Visão geral do gerenciamento da postura de segurança de dados (DSPM)

O Gerenciamento de Postura de Segurança de Dados (DSPM) oferece uma visão da segurança centrada em dados Google Cloud . Com o DSPM, você pode identificar e reduzir continuamente o risco de dados, ajudando você a entender quais dados sensíveis você tem, onde eles estão armazenados noGoogle Cloude se o uso deles está alinhado aos seus requisitos de segurança e compliance.

Os recursos do DSPM dependem do nível de serviço do Security Command Center. Consulte Gerenciamento de Postura de Segurança de Dados na visão geral do nível Standard para mais informações sobre quais recursos do DSPM estão disponíveis nesse nível.

O DSPM nos níveis Premium e Enterprise permite que sua equipe conclua as seguintes tarefas de segurança de dados:

  • Descoberta e classificação de dados: descubra e classifique automaticamente recursos de dados sensíveis em todo o seu Google Cloud ambiente, incluindo o BigQuery e o Cloud Storage.

  • Governança de dados:avalie sua postura de segurança de dados atual em relação às práticas recomendadas e estruturas de compliance do Google para identificar e corrigir possíveis problemas de segurança.

  • Aplicação de controles:mapeie seus requisitos de segurança para controles de nuvem de governança de dados específicos, como governança de acesso a dados e governança de fluxo de dados.

  • Monitoramento de compliance:monitore as cargas de trabalho em relação às estruturas de segurança de dados aplicadas para comprovar o alinhamento, corrigir violações e gerar evidências para auditoria.

Principais componentes do DSPM

As seções a seguir descrevem os componentes do DSPM.

Monitore sua postura de segurança de dados com o painel do DSPM

O painel de segurança de dados no Google Cloud console permite que você veja como os dados da sua organização estão alinhados aos requisitos de segurança e compliance de dados.

O explorador do mapa de dados no painel de segurança de dados mostra as localizações geográficas em que os dados estão armazenados e permite filtrar informações sobre seus dados por localização geográfica, sensibilidade dos dados, projeto associado, e quaisGoogle Cloud serviços armazenam os dados. Os círculos no mapa de dados representam a contagem relativa de recursos de dados e recursos de dados com alertas na região.

É possível conferir as descobertas de segurança de dados, que ocorrem quando um recurso de dados viola um controle de nuvem de segurança de dados. Quando uma nova descoberta é gerada, pode levar até duas horas para que ela apareça no explorador do mapa de dados.

Você também pode analisar informações sobre as estruturas de segurança de dados implantadas, o número de descobertas abertas associadas a cada estrutura e a porcentagem de recursos no seu ambiente cobertos por pelo menos uma estrutura.

(Prévia) O painel também mostra insights de segurança de dados que podem ser usados para identificar proativamente possíveis riscos de dados. Os insights estão disponíveis apenas para recursos que contêm dados altamente sensíveis. Os recursos precisam ser verificados pela Proteção de Dados Sensíveis, e a verificação precisa ser configurada para publicar resultados no Security Command Center.

O painel mostra o seguinte:

  • Usuários que acessam dados sensíveis com mais frequência (limitado a buckets do Cloud Storage, tabelas do BigQuery e recursos da plataforma de agentes do Gemini Enterprise).
  • Instâncias de acesso transfronteiriço (limitado a buckets do Cloud Storage, tabelas do BigQuery e recursos da plataforma de agentes do Gemini Enterprise).
  • Instâncias em que dados sensíveis específicos do país são armazenados fora da sua região associada (aplicável a todos os Google Cloud recursos).

O painel não inclui insights de segurança para o seguinte:

Estruturas de segurança de dados e compliance do DSPM

Você usa estruturas para definir seus requisitos de segurança de dados e compliance e aplicar esses requisitos ao seu Google Cloud ambiente. O DSPM inclui a estrutura de princípios básicos de segurança e privacidade de dados, que define os controles de referência recomendados para segurança e compliance de dados. Quando você ativa o DSPM, essa estrutura é aplicada automaticamente à Google Cloud organização no modo de detetive. Você pode usar as descobertas geradas para fortalecer sua postura de dados.

Se necessário, faça cópias da estrutura para criar estruturas de segurança de dados personalizadas. Você pode adicionar os controles avançados de segurança de dados na nuvem às suas estruturas personalizadas e aplicá-las à organização, pastas, projetos e aplicativos do App Hub em pastas configuradas para gerenciamento de aplicativos. Por exemplo, é possível criar estruturas personalizadas que aplicam controles jurisdicionais a pastas específicas para garantir que os dados dessas pastas permaneçam em uma região geográfica específica.

