A gestão da postura de segurança dos dados (DSPM) oferece uma vista centrada nos dados da Google Cloud segurança. A DSPM permite-lhe identificar e reduzir continuamente o risco de dados, ajudando a compreender que dados confidenciais tem, onde estão armazenados no Google Cloude se a respetiva utilização está alinhada com os seus requisitos de segurança e conformidade.
A DSPM permite que a sua equipa conclua as seguintes tarefas de segurança dos dados:
Deteção e classificação de dados: descubra e classifique automaticamente os recursos de dados confidenciais no seu ambiente Google Cloud , incluindo o BigQuery e o Cloud Storage.
Governança de dados: avalie a sua postura de segurança de dados atual em relação às práticas recomendadas e às estruturas de conformidade da Google para identificar e corrigir potenciais problemas de segurança.
Aplicação de controlos: mapeie os seus requisitos de segurança para controlos na nuvem de administração de dados específicos, como a administração do acesso aos dados e a administração do fluxo de dados.
Monitorização da conformidade: monitorize as cargas de trabalho em relação às estruturas de segurança dos dados aplicadas para comprovar o alinhamento, corrigir violações e gerar provas para auditoria.
Componentes principais da DSPM
As secções seguintes descrevem os componentes da DSPM.
Monitorize a sua postura de segurança de dados com o painel de controlo da DSPM
O painel de controlo de segurança de dados na Google Cloud consola permite-lhe ver como os dados da sua organização se alinham com os seus requisitos de segurança e conformidade de dados.
O explorador do mapa de dados no painel de controlo de segurança de dados mostra as localizações geográficas onde os seus dados são armazenados e permite-lhe filtrar informações sobre os seus dados por localização geográfica, o nível de sensibilidade dos dados, o projeto associado e que serviços armazenam os dados.Google Cloud Os círculos no mapa de dados representam a quantidade relativa de recursos de dados e recursos de dados com alertas na região.
Pode ver as conclusões de segurança de dados, que ocorrem quando um recurso de dados viola um controlo de nuvem de segurança de dados. Quando é gerada uma nova descoberta, esta pode demorar até duas horas a aparecer no explorador do mapa de dados.
Também pode rever informações sobre as estruturas de segurança de dados implementadas, o número de conclusões abertas associadas a cada estrutura e a percentagem de recursos no seu ambiente abrangidos por, pelo menos, uma estrutura.
Frameworks de segurança de dados e conformidade da DSPM
Usa estruturas para definir os seus requisitos de conformidade e segurança de dados e aplicar esses requisitos ao seu ambiente Google Cloud . A DSPM inclui a estrutura de elementos essenciais de segurança de dados e privacidade, que define controlos de base recomendados para a segurança de dados e a conformidade. Quando ativa a DSPM, esta framework é aplicada automaticamente à Google Cloud organização no modo de deteção. Pode usar as conclusões geradas para reforçar a sua postura de dados.
Se necessário, pode fazer cópias da estrutura para criar estruturas de segurança de dados personalizadas. Pode adicionar os controlos avançados de segurança de dados na nuvem aos seus frameworks personalizados e aplicar os frameworks personalizados à organização, às pastas, aos projetos e às aplicações do App Hub em pastas configuradas para a gestão de aplicações. Por exemplo, pode criar frameworks personalizados que aplicam controlos jurisdicionais a pastas específicas para garantir que os dados nessas pastas permanecem numa região geográfica específica.
Framework de princípios essenciais de segurança dos dados e privacidade (controlos de base)
Os seguintes controlos na nuvem fazem parte da estrutura Segurança e privacidade de dados essenciais.
| Controlo na nuvem | Descrição |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
Detete quando a CMEK não é usada para tabelas do BigQuery que incluem dados confidenciais. |
CONJUNTO DE DADOS DE DADOS CONFIDENCIAIS COM CMEK DESATIVADA |
Detetar quando a CMEK não é usada para conjuntos de dados do BigQuery que incluem dados confidenciais. |
CONJUNTO DE DADOS PÚBLICOS DE DADOS CONFIDENCIAIS |
Detete dados confidenciais em conjuntos de dados do BigQuery acessíveis publicamente. |
SENSITIVE DATA PUBLIC SQL INSTANCE |
Detetar dados confidenciais em bases de dados SQL acessíveis publicamente. |
SENSITIVE DATA SQL CMEK DISABLED |
Detetar quando a CMEK não é usada para bases de dados SQL que incluem dados confidenciais. |
Controlos de segurança na nuvem e governação de dados avançados
A DSPM inclui segurança de dados avançada para ajudar a cumprir requisitos de segurança de dados adicionais. Estes controlos de segurança de dados avançados na nuvem estão agrupados da seguinte forma:
- Governança do acesso aos dados: deteta se os principais que não os que especificar estão a aceder a dados confidenciais.
