Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Utilizzare la gestione della security posture dei dati

Questo documento descrive come abilitare e utilizzare Data Security Posture Management (DSPM).

Se hai sottoscritto il livello Security Command Center Standard, sono disponibili funzionalità DSPM limitate.

Abilitare DSPM

Puoi abilitare DSPM durante o dopo l'attivazione di Security Command Center.

Completa i seguenti passaggi per abilitare DSPM a livello di organizzazione:

Per ottenere le autorizzazioni necessarie per abilitare DSPM, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:
- Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)
- Amministratore di Security Center (roles/securitycenter.admin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Abilita DSPM utilizzando uno dei seguenti metodi:

Scenario	Istruzioni
Non hai mai utilizzato il livello Security Command Center Standard o stai eseguendo la migrazione a questo livello.	Abilita DSPM attivando Security Command Center Standard per un'organizzazione.
Non hai attivato Security Command Center e vuoi utilizzare il livello Security Command Center Premium.	Abilita DSPM attivando Security Command Center Premium per un'organizzazione.
Non hai attivato Security Command Center e vuoi utilizzare il livello Security Command Center Enterprise.	Abilita DSPM attivando Security Command Center Enterprise.
In precedenza hai attivato il livello Security Command Center Premium e vuoi abilitare DSPM.	Abilita DSPM utilizzando la pagina Impostazioni. Vai alla pagina Impostazioni
In precedenza hai attivato il livello Security Command Center Enterprise e vuoi abilitare DSPM.	Abilita DSPM utilizzando la pagina Attiva DSPM. Vai ad Attiva DSPM

Per saperne di più sui livelli di Security Command Center, consulta Livelli di servizio di Security Command Center.

Abilita il rilevamento delle risorse che vuoi proteggere con DSPM (solo livelli Premium ed Enterprise).

Quando abiliti DSPM, vengono abilitati anche i seguenti servizi (solo livelli Premium ed Enterprise):

Compliance Manager per creare, applicare e gestire framework di sicurezza dei dati e controlli cloud.
Sensitive Data Protection per utilizzare gli indicatori di sensibilità dei dati per la valutazione predefinita dell'analisi del rischio dei dati.
Event Threat Detection (parte di Security Command Center) a livello di organizzazione per utilizzare il controllo cloud di governance degli accessi ai dati e il controllo cloud di governance del flusso di dati.
AI Protection per proteggere il ciclo di vita dei tuoi workload di AI (solo livello Security Command Center Enterprise).

Il framework Data Security and Privacy Essentials viene applicato automaticamente all'organizzazione (solo livelli Premium ed Enterprise).

(Solo livelli Premium ed Enterprise) Il service agent (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) viene creato quando abiliti DSPM.

Per informazioni sui ruoli di Identity and Access Management di DSPM, consulta Identity and Access Management per le attivazioni a livello di organizzazione.

Eseguire il downgrade dai livelli Premium o Enterprise al livello Standard

Quando esegui il downgrade dal livello Premium o Enterprise al livello Standard tier, le funzionalità DSPM vengono interessate come segue:

Framework rimossi: i framework DSPM di cui è stato eseguito il deployment che dipendono dalle funzionalità Premium o Enterprise vengono rimossi.
Accesso alle funzionalità perso: perdi l'accesso ai controlli avanzati di sicurezza dei dati e ai framework di dati personalizzati.
Ripristino delle impostazioni di base: DSPM utilizza i controlli di sicurezza dei dati di base inclusi nel framework Security Essentials.
I risultati diventano non attivi: tutti i risultati generati in precedenza dai framework di livello Premium o Enterprise diventano non attivi. Gli unici risultati che rimangono disponibili sono quelli del framework Security Essentials.

Se esegui di nuovo l'upgrade al livello Premium o Enterprise dopo aver eseguito il downgrade al livello Standard, i deployment dei framework rimossi durante il downgrade non possono essere recuperati automaticamente. Devi eseguire di nuovo manualmente il deployment di questi framework e ricompilare le configurazioni associate.

