סקירה כללית על Data Security Posture Management‏ (DSPM)

Data Security Posture Management‏ (DSPM) מספק תצוגה ממוקדת נתונים של Google Cloud אבטחה. בעזרת DSPM אפשר לזהות באופן רציף את הסיכונים לנתונים ולצמצם אותם. המערכת עוזרת להבין אילו נתונים רגישים יש לכם, איפה הם מאוחסנים ב-Google Cloudוהאם השימוש בהם תואם לדרישות האבטחה והתאימות שלכם.

היכולות של DSPM תלויות ברמת השירות של Security Command Center. מידע נוסף על היכולות של DSPM שזמינות במסלול Standard אפשר למצוא במאמר סקירה כללית של Data Security Posture Management במסלול Standard.

במהדורות Premium ו-Enterprise,‏ DSPM מאפשר לצוות שלכם לבצע את משימות אבטחת הנתונים הבאות:

• גילוי וסיווג נתונים: גילוי וסיווג אוטומטי של מקורות מידע אישי רגיש בסביבת Google Cloud העבודה, כולל BigQuery ו-Cloud Storage.

• משילות מידע: כדאי להעריך את מצב אבטחת המידע הנוכחי שלכם בהשוואה לשיטות המומלצות ולמסגרות התאימות של Google, כדי לזהות בעיות אבטחה פוטנציאליות ולפתור אותן.

• אכיפת אמצעי בקרה: מיפוי דרישות האבטחה לאמצעי בקרה ספציפיים בענן ל משילות מידע (data governance), כמו Access Governance ו ניהול זרימת נתונים.

• מעקב אחרי עמידה בדרישות: מעקב אחרי עומסי עבודה בהשוואה למסגרות אבטחת נתונים שהוחלו, כדי להוכיח התאמה, לתקן הפרות וליצור ראיות לביקורת.

רכיבי הליבה של DSPM

בקטעים הבאים מתוארים הרכיבים של DSPM.

מעקב אחרי רמת אבטחת המידע באמצעות מרכז הבקרה של DSPM

מרכז השליטה לאבטחת מידע בGoogle Cloud מסוף מאפשר לכם לראות איך הנתונים של הארגון שלכם תואמים לדרישות שלכם לאבטחת מידע ולתאימות.

בכלי 'סייר מפת הנתונים' בלוח הבקרה של אבטחת הנתונים מוצגים המיקומים הגיאוגרפיים שבהם הנתונים מאוחסנים. אפשר לסנן את המידע על הנתונים לפי מיקום גיאוגרפי, רמת הרגישות של הנתונים, הפרויקט המשויך וGoogle Cloud השירותים שבהם הנתונים מאוחסנים. העיגולים במפת הנתונים מייצגים את המספר היחסי של משאבי הנתונים ומשאבי הנתונים עם התראות באזור.

אתם יכולים לראות ממצאים של אבטחת נתונים, שמתרחשים כשמקור נתונים מפר אמצעי בקרה של אבטחת נתונים בענן. כשמערכת יוצרת ממצא חדש, יכולות לחלוף עד שעתיים עד שהוא יופיע בכלי לחקר מפת הנתונים.

אפשר גם לעיין במידע על מסגרות אבטחת הנתונים שנפרסו, במספר הממצאים הפתוחים שמשויכים לכל מסגרת ובאחוז המשאבים בסביבה שלכם שמכוסים על ידי מסגרת אחת לפחות.

(תצוגה מקדימה) בלוח הבקרה מוצגות גם תובנות לגבי אבטחת נתונים, שבעזרתן אפשר לזהות באופן יזום סיכונים פוטנציאליים לנתונים. התובנות זמינות רק למקורות שמכילים נתונים רגישים מאוד. צריך לסרוק את המשאבים באמצעות Sensitive Data Protection, ולהגדיר את הסריקה כך שהתוצאות יפורסמו ב-Security Command Center.

