Data Security Posture Management (DSPM) 提供以数据为中心的 Google Cloud 安全性视图。 借助 DSPM,您可以持续识别和降低数据风险,因为它可帮助您了解自己拥有哪些敏感数据、这些数据存储在Google Cloud中的何处,以及这些数据的使用方式是否符合您的安全和合规性要求。
借助 DSPM,您的团队可以完成以下数据安全任务:
数据发现和分类:自动发现和分类 Google Cloud 环境中的敏感数据资源,包括 BigQuery 和 Cloud Storage。
数据治理:根据 Google 的最佳实践和合规性框架评估您当前的数据安全状况,以发现并修复潜在的安全问题。
控制措施实施:将您的安全要求映射到特定的数据治理云控制措施,例如数据访问权限治理和数据流治理。
合规性监控:根据应用的数据安全框架监控工作负载,以证明合规性、修复违规行为并生成审核证据。
DSPM 的核心组件
以下部分介绍了 DSPM 的组件。
使用 DSPM 信息中心监控数据安全状况
通过Google Cloud 控制台中的数据安全信息中心,您可以了解组织的数据对数据安全和合规性要求的符合程度。
数据安全信息中心内的数据地图浏览器会显示数据的存储地理位置,并允许您按地理位置、数据敏感程度、关联项目以及存储数据的Google Cloud 服务来过滤数据相关信息。数据地图上的圆圈表示相应区域内数据资源和存在提醒的数据资源的相对数量。
您可以查看数据安全发现结果,这些结果会在数据资源违反数据安全云控制时出现。生成新的发现结果后,该结果最多可能需要两小时才会显示在数据地图浏览器中。
您还可以查看有关已部署的数据安全框架的信息、与每个框架关联的未解决的发现结果数量,以及您的环境中至少受一个框架覆盖的资源百分比。
DSPM 数据安全框架和合规性
您可以使用框架来定义数据安全性和合规性要求,并将这些要求应用于您的 Google Cloud 环境。DSPM 包含数据安全和隐私保护基本框架,该框架定义了数据安全和合规性的建议基准控制措施。启用 DSPM 后,系统会自动以检测模式将此框架应用于Google Cloud 组织。您可以根据生成的发现结果来改善数据安全状况。
如果需要,您可以复制该框架,以创建自定义数据安全框架。您可以将高级数据安全云控制措施添加到自定义框架,并将自定义框架应用于针对应用管理配置的文件夹中的组织、文件夹、项目和 App Hub 应用。例如,您可以创建自定义框架,以将管辖区控制措施应用于特定文件夹,从而确保这些文件夹中的数据保留在特定地理区域内。
数据安全和隐私保护基本要素框架(基准控制措施)
以下云控制措施是数据安全和隐私保护基本要素框架的一部分。
| 云控制措施 | 说明 |
|---|---|
敏感数据 BIGQUERY 表 CMEK 已停用 |
检测未对包含敏感数据的 BigQuery 表使用 CMEK 的情况。 |
敏感数据数据集 CMEK 已停用 |
检测未对包含敏感数据的 BigQuery 数据集使用 CMEK 的情况。 |
敏感数据公共数据集 |
检测可公开访问的 BigQuery 数据集中的敏感数据。 |
敏感数据公共 SQL 实例 |
检测可公开访问的 SQL 数据库中的敏感数据。 |
敏感数据 SQL CMEK 已停用 |
检测何时未对包含敏感数据的 SQL 数据库使用 CMEK。 |
高级数据治理和安全云控制措施
DSPM 包含高级数据安全功能,可帮助您满足额外的数据安全要求。这些高级数据安全云控制措施分为以下几组:
- 数据访问治理:检测指定主账号以外的主账号是否正在访问敏感数据。
- 数据流治理:检测指定地理位置(国家/地区)以外的客户端是否正在访问敏感数据。
- 数据保护和密钥治理:检测是否在未采用客户管理的加密密钥 (CMEK) 加密的情况下创建敏感数据。
- 数据删除:检测是否违反了敏感数据的最长保留期限政策。
这些控制措施仅支持检测模式。如需详细了解如何部署这些控制措施,请参阅使用 DSPM。
使用数据访问权限治理云控制措施监控用户权限
此控制措施会将对敏感数据的访问权限限制为指定的主账号集。 当有不合规的访问尝试(由允许的主账号以外的主账号访问数据资源)时,系统会创建一项发现结果。支持的主账号类型为用户账号或群组。如需了解要使用哪种格式,请参阅支持的主账号格式表格。
用户账号包括以下内容:
- 用户在 google.com 上注册的个人 Google 账号,例如 Gmail.com 账号
- 面向企业的受管理的 Google 账号
- Google Workspace 教育版账号
用户账号不包括机器人账号、服务账号、仅限委托的品牌账号、资源账号和设备账号。
支持的资产类型包括:
- BigQuery 数据集和表
- Cloud Storage 存储桶
- Vertex AI 模型、数据集、特征库和元数据存储区
每当用户账号读取受支持的资源类型时,DSPM 都会评估是否符合此控制措施。
此云控制措施要求您为 Cloud Storage 和 Vertex AI 启用数据访问审核日志。
限制包括:
- 仅支持读取操作。
- 服务账号的访问权限(包括服务账号模拟)不受此控制措施的限制。作为缓解措施,请确保只有可信的服务账号才能访问敏感的 Cloud Storage、BigQuery 和 Vertex AI 资源。此外,请勿向不应具有访问权限的用户授予 Service Account Token Creator (
