Usar o gerenciamento da postura de segurança de dados

Neste documento, descrevemos como ativar e usar o gerenciamento da postura de segurança de dados (DSPM).

Se você estiver no nível Standard do Security Command Center, terá acesso a recursos limitados do DSPM.

Ativar DSPM

É possível ativar o DSPM durante ou após a ativação do Security Command Center.

Conclua as etapas a seguir para ativar o DSPM no nível da organização:

1. Para receber as permissões necessárias para ativar o DSPM, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:

   • Administrador da organização (roles/resourcemanager.organizationAdmin)
   • Administrador da Central de segurança (roles/securitycenter.admin)

   Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

   Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

2. Ative a DSPM usando um dos seguintes métodos:

   Cenário	Instruções
   Você está migrando ou é novo no nível Standard do Security Command Center.	Ative o DSPM ativando o Security Command Center Standard para uma organização.
   Você não ativou o Security Command Center e quer usar o nível Premium.	Ative o DSPM ativando o Security Command Center Premium para uma organização.
   Você não ativou o Security Command Center e quer usar o nível Enterprise.	Ative o DSPM ativando o Security Command Center Enterprise.
   Você ativou o nível Premium do Security Command Center e quer ativar o DSPM.	Ative a DSPM usando a página Configurações. Ir para a página "Configurações"
   Você ativou o nível Security Command Center Enterprise e quer ativar o DSPM.	Ative o DSPM usando a página Ativar DSPM. Acessar "Ativar DSPM"

   Para mais informações sobre os níveis do Security Command Center, consulte Níveis de serviço do Security Command Center.

3. Ative a descoberta dos recursos que você quer proteger com o DSPM (somente nos níveis Premium e Enterprise).

Quando você ativa o DSPM, os seguintes serviços também são ativados (somente nos níveis Premium e Enterprise):

• Compliance Manager para criar, aplicar e gerenciar frameworks de segurança de dados e controles de nuvem.
• Proteção de Dados Sensíveis para usar indicadores de sensibilidade de dados na avaliação de risco de dados padrão.
• Event Threat Detection (parte do Security Command Center) no nível da organização para usar o controle de nuvem de governança de acesso a dados e o controle de nuvem de governança de fluxo de dados.
• A Proteção de IA ajuda a proteger o ciclo de vida das suas cargas de trabalho de IA (somente no nível Security Command Center Enterprise).

A estrutura de princípios essenciais de segurança e privacidade de dados é aplicada automaticamente à organização (somente nos níveis Premium e Enterprise).

(Somente níveis Premium e Enterprise) O agente de serviço da DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) é criado quando você ativa a DSPM.

Para informações sobre os papéis do gerenciamento de identidade e acesso da DSPM, consulte Identity and Access Management para ativações no nível da organização.

Fazer downgrade dos níveis Premium ou Enterprise para o nível Standard

Quando você faz downgrade do nível Premium ou Enterprise para o nível Standard, suas funcionalidades de DSPM são afetadas da seguinte maneira:

• Frameworks removidos:os frameworks implantados da DSPM que dependem de recursos Premium ou Enterprise são removidos.
• Perda de acesso a recursos:você perde o acesso a controles avançados de segurança de dados e estruturas de dados personalizadas.
• Reverte para o básico:o DSPM usa as verificações básicas de segurança de dados incluídas no framework do Security Essentials.
• As descobertas ficam inativas:todas as descobertas geradas anteriormente por frameworks de nível Premium ou Enterprise ficam inativas. Os únicos resultados que permanecem disponíveis são os da estrutura dos princípios básicos de privacidade e segurança de dados.

Se você fizer upgrade de volta para o nível Premium ou Enterprise depois de fazer downgrade para o nível Standard, as implantações de framework removidas durante o downgrade não poderão ser recuperadas automaticamente. É necessário reimplantar manualmente esses frameworks e reconstruir as configurações associadas.

Suporte da DSPM para perímetros do VPC Service Controls

Ao ativar a DSPM em uma organização que inclui perímetros do VPC Service Controls, considere o seguinte:

• Revise as limitações do Security Command Center.

• Não é possível usar um perímetro para proteger recursos da DSPM porque todos estão no nível da organização. Para gerenciar permissões da DSPM, use o IAM.

• Como a DSPM é ativada no nível da organização, ela não pode detectar riscos e violações de dados em um perímetro de serviço. Para permitir o acesso, faça o seguinte:

  1. Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.

  2. Configure a seguinte regra de entrada:

  - ingressFrom:
    identities:
    - serviceAccount: DSPM_SA_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
    ingressTo:
      operations: "*"
      resources: "*"
  

  Substitua DSPM_SA_EMAIL_ADDRESS pelo endereço de e-mail do agente de serviço de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

  Os papéis do IAM necessários para o agente de serviço são concedidos quando você ativa o DSPM e determina quais operações o agente de serviço pode realizar.

  Para mais informações sobre regras de entrada, consulte Como configurar políticas de entrada e saída.

Usar o painel do DSPM

O conteúdo e os recursos do painel dependem do nível do Security Command Center. Se você estiver no nível Standard, consulte Visão geral do gerenciamento de postura de segurança de dados no nível Standard para saber quais recursos estão disponíveis no painel.

Consulte Painel de todos os riscos para mais informações sobre o painel nos níveis Premium e Enterprise do Security Command Center.

