A gestão da postura de segurança dos dados (DSPM) ajuda a compreender que dados tem, onde estão armazenados e se são usados de uma forma alinhada com os seus requisitos de segurança e conformidade. A DSPM permite-lhe concluir as seguintes tarefas:
Descubra recursos de dados no seu Google Cloud ambiente através de filtros como o tipo de recurso, a localização e o ID do projeto.
Avalie a sua postura de segurança de dados atual em relação às práticas recomendadas da Google para poder identificar e corrigir potenciais problemas de segurança e conformidade.
Mapeie os seus requisitos de conformidade e segurança dos dados para os controlos de nuvem de segurança dos dados.
Aplique controlos de segurança de dados na nuvem através de frameworks.
Monitorize o alinhamento das suas cargas de trabalho com as estruturas de segurança de dados aplicadas, corrija quaisquer violações e gere provas para auditoria.
A DSPM funciona com a proteção de dados confidenciais. A proteção de dados confidenciais encontra os dados confidenciais na sua organização e a DSPM permite-lhe implementar controlos de segurança de dados na nuvem nos dados confidenciais para cumprir os seus requisitos de segurança e conformidade.
Componentes da DSPM
As secções seguintes descrevem os componentes da DSPM.
Painel de controlo de segurança dos dados
O painel de controlo de segurança de dados na Google Cloud consola permite-lhe ver como os dados da sua organização se alinham com os seus requisitos de segurança e conformidade de dados.
O explorador do mapa de dados no painel de controlo de segurança de dados mostra as localizações geográficas onde os seus dados são armazenados e permite-lhe filtrar informações sobre os seus dados por localização geográfica, o nível de sensibilidade dos dados, o projeto associado e que serviços armazenam os dados.Google Cloud Os círculos no mapa de dados representam a quantidade relativa de recursos de dados e recursos de dados com alertas na região.
Pode ver as conclusões de segurança de dados, que ocorrem quando um recurso de dados viola um controlo de nuvem de segurança de dados. As conclusões de segurança de dados usam a DATA_SECURITYcategoria de conclusões. Quando é gerada uma nova descoberta, esta pode demorar até duas horas
a aparecer no explorador do mapa de dados.
Também pode rever informações sobre as estruturas de segurança de dados implementadas, o número de conclusões abertas associadas a cada estrutura e a percentagem de recursos no seu ambiente abrangidos por, pelo menos, uma estrutura.
Frameworks de segurança de dados
Usa estruturas para definir os seus requisitos de conformidade e segurança dos dados e aplicar esses requisitos ao seu ambiente Google Cloud . A DSPM inclui a estrutura de elementos essenciais de segurança de dados e privacidade, que define controlos de base recomendados para a segurança de dados e a conformidade. Quando ativa o DSPM, esta framework é aplicada automaticamente à Google Cloud organização no modo de deteção. Pode usar as conclusões geradas para reforçar a sua postura de dados.
Se necessário, pode fazer cópias da estrutura para criar estruturas de segurança de dados personalizadas. Pode adicionar os controlos de nuvem de segurança de dados avançados às suas estruturas personalizadas e aplicar as estruturas personalizadas à organização, às pastas, aos projetos e às aplicações nas pastas com apps ativadas. Por exemplo, pode criar estruturas personalizadas que apliquem controlos jurisdicionais a pastas específicas para garantir que os dados nessas pastas permanecem numa região geográfica específica.
