Data Security Posture Management (DSPM) 提供以資料為中心的 Google Cloud 安全性檢視畫面。DSPM 可協助您瞭解擁有哪些敏感資料、這些資料在Google Cloud中的儲存位置,以及資料使用方式是否符合安全性與法規遵循規定,進而持續識別及降低資料風險。
DSPM 可協助團隊完成下列資料安全工作:
資料探索和分類:自動探索及分類 Google Cloud 環境中的機密資料資源,包括 BigQuery 和 Cloud Storage。
資料控管:根據 Google 的最佳做法和法規遵循架構,評估目前的資料安全防護機制,找出並修正潛在的安全性問題。
控管機制強制執行:將安全需求對應至特定的資料治理雲端控管機制,例如資料存取權管理和資料流程管理。
法規遵循監控:根據套用的資料安全架構監控工作負載,證明符合規定、修正違規事項,並產生稽核證據。
DSPM 的核心元件
以下各節說明 DSPM 的元件。
使用 DSPM 資訊主頁監控資料安全防護機制
您可以在Google Cloud 控制台中查看資料安全資訊主頁,瞭解貴機構的資料是否符合資料安全和法規遵循規定。
資料安全資訊主頁的資料地圖探索工具會顯示資料的儲存地理位置,並讓您依地理位置、資料機密程度、相關聯的專案,以及儲存資料的Google Cloud 服務,篩選資料相關資訊。資料地圖上的圓圈代表區域中資料資源的相對數量,以及有快訊的資料資源。
您可以查看資料安全性發現項目,這些項目會在資料資源違反資料安全性雲端控制項時出現。系統偵測到新發現後,最多可能需要兩小時,資料地圖探索工具才會顯示該發現。
您也可以查看已部署的資料安全架構相關資訊、與每個架構相關的未解決發現項目數量,以及環境中至少有一個架構涵蓋的資源百分比。
DSPM 資料安全架構和法規遵循
您可以使用架構定義資料安全和法規遵循需求,並將這些需求套用至 Google Cloud 環境。DSPM 包含資料安全與隱私權基本架構,其中定義了資料安全與法規遵循的建議基準控制項。啟用 DSPM 後,系統會自動以偵測模式將這個架構套用至Google Cloud 機構。您可以根據產生的結果強化資料防護機制。
如有需要,您可以複製架構,建立自訂資料安全架構。您可以將進階資料安全雲端控制項新增至自訂架構,並將自訂架構套用至已設定應用程式管理功能的資料夾中的機構、資料夾、專案和 App Hub 應用程式。舉例來說,您可以建立自訂架構,對特定資料夾套用管轄區控管措施,確保這些資料夾中的資料留在特定地理區域。
資料安全與隱私權基本架構 (基準控制項)
下列雲端控制項是資料安全與隱私權基本架構的一部分。
| CloudControl | 說明 |
|---|---|
敏感資料 BIGQUERY 資料表_CMEK 已停用 |
偵測未對含有私密資料的 BigQuery 資料表使用 CMEK。 |
敏感資料集 CMEK 已停用 |
偵測包含機密資料的 BigQuery 資料集是否未使用 CMEK。 |
敏感資料公開資料集 |
偵測可公開存取的 BigQuery 資料集中的機密資料。 |
SENSITIVE DATA PUBLIC SQL INSTANCE |
偵測可公開存取的 SQL 資料庫中的機密資料。 |
SENSITIVE DATA SQL CMEK DISABLED |
偵測包含私密資料的 SQL 資料庫是否未使用 CMEK。 |
進階資料管理與安全雲端控制項
DSPM 包含進階資料安全功能,可協助您滿足額外的資料安全需求。這些進階資料安全雲端控制項可分為以下幾類:
- 資料存取控管:偵測指定主體以外的主體是否存取敏感資料。
- 資料流控管:偵測位於指定地理位置 (國家/地區) 以外的用戶端是否正在存取機密資料。
- 資料保護和金鑰控管:偵測是否在建立敏感資料時,未採用客戶自行管理的加密金鑰 (CMEK) 加密。
- 資料刪除:偵測是否違反機密資料最長保留期限政策。
這些控制選項僅支援偵測模式。如要進一步瞭解如何部署這些控制項,請參閱「使用 DSPM」。
使用資料存取權管理雲端控管機制監控使用者權限
這項控制項會將機密資料的存取權,限制在指定的主體集。 如果有人嘗試以不符規定的方式存取資料資源 (也就是由允許的主體以外的主體存取),系統就會建立調查結果。支援的主體類型為使用者帳戶或群組。如要瞭解應使用的格式,請參閱支援的主體格式表格。
使用者帳戶包括:
- 使用者在 google.com 註冊的 Google 個人帳戶,例如 Gmail.com 帳戶
- 企業專用的受管理 Google 帳戶
- Google Workspace for Education 帳戶
使用者帳戶不包括機器人帳戶、服務帳戶、僅供委派的品牌帳戶、資源帳戶和裝置帳戶。
支援的資產類型包括:
- BigQuery 資料集和資料表
- Cloud Storage 值區
- Vertex AI 模型、資料集、特徵儲存庫和中繼資料儲存庫
每當使用者帳戶讀取支援的資源類型時,DSPM 就會評估是否符合這項控制措施。
這項雲端控管機制需要為 Cloud Storage 和 Vertex AI 啟用資料存取稽核記錄。
限制包括:
- 僅支援讀取作業。