בלוח הבקרה מוצגים הנתונים הבאים:

• משתמשים שניגשים לעיתים קרובות למידע אישי רגיש מאוד (מוגבל לקטגוריות של Cloud Storage, לטבלאות ב-BigQuery ולמשאבים ב-Vertex AI בלבד).
• מקרים של גישה חוצת גבולות (מוגבל לקטגוריות של Cloud Storage, לטבלאות BigQuery ולמשאבי Vertex AI בלבד).
• מקרים שבהם מידע אישי רגיש שספציפי למדינה מסוימת מאוחסן מחוץ לאזור שמשויך אליה (רלוונטי לכל Google Cloudהמשאבים).

לוח הבקרה לא כולל תובנות אבטחה לגבי:

• נכסים שמוצפנים באמצעות CMEK
• משאבים באזור me-central2

תאימות ו-frameworks של אבטחת מידע ב-DSPM

אתם משתמשים במסגרות כדי להגדיר את דרישות האבטחה והתאימות של הנתונים, ולהחיל את הדרישות האלה על סביבת Google Cloud . ‫DSPM כולל את מסגרת העבודה בנושא אבטחת מידע והגנה על פרטיות, שמגדירה אמצעי בקרה מומלצים לאבטחת מידע ולעמידה בדרישות. כשמפעילים את DSPM, המסגרת הזו מוחלת אוטומטית על הארגון במצב זיהוי.Google Cloud אפשר להשתמש בממצאים שנוצרו כדי לשפר את אבטחת הנתונים.

אם צריך, אפשר ליצור עותקים של המסגרת כדי ליצור מסגרות מותאמות אישית לאבטחת מידע. אתם יכולים להוסיף את אמצעי הבקרה המתקדמים לאבטחת מידע בענן למסגרות המותאמות אישית שלכם, ולהחיל את המסגרות המותאמות אישית על הארגון, על התיקיות, על הפרויקטים ועל האפליקציות ב-App Hub בתיקיות שהוגדרו לניהול אפליקציות. לדוגמה, אתם יכולים ליצור מסגרות מותאמות אישית שמחילות אמצעי בקרה משפטיים על תיקיות ספציפיות, כדי לוודא שהנתונים בתיקיות האלה יישארו באזור גיאוגרפי מסוים.

מסגרת של יסודות אבטחת נתונים ופרטיות (אמצעי בקרה בסיסיים)

אמצעי הבקרה הבאים בענן הם חלק ממסגרת העבודה בנושא אבטחת מידע ופרטיות.

שליטה בענן	תיאור
דרישת CMEK לטבלאות BigQuery עם נתונים רגישים	זיהוי מקרים שבהם לא נעשה שימוש ב-CMEK בטבלאות BigQuery שכוללות מידע אישי רגיש.
דרישת CMEK למערכי נתונים ב-BigQuery עם נתונים רגישים	לזהות מקרים שבהם לא נעשה שימוש ב-CMEK במערכי נתונים של BigQuery שכוללים מידע אישי רגיש.
חסימת גישה ציבורית למערכי נתונים ב-BigQuery עם נתונים רגישים	זיהוי מידע אישי רגיש במערכי נתונים של BigQuery שנגישים לציבור.
חסימת גישה ציבורית למכונות Cloud SQL עם נתונים רגישים	זיהוי מידע אישי רגיש במסדי נתונים של SQL שנגישים לציבור.
דרישת CMEK למכונות Cloud SQL עם נתונים רגישים	זיהוי מקרים שבהם לא נעשה שימוש ב-CMEK במסדי נתונים של SQL שכוללים מידע אישי רגיש.

