O gerenciamento da postura de segurança de dados (DSPM) oferece uma visão centrada em dados da segurança do Google Cloud . Com o DSPM, é possível identificar e reduzir continuamente os riscos de dados, ajudando você a entender quais dados sensíveis tem, onde eles estão armazenados noGoogle Cloude se o uso deles está alinhado aos seus requisitos de segurança e compliance.
O DSPM permite que sua equipe conclua as seguintes tarefas de segurança de dados:
Descoberta e classificação de dados:descubra e classifique automaticamente recursos de dados sensíveis em todo o ambiente do Google Cloud , incluindo BigQuery e Cloud Storage.
Governança de dados:avalie sua postura atual de segurança de dados em relação às práticas recomendadas e estruturas de compliance do Google para identificar e corrigir possíveis problemas de segurança.
Aplicação de controles:mapeie seus requisitos de segurança para controles específicos de governança de dados na nuvem, como governança de acesso e de fluxo de dados.
Monitoramento de compliance:monitore cargas de trabalho em relação a estruturas de segurança de dados aplicadas para comprovar o alinhamento, corrigir violações e gerar evidências para auditoria.
Principais componentes da DSPM
As seções a seguir descrevem os componentes da DSPM.
Monitorar sua postura de segurança de dados com o painel do DSPM
O painel de segurança de dados no console do Google Cloud permite ver como os dados da sua organização se alinham aos requisitos de segurança e compliance de dados.
O explorador do mapa de dados no painel de segurança de dados mostra os locais geográficos onde seus dados são armazenados e permite filtrar informações sobre eles por local geográfico, sensibilidade, projeto associado e quais serviços do Google armazenam os dados.Google Cloud Os círculos no mapa de dados representam a contagem relativa de recursos de dados e recursos de dados com alertas na região.
É possível ver descobertas de segurança de dados, que ocorrem quando um recurso de dados viola um controle de segurança de dados na nuvem. Quando uma nova descoberta é gerada, ela pode levar até duas horas para aparecer no Explorador do mapa de dados.
Você também pode analisar informações sobre as estruturas de segurança de dados implantadas, o número de descobertas abertas associadas a cada estrutura e a porcentagem de recursos no seu ambiente coberta por pelo menos uma estrutura.
Frameworks de segurança de dados e compliance do DSPM
Você usa frameworks para definir seus requisitos de segurança e conformidade de dados e aplicá-los ao seu ambiente Google Cloud . O DSPM inclui a estrutura de conceitos básicos de segurança e privacidade de dados, que define controles básicos recomendados para segurança e compliance de dados. Quando você ativa o DSPM, essa estrutura é aplicada automaticamente à organizaçãoGoogle Cloud no modo de detecção. Você pode usar as descobertas geradas para reforçar sua postura de dados.
Se necessário, faça cópias do framework para criar estruturas personalizadas de segurança de dados. É possível adicionar os controles avançados de segurança de dados na nuvem aos seus frameworks personalizados e aplicá-los à organização, pastas, projetos e aplicativos do App Hub em pastas configuradas para gerenciamento de aplicativos. Por exemplo, é possível criar frameworks personalizados que aplicam controles jurisdicionais a pastas específicas para garantir que os dados nelas permaneçam em uma região geográfica específica.
Estrutura de princípios básicos de privacidade e segurança de dados (controles básicos)
Os controles de nuvem a seguir fazem parte da estrutura de princípios básicos de segurança e privacidade de dados.
| Controle de nuvem | Descrição |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
Detectar quando a CMEK não é usada em tabelas do BigQuery que incluem dados sensíveis. |
CMEK DO CONJUNTO DE DADOS DE DADOS SENSÍVEIS DESATIVADA |
Detectar quando a CMEK não é usada em conjuntos de dados do BigQuery que incluem dados sensíveis. |
CONJUNTO DE DADOS PÚBLICOS COM DADOS SENSÍVEIS |
Detectar dados sensíveis em conjuntos de dados do BigQuery acessíveis publicamente. |
SENSITIVE DATA PUBLIC SQL INSTANCE |
Detectar dados sensíveis em bancos de dados SQL acessíveis publicamente. |
CMEK DO SQL DE DADOS SENSÍVEIS DESATIVADA |
Detecta quando a CMEK não é usada em bancos de dados SQL que incluem dados sensíveis. |
Controles avançados de governança e segurança de dados na nuvem
O DSPM inclui segurança de dados avançada para ajudar você a atender a outros requisitos de segurança de dados. Esses controles avançados de segurança de dados na nuvem são agrupados da seguinte forma:
- Governança de acesso a dados:detecta se principais diferentes dos especificados estão acessando dados sensíveis.
