Diese Seite wurde von der Cloud Translation API übersetzt.

Verwaltung des Datensicherheitsstatus verwenden

In diesem Dokument wird beschrieben, wie Sie die Verwaltung des Datensicherheitsstatus (Data Security Posture Management, DSPM) aktivieren und verwenden.

DSPM aktivieren

Sie können DSPM während oder nach der Aktivierung von Security Command Center aktivieren.

Führen Sie die folgenden Schritte aus, um DSPM auf Organisationsebene zu aktivieren:

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, damit Sie die nötigen Berechtigungen zum Aktivieren von DSPM haben:
- Administrator der Organisation (roles/resourcemanager.organizationAdmin)
- Sicherheitscenter-Administrator (roles/securitycenter.admin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Aktivieren Sie DSPM mit einer der folgenden Methoden:

Szenario	Anleitung
Sie haben Security Command Center nicht aktiviert oder verwenden die Security Command Center Standard-Stufe und möchten die Security Command Center Premium-Stufe verwenden.	Aktivieren Sie DSPM, indem Sie Security Command Center Premium für eine Organisation aktivieren.
Sie haben Security Command Center noch nicht aktiviert und möchten die Security Command Center Enterprise-Stufe verwenden.	Aktivieren Sie DSPM, indem Sie Security Command Center Enterprise aktivieren.
Sie haben die Security Command Center Premium-Stufe bereits aktiviert und möchten DSPM aktivieren.	Aktivieren Sie DSPM auf der Seite Einstellungen. Zur Seite „Einstellungen“
Sie haben die Security Command Center Enterprise-Version bereits aktiviert und möchten DSPM aktivieren.	Aktivieren Sie die Verwaltung des Datensicherheitsstatus auf der Seite Verwaltung des Datensicherheitsstatus aktivieren. Zu „DSPM aktivieren“

Weitere Informationen zu Security Command Center-Stufen finden Sie unter Security Command Center-Dienststufen.

Aktivieren Sie die Erkennung der Ressourcen, die Sie mit DSPM schützen möchten.

Wenn Sie DSPM aktivieren, werden auch die folgenden Dienste aktiviert:

Compliance Manager zum Erstellen, Anwenden und Verwalten von Datensicherheits-Frameworks und Cloud-Steuerelementen.
Schutz sensibler Daten zur Verwendung von Signalen zur Datenvertraulichkeit für die standardmäßige Risikobewertung von Daten.
Event Threat Detection (Teil von Security Command Center) auf Organisationsebene, um die Cloud-Kontrolle für die Datenzugriffsverwaltung und die Cloud-Kontrolle für die Datenflussverwaltung zu verwenden.
AI Protection zum Schutz des Lebenszyklus Ihrer KI-Arbeitslasten (nur Security Command Center Enterprise-Stufe).

Das Framework für Datensicherheit und Datenschutz wird automatisch auf die Organisation angewendet.

Der DSPM-Dienst-Agent (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) wird erstellt, wenn Sie DSPM aktivieren.

Informationen zu den DSPM-Rollen für Identitäts- und Zugriffsverwaltung finden Sie unter Identitäts- und Zugriffsverwaltung für Aktivierungen auf Organisationsebene.

Unterstützung von DSPM für VPC Service Controls-Perimeter

Wenn Sie DSPM in einer Organisation aktivieren, die VPC Service Controls-Perimeter enthält, sollten Sie Folgendes beachten:

Einschränkungen für Security Command Center
Sie können keinen Perimeter verwenden, um DSPM-Ressourcen zu schützen, da sich alle Ressourcen auf Organisationsebene befinden. IAM verwenden, um DSPM-Berechtigungen zu verwalten.
Da DSPM auf Organisationsebene aktiviert ist, können keine Datenrisiken und ‑verstöße innerhalb eines Dienstperimeters erkannt werden. So gewähren Sie Zugriff:
1. Sie benötigen die erforderlichen Rollen zum Konfigurieren von VPC Service Controls auf Organisationsebene.
2. Konfigurieren Sie die folgende Regel für eingehenden Traffic:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Ersetzen Sie DSPM_SA_EMAIL_ADDRESS durch die E-Mail-Adresse des DSPM-Service-Agents (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

Die erforderlichen IAM-Rollen für den Dienst-Agenten werden gewährt, wenn Sie DSPM aktivieren. Außerdem legen Sie fest, welche Vorgänge der Dienst-Agent ausführen kann.

Weitere Informationen zu Regeln für eingehenden Traffic finden Sie unter Richtlinien für eingehenden und ausgehenden Traffic konfigurieren.

DSPM-Dashboard verwenden

Führen Sie die folgenden Schritte aus, um das Dashboard zur Analyse Ihrer Datensicherheit zu verwenden.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des DSPM-Dashboards benötigen:
- Administrator für die Verwaltung der Datensicherheitslage (roles/dspm.admin)
- Sicherheitscenter-Administrator (roles/securitycenter.admin)
- Für den Lesezugriff:
  - Betrachter für die Verwaltung des Datensicherheitsstatus (roles/dspm.viewer)
  - Sicherheitscenter-Admin-Betrachter (roles/securitycenter.adminViewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Verwenden Sie das DSPM-Dashboard für die Datenerkennung und Risikoanalyse. Wenn Sie DSPM aktivieren, können Sie sofort prüfen, inwieweit Ihre Umgebung dem Framework für die Grundlagen von Datensicherheit und Datenschutz entspricht.

Klicken Sie in der Console unter Datensicherheit und ‑konformität auf den Tab Datenschutz.

