Dokumen ini menjelaskan cara mengaktifkan dan menggunakan Data Security Posture Management (DSPM).
Jika Anda menggunakan paket Standar Security Command Center, fitur DSPM terbatas akan tersedia.
Mengaktifkan DSPM
Anda dapat mengaktifkan DSPM selama atau setelah aktivasi Security Command Center.
Selesaikan langkah-langkah berikut untuk mengaktifkan DSPM di tingkat organisasi:
-
Untuk mendapatkan izin yang diperlukan untuk mengaktifkan DSPM, minta administrator untuk memberi Anda peran IAM berikut di organisasi Anda:
-
Organization Administrator (
roles/resourcemanager.organizationAdmin) -
Security Center Admin (
roles/securitycenter.admin)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
-
Organization Administrator (
- Aktifkan DSPM menggunakan salah satu metode berikut:
Skenario Petunjuk Anda baru menggunakan atau sedang bermigrasi ke Security Command Center paket Standar. Aktifkan DSPM dengan mengaktifkan Security Command Center Standar untuk organisasi. Anda belum mengaktifkan Security Command Center dan ingin menggunakan Security Command Center paket Premium. Aktifkan DSPM dengan mengaktifkan Security Command Center Premium untuk organisasi. Anda belum mengaktifkan Security Command Center dan ingin menggunakan Security Command Center paket Enterprise. Aktifkan DSPM dengan mengaktifkan Security Command Center Enterprise. Anda sebelumnya mengaktifkan Security Command Center paket Premium dan ingin mengaktifkan DSPM. Aktifkan DSPM menggunakan halaman Settings. Anda sebelumnya mengaktifkan Security Command Center paket Enterprise dan ingin mengaktifkan DSPM. Aktifkan DSPM menggunakan halaman Activate DSPM. Untuk mengetahui informasi selengkapnya tentang paket Security Command Center, lihat Paket layanan Security Command Center.
- Aktifkan penemuan resource yang ingin Anda lindungi dengan DSPM (hanya paket Premium dan Enterprise).
Saat Anda mengaktifkan DSPM, layanan berikut juga diaktifkan (hanya paket Premium dan Enterprise):
- Compliance Manager untuk membuat, menerapkan, dan mengelola framework keamanan data dan kontrol cloud.
- Sensitive Data Protection untuk menggunakan sinyal sensitivitas data untuk penilaian risiko data default.
- Event Threat Detection (bagian dari Security Command Center) di tingkat organisasi untuk menggunakan kontrol cloud tata kelola akses data dan kontrol cloud tata kelola aliran data.
- AI Protection untuk membantu mengamankan siklus proses workload AI Anda (hanya Security Command Center paket Enterprise).
Framework Data Security and Privacy Essentials diterapkan ke organisasi secara otomatis (hanya paket Premium dan Enterprise).
(Hanya paket Premium dan Enterprise) Agen layanan DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) dibuat saat Anda mengaktifkan
DSPM.
Untuk mengetahui informasi tentang peran Identity and Access Management DSPM, lihat Identity and Access Management untuk aktivasi tingkat organisasi.
Melakukan downgrade dari paket Premium atau Enterprise ke paket Standar
Saat Anda melakukan downgrade dari paket Premium atau Enterprise ke paket Standar tier, kemampuan DSPM Anda akan terpengaruh sebagai berikut:
- Framework dihapus: Framework DSPM yang di-deploy dan bergantung pada fitur Premium atau Enterprise akan dihapus.
- Akses fitur hilang: Anda akan kehilangan akses ke kontrol keamanan data lanjutan dan framework data kustom.
- Kembali ke dasar: DSPM menggunakan pemeriksaan keamanan data dasar yang disertakan dalam framework Security Essentials.
- Temuan menjadi tidak aktif: Semua temuan yang sebelumnya dibuat oleh framework paket Premium atau Enterprise akan menjadi tidak aktif. Satu-satunya temuan yang tetap tersedia adalah temuan dari framework Security Essentials.
