Dokumen ini menjelaskan cara mengaktifkan dan menggunakan Data Security Posture Management (DSPM).
Jika Anda menggunakan paket Security Command Center Standar, fitur DSPM terbatas tersedia.
Mengaktifkan DSPM
Anda dapat mengaktifkan DSPM selama atau setelah aktivasi Security Command Center.
Selesaikan langkah-langkah berikut untuk mengaktifkan DSPM di tingkat organisasi:
-
Untuk mendapatkan izin yang Anda perlukan untuk mengaktifkan DSPM, minta administrator untuk memberi Anda peran IAM berikut di organisasi Anda:
- Organization Administrator (
roles/resourcemanager.organizationAdmin) - Admin Security Center (
roles/securitycenter.admin)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
- Organization Administrator (
- Aktifkan DSPM menggunakan salah satu metode berikut:
Skenario Petunjuk Anda baru menggunakan atau sedang bermigrasi ke paket Security Command Center Standard. Aktifkan DSPM dengan mengaktifkan Security Command Center Standard untuk organisasi. Anda belum mengaktifkan Security Command Center dan ingin menggunakan paket Security Command Center Premium. Aktifkan DSPM dengan mengaktifkan Security Command Center Premium untuk organisasi. Anda belum mengaktifkan Security Command Center dan ingin menggunakan paket Security Command Center Enterprise. Aktifkan DSPM dengan mengaktifkan Security Command Center Enterprise. Anda telah mengaktifkan paket Premium Security Command Center sebelumnya dan ingin mengaktifkan DSPM. Aktifkan DSPM menggunakan halaman Setelan. Anda telah mengaktifkan Paket Enterprise Security Command Center sebelumnya dan ingin mengaktifkan DSPM. Aktifkan DSPM menggunakan halaman Activate DSPM. Untuk mengetahui informasi selengkapnya tentang tingkat Security Command Center, lihat Tingkat layanan Security Command Center.
- Aktifkan penemuan resource yang ingin Anda lindungi dengan DSPM (khusus paket Premium dan Enterprise).
Saat Anda mengaktifkan DSPM, layanan berikut juga diaktifkan (khusus tingkat Premium dan Enterprise):
- Compliance Manager untuk membuat, menerapkan, dan mengelola framework keamanan data dan kontrol cloud.
- Sensitive Data Protection untuk menggunakan sinyal sensitivitas data untuk penilaian risiko data default.
- Event Threat Detection (bagian dari Security Command Center) di tingkat organisasi untuk menggunakan kontrol cloud tata kelola akses data dan kontrol cloud tata kelola alur data.
- AI Protection untuk membantu mengamankan siklus proses workload AI Anda (khusus tingkat Enterprise Security Command Center).
Framework Dasar Keamanan dan Privasi Data diterapkan ke organisasi secara otomatis (khusus paket Premium dan Enterprise).
(Hanya tingkat Premium dan Enterprise) Agen layanan DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) dibuat saat Anda mengaktifkan DSPM.
Untuk mengetahui informasi tentang peran Identity and Access Management DSPM, lihat Identity and Access Management untuk aktivasi tingkat organisasi.
Mendowngrade dari paket Premium atau Enterprise ke paket Standard
Saat Anda melakukan downgrade dari paket Premium atau Enterprise ke paket Standard, kemampuan DSPM Anda akan terpengaruh sebagai berikut:
- Framework yang dihapus: Framework DSPM yang di-deploy dan bergantung pada fitur Premium atau Enterprise akan dihapus.
- Akses fitur hilang: Anda kehilangan akses ke kontrol keamanan data lanjutan dan framework data kustom.
- Kembali ke dasar: DSPM menggunakan pemeriksaan keamanan data dasar yang disertakan dalam framework Security Essentials.
- Temuan menjadi tidak aktif: Semua temuan yang sebelumnya dihasilkan oleh framework tingkat Premium atau Enterprise menjadi tidak aktif. Satu-satunya temuan yang tetap tersedia adalah temuan dari framework Security Essentials.
Jika Anda melakukan upgrade kembali ke tingkat Premium atau Enterprise setelah melakukan downgrade ke tingkat Standard, deployment framework yang dihapus selama downgrade tidak dapat dipulihkan secara otomatis. Anda harus men-deploy ulang framework ini secara manual dan membangun ulang konfigurasi terkait.
Dukungan DSPM untuk perimeter Kontrol Layanan VPC
Saat Anda mengaktifkan DSPM di organisasi yang mencakup perimeter Kontrol Layanan VPC, pertimbangkan hal berikut:
Anda tidak dapat menggunakan perimeter untuk membantu melindungi resource DSPM karena semua resource berada di tingkat organisasi. Untuk mengelola izin DSPM, gunakan IAM.
