La gestión de la posición de seguridad de los datos (DSPM) ofrece una vista de la seguridad centrada en los datos. Google Cloud DSPM te permite identificar y reducir continuamente los riesgos relacionados con los datos, ya que te ayuda a saber qué datos sensibles tienes, dónde se almacenan enGoogle Cloudy si su uso se ajusta a tus requisitos de seguridad y cumplimiento.
La DSPM permite a tu equipo completar las siguientes tareas de seguridad de datos:
Descubrimiento y clasificación de datos: descubre y clasifica automáticamente los recursos de datos sensibles en tu Google Cloud entorno, incluidos BigQuery y Cloud Storage.
Gobernanza de datos: evalúa tu postura de seguridad de datos actual en comparación con las prácticas recomendadas y los marcos de cumplimiento de Google para identificar y solucionar posibles problemas de seguridad.
Cumplimiento de los controles: asigna tus requisitos de seguridad a controles de la nube de gobierno de datos específicos, como el gobierno de acceso a datos y el gobierno de flujo de datos.
Monitorización del cumplimiento: monitoriza las cargas de trabajo en función de los marcos de seguridad de datos aplicados para demostrar la alineación, corregir las infracciones y generar pruebas para las auditorías.
Componentes principales de DSPM
En las siguientes secciones se describen los componentes de DSPM.
Monitorizar la postura de seguridad de los datos con el panel de control de DSPM
El panel de seguridad de datos de la consola deGoogle Cloud te permite ver cómo se ajustan los datos de tu organización a tus requisitos de seguridad y cumplimiento de datos.
El explorador del mapa de datos del panel de control de seguridad de los datos muestra las ubicaciones geográficas en las que se almacenan tus datos y te permite filtrar información sobre ellos por ubicación geográfica, nivel de sensibilidad, proyecto asociado yGoogle Cloud servicios que almacenan los datos. Los círculos del mapa de datos representan el número relativo de recursos de datos y de recursos de datos con alertas en la región.
Puedes ver los resultados de seguridad de los datos, que se producen cuando un recurso de datos infringe un control de seguridad de datos en la nube. Cuando se genera un nuevo resultado, puede tardar hasta dos horas en aparecer en el explorador del mapa de datos.
También puede consultar información sobre los marcos de seguridad de datos que se han implementado, el número de resultados abiertos asociados a cada marco y el porcentaje de recursos de su entorno cubiertos por al menos un marco.
Marcos de seguridad y cumplimiento de los datos de DSPM
Utilizas marcos para definir tus requisitos de seguridad de los datos y cumplimiento, y aplicarlos a tu entorno de Google Cloud . La DSPM incluye el marco de los aspectos esenciales de la seguridad y la privacidad de los datos, que define los controles de referencia recomendados para la seguridad y el cumplimiento de los datos. Cuando habilitas DSPM, este marco se aplica automáticamente a laGoogle Cloud organización en modo de detección. Puedes usar las detecciones generadas para reforzar la seguridad de tus datos.
Si es necesario, puede hacer copias del marco para crear marcos de seguridad de datos personalizados. Puedes añadir los controles de seguridad de datos avanzada en la nube a tus frameworks personalizados y aplicar los frameworks personalizados a la organización, las carpetas, los proyectos y las aplicaciones del Centro de aplicaciones en las carpetas configuradas para la gestión de aplicaciones. Por ejemplo, puedes crear marcos personalizados que apliquen controles jurisdiccionales a carpetas específicas para asegurarte de que los datos de esas carpetas permanezcan en una región geográfica concreta.
Marco de aspectos básicos de seguridad y privacidad de los datos (controles de referencia)
Los siguientes controles en la nube forman parte del marco de trabajo de los aspectos básicos de la seguridad y la privacidad de los datos.
| Control de la nube | Descripción |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
Detecta cuándo no se usa CMEK en las tablas de BigQuery que incluyen datos sensibles. |
CMEK INHABILITADA EN EL CONJUNTO DE DATOS SENSIBLES |
Detecta cuándo no se usa CMEK en conjuntos de datos de BigQuery que incluyen datos sensibles. |
CONJUNTO DE DATOS PÚBLICO CON DATOS SENSIBLES |
Detecta datos sensibles en conjuntos de datos de BigQuery de acceso público. |
INSTANCIA DE SQL PÚBLICA CON DATOS SENSIBLES |
Detecta datos sensibles en bases de datos SQL de acceso público. |
SENSITIVE DATA SQL CMEK DISABLED |
Detecta cuándo no se usa CMEK en bases de datos SQL que incluyen datos sensibles. |
Controles avanzados de seguridad y gestión de datos en la nube
La DSPM incluye seguridad de datos avanzada para ayudarte a cumplir requisitos de seguridad de datos adicionales. Estos controles avanzados de seguridad de datos en la nube se agrupan de la siguiente manera:
- Gobernanza del acceso a los datos: detecta si las entidades distintas de las que especifiques acceden a datos sensibles.