אמצעי בקרה מתקדמים בענן לצורכי אבטחה ומשילות מידע

ה-DSPM כולל אבטחת מידע מתקדמת שעוזרת לכם לעמוד בדרישות נוספות של אבטחת מידע. אמצעי הבקרה המתקדמים האלה לאבטחת מידע בענן מחולקים לקבוצות הבאות:

• מעקב אחרי הרשאות משתמשים: המערכת מזהה אם גורמים שהם לא אלה שציינתם ניגשים לנתונים רגישים. שם אמצעי הבקרה הוא הגבלת הגישה לנתונים רגישים למשתמשים מורשים.
• מניעת זליגת מידע: המערכת מזהה אם לקוחות שנמצאים מחוץ למיקומים גיאוגרפיים (מדינות) ספציפיים ניגשים למידע רגיש. שם הבקרה הוא הגבלת הזרימה של מידע רגיש בין אזורים גיאוגרפיים.
• אכיפת הצפנה באמצעות CMEK: המערכת מזהה אם נוצרים מידע אישי רגיש ללא הצפנה באמצעות מפתחות הצפנה בניהול הלקוח (CMEK). יש כמה אמצעי בקרה שמאפשרים לאכוף CMEK בשירותים שונים. Google Cloud
• ניהול שמירת נתונים: המערכת מזהה הפרות של מדיניות בנושא תקופת שמירה מקסימלית של מידע אישי רגיש. שם האמצעי הבקרה הוא פיקוח על תקופת השמירה המקסימלית של נתונים רגישים.

אמצעי הבקרה האלה תומכים רק במצב זיהוי. מידע נוסף על פריסת אמצעי הבקרה האלה זמין במאמר שימוש ב-DSPM.

מעקב אחר הרשאות המשתמשים

אמצעי הבקרה Restrict Access to Sensitive Data to Permitted Users מגביל את הגישה למידע אישי רגיש לקבוצות ספציפיות של ישויות מורשות. כשמתבצע ניסיון גישה לא תואם (גישה על ידי גורמים שהם לא הגורמים המורשים) למקורות נתונים, נוצרת ממצא. סוגי החשבונות הראשיים הנתמכים הם חשבונות משתמשים או קבוצות. בטבלה של פורמטים נתמכים של חשבונות משתמש מפורט מידע על הפורמט שבו צריך להשתמש.

חשבונות משתמשים כוללים את הפרטים הבאים:

• חשבונות Google פרטיים שהמשתמשים נרשמים אליהם ב-google.com, כמו חשבונות Gmail.com
• חשבונות Google מנוהלים לעסקים
• חשבונות Google Workspace for Education

חשבונות משתמשים לא כוללים חשבונות רובוטים, חשבונות שירות, חשבונות מותג עם הרשאת ניהול בלבד, חשבונות משאבים וחשבונות מכשירים.

אלה סוגי הנכסים הנתמכים:

• מערכי נתונים וטבלאות ב-BigQuery
• קטגוריות של Cloud Storage
• מודלים, מערכי נתונים, מאגרי תכונות ומאגרי מטא-נתונים של Vertex AI

מערכת DSPM בודקת את התאימות לאמצעי הבקרה הזה בכל פעם שחשבון משתמש קורא סוג משאב נתמך.

אמצעי הבקרה הזה בענן דורש הפעלה של יומני ביקורת של גישה לנתונים ב-Cloud Storage וב-Vertex AI.

המגבלות כוללות:

• יש תמיכה רק בפעולות קריאה.
• הגישה באמצעות חשבונות שירות, כולל התחזות לחשבון שירות, לא כפופה לבקרה הזו. כדי לצמצם את הסיכון, צריך לוודא שלחשבונות שירות מהימנים בלבד יש גישה למשאבים רגישים של Cloud Storage,‏ BigQuery ו-Vertex AI. בנוסף, אל תקצו את התפקיד'יצירת אסימונים בחשבון שירות' (roles/iam.serviceAccountTokenCreator) למשתמשים שלא צריכה להיות להם גישה.
• האמצעי הזה לא מונע ממשתמשים לגשת לעותקים שנוצרו באמצעות פעולות של חשבון שירות, כמו אלה שנוצרו על ידי Storage Transfer Service (שירות העברת נתונים ב-Storage) ו-BigQuery Data Transfer Service (שירות העברת נתונים ב-BigQuery). המשתמשים יכולים לגשת לעותקים של נתונים שבהם האפשרות הזו לא מופעלת.
• אין תמיכה במערכי נתונים מקושרים. מערכי נתונים מקושרים יוצרים מערך נתונים ב-BigQuery לקריאה בלבד, שפועל כקישור סמלי למערך נתונים של מקור. מערכי נתונים מקושרים לא יוצרים יומני ביקורת של גישה לנתונים, ויכול להיות שהם יאפשרו למשתמש לא מורשה לקרוא נתונים בלי שהפעולה תסומן. לדוגמה, משתמש יכול לעקוף את בקרת הגישה על ידי קישור מערך נתונים למערך נתונים מחוץ לגבולות התאימות שלכם, ואז לשלוח שאילתה למערך הנתונים החדש בלי ליצור יומנים לגבי מערך הנתונים המקורי. כדי לצמצם את הסיכון, אל תקצו את התפקידים BigQuery Admin (אדמין ב-BigQuery) (roles/bigquery.admin),‏ BigQuery Data Owner (בעלים של נתונים ב-BigQuery) (roles/bigquery.dataOwner) או BigQuery Studio Admin (אדמין ב-BigQuery Studio) (roles/bigquery.studioAdmin) למשתמשים שלא אמורה להיות להם גישה למשאבי BigQuery רגישים.
• יש תמיכה בשאילתות של טבלאות עם תווים כלליים לחיפוש ברמת מערך הנתונים, אבל לא ברמת קבוצת הטבלאות. התכונה הזו מאפשרת לשאול שאילתות בכמה טבלאות BigQuery בו-זמנית באמצעות ביטויי תו כללי לחיפוש. הכלי DSPM מעבד שאילתות עם תווים כלליים כאילו אתם ניגשים למערך הנתונים הראשי ב-BigQuery, ולא לטבלאות ספציפיות בתוך מערך הנתונים.
• אין תמיכה בגישה ציבורית לאובייקטים ב-Cloud Storage. גישה ציבורית מעניקה גישה לכל המשתמשים ללא בדיקות מדיניות.
• אין תמיכה בגישה לאובייקטים ב-Cloud Storage או בהורדה שלהם באמצעות סשנים מאומתים בדפדפן.
• כשפורסים טבלאות ומערכי נתונים של BigQuery באפליקציה של App Hub, הם לא נתמכים.

מניעת זליגת נתונים

אמצעי הבקרה הגבלת זרימת מידע אישי רגיש בין אזורים גיאוגרפיים מאפשר לכם לציין את המדינות המורשות שמתוכן אפשר לגשת לנתונים. הכלי לבקרה בענן פועל באופן הבא:

• אם בקשת קריאה מגיעה מהאינטרנט, המדינה נקבעת על סמך כתובת ה-IP של בקשת הקריאה. אם נעשה שימוש בשרת proxy כדי לשלוח את בקשת הקריאה, ההתראות נשלחות על סמך המיקום של ה-proxy.

• אם בקשת הקריאה מגיעה ממכונה וירטואלית ב-Compute Engine, המדינה נקבעת לפי התחום בענן שממנו מגיעה הבקשה.