roles/iam.serviceAccountTokenCreator) 角色。 - 此控制措施不会阻止用户通过服务账号操作(例如 Storage Transfer Service 和 BigQuery Data Transfer Service 所做的操作)访问所创建的副本。用户可以访问未启用此控制功能的副本数据。
- 不支持关联的数据集。关联数据集会创建一个只读 BigQuery 数据集,用作源数据集的符号链接。关联的数据集不会生成数据访问审核日志,可能会让未经授权的用户读取数据,而不会被标记为违规。例如,用户可以将数据集关联到合规性边界之外的数据集,从而绕过访问控制,然后查询新数据集,而不会针对源数据集生成日志。为缓解此问题,请勿向不应访问敏感 BigQuery 资源的用户授予 BigQuery Admin (
roles/bigquery.admin)、BigQuery Data Owner (roles/bigquery.dataOwner) 或 BigQuery Studio Admin (roles/bigquery.studioAdmin) 角色。 - 数据集级层支持通配符表查询,但表集级层不支持。借助此功能,您可以使用通配符表达式同时查询多个 BigQuery 表。DSPM 处理通配符查询的方式与您访问父 BigQuery 数据集(而非数据集中的各个表)的方式相同。
- 不支持公开访问 Cloud Storage 对象。公开访问权限可让所有用户在不进行任何政策检查的情况下访问资源。
- 不支持使用经过身份验证的浏览器会话访问或下载 Cloud Storage 对象。
- 如果部署到 App Hub 应用,系统不支持 BigQuery 表和数据集。
利用数据流治理云控制措施防止数据渗漏
借助此控制措施,您可以指定允许哪些国家/地区访问数据。云控制的工作原理如下:
如果读取请求来自互联网,则系统会根据读取请求的 IP 地址确定国家/地区。如果使用代理发送读取请求,系统会根据代理的位置发送提醒。
如果读取请求来自 Compute Engine 虚拟机,则国家/地区由请求来源的云区域确定。
支持的资产类型包括:
- BigQuery 数据集和表
- Cloud Storage 存储桶
- Vertex AI 模型、数据集、特征存储区和元数据存储区
限制包括:
- 仅支持读取操作。
- 对于 Vertex AI,仅支持来自互联网的请求。
- 不支持公开访问 Cloud Storage 对象。
- 不支持使用经过身份验证的浏览器会话访问或下载 Cloud Storage 对象。
- 如果部署到针对应用管理配置的文件夹中的 App Hub 应用,系统不支持 BigQuery 表和数据集。
通过数据保护和密钥治理云控制措施强制执行 CMEK 加密
这些控制措施要求您使用 CMEK 加密特定资源。其中包括:
- 为 Vertex AI 数据集启用 CMEK
- 为 Vertex AI 元数据存储区启用 CMEK
- 为 Vertex AI 模型启用 CMEK
- 为 Vertex AI 特征存储区启用 CMEK
- 为 BigQuery 表启用 CMEK
当您将这些控制措施部署到 App Hub 应用时,系统不支持 BigQuery 表。
使用“数据删除”云控制措施管理最长数据保留期限政策
此控制措施用于治理敏感数据的保留期限。您可以选择资源(例如 BigQuery 表),然后应用数据删除云控制功能,以检测是否有任何资源违反了最长保留期限限制。
支持的资产类型包括:
- BigQuery 数据集和表
- Vertex AI 模型、数据集、特征库和元数据存储区
将此控制措施部署到 App Hub 应用时,系统不支持 BigQuery 表和数据集。
将 DSPM 与 Sensitive Data Protection 搭配使用
DSPM 可与 Sensitive Data Protection 搭配使用。 Sensitive Data Protection 可查找组织中的敏感数据,而 DSPM 可让您在敏感数据上部署数据安全云控制措施,以满足您的安全性和合规性要求。
下表介绍了如何使用 Sensitive Data Protection 进行数据发现,以及如何使用 DSPM 进行政策强制执行和安全状况管理。
| 服务 | Sensitive Data Protection |
DSPM |
|---|---|---|
| 数据范围 | 查找并分类 Google Cloud上存储的敏感数据(例如个人身份信息或 Secret)。 |
评估有关已分类的敏感数据的安全状况。 |
| 核心操作 | 扫描、分析和去标识化敏感数据。 |
强制执行、监控和验证政策。 |
| 发现结果重点 | 报告敏感数据所在的位置(例如,BigQuery 或 Cloud Storage)。 |
报告数据泄露的原因(例如,公开访问、缺少 CMEK 或过多权限)。 |
| 集成 | 向 DSPM 提供敏感度和分类元数据。 |
使用 Sensitive Data Protection 数据来应用和监控安全控制措施和风险评估。 |