Estrutura essencial de segurança dos dados e privacidade
Os seguintes controlos na nuvem fazem parte da estrutura Segurança e privacidade de dados essenciais.
| Controlo na nuvem | Descrição |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
Detete quando a CMEK não é usada para tabelas do BigQuery que incluem dados confidenciais. |
CONJUNTO DE DADOS DE DADOS CONFIDENCIAIS COM CMEK DESATIVADA |
Detete quando a CMEK não é usada para conjuntos de dados do BigQuery que incluem dados confidenciais. |
CONJUNTO DE DADOS PÚBLICOS DE DADOS CONFIDENCIAIS |
Detete dados confidenciais em conjuntos de dados do BigQuery acessíveis publicamente. |
SENSITIVE DATA PUBLIC SQL INSTANCE |
Detetar dados confidenciais em bases de dados SQL acessíveis publicamente. |
SENSITIVE DATA SQL CMEK DISABLED |
Detetar quando a CMEK não é usada para bases de dados SQL que incluem dados confidenciais. |
Controlos de nuvem de segurança de dados avançados
A DSPM inclui controlos na nuvem de segurança de dados avançados para ajudar a cumprir requisitos de segurança de dados adicionais. Estes controlos de segurança de dados avançados na nuvem estão agrupados da seguinte forma:
- Governança do acesso aos dados: deteta se os principais que não os que especificar estão a aceder a dados confidenciais.
- Governança do fluxo de dados: deteta se os clientes que estão fora de localizações geográficas (países) especificadas estão a aceder a dados confidenciais.
- Proteção de dados e gestão de chaves: deteta se os dados confidenciais estão a ser criados sem a encriptação de chaves de encriptação geridas pelo cliente (CMEKs).
- Eliminação de dados: deteta violações das políticas de período de retenção máximo para dados confidenciais.
Estes controlos suportam apenas o modo de deteção. Para mais informações sobre a implementação destes controlos, consulte o artigo Use a DSPM.
Controlos de segurança de dados na nuvem
As secções seguintes descrevem os controlos de nuvem de segurança de dados avançados.
Controlo na nuvem da gestão de acesso aos dados
Este controlo restringe o acesso a dados confidenciais a conjuntos de principais especificados. Quando existe uma tentativa de acesso não conforme (acesso por parte de responsáveis que não sejam os responsáveis permitidos) a recursos de dados, é criada uma descoberta. Os tipos de principais suportados são contas de utilizador ou grupos. Para obter informações sobre o formato a usar, consulte a tabela de formatos principais suportados.
As contas de utilizador incluem o seguinte:
- Contas Google de consumidor nas quais os utilizadores se inscrevem em google.com, como contas do Gmail.com
- Contas Google geridas para empresas
- Contas do Google Workspace for Education
As contas de utilizador não incluem contas de robôs, contas de serviço, contas de marca apenas de delegação, contas de recursos nem contas de dispositivos.
Os tipos de recursos suportados incluem o seguinte:
- Conjuntos de dados e tabelas do BigQuery
- Contentores do Cloud Storage
- Modelos, conjuntos de dados, Feature Stores e Metadata Stores do Vertex AI
A DSPM avalia a conformidade com este controlo sempre que uma conta de utilizador lê um tipo de recurso suportado.
Este controlo na nuvem requer que ative os registos de auditoria de acesso aos dados para o Cloud Storage e o Vertex AI.
As limitações incluem o seguinte:
- Apenas são suportadas operações de leitura.
- O acesso por contas de serviço, incluindo a simulação de contas de serviço, está
isento deste controlo. Como mitigação, certifique-se de que apenas as contas de serviço fidedignas têm acesso a recursos confidenciais do Cloud Storage, BigQuery e Vertex AI. Além disso, não conceda a função criador de tokens de contas de serviço (
roles/iam.serviceAccountTokenCreator) a utilizadores que não devem ter acesso. - Este controlo não impede o acesso dos utilizadores a cópias criadas através de operações de contas de serviço, como as realizadas pelo Serviço de transferência de armazenamento e pelo Serviço de transferência de dados do BigQuery. Os utilizadores podem aceder a cópias de dados que não têm este controlo ativado.