- Governança do fluxo de dados: deteta se os clientes que estão fora de localizações geográficas (países) especificadas estão a aceder a dados confidenciais.
- Proteção de dados e gestão de chaves: deteta se os dados confidenciais estão a ser criados sem a encriptação de chaves de encriptação geridas pelo cliente (CMEKs).
- Eliminação de dados: deteta violações das políticas de período de retenção máximo para dados confidenciais.
Estes controlos suportam apenas o modo de deteção. Para mais informações sobre a implementação destes controlos, consulte o artigo Use o DSPM.
Monitorize as autorizações dos utilizadores com o controlo na nuvem da governação do acesso a dados
Este controlo restringe o acesso a dados confidenciais a conjuntos de principais especificados. Quando existe uma tentativa de acesso não conforme (acesso por parte de responsáveis que não sejam os responsáveis permitidos) a recursos de dados, é criada uma descoberta. Os tipos de principais suportados são contas de utilizador ou grupos. Para obter informações sobre o formato a usar, consulte a tabela de formatos principais suportados.
As contas de utilizador incluem o seguinte:
- Contas Google de consumidor nas quais os utilizadores se inscrevem em google.com, como contas do Gmail.com
- Contas Google geridas para empresas
- Contas do Google Workspace for Education
As contas de utilizador não incluem contas de robôs, contas de serviço, contas de marca apenas para delegação, contas de recursos nem contas de dispositivos.
Os tipos de recursos suportados incluem o seguinte:
- Conjuntos de dados e tabelas do BigQuery
- Contentores do Cloud Storage
- Modelos, conjuntos de dados, Feature Stores e lojas de metadados do Vertex AI
A DSPM avalia a conformidade com este controlo sempre que uma conta de utilizador lê um tipo de recurso suportado.
Este controlo na nuvem requer que ative os registos de auditoria de acesso aos dados para o Cloud Storage e o Vertex AI.
As limitações incluem o seguinte:
- Apenas são suportadas operações de leitura.
- O acesso por contas de serviço, incluindo a simulação de contas de serviço, está
isento deste controlo. Como mitigação, certifique-se de que apenas as contas de serviço fidedignas têm acesso a recursos confidenciais do Cloud Storage, BigQuery e Vertex AI. Além disso, não conceda a função criador de tokens de contas de serviço (
roles/iam.serviceAccountTokenCreator) a utilizadores que não devem ter acesso. - Este controlo não impede o acesso dos utilizadores a cópias criadas através de operações de contas de serviço, como as realizadas pelo Serviço de transferência de armazenamento e pelo Serviço de transferência de dados do BigQuery. Os utilizadores podem aceder a cópias de dados que não têm este controlo ativado.
- Os conjuntos de dados associados
não são suportados. Os conjuntos de dados associados criam um conjunto de dados do BigQuery só de leitura que funciona como um link simbólico para um conjunto de dados de origem. Os conjuntos de dados associados não geram registos de auditoria de acesso aos dados e podem permitir que um utilizador não autorizado leia dados sem que tal seja sinalizado. Por exemplo, um utilizador pode ignorar o controlo de acesso associando um conjunto de dados a um conjunto de dados fora do seu limite de conformidade e, em seguida, pode consultar o novo conjunto de dados sem gerar registos no conjunto de dados de origem. Como mitigação, não conceda as funções de administrador do BigQuery
(
roles/bigquery.admin), proprietário de dados do BigQuery (roles/bigquery.dataOwner) ou administrador do BigQuery Studio (roles/bigquery.studioAdmin) a utilizadores que não devem ter acesso a recursos confidenciais do BigQuery. - As consultas de tabelas com carateres universais são suportadas ao nível do conjunto de dados, mas não ao nível do conjunto de tabelas. Esta funcionalidade permite-lhe consultar várias tabelas do BigQuery ao mesmo tempo através de expressões com carateres universais. A DSPM processa consultas com carateres universais como se estivesse a aceder ao conjunto de dados principal do BigQuery e não a tabelas individuais no conjunto de dados.
- O acesso público a objetos do Cloud Storage não é suportado. O acesso público concede acesso a todos os utilizadores sem verificações de políticas.
