksi pelanggaran terhadap kebijakan periode retensi maksimum untuk data sensitif.
Kontrol ini hanya mendukung mode detektif. Untuk mengetahui informasi selengkapnya tentang cara men-deploy kontrol ini, lihat Menggunakan DSPM.
Memantau izin pengguna dengan kontrol cloud Tata Kelola Akses Data
Kontrol ini membatasi akses ke data sensitif untuk set utama tertentu. Jika ada upaya akses yang tidak sesuai (akses oleh akun utama selain akun utama yang diizinkan) ke resource data, temuan akan dibuat. Jenis akun utama yang didukung adalah akun pengguna atau grup. Untuk mengetahui informasi tentang format yang akan digunakan, lihat tabel format utama yang didukung.
Akun pengguna mencakup hal berikut:
- Akun Google konsumen yang didaftarkan pengguna di google.com, seperti akun Gmail.com
- Akun Google terkelola untuk bisnis
- Akun Google Workspace for Education
Akun pengguna tidak mencakup akun robot, akun layanan, akun merek khusus delegasi, akun resource, dan akun perangkat.
Jenis aset yang didukung meliputi:
- Set data dan tabel BigQuery
- Bucket Cloud Storage
- Model, set data, feature store, dan penyimpanan metadata Vertex AI
DSPM mengevaluasi kepatuhan terhadap kontrol ini setiap kali akun pengguna membaca jenis resource yang didukung.
Kontrol cloud ini mengharuskan Anda mengaktifkan log audit Akses Data untuk Cloud Storage dan Vertex AI.
Batasan mencakup hal berikut:
- Hanya operasi baca yang didukung.
- Akses oleh akun layanan, termasuk peniruan akun layanan, dikecualikan dari kontrol ini. Sebagai mitigasi, pastikan hanya akun layanan tepercaya yang memiliki akses ke resource Cloud Storage, BigQuery, dan Vertex AI yang sensitif. Selain itu, jangan berikan peran
Service Account Token Creator (
roles/iam.serviceAccountTokenCreator) kepada pengguna yang seharusnya tidak memiliki akses. - Kontrol ini tidak mencegah akses oleh pengguna ke salinan yang dibuat melalui operasi akun layanan seperti yang dibuat oleh Storage Transfer Service dan BigQuery Data Transfer Service. Pengguna dapat mengakses salinan data yang tidak mengaktifkan kontrol ini.
- Set data tertaut
tidak didukung. Set data tertaut membuat set data BigQuery hanya baca yang berfungsi sebagai link simbolis ke set data sumber. Set data tertaut tidak menghasilkan log audit akses data dan mungkin memungkinkan pengguna yang tidak sah membaca data tanpa ditandai. Misalnya, pengguna dapat melewati kontrol akses dengan menautkan set data ke set data di luar batas kepatuhan Anda, lalu membuat kueri set data baru tanpa membuat log terhadap set data sumber. Sebagai mitigasi, jangan berikan peran Admin BigQuery
(
roles/bigquery.admin), Pemilik Data BigQuery (roles/bigquery.dataOwner) atau Admin BigQuery Studio (roles/bigquery.studioAdmin) kepada pengguna yang tidak boleh memiliki akses ke resource BigQuery yang sensitif. - Kueri tabel karakter pengganti didukung di tingkat set data, tetapi tidak di tingkat set tabel. Fitur ini memungkinkan Anda membuat kueri beberapa tabel BigQuery secara bersamaan menggunakan ekspresi karakter pengganti. DSPM memproses kueri wildcard seolah-olah Anda mengakses set data BigQuery induk, bukan tabel individual dalam set data.
- Akses publik ke objek Cloud Storage tidak didukung. Akses publik memberikan akses kepada semua pengguna tanpa pemeriksaan kebijakan apa pun.
- Akses atau download objek Cloud Storage menggunakan sesi browser terautentikasi tidak didukung.
- Saat di-deploy ke aplikasi App Hub, tabel dan set data BigQuery tidak didukung.
