Verwaltung des Datensicherheitsstatus verwenden

In diesem Dokument wird beschrieben, wie Sie die Verwaltung des Datensicherheitsstatus (Data Security Posture Management, DSPM) aktivieren und verwenden.

Wenn Sie die Standardstufe von Security Command Center verwenden, sind eingeschränkte DSPM-Funktionen verfügbar.

DSPM aktivieren

Sie können DSPM während oder nach der Aktivierung von Security Command Center aktivieren.

Führen Sie die folgenden Schritte aus, um DSPM auf Organisationsebene zu aktivieren:

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, damit Sie die nötigen Berechtigungen zum Aktivieren von DSPM haben:
- Administrator der Organisation (roles/resourcemanager.organizationAdmin)
- Sicherheitscenter-Administrator (roles/securitycenter.admin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Aktivieren Sie DSPM mit einer der folgenden Methoden:

Szenario	Anleitung
Sie sind neu bei Security Command Center Standard oder migrieren zu dieser Version.	Aktivieren Sie DSPM, indem Sie Security Command Center Standard für eine Organisation aktivieren.
Sie haben Security Command Center noch nicht aktiviert und möchten die Premium-Stufe von Security Command Center verwenden.	Aktivieren Sie DSPM, indem Sie Security Command Center Premium für eine Organisation aktivieren.
Sie haben Security Command Center noch nicht aktiviert und möchten die Security Command Center Enterprise-Stufe verwenden.	Aktivieren Sie DSPM, indem Sie Security Command Center Enterprise aktivieren.
Sie haben die Security Command Center Premium-Stufe bereits aktiviert und möchten DSPM aktivieren.	Aktivieren Sie DSPM auf der Seite Einstellungen. Zur Seite „Einstellungen“
Sie haben die Security Command Center Enterprise-Version bereits aktiviert und möchten DSPM aktivieren.	Aktivieren Sie die Verwaltung des Datensicherheitsstatus auf der Seite Verwaltung des Datensicherheitsstatus aktivieren. Zu „DSPM aktivieren“

Weitere Informationen zu Security Command Center-Stufen finden Sie unter Security Command Center-Dienststufen.

Erkennung der Ressourcen aktivieren, die Sie mit DSPM schützen möchten (nur Premium- und Enterprise-Versionen).

Wenn Sie DSPM aktivieren, werden auch die folgenden Dienste aktiviert (nur Premium- und Enterprise-Versionen):

Compliance Manager zum Erstellen, Anwenden und Verwalten von Datensicherheits-Frameworks und Cloud-Steuerelementen.
Schutz sensibler Daten zur Verwendung von Datensensitivitätssignalen für die standardmäßige Risikobewertung von Daten.
Event Threat Detection (Teil von Security Command Center) auf Organisationsebene, um die Cloud-Kontrolle für die Datenzugriffsverwaltung und die Cloud-Kontrolle für die Datenflussverwaltung zu verwenden.
AI Protection zum Schutz des Lebenszyklus Ihrer KI-Arbeitslasten (nur Security Command Center Enterprise-Stufe).

Das Framework für Datensicherheit und Datenschutz wird automatisch auf die Organisation angewendet (nur Premium- und Enterprise-Versionen).

(Nur Premium- und Enterprise-Stufen) Der DSPM-Service-Agent (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) wird erstellt, wenn Sie DSPM aktivieren.

Informationen zu den DSPM-Rollen für Identity and Access Management finden Sie unter Identitäts- und Zugriffsverwaltung für Aktivierungen auf Organisationsebene.

Downgrade von der Premium- oder Enterprise-Stufe auf die Standardstufe

Wenn Sie ein Downgrade von der Premium- oder Enterprise-Stufe auf die Standard-Stufe durchführen, sind Ihre DSPM-Funktionen folgendermaßen betroffen:

Entfernte Frameworks:Bereitgestellte DSPM-Frameworks, die von Premium- oder Enterprise-Funktionen abhängen, werden entfernt.
Verlust des Zugriffs auf Funktionen:Sie verlieren den Zugriff auf erweiterte Steuerelemente für die Datensicherheit und benutzerdefinierte Datenframeworks.
Zurück zu den Grundlagen:DSPM verwendet die grundlegenden Datensicherheitsprüfungen, die im Security Essentials-Framework enthalten sind.
Ergebnisse werden inaktiv:Alle Ergebnisse, die zuvor von Frameworks der Premium- oder Enterprise-Stufe generiert wurden, werden inaktiv. Es sind nur noch Ergebnisse aus dem Security Essentials-Framework verfügbar.