Jika Anda melakukan upgrade kembali ke paket Premium atau Enterprise setelah melakukan downgrade ke paket Standar, deployment framework yang dihapus selama downgrade tidak dapat dipulihkan secara otomatis. Anda harus men-deploy ulang framework ini secara manual dan membangun kembali konfigurasi terkait.
Dukungan DSPM untuk perimeter Kontrol Layanan VPC
Saat Anda mengaktifkan DSPM di organisasi yang menyertakan perimeter Kontrol Layanan VPC, pertimbangkan hal berikut:
Anda tidak dapat menggunakan perimeter untuk membantu melindungi resource DSPM karena semua resource berada di tingkat organisasi. Untuk mengelola izin DSPM, gunakan IAM.
Karena DSPM diaktifkan di tingkat organisasi, DSPM tidak dapat mendeteksi risiko dan pelanggaran data dalam perimeter layanan. Untuk mengizinkan akses, selesaikan langkah-langkah berikut:
Pastikan Anda memiliki peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC di tingkat organisasi.
Konfigurasikan aturan ingress berikut:
- ingressFrom: identities: - serviceAccount: DSPM_SA_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: "*" resources: "*"Ganti DSPM_SA_EMAIL_ADDRESS dengan alamat email agen layanan DSPM (
service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).Peran IAM yang diperlukan untuk agen layanan diberikan saat Anda mengaktifkan DSPM, dan menentukan operasi yang dapat dilakukan agen layanan.
Untuk mengetahui informasi selengkapnya tentang aturan ingress, lihat Mengonfigurasi kebijakan ingress dan egress policies.
Menggunakan dasbor DSPM
Konten dan fitur dasbor bergantung pada paket Security Command Center. Jika Anda menggunakan paket Standar, lihat Data Security Posture Management di ringkasan paket Standar untuk mengetahui kemampuan yang tersedia di dasbor.
Lihat Dasbor semua risiko untuk mengetahui informasi selengkapnya tentang dasbor di Security Command Center paket Premium dan Enterprise.
Selesaikan tindakan berikut untuk menggunakan dasbor guna menganalisis postur keamanan data Anda.
-
Untuk mendapatkan izin yang diperlukan untuk menggunakan dasbor DSPM dashboard, minta administrator untuk memberi Anda peran IAM berikut di organisasi Anda:
-
Data Security Posture Management Admin (
roles/dspm.admin) -
Security Center Admin (
roles/securitycenter.admin) -
Untuk akses hanya baca:
-
Data Security Posture Management Viewer (
roles/dspm.viewer) -
Security Center Admin Viewer (
roles/securitycenter.adminViewer)
-
Data Security Posture Management Viewer (
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
-
Data Security Posture Management Admin (
- Gunakan dasbor DSPM untuk penemuan data dan analisis risiko. Saat Anda mengaktifkan DSPM, Anda dapat langsung menilai
kesesuaian lingkungan Anda dengan framework Data
security and privacy essentials.
Di Google Cloud konsol, buka halaman Data Security & Compliance, lalu pilih organisasi Anda Google Cloud . Setelah memilih organisasi, Anda akan dialihkan ke tab Data di dasbor Risk overview.
Informasi berikut tersedia:
- Penjelajah pemetaan data
- Temuan keamanan data
- Analisis keamanan data
- (Pratinjau) Analisis tentang kontrol dan framework keamanan data yang diterapkan
Gunakan informasi ini untuk meninjau dan memulihkan temuan sehingga lingkungan Anda lebih sesuai dengan persyaratan keamanan dan kepatuhan Anda.
Saat Anda melihat dasbor dari tingkat organisasi dan men-deploy aplikasi di folder yang dikonfigurasi untuk pengelolaan aplikasi, Anda dapat memilih aplikasi untuk memfilter dasbor agar hanya menampilkan temuan dan analisis yang berlaku untuk aplikasi tersebut. Pertimbangkan latensi pemindaian berikut saat meninjau data:
- Panel temuan teratas mungkin menampilkan data konfigurasi resource yang sudah tidak berlaku data. Misalnya, resource utama temuan mungkin terkait dengan aplikasi yang sudah tidak berlaku.