Estrutura de princípios básicos de segurança e privacidade de dados (controles de referência)

Os controles de nuvem a seguir fazem parte da estrutura de princípios básicos de segurança de dados e privacidade.

Controle de nuvem Descrição

Exigir CMEK para tabelas do BigQuery com dados sensíveis

Detecta quando a CMEK não é usada para tabelas do BigQuery que incluem dados sensíveis.

Exigir CMEK para conjuntos de dados do BigQuery com dados sensíveis

Detecta quando a CMEK não é usada para conjuntos de dados do BigQuery que incluem dados sensíveis.

Bloquear o acesso público a conjuntos de dados do BigQuery com dados sensíveis

Detecta dados sensíveis em conjuntos de dados do BigQuery acessíveis publicamente.

Bloquear o acesso público a instâncias do Cloud SQL com dados sensíveis

Detecta dados sensíveis em bancos de dados SQL acessíveis publicamente.

Exigir CMEK para instâncias do Cloud SQL com dados sensíveis

Detecta quando a CMEK não é usada para bancos de dados SQL que incluem dados sensíveis.

Controles avançados de governança de dados e segurança na nuvem

O DSPM inclui segurança de dados avançada para ajudar você a atender a outros requisitos de segurança de dados. Esses controles avançados de segurança de dados na nuvem são agrupados da seguinte maneira:

  • Monitorar permissões do usuário:detecta se principais diferentes dos especificados estão acessando dados sensíveis. O nome do controle é Restringir o acesso a dados sensíveis a usuários permitidos.
  • Impedir a exfiltração de dados:detecta se clientes que estão fora dos locais geográficos (países) especificados estão acessando dados sensíveis. O nome do controle é Restringir o fluxo de dados sensíveis em jurisdições geográficas.
  • Aplicar a criptografia CMEK: detecta se dados sensíveis estão sendo criados sem a criptografia de chaves de criptografia gerenciadas pelo cliente (CMEKs). Vários controles ajudam a aplicar a CMEK para diferentes Google Cloud serviços.
  • Gerenciar a exclusão de dados:detecta violações das políticas de período máximo de armazenamento de dados sensíveis. O nome do controle é Governar o período máximo de retenção de dados sensíveis.
  • Gerenciar a retenção de dados: (prévia) Aplica um período mínimo de armazenamento (em segundos) para objetos do Cloud Storage para garantir que eles sejam retidos por um período mínimo de tempo. O nome do controle é Governar o período mínimo de armazenamento de objetos do Cloud Storage. É necessário se inscrever para usar esse controle.
  • Gerenciar a criptografia de dados: (prévia) exige a criptografia de objetos em buckets do Cloud Storage. O nome do controle é Exigir criptografia gerenciada pelo cliente para objetos do Cloud Storage. É necessário se inscrever para usar esse controle.
  • Gerenciar o acesso público aos dados: (prévia) restringe o acesso público a objetos em buckets do Cloud Storage para evitar o risco de exposição de dados. O nome do controle é Restringir o acesso público a objetos do Cloud Storage. É necessário se inscrever para usar esse controle.

Esses controles são compatíveis apenas com o modo de detetive. Para mais informações sobre como implantar esses controles, consulte Usar o DSPM.

Monitorar permissões do usuário

O controle Restringir o acesso a dados sensíveis a usuários permitidos restringe o acesso a dados sensíveis a conjuntos principais especificados. Quando há uma tentativa de acesso não conforme (acesso por principais diferentes dos permitidos) a recursos de dados, uma descoberta é criada. Os tipos de principais aceitos são contas de usuário ou grupos. Para informações sobre qual formato usar, consulte a tabela de formatos principais aceitos.

As contas de usuário incluem o seguinte:

  • Contas de consumidor do Google que os usuários se inscrevem no google.com, como contas do Gmail.com
  • Contas do Google gerenciadas para empresas
  • Contas do Google Workspace for Education

As contas de usuário não incluem contas de robôs, contas de serviço, contas de marca somente de delegação, contas de recursos e contas de dispositivos.

Os tipos de recursos aceitos incluem o seguinte:

  • Conjuntos de dados e tabelas do BigQuery
  • Buckets do Cloud Storage
  • Modelos, conjuntos de dados, repositórios de recursos e repositórios de metadados da plataforma de agentes do Gemini Enterprise

O DSPM avalia a conformidade com esse controle sempre que uma conta de usuário lê um tipo de recurso aceito.