Wenn Sie nach dem Downgrade auf die Standard-Stufe wieder ein Upgrade auf die Premium- oder Enterprise-Stufe durchführen, können die während des Downgrades entfernten Framework-Bereitstellungen nicht automatisch wiederhergestellt werden. Sie müssen diese Frameworks manuell neu bereitstellen und die zugehörigen Konfigurationen neu erstellen.

Unterstützung von DSPM für VPC Service Controls-Perimeter

Wenn Sie DSPM in einer Organisation aktivieren, die VPC Service Controls-Perimeter enthält, sollten Sie Folgendes beachten:

Einschränkungen für Security Command Center
Sie können keinen Perimeter verwenden, um DSPM-Ressourcen zu schützen, da sich alle Ressourcen auf Organisationsebene befinden. IAM verwenden, um DSPM-Berechtigungen zu verwalten.
Da DSPM auf Organisationsebene aktiviert ist, können keine Datenrisiken und ‑verstöße innerhalb eines Dienstperimeters erkannt werden. So gewähren Sie Zugriff:
1. Sie benötigen die erforderlichen Rollen zum Konfigurieren von VPC Service Controls auf Organisationsebene.
2. Konfigurieren Sie die folgende Regel für eingehenden Traffic:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Ersetzen Sie DSPM_SA_EMAIL_ADDRESS durch die E-Mail-Adresse des DSPM-Service-Agents (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

Die erforderlichen IAM-Rollen für den Dienst-Agenten werden gewährt, wenn Sie DSPM aktivieren und festlegen, welche Vorgänge der Dienst-Agent ausführen kann.

Weitere Informationen zu Regeln für eingehenden Traffic finden Sie unter Richtlinien für eingehenden und ausgehenden Traffic konfigurieren.

DSPM-Dashboard verwenden

Dashboard-Inhalte und ‑Funktionen hängen von der Security Command Center-Version ab. Wenn Sie die Standard-Stufe nutzen, finden Sie unter Übersicht über die Verwaltung der Datensicherheitslage in der Standard-Stufe Informationen zu den Funktionen, die Ihnen im Dashboard zur Verfügung stehen.

Weitere Informationen zum Dashboard in den Security Command Center Premium- und Enterprise-Versionen finden Sie unter Dashboard „Alle Risiken“.

Führen Sie die folgenden Schritte aus, um das Dashboard zum Analysieren Ihrer Datensicherheit zu verwenden.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des DSPM-Dashboards benötigen:
- Administrator für die Verwaltung der Datensicherheitslage (roles/dspm.admin)
- Sicherheitscenter-Administrator (roles/securitycenter.admin)
- Für den Lesezugriff:
  - Betrachter für die Verwaltung des Datensicherheitsstatus (roles/dspm.viewer)
  - Sicherheitscenter-Admin-Betrachter (roles/securitycenter.adminViewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Verwenden Sie das DSPM-Dashboard für die Datenerkennung und Risikoanalyse. Wenn Sie DSPM aktivieren, können Sie sofort prüfen, inwieweit Ihre Umgebung dem Framework für die Grundlagen von Datensicherheit und Datenschutz entspricht.

Rufen Sie in der Google Cloud Console die Seite Datensicherheit & Compliance auf und wählen Sie dann Ihre Google Cloud Organisation aus. Nachdem Sie eine Organisation ausgewählt haben, werden Sie zum Tab Daten im Dashboard Risikoübersicht weitergeleitet.

Zum Dashboard „Risikoübersicht“

Folgende Informationen sind verfügbar:
- Data Map Explorer
- Datensicherheitsergebnisse
- Statistiken zur Datensicherheit
- Vorabversion: Statistiken zu angewendeten Kontrollen und Frameworks für Datensicherheit
Anhand dieser Informationen können Sie die Ergebnisse überprüfen und beheben, damit Ihre Umgebung besser Ihren Sicherheits- und Compliance-Anforderungen entspricht.

Wenn Sie das Dashboard auf Organisationsebene aufrufen und Anwendungen in einem für die Anwendungsverwaltung konfigurierten Ordner bereitstellen, können Sie eine Anwendung auswählen, um das Dashboard so zu filtern, dass nur die Ergebnisse und Statistiken angezeigt werden, die für die Anwendung gelten. Berücksichtigen Sie beim Überprüfen der Daten die folgenden Scan-Latenzen:
- Im Bereich mit den wichtigsten Ergebnissen werden möglicherweise veraltete Daten zur Ressourcenkonfiguration angezeigt. Die primäre Ressource eines Ergebnisses ist beispielsweise möglicherweise mit einer veralteten Anwendung verknüpft.
- Im Anwendungsselektor werden möglicherweise nicht die Anwendungen und Ressourcenregistrierungen angezeigt, die in den letzten 24 Stunden erstellt wurden.
Es kann bis zu 24 Stunden dauern, bis alle Daten aus Security Command Center und Cloud Asset Inventory in der Datenübersicht angezeigt werden, nachdem Sie Security Command Center aktiviert haben.