Karena DSPM diaktifkan di tingkat organisasi, DSPM tidak dapat mendeteksi risiko dan pelanggaran data dalam perimeter layanan. Untuk mengizinkan akses, selesaikan langkah-langkah berikut:
Pastikan Anda memiliki peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC di tingkat organisasi.
Konfigurasi aturan ingress berikut:
- ingressFrom: identities: - serviceAccount: DSPM_SA_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: "*" resources: "*"Ganti DSPM_SA_EMAIL_ADDRESS dengan alamat email agen layanan DSPM (
service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).Peran IAM yang diperlukan untuk agen layanan diberikan saat Anda mengaktifkan DSPM, dan menentukan operasi yang dapat dilakukan agen layanan.
Untuk mengetahui informasi selengkapnya tentang aturan ingress, lihat Mengonfigurasi kebijakan ingress dan egress.
Membuat framework keamanan data kustom
Jika diperlukan, salin framework dasar keamanan dan privasi data dan sesuaikan untuk memenuhi persyaratan keamanan dan kepatuhan data Anda. Untuk mendapatkan petunjuk, lihat Menerapkan framework.
Men-deploy kontrol cloud keamanan data tingkat lanjut
Jika diperlukan, tambahkan kontrol cloud keamanan data lanjutan ke framework kustom. Kontrol ini memerlukan konfigurasi tambahan sebelum Anda dapat men-deploy-nya. Untuk melihat petunjuk tentang cara men-deploy kontrol dan framework cloud, lihat Menerapkan framework.
Anda dapat men-deploy framework yang mencakup kontrol cloud keamanan data tingkat lanjut ke organisasi, folder, project, dan aplikasi App Hub di folder yang dikonfigurasi untuk pengelolaan aplikasi. Untuk men-deploy kontrol cloud keamanan data tingkat lanjut terhadap aplikasi, framework hanya dapat menyertakan kontrol ini. Anda harus memilih folder yang mendukung aplikasi dan aplikasi yang ingin dipantau oleh kontrol cloud. Aplikasi di project host atau batas project tunggal tidak didukung.
Pertimbangkan hal berikut:
Tinjau informasi untuk setiap kontrol cloud keamanan data lanjutan untuk mengetahui batasannya.
Selesaikan tugas untuk setiap aturan, seperti yang dijelaskan dalam tabel berikut.
Aturan Konfigurasi tambahan Kontrol cloud tata kelola akses data - Aktifkan Log audit Akses Data untuk Cloud Storage dan Agent Platform (jika berlaku di lingkungan Anda).
Tetapkan jenis izin akses data ke
DATA_READ. Aktifkan log akses data di tingkat organisasi atau tingkat project, bergantung pada tempat Anda menerapkan kontrol cloud Tata kelola akses data.Pastikan hanya akun utama yang berwenang yang dikecualikan dari logging audit. Akun utama yang dikecualikan dari logging audit juga dikecualikan dari DSPM.
- Tambahkan satu atau beberapa akun utama yang diizinkan (maksimal 200
akun utama), menggunakan salah satu format berikut:
- Untuk pengguna,
principal://goog/subject/USER_EMAIL_ADDRESSContoh:
principal://goog/subject/alex@example.com - Untuk grup,
principalSet://goog/group/GROUP_EMAIL_ADDRESSContoh:
principalSet://goog/group/my-group@example.com
- Untuk pengguna,
Kontrol cloud tata kelola aliran data Aktifkan Log audit Akses Data untuk Cloud Storage dan Agent Platform (jika berlaku di lingkungan Anda).
Tetapkan jenis izin akses data ke
DATA_READ. Aktifkan log akses data di tingkat organisasi atau tingkat project, bergantung pada tempat Anda menerapkan kontrol cloud Tata kelola akses data.Pastikan hanya akun utama yang sah yang dikecualikan dari logging audit. Akun utama yang dikecualikan dari logging audit juga dikecualikan dari DSPM.
- Tentukan negara yang diizinkan menggunakan kode negara yang ditentukan dalam Unicode Common Locale Data Repository (CLDR).
Kontrol cloud tata kelola kunci dan perlindungan data Aktifkan CMEK di BigQuery dan Agent Platform. Kontrol cloud penghapusan data Tetapkan periode retensi data. Misalnya, untuk menetapkan periode retensi 90 hari dalam detik, tetapkan periode retensi ke 777600.- Aktifkan Log audit Akses Data untuk Cloud Storage dan Agent Platform (jika berlaku di lingkungan Anda).