Usar o gerenciamento da postura de segurança de dados

Este documento descreve como ativar e usar o Gerenciamento de Postura de Segurança de Dados (DSPM).

Se você estiver no nível Security Command Center Standard, alguns recursos do DSPM estarão disponíveis.

Ativar o DSPM

É possível ativar o DSPM durante ou após a ativação do Security Command Center.

Conclua as etapas a seguir para ativar o DSPM no nível da organização:

1. Para receber as permissões necessárias para ativar o DSPM, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:

   • Administrador da organização (roles/resourcemanager.organizationAdmin)
   • Administrador da Central de segurança (roles/securitycenter.admin)

   Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

   Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

2. Ative o DSPM usando um dos seguintes métodos:

   Cenário	Instruções
   Você é novo ou está migrando para o nível Standard do Security Command Center.	Ative o DSPM ativando o Security Command Center Standard para uma organização.
   Você não ativou o Security Command Center e quer usar o Security Command Center Premium.	Ative o DSPM ativando Security Command Center Premium para uma organização.
   Você não ativou o Security Command Center e quer usar o nível Security Command Center Enterprise.	Ative o DSPM ativando o Security Command Center Enterprise.
   Você ativou o nível Premium do Security Command Center anteriormente e quer ativar o DSPM.	Ative o DSPM usando a página Configurações. Ir para a página "Configurações"
   Você ativou o nível Security Command Center Enterprise anteriormente e quer ativar o DSPM.	Ative o DSPM usando a página Ativar DSPM. Acessar "Ativar DSPM"

   Para mais informações sobre os níveis do Security Command Center, consulte Níveis de serviço do Security Command Center.

3. Ative a descoberta dos recursos que você quer proteger com o DSPM (somente níveis Premium e Enterprise).

Quando você ativa o DSPM, os serviços a seguir também são ativados (somente níveis Premium e Enterprise):

• Compliance Manager para criar, aplicar e gerenciar frameworks de segurança de dados e controles de nuvem.
• Proteção de dados sensíveis para usar indicadores de sensibilidade de dados na avaliação de risco de dados padrão.
• Event Threat Detection (parte do Security Command Center) no nível da organização para usar o controle de nuvem de governança de acesso a dados e o controle de nuvem de governança de fluxo de dados.
• proteção para IA para ajudar a proteger o ciclo de vida das cargas de trabalho de IA (somente nível Security Command Center Enterprise).

O framework de princípios básicos de privacidade e segurança de dados é aplicado à organização automaticamente (somente níveis Premium e Enterprise).

(Somente níveis Premium e Enterprise) O agente de serviço do DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) é criado quando você ativa o DSPM.

Para informações sobre os papéis do gerenciamento de identidade e acesso do DSPM, consulte Identity and Access Management para ativações no nível da organização.

Fazer downgrade dos níveis Premium ou Enterprise para o Standard

Quando você faz downgrade do nível Premium ou Enterprise para o Standard tier, os recursos do DSPM são afetados da seguinte maneira:

• Frameworks removidos:os frameworks do DSPM implantados que dependem de recursos Premium ou Enterprise são removidos.
• Perda de acesso a recursos:você perde o acesso a controles avançados de segurança de dados e frameworks de dados personalizados.
• Reversão para o básico:o DSPM usa as verificações básicas de segurança de dados incluídas no framework de princípios básicos de privacidade e segurança de dados.
• Descobertas ficam inativas:todas as descobertas geradas anteriormente por frameworks de nível Premium ou Enterprise ficam inativas. As únicas descobertas que permanecem disponíveis são as do framework de princípios básicos de privacidade e segurança de dados.

Se você fizer upgrade de volta para o nível Premium ou Enterprise depois de fazer downgrade para o Standard, as implantações de framework removidas durante o downgrade não poderão ser recuperadas automaticamente. É necessário reimplantar esses frameworks manualmente e recriar as configurações associadas.

Suporte do DSPM para perímetros do VPC Service Controls

Ao ativar o DSPM em uma organização que inclui perímetros do VPC Service Controls, considere o seguinte:

• Analise as limitações do Security Command Center.

• Não é possível usar um perímetro para proteger recursos do DSPM porque todos os recursos estão no nível da organização. Para gerenciar as permissões do DSPM, use o IAM.

• Como o DSPM está ativado no nível da organização, ele não pode detectar riscos e violações de dados em um perímetro de serviço. Para permitir o acesso, siga estas etapas:

  1. Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.

  2. Configure a seguinte regra de entrada:

  - ingressFrom:
    identities:
    - serviceAccount: DSPM_SA_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
    ingressTo:
      operations: "*"
      resources: "*"
  

  Substitua DSPM_SA_EMAIL_ADDRESS pelo endereço de e-mail do agente de serviço do DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

  Os papéis do IAM necessários para o agente de serviço são concedidos quando você ativa o DSPM e determinam quais operações o agente de serviço pode realizar.

  Para mais informações sobre regras de entrada, consulte Como configurar políticas de entrada e saída.

Usar o painel do DSPM

O conteúdo e os recursos do painel dependem do nível do Security Command Center. Se você estiver no nível Standard, consulte Gerenciamento de Postura de Segurança de Dados na visão geral do nível Standard para saber quais recursos estão disponíveis no painel.

Consulte o painel de todos os riscos para mais informações sobre o painel nos níveis Premium e Enterprise do Security Command Center Premium e Enterprise.