- Os conjuntos de dados associados não são suportados. Os conjuntos de dados associados criam um conjunto de dados do BigQuery
só de leitura que funciona como um link simbólico para um conjunto de dados de origem. Os conjuntos de dados associados não geram registos de auditoria de acesso aos dados e podem permitir que um utilizador não autorizado leia dados sem que isso seja sinalizado. Por exemplo, um utilizador pode ignorar o controlo de acesso associando um conjunto de dados a um conjunto de dados fora do seu limite de conformidade e, em seguida, pode consultar o novo conjunto de dados sem gerar registos no conjunto de dados de origem. Como medida de mitigação, não conceda as funções de administrador do BigQuery
(
roles/bigquery.admin), proprietário de dados do BigQuery (roles/bigquery.dataOwner) ou administrador do BigQuery Studio (roles/bigquery.studioAdmin) a utilizadores que não devem ter acesso a recursos confidenciais do BigQuery. - As consultas de tabelas com carateres universais são suportadas ao nível do conjunto de dados, mas não ao nível do conjunto de tabelas. Esta funcionalidade permite-lhe consultar várias tabelas do BigQuery ao mesmo tempo através de expressões com carateres universais. A DSPM processa consultas com carateres universais como se estivesse a aceder ao conjunto de dados principal do BigQuery e não a tabelas individuais no conjunto de dados.
- O acesso público a objetos do Cloud Storage não é suportado. O acesso público concede acesso a todos os utilizadores sem verificações de políticas.
- O acesso ou as transferências de objetos do Cloud Storage através de sessões do navegador autenticadas não são suportados.
- Quando implementadas numa aplicação numa pasta com apps, as tabelas e os conjuntos de dados do BigQuery não são suportados.
Controlo na nuvem da gestão do fluxo de dados
Este controlo permite-lhe especificar os países permitidos a partir dos quais é possível aceder aos dados. O controlo na nuvem funciona da seguinte forma:
Se um pedido de leitura for proveniente da Internet, o país é determinado com base no endereço IP do pedido de leitura. Se for usado um proxy para enviar o pedido de leitura, os alertas são enviados com base na localização do proxy.
Se o pedido de leitura for proveniente de uma VM do Compute Engine, o país é determinado pela zona da nuvem onde o pedido tem origem.
Os tipos de recursos suportados incluem o seguinte:
- Conjuntos de dados e tabelas do BigQuery
- Contentores do Cloud Storage
- Modelos, conjuntos de dados, Feature Stores e Metadata Stores do Vertex AI
As limitações incluem o seguinte:
- Apenas são suportadas operações de leitura.
- Para o Vertex AI, apenas são suportados pedidos da Internet.
- O acesso público a objetos do Cloud Storage não é suportado.
- O acesso ou as transferências de objetos do Cloud Storage através de sessões do navegador autenticadas não são suportados.
- Quando implementadas numa aplicação numa pasta com apps, as tabelas e os conjuntos de dados do BigQuery não são suportados.
Proteção de dados e controlos na nuvem de governação de chaves
Estes controlos requerem que encripte recursos específicos através de CMEKs. Incluem o seguinte:
- Ative as CMEK para conjuntos de dados da Vertex AI
- Ative as CMEK para as lojas de metadados do Vertex AI
- Ative as CMEK para modelos do Vertex AI
- Ative as CMEK para o Vertex AI Feature Store
- Ative as CMEK para tabelas do BigQuery
Quando implementa estes controlos numa aplicação numa pasta com apps, as tabelas do BigQuery não são suportadas.
Controlo na nuvem da eliminação de dados
Este controlo rege o período de retenção dos dados confidenciais. Pode selecionar recursos (por exemplo, tabelas do BigQuery) e aplicar um controlo na nuvem de eliminação de dados que deteta se algum dos recursos viola os limites de retenção de antiguidade máxima.
Os tipos de recursos suportados incluem o seguinte:
- Conjuntos de dados e tabelas do BigQuery
- Modelos, conjuntos de dados, Feature Stores e Metadata Stores do Vertex AI
Quando implementa este controlo numa aplicação numa pasta compatível com apps, as tabelas e os conjuntos de dados do BigQuery não são suportados.