- 服務帳戶的存取權 (包括服務帳戶模擬) 不受這項控管措施限制。為減輕影響,請確保只有信任的服務帳戶可以存取機密 Cloud Storage、BigQuery 和 Vertex AI 資源。此外,請勿將服務帳戶憑證建立者 (
roles/iam.serviceAccountTokenCreator) 角色授予不應具備存取權的使用者。 - 這項控管措施無法禁止使用者存取透過服務帳戶作業建立的副本,例如 Storage Transfer Service 和 BigQuery 資料移轉服務建立的副本。使用者可以存取未啟用這項控制項的資料副本。
- 不支援連結的資料集。連結的資料集會建立唯讀 BigQuery 資料集,做為來源資料集的符號連結。連結的資料集不會產生資料存取稽核記錄,因此未經授權的使用者可能會讀取資料,而不會遭到標記。舉例來說,使用者可以將資料集連結至法規遵循範圍外的資料集,藉此規避存取控制,然後查詢新資料集,而不必針對來源資料集產生記錄。為減輕影響,請勿將 BigQuery 管理員 (
roles/bigquery.admin)、BigQuery 資料擁有者 (roles/bigquery.dataOwner) 或 BigQuery Studio 管理員 (roles/bigquery.studioAdmin) 角色授予不應存取機密 BigQuery 資源的使用者。 - 萬用字元資料表查詢支援資料集層級,但不支援資料表集層級。這項功能可讓您使用萬用字元運算式,同時查詢多個 BigQuery 資料表。DSPM 會將萬用字元查詢視為存取父項 BigQuery 資料集,而非資料集內的個別資料表。
- 不支援公開存取 Cloud Storage 物件。公開存取權:授予所有使用者存取權,不進行任何政策檢查。
- 系統不支援使用已驗證的瀏覽器工作階段存取或下載 Cloud Storage 物件。
- 部署至 App Hub 應用程式時,系統不支援 BigQuery 資料表和資料集。
透過資料流治理雲端控管機制防範資料竊取
這項控制項可讓你指定允許存取資料的國家/地區。雲端控制的運作方式如下:
如果讀取要求來自網際網路,系統會根據讀取要求的 IP 位址判斷國家/地區。如果使用 Proxy 傳送讀取要求,系統會根據 Proxy 的位置傳送快訊。
如果讀取要求來自 Compute Engine VM,系統會根據要求來源的雲端區域判斷國家/地區。
支援的資產類型包括:
- BigQuery 資料集和資料表
- Cloud Storage 值區
- Vertex AI 模型、資料集、特徵儲存庫和中繼資料儲存庫
限制包括:
- 僅支援讀取作業。
- Vertex AI 僅支援來自網際網路的要求。
- 不支援公開存取 Cloud Storage 物件。
- 系統不支援使用已驗證的瀏覽器工作階段存取或下載 Cloud Storage 物件。
- 如果部署到為應用程式管理設定的資料夾中,App Hub 應用程式就不支援 BigQuery 表格和資料集。
使用資料保護和金鑰控管雲端控制項,強制執行 CMEK 加密
這些控制項要求您使用 CMEK 加密特定資源。包括:
- 為 Vertex AI 資料集啟用 CMEK
- 為 Vertex AI 中繼資料儲存庫啟用 CMEK
- 為 Vertex AI Models 啟用 CMEK
- 為 Vertex AI Featurestore 啟用 CMEK
- 為 BigQuery 資料表啟用 CMEK
將這些控制項部署至 App Hub 應用程式時,系統不支援 BigQuery 資料表。
使用「資料刪除」雲端控管機制管理最長資料保留政策
這項控制項可控管機密資料的保留期限。您可以選取資源 (例如 BigQuery 資料表),並套用資料刪除雲端控制項,偵測是否有任何資源違反最長保留期限。
支援的資產類型包括:
- BigQuery 資料集和資料表
- Vertex AI 模型、資料集、特徵儲存庫和中繼資料儲存庫
將這項控制項部署至 App Hub 應用程式時,系統不支援 BigQuery 資料表和資料集。
搭配使用 DSPM 和 Sensitive Data Protection
DSPM 會與 Sensitive Data Protection 搭配運作。Sensitive Data Protection 會找出貴機構的機密資料,而 DSPM 則可讓您在機密資料上部署資料安全雲端控制項,以符合安全性和法規遵循規定。
下表說明如何使用 Sensitive Data Protection 進行資料探索,以及如何使用 DSPM 執行政策和管理安全狀態。
| 服務 | Sensitive Data Protection |
DSPM |
|---|---|---|
| 資料範圍 | 在 Google Cloud儲存空間中尋找及分類機密資料 (例如 PII 或密鑰)。 |
評估分類機密資料的安全性態勢。 |
| 核心動作 | 掃描、剖析及去識別化機密資料。 |
強制執行、監控及驗證政策。 |
| 發現項目重點 | 報告機密資料的位置 (例如 BigQuery 或 Cloud Storage)。 |
報告會說明資料外洩的原因 (例如公開存取、缺少 CMEK 或權限過多)。 |
| 整合 | 將機密性和分類中繼資料提供給 DSPM。 |
使用 Sensitive Data Protection 資料套用及監控安全控制項和風險評估。 |