Conclua as ações a seguir para usar o painel e analisar sua postura de segurança de dados.

1. Para receber as permissões necessárias para usar o DSPM dashboard, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:

   • Administrador do Gerenciamento de Postura de Segurança de Dados (roles/dspm.admin)
   • Administrador da Central de segurança (roles/securitycenter.admin)
   • Para acesso somente leitura:
     • Gerenciamento de Postura de Segurança de Dados (roles/dspm.viewer)
     • Leitor administrador da Central de segurança (roles/securitycenter.adminViewer)

   Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

   Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

2. Use o painel do DSPM para descoberta de dados e análise de riscos. Ao ativar o DSPM, você pode avaliar imediatamente como seu ambiente está alinhado com o framework de princípios básicos de privacidade e segurança de dados.

   No Google Cloud console, acesse a página Segurança e conformidade de dados e selecione sua Google Cloud organização. Depois de selecionar uma organização, você será redirecionado para a guia Dados no painel Visão geral de riscos.

   Acessar o painel de visão geral de riscos

   As seguintes informações estão disponíveis:

   • Explorador de mapa de dados
   • Descobertas de segurança de dados
   • Insights sobre segurança de dados
   • (Prévia) Insights sobre controles e frameworks de segurança de dados aplicados

   Use essas informações para analisar e corrigir descobertas para que seu ambiente esteja mais alinhado aos requisitos de segurança e conformidade.

   Ao visualizar o painel no nível da organização e implantar aplicativos em uma pasta configurada para gerenciamento de aplicativos, é possível selecionar um aplicativo para filtrar o painel e mostrar apenas as descobertas e insights que se aplicam ao aplicativo. Considere as seguintes latências de verificação ao analisar os dados:

   • O painel de principais descobertas pode mostrar dados de configuração de recursos desatualizados data. Por exemplo, o recurso principal de uma descoberta pode estar associado a um aplicativo desatualizado.
   • O seletor de aplicativos pode não mostrar os aplicativos e registros de recursos criados nas últimas 24 horas.

   O explorador de mapa de dados pode levar 24 horas após a ativação do Security Command Center para preencher todos os dados do Security Command Center e do Inventário de recursos do Cloud.

Criar frameworks de segurança de dados personalizados

Se necessário, copie o framework de princípios básicos de privacidade e segurança de dados e personalize-o para atender aos requisitos de segurança e conformidade de dados. Para instruções, consulte Aplicar um framework.

Implantar controles avançados de segurança de dados na nuvem

Se necessário, adicione os controles avançados de segurança de dados na nuvem a frameworks personalizados. Esses controles exigem configuração adicional antes da implantação. Para instruções sobre como implantar controles e frameworks de nuvem, consulte Aplicar um framework.

É possível implantar frameworks que incluem controles avançados de segurança de dados na nuvem na sua organização, pastas, projetos e aplicativos do App Hub em pastas configuradas para gerenciamento de aplicativos. Para implantar os controles avançados de segurança de dados na nuvem em aplicativos, o framework só pode incluir esses controles. Selecione a pasta habilitada para apps e o aplicativo que você quer que os controles de nuvem monitorem. Não há suporte para aplicativos em projetos host ou em um limite de projeto único.

Considere o seguinte:

• Analise as informações de cada controle avançado de segurança de dados na nuvem para limitações.

• Conclua as tarefas de cada regra, conforme descrito na tabela a seguir.

  Regra	Configurações avançadas
  Controle da nuvem de governança de acesso aos dados	Ative os registros de auditoria de acesso a dados para o Cloud Storage e a plataforma de agentes (quando aplicável no seu ambiente). Defina o tipo de permissão de acesso aos dados como DATA_READ. Ative os registros de acesso a dados no nível da organização ou do projeto, dependendo de onde você aplica o controle da nuvem de governança de acesso aos dados. Verifique se apenas os principais autorizados estão isentos do registro de auditoria. Os principais isentos do registro de auditoria também são isentos do DSPM. Adicione um ou mais principais permitidos (até um máximo de 200 principais) usando um dos seguintes formatos: Para um usuário, principal://goog/subject/USER_EMAIL_ADDRESS Exemplo: principal://goog/subject/alex@example.com Para um grupo, principalSet://goog/group/GROUP_EMAIL_ADDRESS Exemplo: principalSet://goog/group/my-group@example.com
  Controle de nuvem de governança de fluxo de dados	Ative os registros de auditoria de acesso a dados para o Cloud Storage e a plataforma de agentes (quando aplicável no seu ambiente). Defina o tipo de permissão de acesso aos dados como DATA_READ. Ative os registros de acesso a dados no nível da organização ou do projeto, dependendo de onde você aplica o controle da nuvem de governança de acesso aos dados. Verifique se apenas os principais autorizados estão isentos do registro de auditoria. Os principais isentos do registro de auditoria também são isentos do DSPM. Especifique os países permitidos usando os códigos de país definidos no Unicode Common Locale Data Repository (CLDR).
  Controle de nuvem de proteção de dados e governança de chaves	Ative a CMEK em BigQuery e na plataforma de agentes.
  Controles de nuvem de exclusão de dados	Defina os períodos de retenção. Por exemplo, para definir um período de armazenamento de 90 dias em segundos, defina o período de retenção como 777600.

A seguir

• Analise as descobertas relacionadas à segurança de dados.