Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Usar o gerenciamento da postura de segurança de dados

Este documento descreve como ativar e usar o Gerenciamento de Postura de Segurança de Dados (DSPM).

Se você estiver no nível Security Command Center Standard, terá acesso a recursos limitados do DSPM.

Ativar DSPM

É possível ativar o DSPM durante ou após a ativação do Security Command Center.

Conclua as etapas a seguir para ativar o DSPM no nível da organização:

Para receber as permissões necessárias para ativar o DSPM, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:
- Administrador da organização (roles/resourcemanager.organizationAdmin)
- Administrador da Central de segurança (roles/securitycenter.admin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Ative a DSPM usando um dos seguintes métodos:

Cenário	Instruções
Você está migrando ou é novo no nível Standard do Security Command Center.	Ative o DSPM ativando o Security Command Center Standard para uma organização.
Você não ativou o Security Command Center e quer usar o Security Command Center Premium.	Ative o DSPM ativando o Security Command Center Premium para uma organização.
Você não ativou o Security Command Center e quer usar o nível Security Command Center Enterprise.	Ative o DSPM ativando o Security Command Center Enterprise.
Você ativou o Security Command Center Premium anteriormente e quer ativar o DSPM.	Ative a DSPM usando a página Configurações. Ir para a página "Configurações"
Você ativou o nível Security Command Center Enterprise e quer ativar o DSPM.	Ative o DSPM usando a página Ativar DSPM. Acessar "Ativar DSPM"

Para mais informações sobre os níveis do Security Command Center, consulte Níveis de serviço do Security Command Center.

Ative a descoberta dos recursos que você quer proteger com a DSPM (somente nos níveis Premium e Enterprise).

Quando você ativa o DSPM, os seguintes serviços também são ativados (somente nos níveis Premium e Enterprise):

Compliance Manager para criar, aplicar e gerenciar frameworks de segurança de dados e controles de nuvem.
Proteção de Dados Sensíveis para usar indicadores de sensibilidade de dados na avaliação de risco de dados padrão.
Event Threat Detection (parte do Security Command Center) no nível da organização para usar o controle de nuvem de governança de acesso a dados e o controle de nuvem de governança de fluxo de dados.
A proteção para IA ajuda a proteger o ciclo de vida das suas cargas de trabalho de IA (somente no nível Enterprise do Security Command Center Enterprise).

A estrutura de princípios essenciais de segurança e privacidade de dados é aplicada automaticamente à organização (somente nos níveis Premium e Enterprise).

(Somente níveis Premium e Enterprise) O agente de serviço de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) é criado quando você ativa a DSPM.

Para informações sobre os papéis do gerenciamento de identidade e acesso da DSPM, consulte Identity and Access Management para ativações no nível da organização.

Fazer downgrade dos níveis Premium ou Enterprise para o nível Standard

Quando você faz downgrade do nível Premium ou Enterprise para o nível Standard, suas funcionalidades de DSPM são afetadas da seguinte maneira:

Frameworks removidos:os frameworks da DSPM implantados que dependem de recursos Premium ou Enterprise são removidos.
Perda de acesso ao recurso:você perde o acesso a controles avançados de segurança de dados e estruturas de dados personalizadas.
Reverte para o básico:o DSPM usa as verificações básicas de segurança de dados incluídas no framework do Security Essentials.
As descobertas ficam inativas:todas as descobertas geradas anteriormente por frameworks de nível Premium ou Enterprise ficam inativas. Os únicos resultados que permanecem disponíveis são os da estrutura dos princípios básicos de privacidade e segurança de dados.

Se você fizer upgrade de volta para o nível Premium ou Enterprise depois de fazer downgrade para o nível Standard, as implantações de framework removidas durante o downgrade não poderão ser recuperadas automaticamente. É necessário reimplantar manualmente esses frameworks e reconstruir as configurações associadas.