- O acesso ou as transferências de objetos do Cloud Storage através de sessões do navegador autenticadas não são suportados.
- Quando implementadas numa aplicação do App Hub, as tabelas e os conjuntos de dados do BigQuery não são suportados.
Impeça a exfiltração de dados com o controlo na nuvem da governação do fluxo de dados
Este controlo permite-lhe especificar os países permitidos a partir dos quais é possível aceder aos dados. O controlo na nuvem funciona da seguinte forma:
Se um pedido de leitura for proveniente da Internet, o país é determinado com base no endereço IP do pedido de leitura. Se for usado um proxy para enviar o pedido de leitura, os alertas são enviados com base na localização do proxy.
Se o pedido de leitura for proveniente de uma VM do Compute Engine, o país é determinado pela zona da nuvem onde o pedido tem origem.
Os tipos de recursos suportados incluem o seguinte:
- Conjuntos de dados e tabelas do BigQuery
- Contentores do Cloud Storage
- Modelos, conjuntos de dados, Feature Stores e Metadata Stores do Vertex AI
As limitações incluem o seguinte:
- Apenas são suportadas operações de leitura.
- Para o Vertex AI, apenas são suportados pedidos da Internet.
- O acesso público a objetos do Cloud Storage não é suportado.
- O acesso ou as transferências de objetos do Cloud Storage através de sessões do navegador autenticadas não são suportados.
- Quando implementadas numa aplicação do App Hub numa pasta configurada para a gestão de aplicações, as tabelas e os conjuntos de dados do BigQuery não são suportados.
Aplique a encriptação CMEK com os controlos na nuvem de proteção de dados e administração de chaves
Estes controlos exigem que encripte recursos específicos através de CMEKs. Incluem o seguinte:
- Ative as CMEK para conjuntos de dados da Vertex AI
- Ative as CMEK para as lojas de metadados do Vertex AI
- Ative as CMEK para modelos do Vertex AI
- Ative as CMEK para o Vertex AI Feature Store
- Ative as CMEK para tabelas do BigQuery
Quando implementa estes controlos numa aplicação do App Hub, as tabelas do BigQuery não são suportadas.
Faça a gestão das políticas de retenção de dados máximas com o controlo na nuvem de eliminação de dados
Este controlo rege o período de retenção dos dados confidenciais. Pode selecionar recursos (por exemplo, tabelas do BigQuery) e aplicar um controlo na nuvem de eliminação de dados que deteta se algum dos recursos viola os limites de retenção de antiguidade máxima.
Os tipos de recursos suportados incluem o seguinte:
- Conjuntos de dados e tabelas do BigQuery
- Modelos, conjuntos de dados, Feature Stores e lojas de metadados do Vertex AI
Quando implementa este controlo numa aplicação do App Hub, as tabelas e os conjuntos de dados do BigQuery não são suportados.
Usar a DSPM com a proteção de dados confidenciais
A DSPM funciona com a proteção de dados confidenciais. A proteção de dados confidenciais encontra os dados confidenciais na sua organização e a DSPM permite-lhe implementar controlos de segurança de dados na nuvem nos dados confidenciais para cumprir os seus requisitos de segurança e conformidade.
A tabela seguinte descreve como pode usar a proteção de dados confidenciais para a deteção de dados e a DSPM para a aplicação de políticas e a gestão da postura de segurança.
| Serviço | Proteção de dados confidenciais |
DSPM |
|---|---|---|
| Âmbito dos dados | Encontra e classifica dados confidenciais (como PII ou segredos) no armazenamento no Google Cloud. |
Avalia a postura de segurança em torno dos dados confidenciais classificados. |
| Ações essenciais | Analisa, cria perfis e remove a identificação de dados confidenciais. |
Aplica, monitoriza e valida políticas. |
| Foco nas descobertas | Relatórios sobre onde se encontram os dados confidenciais (por exemplo, no BigQuery ou no Cloud Storage). |
Relatórios sobre o motivo pelo qual os dados estão expostos (por exemplo, acesso público, CMEK em falta ou autorizações excessivas). |
| Integração | Alimenta a DSPM com metadados de confidencialidade e classificação. |
Utiliza dados da Proteção de dados confidenciais para aplicar e monitorizar controlos de segurança e avaliações de risco. |
O que se segue?
- Ative o DSPM.
- Enviar resultados da tarefa de inspeção da proteção de dados confidenciais para o Security Command Center.