Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare la gestione della security posture dei dati

Questo documento descrive come attivare e utilizzare la gestione della security posture dei dati (DSPM).

Abilita DSPM

Puoi attivare DSPM durante o dopo l'attivazione di Security Command Center.

Per attivare DSPM a livello di organizzazione:

Per ottenere le autorizzazioni necessarie per attivare DSPM, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:
- Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)
- Security Center Admin (roles/securitycenter.admin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Attiva DSPM utilizzando uno dei seguenti metodi:

Scenario	Istruzioni
Non hai attivato Security Command Center o utilizzi il livello Security Command Center Standard e vuoi utilizzare il livello Security Command Center Premium.	Attiva DSPM attivando Security Command Center Premium per un'organizzazione.
Non hai attivato Security Command Center e vuoi utilizzare il livello Security Command Center Enterprise.	Attiva DSPM attivando Security Command Center Enterprise.
Hai attivato in precedenza il livello Security Command Center Premium e vuoi abilitare DSPM.	Attiva DSPM utilizzando la pagina Impostazioni. Vai alla pagina Impostazioni
Hai attivato in precedenza il livello Security Command Center Enterprise e vuoi abilitare DSPM.	Attiva DSPM utilizzando la pagina Attiva DSPM. Vai ad Attiva DSPM

Per saperne di più sui livelli di Security Command Center, consulta Livelli di servizio di Security Command Center.

Abilita la scoperta delle risorse che vuoi proteggere con DSPM.

Quando abiliti DSPM, vengono abilitati anche i seguenti servizi:

Compliance Manager per creare, applicare e gestire framework di sicurezza dei dati e controlli cloud.
Sensitive Data Protection per utilizzare gli indicatori di sensibilità dei dati per la valutazione predefinita del rischio relativo ai dati.
Event Threat Detection (parte di Security Command Center) a livello di organizzazione per utilizzare il controllo cloud per la governance degli accessi ai dati e il controllo cloud per la governance del flusso di dati.
AI Protection per proteggere il ciclo di vita dei tuoi workload di AI (solo livello Security Command Center Enterprise).

Il framework Data Security and Privacy Essentials viene applicato automaticamente all'organizzazione.

L'agente di servizio DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) viene creato quando abiliti DSPM.

Per informazioni sui ruoli Identity and Access Management di DSPM, consulta Identity and Access Management per le attivazioni a livello di organizzazione.

Supporto di DSPM per i perimetri dei Controlli di servizio VPC

Quando abiliti DSPM in un'organizzazione che include perimetri dei Controlli di servizio VPC, tieni presente quanto segue:

Esamina le limitazioni di Security Command Center.
Non puoi utilizzare un perimetro per proteggere le risorse DSPM perché tutte le risorse si trovano a livello di organizzazione. Per gestire le autorizzazioni DSPM, utilizza IAM.
Poiché DSPM è abilitato a livello di organizzazione, non può rilevare rischi e violazioni dei dati all'interno di un perimetro di servizio. Per consentire l'accesso, completa i seguenti passaggi:
1. Assicurati di disporre dei ruoli necessari per configurare i Controlli di servizio VPC a livello di organizzazione.
2. Configura la seguente regola in entrata:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Sostituisci DSPM_SA_EMAIL_ADDRESS con l'indirizzo email del service agent DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

I ruoli IAM richiesti per il service agent vengono concessi quando abiliti DSPM e determinano quali operazioni può eseguire il service agent.

Per saperne di più sulle regole in entrata, consulta Configurazione delle policy in entrata e in uscita.

Utilizzare la dashboard DSPM

Completa le seguenti azioni per utilizzare la dashboard per analizzare la tua postura di sicurezza dei dati.

Per ottenere le autorizzazioni necessarie per utilizzare la dashboard DSPM, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:
- Amministratore della gestione della security posture dei dati (roles/dspm.admin)
- Security Center Admin (roles/securitycenter.admin)
- Per l'accesso di sola lettura:
  - Visualizzatore della gestione della security posture dei dati (roles/dspm.viewer)
  - Security Center Admin Viewer (roles/securitycenter.adminViewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Utilizza la dashboard DSPM per l'individuazione dei dati e l'analisi dei rischi. Quando abiliti DSPM, puoi valutare immediatamente in che modo il tuo ambiente è in linea con il framework Data security and privacy essentials.

Nella console, fai clic sulla scheda Protezione dei dati in Sicurezza e conformità dei dati.