Suporte da DSPM para perímetros do VPC Service Controls

Ao ativar a DSPM em uma organização que inclui perímetros do VPC Service Controls, considere o seguinte:

Analise as limitações do Security Command Center.
Não é possível usar um perímetro para proteger recursos da DSPM, porque todos estão no nível da organização. Para gerenciar permissões da DSPM, use o IAM.
Como a DSPM é ativada no nível da organização, ela não consegue detectar riscos e violações de dados em um perímetro de serviço. Para permitir o acesso, faça o seguinte:
1. Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.
2. Configure a seguinte regra de entrada:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Substitua DSPM_SA_EMAIL_ADDRESS pelo endereço de e-mail do agente de serviço de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

Os papéis do IAM necessários para o agente de serviço são concedidos quando você ativa o DSPM e determina quais operações o agente de serviço pode realizar.

Para mais informações sobre regras de entrada, consulte Como configurar políticas de entrada e saída.

Criar frameworks personalizados de segurança de dados

Se necessário, copie a estrutura de princípios básicos de segurança de dados e privacidade e personalize para atender aos seus requisitos de segurança e conformidade de dados. Para instruções, consulte Aplicar um framework.

Implantar controles avançados de segurança de dados na nuvem

Se necessário, adicione os controles de segurança de dados avançados na nuvem a estruturas personalizadas. Esses controles exigem configuração adicional antes da implantação. Para instruções sobre como implantar controles e frameworks de nuvem, consulte Aplicar um framework.

É possível implantar frameworks que incluem controles avançados de segurança de dados na nuvem na sua organização, pastas, projetos e aplicativos do App Hub em pastas configuradas para gerenciamento de aplicativos. Para implantar os controles avançados de segurança de dados na nuvem em aplicativos, o framework só pode incluir esses controles. Selecione a pasta habilitada para apps e o aplicativo que você quer que os controles na nuvem monitorem. Não é possível usar aplicativos em projetos host ou um limite de projeto único.

Considere o seguinte:

Revise as informações de cada controle avançado de segurança de dados na nuvem para conhecer as limitações.

Conclua as tarefas de cada regra, conforme descrito na tabela a seguir.

Regra	Configurações avançadas
Controle da nuvem de governança de acesso aos dados	Ative os registros de auditoria de acesso a dados para o Cloud Storage e a Agent Platform (quando aplicável no seu ambiente). Defina o tipo de permissão de acesso aos dados como `DATA_READ`. Ative os registros de acesso aos dados no nível da organização ou do projeto, dependendo de onde você aplica o controle de nuvem de governança de acesso. Verifique se apenas os principais autorizados estão isentos da geração de registros de auditoria. As principais isentas do registro de auditoria também são isentas da DSPM. Adicione um ou mais principais permitidos (até um máximo de 200 principais) usando um dos seguintes formatos: Se for um usuário, `principal://goog/subject/USER_EMAIL_ADDRESS` Exemplo: `principal://goog/subject/alex@example.com` Para um grupo, `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Exemplo: `principalSet://goog/group/my-group@example.com`
Controle de nuvem de governança de fluxo de dados	Ative os registros de auditoria de acesso a dados para o Cloud Storage e a Agent Platform (quando aplicável no seu ambiente). Defina o tipo de permissão de acesso aos dados como `DATA_READ`. Ative os registros de acesso aos dados no nível da organização ou do projeto, dependendo de onde você aplica o controle de nuvem de governança de acesso. Verifique se apenas os principais autorizados estão isentos da geração de registros de auditoria. As principais isentas do registro de auditoria também são isentas da DSPM. Especifique os países permitidos usando os códigos definidos no Unicode Common Locale Data Repository (CLDR).
Controle de proteção de dados e governança de chaves na nuvem	Ative a CMEK no BigQuery e na Agent Platform.
Controles de exclusão de dados na nuvem	Defina os períodos de retenção. Por exemplo, para definir um período de armazenamento de 90 dias em segundos, defina o período de retenção como `777600`.