使用資料安全防護機制管理

本文說明如何啟用及使用資料安全防護機制管理 (DSPM)。

如果您使用 Security Command Center Standard 級別，則可使用有限的 DSPM 功能。

啟用 DSPM

您可以在啟用 Security Command Center 時或之後啟用 DSPM。

如要在機構層級啟用 DSPM，請完成下列步驟：

1. 如要取得啟用 DSPM 所需的權限，請要求管理員授予您組織的下列 IAM 角色：

   • 機構管理員 (roles/resourcemanager.organizationAdmin)
   • 安全中心管理員 (roles/securitycenter.admin)

   如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

   您或許也能透過自訂角色或其他預先定義的角色，取得必要權限。

2. 使用下列其中一種方法啟用 DSPM：

   情境	操作說明
   您是 Security Command Center Standard 級的新使用者，或是要遷移至該級別。	如要啟用 DSPM，請為機構啟用 Security Command Center Standard。
   您尚未啟用 Security Command Center，但想使用 Security Command Center Premium 級別。	如要啟用 DSPM，請為機構啟用 Security Command Center Premium。
   您尚未啟用 Security Command Center，但想使用 Security Command Center Enterprise 方案。	如要啟用 DSPM，請啟用 Security Command Center Enterprise。
   您先前已啟用 Security Command Center Premium 級別，現在想啟用 DSPM。	使用「設定」頁面啟用 DSPM。 前往「設定」頁面
   您先前已啟用 Security Command Center Enterprise 方案，現在想啟用 DSPM。	使用「啟用 DSPM」頁面啟用 DSPM。 前往「啟用 DSPM」頁面

   如要進一步瞭解 Security Command Center 方案，請參閱「Security Command Center 服務方案」。

3. 啟用探索功能，找出要透過 DSPM 保護的資源 (僅限 Premium 和 Enterprise 方案)。

啟用 DSPM 時，系統也會啟用下列服務 (僅限 Premium 和 Enterprise 方案)：

• 法規遵循管理員 建立、套用及管理資料安全架構和雲端控制項。
• Sensitive Data Protection 使用資料私密性信號進行預設資料風險評估。
• 在機構層級使用 Event Threat Detection (Security Command Center 的一部分)，即可使用資料存取權管理雲端控管機制和資料流程管理雲端控管機制。
• AI Protection 可協助確保 AI 工作負載在生命週期內安全無虞 (僅限 Security Command Center 企業版)。

系統會自動將資料安全與隱私權基本架構套用至機構 (僅限 Premium 和 Enterprise 方案)。

(僅限 Premium 和 Enterprise 層級) 啟用 DSPM 時，系統會建立 DSPM 服務代理程式 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)。

如要瞭解 DSPM Identity and Access Management 角色，請參閱「機構層級啟用的 Identity and Access Management」。

從 Premium 或 Enterprise 降級至 Standard 方案

從 Premium 或 Enterprise 級降級至 Standard 級時，DSPM 功能會受到以下影響：

• 移除架構：系統會移除依附於 Premium 或 Enterprise 功能的已部署 DSPM 架構。
• 無法再使用功能：您將無法再使用進階資料安全控制項和自訂資料架構。
• 還原為基本：DSPM 會使用 Security Essentials 架構內含的基本資料安全檢查。
• 發現項目會失效：先前由 Premium 或 Enterprise 級架構產生的所有發現項目都會失效。系統只會保留 Security Essentials 架構的發現項目。

如果降級至 Standard 方案後又升級回 Premium 或 Enterprise 方案，降級期間移除的架構部署作業無法自動復原。您必須手動重新部署這些架構，並重建相關聯的設定。

DSPM 支援 VPC Service Controls 範圍

在包含 VPC Service Controls 服務範圍的機構中啟用 DSPM 時，請注意下列事項：

• 請參閱 Security Command Center 的限制。

• 您無法使用安全防護範圍保護 DSPM 資源，因為所有資源都位於機構層級。如要管理 DSPM 權限，請使用 IAM。

• 由於 DSPM 是在機構層級啟用，因此無法偵測服務範圍內的資料風險和違規事項。如要允許存取，請完成下列步驟：

  1. 確認您在組織層級具備設定 VPC Service Controls 的必要角色。

  2. 設定下列輸入規則：

  - ingressFrom:
    identities:
    - serviceAccount: DSPM_SA_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
    ingressTo:
      operations: "*"
      resources: "*"
  

  將 DSPM_SA_EMAIL_ADDRESS 替換為 DSPM 服務代理 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) 的電子郵件地址。

  啟用 DSPM 時，系統會授予服務代理必要的 IAM 角色，並決定服務代理可執行的作業。

  如要進一步瞭解輸入規則，請參閱「設定輸入和輸出政策」。

使用 DSPM 資訊主頁

資訊主頁內容和功能取決於 Security Command Center 級別。如果您使用 Standard 級別，請參閱「Standard 級別的資料安全防護機制管理總覽」，瞭解資訊主頁提供的功能。