Siga estas etapas para usar o painel e analisar sua postura de segurança de dados.

1. Para receber as permissões necessárias para usar o painel da DSPM, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:

   • Administrador de gerenciamento de postura de segurança de dados (roles/dspm.admin)
   • Administrador da Central de segurança (roles/securitycenter.admin)
   • Para acesso somente leitura:
     • Leitor do gerenciamento da postura de segurança de dados (roles/dspm.viewer)
     • Leitor administrador da Central de segurança (roles/securitycenter.adminViewer)

   Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

   Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

2. Use o painel do DSPM para descoberta de dados e análise de riscos. Ao ativar o DSPM, você pode avaliar imediatamente como seu ambiente se alinha ao framework de fundamentos de segurança e privacidade de dados.

   No console do Google Cloud , acesse a página Segurança e compliance de dados e selecione sua organização do Google Cloud . Depois de selecionar uma organização, você será redirecionado para a guia Dados no painel Visão geral de risco.

   Acessar o painel de visão geral de risco

   As seguintes informações estão disponíveis:

   • Explorador de mapa de dados
   • Descobertas de segurança de dados
   • Insights sobre segurança de dados
   • (Prévia) Insights sobre controles e estruturas de segurança de dados aplicados

   Use essas informações para analisar e corrigir os resultados, de modo que seu ambiente se alinhe melhor aos requisitos de segurança e compliance.

   Ao visualizar o painel no nível da organização e implantar aplicativos em uma pasta configurada para gerenciamento de aplicativos, é possível selecionar um aplicativo para filtrar o painel e mostrar apenas as descobertas e os insights que se aplicam a ele. Considere as seguintes latências de verificação ao analisar os dados:

   • O painel de principais descobertas pode mostrar dados desatualizados de configuração de recursos. Por exemplo, o recurso principal de uma descoberta pode estar associado a um aplicativo desatualizado.
   • O seletor de aplicativos pode não mostrar os aplicativos e registros de recursos criados nas últimas 24 horas.

   O explorador do mapa de dados pode levar até 24 horas após a ativação do Security Command Center para preencher todos os dados do Security Command Center e do Inventário de recursos do Cloud.

Criar frameworks personalizados de segurança de dados

Se necessário, copie a estrutura de princípios básicos de segurança e privacidade de dados e personalize para atender aos seus requisitos de segurança e compliance de dados. Para instruções, consulte Aplicar um framework.

Implantar controles avançados de segurança de dados na nuvem

Se necessário, adicione os controles de segurança de dados avançada na nuvem a estruturas personalizadas. Esses controles exigem configuração adicional antes da implantação. Para instruções sobre como implantar controles e frameworks de nuvem, consulte Aplicar um framework.

É possível implantar frameworks que incluem controles avançados de segurança de dados na nuvem em sua organização, pastas, projetos e aplicativos do App Hub em pastas configuradas para gerenciamento de aplicativos. Para implantar os controles avançados de segurança de dados na nuvem em aplicativos, o framework só pode incluir esses controles. Selecione a pasta habilitada para apps e o aplicativo que você quer que os controles na nuvem monitorem. Não é possível usar aplicativos em projetos host ou um limite de projeto único.

Considere o seguinte:

• Analise as informações de cada controle avançado de segurança de dados na nuvem para conhecer as limitações.

• Conclua as tarefas de cada regra, conforme descrito na tabela a seguir.

  Regra	Configurações avançadas
  Controle da nuvem de governança de acesso aos dados	Ative os registros de auditoria de acesso a dados para o Cloud Storage e a Vertex AI (quando aplicável no seu ambiente). Defina o tipo de permissão de acesso a dados como DATA_READ. Ative os registros de acesso a dados no nível da organização ou do projeto, dependendo de onde você aplica o controle de nuvem de governança de acesso a dados. Verifique se apenas os principais autorizados estão isentos da geração de registros de auditoria. As principais isentas do registro de auditoria também são isentas do DSPM. Adicione um ou mais principais permitidos (até um máximo de 200 principais) usando um dos seguintes formatos: Se for um usuário, principal://goog/subject/USER_EMAIL_ADDRESS Exemplo: principal://goog/subject/alex@example.com Para um grupo, principalSet://goog/group/GROUP_EMAIL_ADDRESS Exemplo: principalSet://goog/group/my-group@example.com
  Controle de nuvem de governança de fluxo de dados	Ative os registros de auditoria de acesso a dados para o Cloud Storage e a Vertex AI (quando aplicável no seu ambiente). Defina o tipo de permissão de acesso a dados como DATA_READ. Ative os registros de acesso a dados no nível da organização ou do projeto, dependendo de onde você aplica o controle de nuvem de governança de acesso a dados. Verifique se apenas os principais autorizados estão isentos da geração de registros de auditoria. As principais isentas do registro de auditoria também são isentas da DSPM. Especifique os países permitidos usando os códigos definidos no Unicode Common Locale Data Repository (CLDR).
  Controle de proteção de dados e governança de chaves na nuvem	Ative a CMEK no BigQuery e na Vertex AI.
  Controles de exclusão de dados na nuvem	Defina os períodos de retenção. Por exemplo, para definir um período de retenção de 90 dias em segundos, defina o período de armazenamento como 777600.

A seguir

• Analise descobertas relacionadas à segurança de dados.