Benutzerdefinierte Frameworks zur Datensicherheit erstellen

Kopieren Sie bei Bedarf das Framework für die Grundlagen von Datensicherheit und Datenschutz und passen Sie es an Ihre Anforderungen an Datensicherheit und Compliance an. Eine Anleitung finden Sie unter Framework anwenden.

Erweiterte Sicherheitskontrollen für Cloud-Daten bereitstellen

Fügen Sie bei Bedarf die erweiterten Cloud-Steuerelemente für die Datensicherheit zu benutzerdefinierten Frameworks hinzu. Für diese Steuerelemente ist eine zusätzliche Konfiguration erforderlich, bevor Sie sie bereitstellen können. Eine Anleitung zum Bereitstellen von Cloud-Kontrollen und ‑Frameworks finden Sie unter Framework anwenden.

Sie können Frameworks mit erweiterten Cloud-Steuerelementen für die Datensicherheit in Ihrer Organisation, Ihren Ordnern, Projekten und App Hub-Anwendungen in für die Anwendungsverwaltung konfigurierten Ordnern bereitstellen. Wenn Sie die erweiterten Cloud-Kontrollen für Datensicherheit auf Anwendungen anwenden möchten, darf das Framework nur diese Kontrollen enthalten. Sie müssen den für die Anwendungsverwaltung konfigurierten Ordner und die Anwendung auswählen, die von den Cloud-Steuerelementen überwacht werden soll. Anwendungen in Hostprojekten oder einer Einzelprojektgrenze werden nicht unterstützt.

Berücksichtige Folgendes:

Sehen Sie sich die Informationen zu den einzelnen erweiterten Cloud-Steuerelementen für Datensicherheit an, um Einschränkungen zu ermitteln.

Führen Sie die Aufgaben für jede Regel aus, wie in der folgenden Tabelle beschrieben.

Regel	Zusätzliche Konfiguration
Cloud-Kontrolle für die Datenzugriffs-Governance	Aktivieren Sie Audit-Logs zum Datenzugriff für Cloud Storage und Vertex AI (sofern in Ihrer Umgebung zutreffend). Legen Sie den Berechtigungstyp für den Datenzugriff auf `DATA_READ` fest. Aktivieren Sie die Datenzugriffslogs auf Organisations- oder Projektebene, je nachdem, wo Sie die Cloud-Kontrolle für die Datenzugriffsverwaltung anwenden. Prüfen Sie, ob nur autorisierte Hauptkonten von der Audit-Log-Aufzeichnung ausgenommen sind. Hauptkonten, die vom Audit-Logging ausgenommen sind, sind auch von DSPM ausgenommen. Fügen Sie ein oder mehrere zulässige Hauptkonten (maximal 200) in einem der folgenden Formate hinzu: Für einen Nutzer: `principal://goog/subject/USER_EMAIL_ADDRESS` Beispiel: `principal://goog/subject/alex@example.com` Für eine Gruppe: `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Beispiel: `principalSet://goog/group/my-group@example.com`
Cloud-Kontrolle für die Datenfluss-Governance	Aktivieren Sie Audit-Logs zum Datenzugriff für Cloud Storage und Vertex AI (sofern in Ihrer Umgebung zutreffend). Legen Sie den Berechtigungstyp für den Datenzugriff auf `DATA_READ` fest. Aktivieren Sie die Datenzugriffslogs auf Organisations- oder Projektebene, je nachdem, wo Sie die Cloud-Kontrolle für die Datenzugriffsverwaltung anwenden. Prüfen Sie, ob nur autorisierte Hauptkonten von der Audit-Log-Aufzeichnung ausgenommen sind. Hauptkonten, die vom Audit-Logging ausgenommen sind, sind auch von DSPM ausgenommen. Geben Sie zulässige Länder mit den Ländercodes an, die im Unicode Common Locale Data Repository (CLDR) definiert sind.
Datenschutz und Cloud-Kontrolle für die Schlüsselverwaltung	Aktivieren Sie CMEK in BigQuery und Vertex AI.
Cloud-Steuerelemente für die Datenlöschung	Legen Sie die Aufbewahrungsdauer fest. Wenn Sie beispielsweise eine Aufbewahrungsdauer von 90 Tagen in Sekunden festlegen möchten, legen Sie die Aufbewahrungsdauer auf `777600` fest.

Nächste Schritte

Ergebnisse zur Datensicherheit ansehen