- Governança do fluxo de dados:detecta se clientes fora de um local geográfico (país) específico estão acessando dados sensíveis.
- Proteção de dados e governança de chaves:detecta se dados sensíveis estão sendo criados sem criptografia de chaves de criptografia gerenciadas pelo cliente (CMEKs).
- Exclusão de dados:detecta violações das políticas de período máximo de retenção para dados sensíveis.
Esses controles são compatíveis apenas com o modo de detecção. Para mais informações sobre a implantação desses controles, consulte Usar DSPM.
Monitore as permissões de usuário com o controle da nuvem de governança de acesso aos dados
Esse controle restringe o acesso a dados sensíveis a conjuntos de principais especificados. Quando há uma tentativa de acesso não conforme (acesso por principais diferentes dos permitidos) a recursos de dados, um alerta é criado. Os tipos de principais compatíveis são contas de usuário ou grupos. Para informações sobre qual formato usar, consulte a tabela de formatos de principais aceitos.
As contas de usuário incluem o seguinte:
- Contas do Google pessoais que os usuários criam no google.com, como contas do Gmail.com
- Contas do Google gerenciadas para empresas
- Contas do Google Workspace for Education
As contas de usuário não incluem contas de robô, contas de serviço, contas de marca somente para delegação, contas de recursos e contas de dispositivos.
Os tipos de recursos compatíveis incluem:
- Conjuntos de dados e tabelas do BigQuery
- Buckets do Cloud Storage
- Modelos, conjuntos de dados, Feature Store e repositórios de metadados da Vertex AI
O DSPM avalia a conformidade com esse controle sempre que uma conta de usuário lê um tipo de recurso compatível.
Esse controle de nuvem exige que você ative os registros de auditoria de acesso a dados para o Cloud Storage e a Vertex AI.
As limitações incluem:
- Apenas operações de leitura são aceitas.
- O acesso por contas de serviço, incluindo a representação de conta de serviço, está isento desse controle. Como mitigação, verifique se apenas contas de serviço confiáveis têm acesso a recursos sensíveis do Cloud Storage, do BigQuery e da Vertex AI. Além disso, não conceda o papel
Criador de token da conta de serviço (
roles/iam.serviceAccountTokenCreator) a usuários que não devem ter acesso. - Esse controle não impede o acesso dos usuários a cópias feitas por operações de conta de serviço, como as realizadas pelo Serviço de transferência do Cloud Storage e pelo Serviço de transferência de dados do BigQuery. Os usuários podem acessar cópias de dados que não têm esse controle ativado.
- Não há suporte para conjuntos de dados vinculados. Os conjuntos de dados vinculados criam um conjunto de dados somente leitura do BigQuery que funciona como um link simbólico para um conjunto de dados de origem. Os conjuntos de dados vinculados não geram registros de auditoria de acesso a dados e podem permitir que um usuário não autorizado leia dados sem que isso seja sinalizado. Por exemplo, um usuário pode ignorar o controle de acesso vinculando um conjunto de dados a outro fora do limite de compliance. Depois, ele pode consultar o novo conjunto sem gerar registros no conjunto de dados de origem. Como mitigação, não conceda os papéis Administrador do BigQuery
(
roles/bigquery.admin), Proprietário de dados do BigQuery (roles/bigquery.dataOwner) ou Administrador do BigQuery Studio (roles/bigquery.studioAdmin) a usuários que não devem ter acesso a recursos sensíveis do BigQuery. - As consultas de tabelas curinga são compatíveis no nível do conjunto de dados, mas não no nível do conjunto de tabelas. Com esse recurso, é possível consultar várias tabelas do BigQuery ao mesmo tempo usando expressões curinga. A DSPM processa consultas curinga como se você estivesse acessando o conjunto de dados principal do BigQuery, e não tabelas individuais dentro dele.
- Não há suporte para acesso público a objetos do Cloud Storage. O acesso público concede acesso a todos os usuários sem verificações de política.