如要進一步瞭解 Security Command Center 進階版和企業版層級的資訊主頁，請參閱「所有風險資訊主頁」。

完成下列動作，即可使用資訊主頁分析資料安全性狀態。

1. 如要取得使用 DSPM 資訊主頁所需的權限，請要求管理員授予您組織的下列 IAM 角色：

   • 資料安全狀態管理管理員 (roles/dspm.admin)
   • 安全中心管理員 (roles/securitycenter.admin)
   • 如要取得唯讀存取權：
     • 資料安全防護機制管理資源檢視者 (roles/dspm.viewer)
     • 安全中心管理員檢視者 (roles/securitycenter.adminViewer)

   如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

   您或許也能透過自訂角色或其他預先定義的角色，取得必要權限。

2. 使用 DSPM 資訊主頁進行資料探索和風險分析。啟用 DSPM 後，您就能立即評估環境是否符合資料安全和隱私權基本架構。

   在 Google Cloud 控制台中，前往「資料安全與法規遵循」頁面，然後選取您的 Google Cloud 機構。選取機構後，系統會將您重新導向「風險總覽」資訊主頁的「資料」分頁。

   前往風險總覽資訊主頁

   你可以查看的資訊如下：

   • 資料地圖探索工具
   • 資料安全性發現項目
   • 資料安全性洞察
   • (預先發布版) 深入瞭解已套用的資料安全控管機制和架構

   您可以根據這些資訊檢查並修正結果，讓環境更符合安全性與法規遵循要求。

   從機構層級查看資訊主頁時，如果您在已設定應用程式管理功能的資料夾中部署應用程式，可以選取應用程式來篩選資訊主頁，只顯示適用於該應用程式的發現和洞察資料。查看資料時，請考量下列掃描延遲時間：

   • 頂端發現項目面板可能顯示過時的資源設定資料。舉例來說，發現事項的主要資源可能與過時的應用程式相關聯。
   • 應用程式選取器可能不會顯示過去 24 小時內建立的應用程式和資源註冊。

   啟用 Security Command Center 後，資料地圖探索器可能需要 24 小時，才能從 Security Command Center 和 Cloud Asset Inventory 填入所有資料。

建立自訂資料安全架構

如有需要，請複製資料安全與隱私權基本架構，並根據資料安全和法規遵循規定進行自訂。如需操作說明，請參閱「套用架構」一文。

部署進階資料安全雲端控管措施

視需要將進階資料安全雲端控制項新增至自訂架構。您必須先完成額外設定，才能部署這些控制項。如需部署雲端控管機制和架構的操作說明，請參閱「套用架構」。

您可以將包含進階資料安全雲端控制項的架構，部署至已設定應用程式管理的資料夾中的機構、資料夾、專案和 App Hub 應用程式。如要針對應用程式部署進階資料安全雲端控制項，架構只能包含這些控制項。您必須選取已啟用應用程式管理功能的資料夾，以及要讓雲端控制項監控的應用程式。系統不支援主專案或單一專案界線中的應用程式。

請考量下列事項：

• 請參閱各項進階資料安全雲端控制項的資訊，瞭解相關限制。

• 請按照下表說明，完成每項規則的相關工作。

  規則	額外設定
  資料存取權管理雲端控管機制	為 Cloud Storage 和 Vertex AI (適用於您的環境) 啟用資料存取稽核記錄。 將資料存取權限類型設為 DATA_READ。視套用「資料存取權管理」雲端控管機制的層級而定，在機構層級或專案層級啟用資料存取記錄。 確認只有授權主體可豁免於稽核記錄。豁免稽核記錄的主體也會豁免 DSPM。 使用下列其中一種格式，新增一或多個允許的主體 (最多 200 個主體)： 使用者：principal://goog/subject/USER_EMAIL_ADDRESS 範例：principal://goog/subject/alex@example.com 群組：principalSet://goog/group/GROUP_EMAIL_ADDRESS 範例：principalSet://goog/group/my-group@example.com
  資料流治理雲端控管機制	為 Cloud Storage 和 Vertex AI (適用於您的環境) 啟用資料存取稽核記錄。 將資料存取權限類型設為 DATA_READ。視套用「資料存取權管理」雲端控管機制的層級而定，在機構層級或專案層級啟用資料存取記錄。 確認只有授權主體可豁免於稽核記錄。豁免稽核記錄的主體也會豁免 DSPM。 使用 Unicode Common Locale Data Repository (CLDR) 中定義的國家/地區代碼，指定允許的國家/地區。
  資料保護和金鑰管理雲端控制	在 BigQuery 和 Vertex AI 中啟用 CMEK。
  資料刪除雲端控制項	設定保留期限。舉例來說，如要將保留期限設為 90 天 (以秒為單位)，請將保留期限設為 777600。

後續步驟

• 查看資料安全性相關發現項目。