- Gobernanza del flujo de datos: detecta si los clientes que se encuentran fuera de las ubicaciones geográficas (países) especificadas acceden a datos sensibles.
- Protección de datos y gobernanza de claves: detecta si se están creando datos sensibles sin el cifrado de claves de cifrado gestionadas por el cliente (CMEKs).
- Eliminación de datos: detecta infracciones de las políticas de periodo de conservación máximo de datos sensibles.
Estos controles solo admiten el modo de detección. Para obtener más información sobre cómo implementar estos controles, consulta Usar DSPM.
Monitorizar los permisos de los usuarios con el control en la nube de Data Access Governance
Este control restringe el acceso a datos sensibles a conjuntos de principales especificados. Cuando se intenta acceder a recursos de datos de forma no conforme (acceso por parte de principales distintos de los permitidos), se crea un resultado. Los tipos de entidad principal admitidos son cuentas de usuario o grupos. Para obtener información sobre el formato que debes usar, consulta la tabla de formatos de principales admitidos.
Las cuentas de usuario incluyen lo siguiente:
- Cuentas de consumidor de Google que los usuarios registran en google.com, como las cuentas de Gmail.com
- Cuentas de Google gestionadas para empresas
- Cuentas de Google Workspace for Education
Las cuentas de usuario no incluyen cuentas de robots, cuentas de servicio, cuentas de marca de solo delegación, cuentas de recursos ni cuentas de dispositivos.
Entre los tipos de recursos admitidos se incluyen los siguientes:
- Conjuntos de datos y tablas de BigQuery
- Segmentos de Cloud Storage
- Modelos, conjuntos de datos, almacenes de características y almacenes de metadatos de Vertex AI
DSPM evalúa el cumplimiento de este control cada vez que una cuenta de usuario lee un tipo de recurso admitido.
Este control en la nube requiere que habilites los registros de auditoría de acceso a datos de Cloud Storage y Vertex AI.
Entre las limitaciones se incluyen las siguientes:
- Solo se admiten operaciones de lectura.
- Las cuentas de servicio, incluida la suplantación de identidad de cuentas de servicio, están exentas de este control. Como medida de mitigación, asegúrate de que solo las cuentas de servicio de confianza tengan acceso a los recursos sensibles de Cloud Storage, BigQuery y Vertex AI. Además, no concedas el rol Creador de tokens de cuenta de servicio (
roles/iam.serviceAccountTokenCreator) a los usuarios que no deban tener acceso. - Este control no impide que los usuarios accedan a las copias que se hacen mediante operaciones de cuentas de servicio, como las que realizan Storage Transfer Service y BigQuery Data Transfer Service. Los usuarios podrían acceder a copias de datos en las que no se haya habilitado este control.
- No se admiten conjuntos de datos vinculados. Los conjuntos de datos vinculados crean un conjunto de datos de BigQuery de solo lectura que actúa como un enlace simbólico a un conjunto de datos de origen. Los conjuntos de datos vinculados no generan registros de auditoría de acceso a datos y pueden permitir que un usuario no autorizado lea datos sin que se detecte. Por ejemplo, un usuario podría eludir el control de acceso vinculando un conjunto de datos a otro que esté fuera de su límite de cumplimiento y, a continuación, podría consultar el nuevo conjunto de datos sin generar registros en el conjunto de datos de origen. Como medida de mitigación, no concedas los roles Administrador de BigQuery (
roles/bigquery.admin), Propietario de datos de BigQuery (roles/bigquery.dataOwner) ni Administrador de BigQuery Studio (roles/bigquery.studioAdmin) a los usuarios que no deban tener acceso a recursos sensibles de BigQuery. - Las consultas de tablas comodín se admiten a nivel de conjunto de datos, pero no a nivel de conjunto de tablas. Esta función te permite consultar varias tablas de BigQuery al mismo tiempo mediante expresiones con comodines. DSPM procesa las consultas con comodines como si accedieras al conjunto de datos de BigQuery superior, no a tablas concretas del conjunto de datos.