Esse controle de nuvem exige que você ative os registros de auditoria de acesso a dados para o Cloud Storage e a plataforma de agentes.

As limitações incluem o seguinte:

  • Somente operações de leitura são aceitas.
  • O acesso por contas de serviço, incluindo a identidade temporária de conta de serviço, está isento desse controle. Como mitigação, garanta que apenas contas de serviço confiáveis tenham acesso a recursos sensíveis do Cloud Storage, do BigQuery e da plataforma de agentes. Além disso, não conceda o Criador de token da conta de serviço (roles/iam.serviceAccountTokenCreator) papel a usuários que não deveriam ter acesso.
  • Esse controle não impede o acesso de usuários a cópias feitas por operações de conta de serviço, como as feitas pelo Serviço de transferência do Cloud Storage e pelo serviço de transferência de dados do BigQuery. Os usuários podem acessar cópias de dados que não têm esse controle ativado.
  • Conjuntos de dados vinculados não são aceitos. Os conjuntos de dados vinculados criam um conjunto de dados somente leitura do BigQuery que atua como um link simbólico para um conjunto de dados de origem. Os conjuntos de dados vinculados não produzem registros de auditoria de acesso a dados e podem permitir que um usuário não autorizado leia dados sem que eles sejam sinalizados. Por exemplo, um usuário pode ignorar o controle de acesso vinculando um conjunto de dados a um conjunto de dados fora do limite de compliance e, em seguida, consultar o novo conjunto de dados sem gerar registros no conjunto de dados de origem. Como mitigação, não conceda os papéis de administrador do BigQuery (roles/bigquery.admin), proprietário de dados do BigQuery (roles/bigquery.dataOwner) ou administrador do BigQuery Studio (roles/bigquery.studioAdmin) a usuários que não deveriam ter acesso a recursos sensíveis do BigQuery.
  • As consultas de tabelas curinga são aceitas no nível do conjunto de dados, mas não no nível do conjunto de tabelas. Esse recurso permite consultar várias tabelas do BigQuery ao mesmo tempo usando expressões curinga. O DSPM processa consultas curinga como se você estivesse acessando o conjunto de dados pai do BigQuery, não tabelas individuais dentro do conjunto de dados.
  • O acesso público a objetos do Cloud Storage não é aceito. O acesso público concede acesso a todos os usuários sem verificações de política.
  • O acesso ou downloads de objetos do Cloud Storage usando sessões de navegador autenticadas não são aceitos.
  • Quando implantadas em um aplicativo do App Hub, as tabelas e os conjuntos de dados do BigQuery não são aceitos.

Prevenção a exfiltração de dados

O controle Restringir o fluxo de dados sensíveis em jurisdições geográficas permite especificar os países permitidos de onde os dados podem ser acessados. O controle de nuvem funciona da seguinte maneira:

  • Se uma solicitação de leitura vier da Internet, o país será determinado com base no endereço IP da solicitação de leitura. Se um proxy for usado para enviar a solicitação de leitura, os alertas serão enviados com base no local do proxy.

  • Se a solicitação de leitura vier de uma VM do Compute Engine, o país será determinado pela zona do Cloud de onde a solicitação se originou.

Os tipos de recursos aceitos incluem o seguinte:

  • Conjuntos de dados e tabelas do BigQuery
  • Buckets do Cloud Storage
  • Modelos, conjuntos de dados, repositórios de recursos e repositórios de metadados da plataforma de agentes

As limitações incluem o seguinte:

  • Somente operações de leitura são aceitas.
  • Para a plataforma de agentes, apenas solicitações da Internet são aceitas.
  • O acesso público a objetos do Cloud Storage não é aceito.
  • O acesso ou downloads de objetos do Cloud Storage usando sessões de navegador autenticadas não são aceitos.
  • Quando implantadas em um aplicativo do App Hub em uma pasta configurada para gerenciamento de aplicativos, as tabelas e os conjuntos de dados do BigQuery não são aceitos.
  • Quando um principal acessa um recurso mais de uma vez em um local não compatível em 24 horas, as violações são aceitas apenas para o primeiro acesso.

Aplicar a criptografia CMEK

Esses controles exigem que você criptografe recursos específicos usando CMEKs. Eles incluem o seguinte:

Quando você implanta esses controles em um aplicativo do App Hub, as tabelas do BigQuery não são aceitas.

Gerenciar políticas máximas de retenção de dados

O controle Governar o período máximo de armazenamento de dados sensíveis governa o período de armazenamento de dados sensíveis. É possível selecionar recursos (por exemplo, tabelas do BigQuery) e aplicar um controle de nuvem de exclusão de dados que detecta se algum dos recursos viola os limites máximos de retenção de idade.