Zum Dashboard für Datensicherheit

Folgende Informationen sind verfügbar:
- Data Map Explorer
- Datensicherheitsergebnisse
- Statistiken zu angewendeten Kontrollen und Frameworks für die Datensicherheit
Anhand dieser Informationen können Sie die Ergebnisse überprüfen und beheben, damit Ihre Umgebung besser Ihren Sicherheits- und Compliance-Anforderungen entspricht.

Wenn Sie das Dashboard auf Organisationsebene aufrufen und Anwendungen in einem für die Anwendungsverwaltung konfigurierten Ordner bereitstellen, können Sie eine Anwendung auswählen, um das Dashboard so zu filtern, dass nur die Ergebnisse und Statistiken angezeigt werden, die für die Anwendung gelten. Berücksichtigen Sie beim Überprüfen der Daten die folgenden Scan-Latenzen:
- Im Bereich mit den wichtigsten Ergebnissen werden möglicherweise veraltete Daten zur Ressourcenkonfiguration angezeigt. Die primäre Ressource eines Ergebnisses ist beispielsweise möglicherweise mit einer veralteten Anwendung verknüpft.
- Im Anwendungsselektor werden möglicherweise nicht die Anwendungen und Ressourcenregistrierungen angezeigt, die in den letzten 24 Stunden erstellt wurden.
Es kann bis zu 24 Stunden dauern, bis alle Daten aus Security Command Center und Cloud Asset Inventory im Data Map Explorer angezeigt werden, nachdem Sie Security Command Center aktiviert haben.

Benutzerdefinierte Frameworks zur Datensicherheit erstellen

Kopieren Sie bei Bedarf das Framework für die Grundlagen von Datensicherheit und Datenschutz und passen Sie es an Ihre Anforderungen an Datensicherheit und Compliance an. Eine Anleitung finden Sie unter Framework anwenden.

Erweiterte Sicherheitskontrollen für Cloud-Daten bereitstellen

Fügen Sie bei Bedarf die erweiterten Cloud-Steuerelemente für die Datensicherheit zu benutzerdefinierten Frameworks hinzu. Für diese Steuerelemente ist eine zusätzliche Konfiguration erforderlich, bevor Sie sie bereitstellen können. Eine Anleitung zum Bereitstellen von Cloud-Kontrollen und ‑Frameworks finden Sie unter Framework anwenden.

Sie können Frameworks mit erweiterten Cloud-Steuerelementen für die Datensicherheit in Ihrer Organisation, Ihren Ordnern, Projekten und App Hub-Anwendungen in für die Anwendungsverwaltung konfigurierten Ordnern bereitstellen. Wenn Sie die erweiterten Cloud-Einstellungen für Datensicherheit auf Anwendungen anwenden möchten, darf das Framework nur diese Einstellungen enthalten. Sie müssen den Ordner auswählen, für den die Anwendungsverwaltung aktiviert ist, und die Anwendung, die von den Cloud-Steuerelementen überwacht werden soll. Anwendungen in Hostprojekten oder einem einzelnen Projekt werden nicht unterstützt.

Berücksichtige Folgendes:

Sehen Sie sich die Informationen zu den einzelnen erweiterten Cloud-Steuerelementen für Datensicherheit an, um Einschränkungen zu ermitteln.

Führen Sie die Aufgaben für jede Regel aus, wie in der folgenden Tabelle beschrieben.

Regel	Zusätzliche Konfiguration
Cloud-Kontrolle für die Datenzugriffs-Governance	Aktivieren Sie Audit-Logs zum Datenzugriff für Cloud Storage und Vertex AI (sofern in Ihrer Umgebung zutreffend). Legen Sie den Berechtigungstyp für den Datenzugriff auf `DATA_READ` fest. Aktivieren Sie die Datenzugriffslogs auf Organisations- oder Projektebene, je nachdem, wo Sie die Cloud-Kontrolle für die Datenzugriffsverwaltung anwenden. Prüfen Sie, ob nur autorisierte Hauptkonten von der Audit-Log-Aufzeichnung ausgenommen sind. Hauptkonten, die vom Audit-Logging ausgenommen sind, sind auch von DSPM ausgenommen. Fügen Sie ein oder mehrere zulässige Hauptkonten (maximal 200) in einem der folgenden Formate hinzu: Für einen Nutzer: `principal://goog/subject/USER_EMAIL_ADDRESS` Beispiel: `principal://goog/subject/alex@example.com` Für eine Gruppe: `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Beispiel: `principalSet://goog/group/my-group@example.com`
Cloud-Kontrolle für die Datenfluss-Governance	Aktivieren Sie Audit-Logs zum Datenzugriff für Cloud Storage und Vertex AI(sofern in Ihrer Umgebung zutreffend). Legen Sie den Berechtigungstyp für den Datenzugriff auf `DATA_READ` fest. Aktivieren Sie die Datenzugriffslogs auf Organisations- oder Projektebene, je nachdem, wo Sie die Cloud-Kontrolle für die Datenzugriffsverwaltung anwenden. Prüfen Sie, ob nur autorisierte Hauptkonten von der Audit-Log-Aufzeichnung ausgenommen sind. Hauptkonten, die vom Audit-Logging ausgenommen sind, sind auch von DSPM ausgenommen. Geben Sie zulässige Länder mit den Ländercodes an, die im Unicode Common Locale Data Repository (CLDR) definiert sind.
Datenschutz und Cloud-Kontrolle für die Schlüsselverwaltung	Aktivieren Sie CMEK in BigQuery und Vertex AI.
Cloud-Steuerelemente für die Datenlöschung	Legen Sie die Aufbewahrungsdauer fest. Wenn Sie beispielsweise eine Aufbewahrungsdauer von 90 Tagen in Sekunden festlegen möchten, legen Sie die Aufbewahrungsdauer auf `777600` fest.

Nächste Schritte

Ergebnisse zur Datensicherheit ansehen