- Pemilih aplikasi mungkin tidak menampilkan aplikasi dan pendaftaran resource yang dibuat dalam 24 jam terakhir.
Penjelajah pemetaan data mungkin memerlukan waktu 24 jam setelah Anda mengaktifkan Security Command Center untuk mengisi semua data dari Security Command Center dan Inventaris Aset Cloud.
Membuat framework keamanan data kustom
Jika diperlukan, salin framework Data security and privacy essentials dan sesuaikan untuk memenuhi persyaratan keamanan dan kepatuhan data Anda. Untuk mengetahui petunjuknya, lihat Menerapkan a framework.
Men-deploy kontrol cloud keamanan data lanjutan
Jika diperlukan, tambahkan kontrol cloud keamanan data lanjutan ke framework kustom. Kontrol ini memerlukan konfigurasi tambahan sebelum Anda dapat men-deploy-nya. Untuk mengetahui petunjuk tentang cara men-deploy kontrol dan framework cloud, lihat Menerapkan a framework.
Anda dapat men-deploy framework yang menyertakan kontrol cloud keamanan data lanjutan ke organisasi, folder, project, dan aplikasi App Hub di folder yang dikonfigurasi untuk pengelolaan aplikasi. Untuk men-deploy kontrol cloud keamanan data lanjutan terhadap aplikasi, framework hanya dapat menyertakan kontrol ini. Anda harus memilih folder yang mendukung aplikasi dan aplikasi yang ingin dipantau oleh kontrol cloud. Aplikasi di project host atau batas satu project tidak didukung.
Pertimbangkan hal berikut:
Tinjau informasi untuk setiap kontrol cloud keamanan data lanjutan untuk mengetahui batasannya.
Selesaikan tugas untuk setiap aturan, seperti yang dijelaskan dalam tabel berikut.
Aturan Konfigurasi tambahan Kontrol cloud tata kelola akses data - Aktifkan Data
Akses Data log audit untuk Cloud Storage dan
Platform Agen (jika berlaku di lingkungan Anda).
Tetapkan jenis izin akses data ke
DATA_READ. Aktifkan log akses data di tingkat organisasi atau tingkat project, bergantung pada tempat Anda menerapkan kontrol cloud Tata kelola akses data.Pastikan hanya akun utama yang diotorisasi yang dikecualikan dari logging audit. Akun utama yang dikecualikan dari logging audit juga dikecualikan dari DSPM.
- Tambahkan satu atau beberapa akun utama yang diizinkan (maksimum 200
akun utama), menggunakan salah satu format berikut:
- Untuk pengguna,
principal://goog/subject/USER_EMAIL_ADDRESSContoh:
principal://goog/subject/alex@example.com - Untuk grup,
principalSet://goog/group/GROUP_EMAIL_ADDRESSContoh:
principalSet://goog/group/my-group@example.com
- Untuk pengguna,
Kontrol cloud tata kelola aliran data Aktifkan Data Akses Data log audit untuk Cloud Storage dan Platform Agen (jika berlaku di lingkungan Anda).
Tetapkan jenis izin akses data ke
DATA_READ. Aktifkan log akses data di tingkat organisasi atau tingkat project, bergantung pada tempat Anda menerapkan kontrol cloud Tata kelola akses data.Pastikan hanya akun utama yang diotorisasi yang dikecualikan dari logging audit. Akun utama yang dikecualikan dari logging audit juga dikecualikan dari DSPM.
- Tentukan negara yang diizinkan menggunakan kode negara yang ditentukan dalam Unicode Common Locale Data Repository (CLDR).
Kontrol cloud tata kelola kunci dan perlindungan data Aktifkan CMEK di BigQuery dan Platform Agen. Kontrol cloud penghapusan data Tetapkan periode retensi data. Misalnya, untuk menetapkan periode retensi 90 hari dalam detik, tetapkan periode retensi ke 777600.- Aktifkan Data
Akses Data log audit untuk Cloud Storage dan
Platform Agen (jika berlaku di lingkungan Anda).
Langkah berikutnya
- Tinjau temuan terkait keamanan data.