Os tipos de recursos aceitos incluem o seguinte:

  • Conjuntos de dados e tabelas do BigQuery
  • Modelos, conjuntos de dados, repositórios de recursos e repositórios de metadados da plataforma de agentes
  • Objetos do Cloud Storage (prévia). É necessário se inscrever para usar esse controle.

Quando você implanta esse controle em um aplicativo do App Hub, as tabelas e os conjuntos de dados do BigQuery não são aceitos.

Gerenciar a retenção de dados

O controle Governar o período mínimo de armazenamento de objetos do Cloud Storage aplica um período mínimo de armazenamento para objetos do Cloud Storage. Esse controle impede a exclusão ou modificação de objetos do Cloud Storage até que o período de armazenamento mínimo (especificado em segundos) tenha passado.

Esse controle detecta objetos do Cloud Storage que não atendem à política de retenção mínima configurada. As descobertas são geradas no Security Command Center no nível do bucket. É possível consultar as descobertas no nível do objeto nos conjuntos de dados do Storage Intelligence (em object_security_findings_view). As descobertas no nível do objeto têm findingType: SCC_DSPM_DATA_RETENTION e findingReason: MINIMUM_RETENTION_VIOLATION.

Tipos de recursos aceitos: objetos do Cloud Storage

É necessário se inscrever para usar esse controle.

Gerenciar criptografia de dados

O controle Exigir criptografia gerenciada pelo cliente para objetos do Cloud Storage ajuda a aplicar a criptografia para objetos em buckets do Cloud Storage usando CMEKs. O controle detecta objetos do Cloud Storage que não estão criptografados com a CMEK, em violação da sua política de criptografia.

As descobertas são geradas no Security Command Center no nível do bucket. É possível consultar as descobertas no nível do objeto nos conjuntos de dados do Storage Intelligence (em object_security_findings_view). As descobertas no nível do objeto têm findingType: SCC_DSPM_ENCRYPTION_NO_CMEK e findingReason: ENCRYPTION_CMEK_VIOLATION.

Tipos de recursos aceitos: objetos do Cloud Storage

É necessário se inscrever para usar esse controle.

Gerenciar o acesso público aos dados

O controle Restringir o acesso público a objetos do Cloud Storage ajuda a restringir o acesso público a objetos em buckets do Cloud Storage para evitar o risco de exposição de dados. Esse controle detecta objetos do Cloud Storage que são acessíveis publicamente, em violação da sua política de acesso público.

As descobertas são geradas no Security Command Center no nível do bucket. É possível consultar as descobertas detalhadas no nível do objeto nos conjuntos de dados do Storage Intelligence (em object_security_findings_view). As descobertas no nível do objeto têm findingType: SCC_DSPM_PUBLIC_ACCESS_GOVERNANCE e findingReason: PUBLIC_ACCESS_VIOLATION.

O campo sccDspmFinding.securityInsights na descoberta no nível do objeto fornece mais detalhes sobre o status de acessibilidade pública, incluindo acesso de leitura e gravação.

Tipos de recursos aceitos: objetos do Cloud Storage

É necessário se inscrever para usar esse controle.

Como usar o DSPM com a Proteção de Dados Sensíveis

O DSPM funciona com a Proteção de Dados Sensíveis. A Proteção de Dados Sensíveis encontra os dados sensíveis na sua organização, e o DSPM permite implantar controles de nuvem de segurança de dados nos dados sensíveis para atender aos requisitos de segurança e compliance.

A tabela a seguir descreve como usar a Proteção de Dados Sensíveis para descoberta de dados e o DSPM para aplicação de políticas e gerenciamento da postura de segurança.

Serviço

Proteção de Dados Sensíveis

DSPM
Escopo dos dados

Encontra e classifica dados sensíveis (como PII ou secrets) no armazenamento em on Google Cloud.

Avalia a postura de segurança em torno dos dados sensíveis classificados.
Ações principais

Verifica, cria perfis e desidentifica dados sensíveis.

Aplica, monitora e valida políticas.
Foco das descobertas

Informa onde os dados sensíveis estão localizados (por exemplo, BigQuery ou Cloud Storage).

Informa por que os dados estão expostos (por exemplo, acesso público, CMEK ausente ou permissões excessivas).
Integração

Alimenta o DSPM com metadados de sensibilidade e classificação.

Usa dados da Proteção de Dados Sensíveis para aplicar e monitorar controles de segurança e avaliações de risco.

A seguir