- O acesso ou os downloads de objetos do Cloud Storage usando sessões autenticadas do navegador não são compatíveis.
- Quando implantadas em um aplicativo do App Hub, as tabelas e os conjuntos de dados do BigQuery não são compatíveis.
Evitar a exfiltração de dados com o controle de nuvem de governança de fluxo de dados
Com esse controle, você especifica os países permitidos de onde os dados podem ser acessados. O controle de nuvem funciona da seguinte maneira:
Se uma solicitação de leitura vier da Internet, o país será determinado com base no endereço IP da solicitação. Se um proxy for usado para enviar a solicitação de leitura, os alertas serão enviados com base na localização do proxy.
Se a solicitação de leitura vier de uma VM do Compute Engine, o país será determinado pela zona de nuvem de origem da solicitação.
Os tipos de recursos compatíveis incluem:
- Conjuntos de dados e tabelas do BigQuery
- Buckets do Cloud Storage
- Modelos, conjuntos de dados, Feature Store e repositórios de metadados da Vertex AI
As limitações incluem:
- Apenas operações de leitura são aceitas.
- Na Vertex AI, apenas solicitações da Internet são aceitas.
- Não há suporte para acesso público a objetos do Cloud Storage.
- O acesso ou os downloads de objetos do Cloud Storage usando sessões autenticadas do navegador não são compatíveis.
- Quando implantadas em um aplicativo do App Hub em uma pasta configurada para gerenciamento de aplicativos, as tabelas e os conjuntos de dados do BigQuery não são compatíveis.
Impor a criptografia CMEK com os controles de nuvem de proteção de dados e governança de chaves
Esses controles exigem que você criptografe recursos específicos usando CMEKs. Algumas delas são as seguintes:
- Ativar a CMEK para conjuntos de dados da Vertex AI
- Ativar a CMEK para repositórios de metadados da Vertex AI
- Ativar a CMEK para modelos da Vertex AI
- Ativar a CMEK para a Feature Store da Vertex AI
- Ativar a CMEK para tabelas do BigQuery
Ao implantar esses controles em um aplicativo do App Hub, as tabelas do BigQuery não são compatíveis.
Gerenciar políticas de retenção máxima de dados com o controle de nuvem de exclusão de dados
Esse controle rege o período de armazenamento de dados sensíveis. É possível selecionar recursos (por exemplo, tabelas do BigQuery) e aplicar um controle de exclusão de dados na nuvem que detecta se algum dos recursos viola os limites máximos de retenção de idade.
Os tipos de recursos compatíveis incluem:
- Conjuntos de dados e tabelas do BigQuery
- Modelos, conjuntos de dados, Feature Store e repositórios de metadados da Vertex AI
Ao implantar esse controle em um aplicativo do App Hub, as tabelas e os conjuntos de dados do BigQuery não são compatíveis.
Como usar o DSPM com a Proteção de Dados Sensíveis
O DSPM funciona com a Proteção de Dados Sensíveis. A Proteção de Dados Sensíveis encontra os dados sensíveis na sua organização, e a DSPM permite implantar controles de segurança de dados na nuvem nos dados sensíveis para atender aos requisitos de segurança e compliance.
A tabela a seguir descreve como usar a Proteção de Dados Sensíveis para descoberta de dados e o DSPM para aplicação de políticas e gerenciamento da postura de segurança.
| Serviço | Proteção de Dados Sensíveis |
DSPM |
|---|---|---|
| Escopo dos dados | Encontra e classifica dados sensíveis (como PII ou secrets) no armazenamento em Google Cloud. |
Avalia a postura de segurança em relação a dados sensíveis classificados. |
| Ações principais | Verifica, cria perfis e desidentifica dados sensíveis. |
Aplica, monitora e valida políticas. |
| Foco nas descobertas | Relatórios sobre onde os dados sensíveis estão localizados (por exemplo, BigQuery ou Cloud Storage). |
Relatórios sobre por que os dados são expostos (por exemplo, acesso público, CMEK ausente ou permissões excessivas). |
| Integração | Alimenta o DSPM com metadados de sensibilidade e classificação. |
Usa dados da Proteção de Dados Sensíveis para aplicar e monitorar controles de segurança e avaliações de risco. |
A seguir
- Ative a DSPM.
- Enviar os resultados do job de inspeção de proteção de dados sensíveis para o Security Command Center.