Usa Data Security Posture Management

En este documento, se describe cómo puedes habilitar y usar la Administración de la postura de seguridad de los datos (DSPM).

Habilita DSPM

Puedes habilitar la DSPM durante la activación de Security Command Center o después.

Para habilitar DSPM a nivel de la organización, completa los siguientes pasos:

  1. Para obtener los permisos que necesitas para habilitar DSPM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

  2. Habilita la DSPM con uno de los siguientes métodos:
    Situación Instrucciones
    No activaste Security Command Center o usas el nivel Estándar de Security Command Center y quieres usar el nivel Premium de Security Command Center. Habilita la DSPM activando Security Command Center Premium para una organización.
    No activaste Security Command Center y quieres usar el nivel Security Command Center Enterprise. Habilita la DSPM activando Security Command Center Enterprise.
    Activaste el nivel Premium de Security Command Center anteriormente y deseas habilitar la DSPM. Habilita DSPM en la página Configuración.

    Ir a la página Configuración
    Ya activaste el nivel Security Command Center Enterprise y quieres habilitar la DSPM. Habilita DSPM en la página Activar DSPM.

    Ir a Activar DSPM

    Para obtener más información sobre los niveles de Security Command Center, consulta Niveles de servicio de Security Command Center.

  3. Habilita el descubrimiento de los recursos que deseas proteger con DSPM.

Cuando habilitas la DSPM, también se habilitan los siguientes servicios:

  • Administrador de cumplimiento para crear, aplicar y administrar marcos de seguridad de los datos y controles de la nube
  • Sensitive Data Protection para usar indicadores de sensibilidad de los datos en la evaluación predeterminada del riesgo de los datos
  • Detección de eventos de amenazas (parte de Security Command Center) a nivel de la organización para usar el control de nube de administración de acceso a los datos y el control de nube de administración de flujo de datos.
  • AI Protection para ayudar a proteger el ciclo de vida de tus cargas de trabajo de IA (solo para el nivel Security Command Center Enterprise)

El framework de conceptos básicos de seguridad y privacidad de los datos se aplica a la organización automáticamente.

El agente de servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) se crea cuando habilitas DSPM.

Para obtener información sobre los roles de Identity and Access Management de DSPM, consulta Identity and Access Management para activaciones a nivel de la organización.

Compatibilidad de DSPM con los perímetros de Controles del servicio de VPC

Cuando habilites la DSPM en una organización que incluya perímetros de Controles del servicio de VPC, ten en cuenta lo siguiente:

  • Revisa las limitaciones de Security Command Center.

  • No puedes usar un perímetro para proteger los recursos de DSPM, ya que todos se encuentran a nivel de la organización. Para administrar los permisos de DSPM, usa IAM.

  • Como DSPM está habilitado a nivel de la organización, no puede detectar riesgos ni incumplimientos de datos dentro de un perímetro de servicio. Para permitir el acceso, completa los siguientes pasos:

    1. Asegúrate de tener los roles necesarios para configurar los Controles del servicio de VPC a nivel de la organización.

    2. Configura la siguiente regla de entrada:

    - ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"

    Reemplaza DSPM_SA_EMAIL_ADDRESS por la dirección de correo electrónico del agente de servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

    Los roles de IAM necesarios para el agente de servicio se otorgan cuando habilitas la DSPM y determinan qué operaciones puede realizar el agente de servicio.

    Para obtener más información sobre las reglas de entrada, consulta Configura políticas de entrada y salida.

Usa el panel de DSPM

Completa las siguientes acciones para usar el panel y analizar tu postura de seguridad de los datos.

  1. Para obtener los permisos que necesitas para usar el panel de DSPM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

  2. Usa el panel de DSPM para el descubrimiento de datos y el análisis de riesgos. Cuando habilitas la DSPM, puedes evaluar de inmediato cómo se alinea tu entorno con el marco de trabajo de aspectos básicos de la seguridad y la privacidad de los datos.

    En la consola, haz clic en la pestaña Protección de datos en Seguridad y cumplimiento de datos.

    Ir al panel de seguridad de los datos

    La siguiente información está disponible:

    • Explorador del mapa de datos
    • Hallazgos de seguridad de los datos
    • Estadísticas de seguridad de los datos
    • (Versión preliminar) Estadísticas sobre los controles y los marcos de seguridad de los datos aplicados

    Usa esta información para revisar y corregir los resultados, de modo que tu entorno se alinee mejor con tus requisitos de seguridad y cumplimiento.

    Cuando ves el panel a nivel de la organización y, luego, implementas aplicaciones en una carpeta configurada para la administración de aplicaciones, puedes seleccionar una aplicación para filtrar el panel y mostrar solo los hallazgos y las estadísticas que se aplican a la aplicación. Cuando revises los datos, ten en cuenta las siguientes latencias de análisis:

    • Es posible que el panel de principales hallazgos muestre datos de configuración de recursos desactualizados. Por ejemplo, el recurso principal de un hallazgo podría estar asociado con una aplicación desactualizada.

    • Es posible que el selector de aplicaciones no muestre las aplicaciones ni los registros de recursos que se crearon en las últimas 24 horas.

    Es posible que el Explorador del mapa de datos tarde 24 horas después de que actives Security Command Center en completar todos los datos de Security Command Center y Cloud Asset Inventory.

Crea frameworks de seguridad de los datos personalizados

Si es necesario, copia el marco de trabajo de aspectos básicos de seguridad y privacidad de los datos y personalízalo para que cumpla con tus requisitos de seguridad y cumplimiento de datos. Para obtener instrucciones, consulta Cómo aplicar un marco de trabajo.

Implementa controles avanzados de seguridad de los datos en la nube

Si es necesario, agrega los controles avanzados de seguridad de los datos en la nube a los marcos personalizados. Estos controles requieren configuración adicional antes de que puedas implementarlos. Para obtener instrucciones sobre la implementación de controles y marcos de trabajo de la nube, consulta Aplica un marco de trabajo.

Puedes implementar marcos de trabajo que incluyen controles avanzados de seguridad de los datos en la nube para tu organización, carpetas, proyectos y aplicaciones de App Hub en carpetas configuradas para la administración de aplicaciones. Para implementar los controles avanzados de seguridad de los datos en la nube en las aplicaciones, el framework solo puede incluir estos controles. Debes seleccionar la carpeta habilitada para apps y la aplicación que deseas que supervisen los controles en la nube. No se admiten aplicaciones en proyectos host ni en un límite de un solo proyecto.

Ten en cuenta lo siguiente:

¿Qué sigue?