- No se admite el acceso público a objetos de Cloud Storage. Public access concede acceso a todos los usuarios sin comprobar ninguna política.
- No se admite el acceso ni la descarga de objetos de Cloud Storage mediante sesiones de navegador autenticadas.
- Cuando se implementan en una aplicación de App Hub, no se admiten las tablas ni los conjuntos de datos de BigQuery.
Evitar la filtración externa de datos con el control de Cloud de Data Flow Governance
Este control le permite especificar los países desde los que se puede acceder a los datos. El control de la nube funciona de la siguiente manera:
Si una solicitud de lectura procede de Internet, el país se determina en función de la dirección IP de la solicitud de lectura. Si se usa un proxy para enviar la solicitud de lectura, las alertas se envían en función de la ubicación del proxy.
Si la solicitud de lectura procede de una VM de Compute Engine, el país se determina en función de la zona de nube en la que se origina la solicitud.
Entre los tipos de recursos admitidos se incluyen los siguientes:
- Conjuntos de datos y tablas de BigQuery
- Segmentos de Cloud Storage
- Modelos, conjuntos de datos, almacenes de características y almacenes de metadatos de Vertex AI
Entre las limitaciones se incluyen las siguientes:
- Solo se admiten operaciones de lectura.
- En Vertex AI, solo se admiten solicitudes de Internet.
- No se admite el acceso público a objetos de Cloud Storage.
- No se admite el acceso ni la descarga de objetos de Cloud Storage mediante sesiones de navegador autenticadas.
- Cuando se implementan en una aplicación del centro de aplicaciones de una carpeta configurada para la gestión de aplicaciones, no se admiten las tablas ni los conjuntos de datos de BigQuery.
Aplicar el cifrado con CMEK con los controles en la nube de protección de datos y gestión de claves
Estos controles requieren que cifres recursos específicos con CMEKs. Por ejemplo:
- Habilitar CMEK para conjuntos de datos de Vertex AI
- Habilitar CMEK para Vertex AI Metadata Stores
- Habilitar CMEK para modelos de Vertex AI
- Habilitar claves de cifrado gestionadas por el cliente en Vertex AI Feature Store
- Habilitar CMEK para tablas de BigQuery
Cuando implementas estos controles en una aplicación del centro de aplicaciones, no se admiten las tablas de BigQuery.
Gestionar las políticas de conservación de datos máximas con el control en la nube de eliminación de datos
Este control rige el periodo de conservación de los datos sensibles. Puede seleccionar recursos (por ejemplo, tablas de BigQuery) y aplicar un control en la nube de eliminación de datos que detecte si alguno de los recursos infringe los límites de conservación de antigüedad máxima.
Entre los tipos de recursos admitidos se incluyen los siguientes:
- Conjuntos de datos y tablas de BigQuery
- Modelos, conjuntos de datos, almacenes de características y almacenes de metadatos de Vertex AI
Cuando implementas este control en una aplicación de App Hub, no se admiten las tablas ni los conjuntos de datos de BigQuery.
Usar DSPM con Protección de Datos Sensibles
DSPM funciona con Protección de Datos Sensibles. Protección de Datos Sensibles encuentra los datos sensibles de tu organización, y DSPM te permite implementar controles de seguridad de datos en la nube en los datos sensibles para cumplir tus requisitos de seguridad y cumplimiento.
En la siguiente tabla se describe cómo puedes usar Protección de Datos Sensibles para descubrir datos y DSPM para aplicar políticas y gestionar la postura de seguridad.
| Servicio | Protección de Datos Sensibles |
DSPM |
|---|---|---|
| Ámbito de datos | Busca y clasifica datos sensibles (como IPI o secretos) en el almacenamiento de Google Cloud. |
Evalúa la postura de seguridad en torno a los datos sensibles clasificados. |
| Acciones principales | Analiza, crea perfiles y desidentifica datos sensibles. |
Implementa, monitoriza y valida políticas. |
| Estrategia de hallazgos | Informes sobre dónde se encuentran los datos sensibles (por ejemplo, en BigQuery o Cloud Storage). |
Informes sobre por qué se exponen los datos (por ejemplo, acceso público, falta de CMEK o permisos excesivos). |
| Integración | Proporciona a DSPM metadatos de sensibilidad y clasificación. |
Usa los datos de Protección de Datos Sensibles para aplicar y monitorizar controles de seguridad y evaluaciones de riesgos. |
Siguientes pasos
- Habilita DSPM.
- Envía los resultados de las tareas de inspección de Protección de Datos Sensibles a Security Command Center.