אלה סוגי הנכסים הנתמכים:

• מערכי נתונים וטבלאות ב-BigQuery
• קטגוריות של Cloud Storage
• מודלים, מערכי נתונים, מאגרי תכונות ומאגרי מטא-נתונים של Vertex AI

המגבלות כוללות:

• יש תמיכה רק בפעולות קריאה.
• ב-Vertex AI, יש תמיכה רק בבקשות מהאינטרנט.
• אין תמיכה בגישה ציבורית לאובייקטים ב-Cloud Storage.
• אין תמיכה בגישה לאובייקטים ב-Cloud Storage או בהורדה שלהם באמצעות סשנים מאומתים בדפדפן.
• כשפורסים את ה-API באפליקציה ב-App Hub בתיקייה שהוגדרה לניהול אפליקציות, אין תמיכה בטבלאות ובמערכי נתונים של BigQuery.
• כשחשבון משתמש ניגש למשאב יותר מפעם אחת ממיקום שלא עומד בדרישות תוך 24 שעות, ההפרות נתמכות רק עבור הגישה הראשונה.

אכיפת הצפנה באמצעות CMEK

אמצעי הבקרה האלה מחייבים להצפין משאבים ספציפיים באמצעות CMEK. למשל:

• הפעלה של CMEK עבור מערכי נתונים ב-Vertex AI
• הפעלת CMEK עבור מאגרי Vertex AI Metadata
• הפעלת CMEK עבור מודלים של Vertex AI
• הפעלת CMEK ב-Vertex AI Featurestore
• הפעלת CMEK עבור טבלאות BigQuery

כשפורסים את אמצעי הבקרה האלה על אפליקציה ב-App Hub, אין תמיכה בטבלאות BigQuery.

ניהול מדיניות מקסימלית לשמירת נתונים

ההגדרה קביעת תקופת השמירה המקסימלית למידע אישי רגיש קובעת את תקופת השמירה של מידע אישי רגיש. אתם יכולים לבחור משאבים (למשל, טבלאות BigQuery) ולהחיל עליהם אמצעי בקרה בענן למחיקת נתונים, שיזהה אם אחד מהמשאבים חורג ממגבלות השמירה של גיל מקסימלי.

אלה סוגי הנכסים הנתמכים:

• מערכי נתונים וטבלאות ב-BigQuery
• מודלים, מערכי נתונים, מאגרי תכונות ומאגרי מטא-נתונים של Vertex AI

כשפורסים את אמצעי הבקרה הזה באפליקציה של App Hub, אין תמיכה בטבלאות ובמערכי נתונים של BigQuery.

שימוש ב-DSPM עם Sensitive Data Protection

הפתרון DSPM פועל עם Sensitive Data Protection. השירות Sensitive Data Protection מוצא את המידע האישי הרגיש בארגון, ו-DSPM מאפשר לפרוס אמצעי בקרה לאבטחת נתונים בענן על המידע האישי הרגיש כדי לעמוד בדרישות האבטחה והתאימות.

בטבלה הבאה מתואר איך אפשר להשתמש ב-Sensitive Data Protection לגילוי נתונים וב-DSPM לאכיפת מדיניות ולניהול מצב האבטחה.

שירות	Sensitive Data Protection	DSPM
היקף הנתונים	חיפוש וסיווג של מידע אישי רגיש (כמו פרטים אישיים מזהים או סודות) באחסון ב- Google Cloud.	הערכת מצב האבטחה סביב המידע האישי הרגיש שסווג.
פעולות מרכזיות	סריקה, יצירת פרופילים והסרת פרטים מזהים ממידע אישי רגיש.	אוכף, עוקב ומאמת את כללי המדיניות.
התמקדות בממצאים	דוחות על המיקום של המידע האישי הרגיש (לדוגמה, BigQuery או Cloud Storage).	דוחות על הסיבה לחשיפת הנתונים (לדוגמה, גישה ציבורית, חוסר ב-CMEK או הרשאות מוגזמות).
שילוב	הזנת DSPM במטא-נתונים של רגישות וסיווג.	משתמש בנתונים של Sensitive Data Protection כדי להחיל אמצעי אבטחה ולעקוב אחריהם, וגם כדי לבצע הערכות סיכונים.

המאמרים הבאים

• הפעלת DSPM.
• שליחת תוצאות של עבודת בדיקה של Sensitive Data Protection אל Security Command Center.