Vai alla dashboard Sicurezza dei dati

Sono disponibili le seguenti informazioni:
- Explorer mappa dati
- Risultati relativi alla sicurezza dei dati
- Approfondimenti sui controlli e sui framework di sicurezza dei dati applicati
Utilizza queste informazioni per esaminare e correggere i risultati in modo che il tuo ambiente sia più in linea con i tuoi requisiti di sicurezza e conformità.

Quando visualizzi la dashboard a livello di organizzazione e implementi le applicazioni in una cartella configurata per la gestione delle applicazioni, puoi selezionare un'applicazione per filtrare la dashboard in modo da mostrare solo i risultati e gli approfondimenti che si applicano all'applicazione. Quando esamini i dati, tieni presente le seguenti latenze della scansione:
- Il riquadro dei risultati principali potrebbe mostrare dati di configurazione delle risorse obsoleti. Ad esempio, la risorsa principale di un risultato potrebbe essere associata a un'applicazione obsoleta.
- Il selettore delle applicazioni potrebbe non mostrare le applicazioni e le registrazioni delle risorse create nelle ultime 24 ore.
L'esploratore della mappa dei dati potrebbe richiedere 24 ore dopo l'attivazione di Security Command Center per popolare tutti i dati di Security Command Center e Cloud Asset Inventory.

Creare framework di sicurezza dei dati personalizzati

Se necessario, copia il framework elementi essenziali per la sicurezza e la privacy dei dati e personalizzalo in base ai tuoi requisiti di conformità e sicurezza dei dati. Per le istruzioni, vedi Applicare un framework.

Esegui il deployment di controlli cloud avanzati per la sicurezza dei dati

Se necessario, aggiungi i controlli cloud avanzati per la sicurezza dei dati ai framework personalizzati. Questi controlli richiedono una configurazione aggiuntiva prima di poter essere implementati. Per istruzioni sul deployment di controlli cloud e framework, vedi Applicare un framework.

Puoi implementare framework che includono controlli cloud avanzati per la sicurezza dei dati nella tua organizzazione, nelle cartelle, nei progetti e nelle applicazioni App Hub nelle cartelle configurate per la gestione delle applicazioni. Per implementare i controlli cloud avanzati per la sicurezza dei dati nelle applicazioni, il framework può includere solo questi controlli. Devi selezionare la cartella abilitata per le app e l'applicazione che vuoi che i controlli cloud monitorino. Le applicazioni in progetti host o un limite di un singolo progetto non sono supportate.

Considera quanto segue:

Esamina le informazioni per ogni controllo avanzato per la sicurezza dei dati nel cloud per conoscere le limitazioni.

Completa le attività per ogni regola, come descritto nella tabella seguente.

Regola	Configurazione aggiuntiva
Controllo cloud di governance degli accessi ai dati	Abilita gli audit log di accesso ai dati per Cloud Storage e Vertex AI (se applicabile nel tuo ambiente). Imposta il tipo di autorizzazione di accesso ai dati su `DATA_READ`. Attiva i log degli accessi ai dati a livello di organizzazione o di progetto, a seconda di dove applichi il controllo cloud di governance degli accessi ai dati. Verifica che solo le entità autorizzate siano esenti dalla registrazione degli audit log. Le entità esenti dalla registrazione degli audit log sono esenti anche da DSPM. Aggiungi una o più entità consentite (fino a un massimo di 200 entità) utilizzando uno dei seguenti formati: Per un utente, `principal://goog/subject/USER_EMAIL_ADDRESS` Esempio: `principal://goog/subject/alex@example.com` Per un gruppo, `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Esempio: `principalSet://goog/group/my-group@example.com`
Controllo cloud di governance del flusso di dati	Abilita gli audit log di accesso ai dati per Cloud Storage e Vertex AI(se applicabile nel tuo ambiente). Imposta il tipo di autorizzazione di accesso ai dati su `DATA_READ`. Attiva i log degli accessi ai dati a livello di organizzazione o di progetto, a seconda di dove applichi il controllo cloud di governance degli accessi ai dati. Verifica che solo le entità autorizzate siano esenti dalla registrazione degli audit log. Le entità esenti dalla registrazione degli audit log sono esenti anche da DSPM. Specifica i paesi consentiti utilizzando i codici paese definiti in Unicode Common Locale Data Repository (CLDR).
Protezione dei dati e controllo del cloud di governance delle chiavi	Abilita CMEK in BigQuery e Vertex AI.
Controlli cloud per l'eliminazione dei dati	Imposta i periodi di conservazione. Ad esempio, per impostare un periodo di conservazione di 90 giorni in secondi, imposta il periodo di conservazione su `777600`.

Passaggi successivi

Esamina i risultati relativi alla sicurezza dei dati.