במאמר הזה מוסבר איך להפעיל את Data Security Posture Management (DSPM) ולהשתמש בו.
אם אתם משתמשים ברמת Standard של Security Command Center, תוכלו לגשת לתכונות מוגבלות של DSPM.
הפעלת DSPM
אפשר להפעיל את DSPM במהלך ההפעלה של Security Command Center או אחרי ההפעלה.
כדי להפעיל DSPM ברמת הארגון:
-
כדי לקבל את ההרשאות שדרושות להפעלת DSPM, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:
- אדמין ארגוני (
roles/resourcemanager.organizationAdmin) - אדמין ב-Security Center (
roles/securitycenter.admin)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
- אדמין ארגוני (
- מפעילים את DSPM באחת מהשיטות הבאות:
תרחיש הוראות אתם משתמשים חדשים ב-Security Command Center Standard או עוברים אליו. כדי להפעיל DSPM, צריך להפעיל את Security Command Center Standard בארגון. לא הפעלתם את Security Command Center ואתם רוצים להשתמש ברמת Premium של Security Command Center. כדי להפעיל DSPM, מפעילים את Security Command Center Premium בארגון. לא הפעלתם את Security Command Center ואתם רוצים להשתמש ברמת השירות Security Command Center Enterprise. מפעילים את DSPM על ידי הפעלת Security Command Center Enterprise. הפעלתם בעבר את רמת Premium של Security Command Center ואתם רוצים להפעיל DSPM. הפעלת DSPM באמצעות הדף הגדרות. הפעלתם בעבר את רמת השירות Security Command Center Enterprise ואתם רוצים להפעיל את DSPM. מפעילים את DSPM באמצעות הדף Activate DSPM (הפעלת DSPM). מידע נוסף על רמות השירות של Security Command Center זמין במאמר רמות השירות של Security Command Center.
- הפעלת גילוי של המשאבים שרוצים להגן עליהם באמצעות DSPM (רק ברמות Premium ו-Enterprise).
כשמפעילים את DSPM, גם השירותים הבאים מופעלים (רק ברמות Premium ו-Enterprise):
- Compliance Manager כדי ליצור, להחיל ולנהל מסגרות אבטחת מידע ואמצעי בקרה בענן.
- Sensitive Data Protection כדי להשתמש באותות רגישות נתונים להערכת סיכון נתונים כברירת מחדל.
- Event Threat Detection (חלק מ-Security Command Center) ברמת הארגון, כדי להשתמש באמצעי הבקרה של ניהול הגישה לנתונים בענן ובאמצעי הבקרה של ניהול זרימת הנתונים בענן.
- ניהול סיכונים במערכות AI כדי לעזור באבטחת מחזור החיים של עומסי העבודה של ה-AI (רק ברמת Enterprise של Security Command Center).
המסגרת Data Security and Privacy Essentials מוחלת על הארגון באופן אוטומטי (במהדורות Premium ו-Enterprise בלבד).
(רמות Premium ו-Enterprise בלבד) סוכן שירות ה-DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) נוצר כשמפעילים את ה-DSPM.
במאמר ניהול זהויות והרשאות גישה להפעלות ברמת הארגון מוסבר על התפקידים ב-IAM של DSPM.
שדרוג לאחור ממסלול Premium או Enterprise למסלול Standard
כשמשדרגים לאחור ממהדורת Premium או Enterprise למהדורת Standard, היכולות שלכם ב-DSPM מושפעות באופן הבא:
- מסגרות שהוסרו: מסגרות DSPM שנפרסו ותלויות בתכונות של מהדורות Premium או Enterprise מוסרות.
- איבדתם את הגישה לפיצ'רים: לא תהיה לכם יותר גישה לאמצעי בקרה מתקדמים לאבטחת מידע ולמסגרות נתונים בהתאמה אישית.
- חוזר לבסיסי: ה-DSPM משתמש בבדיקות אבטחת הנתונים הבסיסיות שכלולות במסגרת Security Essentials.
- התובנות מושבתות: כל התובנות שנוצרו בעבר על ידי מסגרות של מהדורות Premium או Enterprise מושבתות. התוצאות היחידות שעדיין זמינות הן אלה שמתקבלות מה-framework של Security Essentials.
אם תשדרגו חזרה לרמה Premium או Enterprise אחרי שדרוג לאחור לרמה Standard, לא תהיה אפשרות לשחזר באופן אוטומטי פריסות של מסגרות שהוסרו במהלך השדרוג לאחור. צריך לפרוס מחדש את המסגרות האלה באופן ידני ולבנות מחדש את ההגדרות המשויכות.
תמיכה ב-DSPM להיקפי אבטחה של VPC Service Controls
כשמפעילים DSPM בארגון שכולל גבולות גזרה של VPC Service Controls, חשוב לשים לב לנקודות הבאות:
כדאי לעיין בהגבלות של Security Command Center.
אי אפשר להשתמש בגבולות גזרה כדי להגן על משאבי DSPM, כי כל המשאבים נמצאים ברמת הארגון. כדי לנהל את ההרשאות של DSPM, משתמשים ב-IAM.