Mencegah pemindahan data yang tidak sah dengan Kontrol Cloud Tata Kelola Aliran Data
Kontrol ini memungkinkan Anda menentukan negara yang diizinkan untuk mengakses data. Kontrol cloud berfungsi sebagai berikut:
Jika permintaan baca berasal dari internet, negara ditentukan berdasarkan alamat IP permintaan baca. Jika proxy digunakan untuk mengirim permintaan baca, pemberitahuan akan dikirim berdasarkan lokasi proxy.
Jika permintaan baca berasal dari VM Compute Engine, negara ditentukan oleh zona cloud tempat permintaan berasal.
Jenis aset yang didukung meliputi:
- Set data dan tabel BigQuery
- Bucket Cloud Storage
- Model, set data, Feature Store, dan penyimpanan metadata Vertex AI
Batasan mencakup hal berikut:
- Hanya operasi baca yang didukung.
- Untuk Vertex AI, hanya permintaan dari internet yang didukung.
- Akses publik ke objek Cloud Storage tidak didukung.
- Akses atau download objek Cloud Storage menggunakan sesi browser terautentikasi tidak didukung.
- Saat di-deploy ke aplikasi App Hub dalam folder yang dikonfigurasi untuk pengelolaan aplikasi, tabel dan set data BigQuery tidak didukung.
Menerapkan enkripsi CMEK dengan kontrol cloud Tata Kelola Kunci dan Perlindungan Data
Kontrol ini mengharuskan Anda mengenkripsi resource tertentu menggunakan CMEK. Langkah tersebut mencakup hal berikut:
- Mengaktifkan CMEK untuk Set Data Vertex AI
- Mengaktifkan CMEK untuk Penyimpanan Metadata Vertex AI
- Mengaktifkan CMEK untuk Model Vertex AI
- Mengaktifkan CMEK untuk Vertex AI Feature Store
- Mengaktifkan CMEK untuk Tabel BigQuery
Saat Anda men-deploy kontrol ini ke aplikasi App Hub, tabel BigQuery tidak didukung.
Mengelola kebijakan retensi data maksimum dengan kontrol cloud Penghapusan Data
Kontrol ini mengatur periode retensi untuk data sensitif. Anda dapat memilih resource (misalnya, tabel BigQuery) dan menerapkan kontrol cloud penghapusan data yang mendeteksi apakah ada resource yang melanggar batas retensi usia maksimum.
Jenis aset yang didukung meliputi:
- Set data dan tabel BigQuery
- Model, set data, feature store, dan penyimpanan metadata Vertex AI
Saat Anda men-deploy kontrol ini ke aplikasi App Hub, tabel dan set data BigQuery tidak didukung.
Menggunakan DSPM dengan Sensitive Data Protection
DSPM berfungsi dengan Sensitive Data Protection. Sensitive Data Protection menemukan data sensitif di organisasi Anda, dan DSPM memungkinkan Anda men-deploy kontrol cloud keamanan data pada data sensitif untuk memenuhi persyaratan keamanan dan kepatuhan Anda.
Tabel berikut menjelaskan cara Anda dapat menggunakan Sensitive Data Protection untuk penemuan data dan DSPM untuk penerapan kebijakan dan pengelolaan postur keamanan.
| Layanan | Sensitive Data Protection |
DSPM |
|---|---|---|
| Cakupan data | Menemukan dan mengklasifikasikan data sensitif (seperti PII atau rahasia) dalam penyimpanan Google Cloud. |
Menilai postur keamanan di sekitar data sensitif yang diklasifikasikan. |
| Tindakan inti | Memindai, membuat profil, dan melakukan de-identifikasi data sensitif. |
Menerapkan, memantau, dan memvalidasi kebijakan. |
| Fokus temuan | Melaporkan lokasi data sensitif (misalnya, BigQuery, atau Cloud Storage). |
Laporan tentang alasan data diekspos (misalnya, akses publik, CMEK tidak ada, atau izin berlebihan). |
| Integrasi | Mengirimkan metadata sensitivitas dan klasifikasi ke DSPM. |
Menggunakan data Sensitive Data Protection untuk menerapkan dan memantau kontrol keamanan dan penilaian risiko. |
Langkah berikutnya
- Aktifkan DSPM.
- Mengirimkan hasil tugas inspeksi Sensitive Data Protection ke Security Command Center.