Supporto di DSPM per i perimetri dei Controlli di servizio VPC

Quando abiliti DSPM in un'organizzazione che include i perimetri dei Controlli di servizio VPC, tieni presente quanto segue:

Esamina le limitazioni per Security Command Center.
Non puoi utilizzare un perimetro per proteggere le risorse DSPM perché tutte le risorse sono a livello di organizzazione. Per gestire le autorizzazioni DSPM, utilizza IAM.
Poiché DSPM è abilitato a livello di organizzazione, non può rilevare rischi e violazioni dei dati all'interno di un perimetro di servizio. Per consentire l'accesso, completa i seguenti passaggi:
1. Assicurati di disporre dei ruoli necessari per configurare i Controlli di servizio VPC a livello di organizzazione.
2. Configura la seguente regola in entrata:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Sostituisci DSPM_SA_EMAIL_ADDRESS con l'indirizzo email del service agent DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

I ruoli IAM richiesti per il service agent vengono concessi quando abiliti DSPM e determinano le operazioni che il service agent può eseguire.

Per saperne di più sulle regole in entrata, consulta Configurazione delle policy in entrata e in uscita.

Creare framework di sicurezza dei dati personalizzati

Se necessario, copia il framework Data Security and Privacy Essentials e personalizzalo in base ai tuoi requisiti di sicurezza e conformità dei dati. Per le istruzioni, consulta Applicare un framework.

Eseguire il deployment dei controlli cloud avanzati di sicurezza dei dati

Se necessario, aggiungi i controlli cloud avanzati di sicurezza dei dati ai framework personalizzati. Questi controlli richiedono una configurazione aggiuntiva prima di poter essere sottoposti a deployment. Per istruzioni sul deployment di controlli e framework cloud, consulta Applicare un framework.

Puoi eseguire il deployment di framework che includono controlli cloud avanzati di sicurezza dei dati nella tua organizzazione, nelle cartelle, nei progetti e nelle applicazioni App Hub in cartelle configurate per la gestione delle applicazioni. Per eseguire il deployment dei controlli cloud avanzati di sicurezza dei dati per le applicazioni, il framework può includere solo questi controlli. Devi selezionare la cartella abilitata per le app e l'applicazione che vuoi che i controlli cloud monitorino. Le applicazioni nei progetti host o in un limite di un singolo progetto non sono supportate.

Considera quanto segue:

Esamina le informazioni relative a ogni controllo cloud avanzato di sicurezza dei dati per le limitazioni.

Completa le attività per ogni regola, come descritto nella tabella seguente.

Regola	Configurazione aggiuntiva
Controllo cloud di governance degli accessi ai dati	Abilita gli audit log di accesso ai dati per Cloud Storage e Agent Platform (se applicabile nel tuo ambiente). Imposta il tipo di autorizzazione di accesso ai dati su `DATA_READ`. Abilita i log degli accessi ai dati a livello di organizzazione o di progetto, a seconda di dove applichi il controllo cloud di governance degli accessi ai dati. Verifica che solo le entità autorizzate siano esenti dalla registrazione degli audit log. Le entità esenti dalla registrazione degli audit log sono esenti anche da DSPM. Aggiungi una o più entità consentite (fino a un massimo di 200 entità) utilizzando uno dei seguenti formati: Per un utente, `principal://goog/subject/USER_EMAIL_ADDRESS` Esempio: `principal://goog/subject/alex@example.com` Per un gruppo, `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Esempio: `principalSet://goog/group/my-group@example.com`
Controllo cloud di governance del flusso di dati	Abilita gli audit log di accesso ai dati per Cloud Storage e Agent Platform (se applicabile nel tuo ambiente). Imposta il tipo di autorizzazione di accesso ai dati su `DATA_READ`. Abilita i log degli accessi ai dati a livello di organizzazione o di progetto, a seconda di dove applichi il controllo cloud di governance degli accessi ai dati. Verifica che solo le entità autorizzate siano esenti dalla registrazione degli audit log. Le entità esenti dalla registrazione degli audit log sono esenti anche da DSPM. Specifica i paesi consentiti utilizzando i codici paese definiti in Unicode Common Locale Data Repository (CLDR).
Controllo cloud di protezione dei dati e governance delle chiavi	Abilita CMEK in BigQuery e Agent Platform.
Controlli cloud di eliminazione dei dati	Imposta i periodi di conservazione. Ad esempio, per impostare un periodo di conservazione di 90 giorni in secondi, imposta il periodo di conservazione su `777600`.