מכיוון ש-DSPM מופעל ברמת הארגון, הוא לא יכול לזהות סיכונים והפרות של נתונים בתוך גבולות גזרה לשירות. כדי לאשר גישה, צריך לבצע את הפעולות הבאות:
מוודאים שיש לכם את התפקידים הנדרשים להגדרת VPC Service Controls ברמת הארגון.
מגדירים את כלל הכניסה הבא:
- ingressFrom: identities: - serviceAccount: DSPM_SA_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: "*" resources: "*"מחליפים את DSPM_SA_EMAIL_ADDRESS בכתובת האימייל של סוכן השירות של DSPM (
service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).תפקידי ה-IAM הנדרשים לסוכן השירות מוענקים כשמפעילים את DSPM, וקובעים אילו פעולות סוכן השירות יכול לבצע.
מידע נוסף על כללי כניסה מופיע במאמר הגדרת מדיניות כניסה ויציאה.
יצירת מסגרות מותאמות אישית לאבטחת מידע
אם נדרש, מעתיקים את מסגרת העבודה בנושא אבטחת מידע ופרטיותומתאימים אותה לדרישות שלכם בנושא אבטחת מידע ועמידה בדרישות. הוראות מפורטות מופיעות במאמר בנושא החלת מסגרת.
פריסת אמצעי בקרה מתקדמים בענן לאבטחת מידע
אם נדרש, מוסיפים את אמצעי הבקרה המתקדמים לאבטחת נתונים בענן למסגרות בהתאמה אישית. כדי להטמיע את אמצעי הבקרה האלה, צריך לבצע הגדרה נוספת. הוראות לפריסת אמצעי בקרה ומסגרות בענן מופיעות במאמר החלת מסגרת.
אתם יכולים לפרוס frameworkים שכוללים אמצעי בקרה מתקדמים לאבטחת מידע בענן בארגון, בתיקיות, בפרויקטים ובאפליקציות ב-מרכז האפליקציות בתיקיות שהוגדרו לניהול אפליקציות. כדי לפרוס את אמצעי הבקרה המתקדמים לאבטחת נתונים בענן נגד אפליקציות, המסגרת יכולה לכלול רק את אמצעי הבקרה האלה. צריך לבחור את התיקייה שמופעלת בה האפליקציה ואת האפליקציה שרוצים שהאמצעים לשליטה בענן ינטרו. אין תמיכה באפליקציות שנמצאות בתוך פרויקט בתחום של פרויקט.
כמה נקודות שכדאי לחשוב עליהן:
כדאי לעיין במידע על כל אמצעי בקרה מתקדם לאבטחת נתונים בענן כדי לראות את המגבלות.
מבצעים את המשימות לכל כלל, כפי שמתואר בטבלה הבאה.
כלל שלבי הגדרת תצורה נוספים שליטה בענן לניהול גישה לנתונים - מפעילים יומני ביקורת של גישה לנתונים ב-Cloud Storage וב-Agent Platform (אם רלוונטי בסביבה שלכם).
מגדירים את סוג הרשאת הגישה לנתונים ל-
DATA_READ. מפעילים את יומני הגישה לנתונים ברמת הארגון או ברמת הפרויקט, בהתאם למקום שבו אתם מיישמים את אמצעי הבקרה של משילות הגישה לנתונים בענן.מוודאים שרק חשבונות משתמשים מורשים מוחרגים מרישום ביומן הביקורת. חשבונות משתמשים שמוחרגים מרישום ביומן הביקורת מוחרגים גם מ-DSPM.
- מוסיפים חשבון משתמש אחד או יותר (עד 200 חשבונות משתמשים) באחד מהפורמטים הבאים:
- למשתמש אחד (
principal://goog/subject/USER_EMAIL_ADDRESS)לדוגמה:
principal://goog/subject/alex@example.com - לקבוצה,
principalSet://goog/group/GROUP_EMAIL_ADDRESSלדוגמה:
principalSet://goog/group/my-group@example.com
- למשתמש אחד (
אמצעי בקרה בענן לניהול זרימת נתונים מפעילים יומני ביקורת של גישה לנתונים ב-Cloud Storage וב-Agent Platform (אם רלוונטי בסביבה שלכם).
מגדירים את סוג הרשאת הגישה לנתונים ל-
DATA_READ. מפעילים את יומני הגישה לנתונים ברמת הארגון או ברמת הפרויקט, בהתאם למקום שבו אתם מיישמים את אמצעי הבקרה של משילות הגישה לנתונים בענן.מוודאים שרק חשבונות משתמשים מורשים מוחרגים מרישום ביומן הביקורת. חשבונות משתמשים שמוחרגים מרישום ביומן הביקורת מוחרגים גם מ-DSPM.
- מציינים את המדינות המותרות באמצעות קודי המדינות שמוגדרים במאגר ה-Unicode Common Locale Data Repository (CLDR).
הגנה על נתונים ובקרה על ניהול מפתחות בענן מפעילים את CMEK ב-BigQuery וב-Agent Platform. אמצעי בקרה בענן למחיקת נתונים מגדירים את תקופות השמירה. לדוגמה, כדי להגדיר תקופת שמירה של 90 יום בשניות, מגדירים את תקופת השמירה ל- 777600.- מפעילים יומני ביקורת של גישה לנתונים ב-Cloud Storage וב-Agent Platform (אם רלוונטי בסביבה שלכם).