Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Verwaltung des Datensicherheitsstatus verwenden

In diesem Dokument wird beschrieben, wie Sie die Verwaltung des Datensicherheitsstatus (Data Security Posture Management, DSPM) aktivieren und verwenden können .

Wenn Sie die Dienststufe „Security Command Center Standard“ verwenden, sind nur eingeschränkte DSPM-Funktionen verfügbar.

DSPM aktivieren

Sie können DSPM während oder nach der Aktivierung von Security Command Center aktivieren.

Führen Sie die folgenden Schritte aus, um DSPM auf Organisationsebene zu aktivieren:

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aktivieren von DSPM benötigen:
- Administrator der Organisation (roles/resourcemanager.organizationAdmin)
- Sicherheitscenter-Administrator (roles/securitycenter.admin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Aktivieren Sie DSPM mit einer der folgenden Methoden:

Szenario	Anleitung
Sie sind neu bei Security Command Center oder migrieren zur Dienststufe „Standard“.	Aktivieren Sie DSPM, indem Sie Security Command Center Standard für eine Organisation aktivieren.
Sie haben Security Command Center nicht aktiviert und möchten die Dienststufe „Premium“ von Security Command Center verwenden.	Aktivieren Sie DSPM, indem Sie Security Command Center Premium für eine Organisation aktivieren.
Sie haben Security Command Center nicht aktiviert und möchten die Dienststufe Security Command Center Enterprise verwenden.	Aktivieren Sie DSPM, indem Sie Security Command Center Enterprise aktivieren.
Sie haben Security Command Center Premium bereits aktiviert und möchten DSPM aktivieren.	Aktivieren Sie DSPM auf der Seite Einstellungen. Zur Seite „Einstellungen“
Sie haben die Dienststufe Security Command Center Enterprise bereits aktiviert und möchten DSPM aktivieren.	Aktivieren Sie DSPM auf der Seite DSPM aktivieren. Zu „DSPM aktivieren“

Weitere Informationen zu den Dienststufen von Security Command Center finden Sie unter Security Command Center-Dienststufen.

Aktivieren Sie die Erkennung der Ressourcen, die Sie mit DSPM schützen möchten (nur Dienststufen „Premium“ und „Enterprise“).

Wenn Sie DSPM aktivieren, werden auch die folgenden Dienste aktiviert (nur Dienststufen „Premium“ und „Enterprise“):

Compliance Manager zum Erstellen, Anwenden und Verwalten von Frameworks für die Datensicherheit und Cloud-Kontrollen.
Sensitive Data Protection zum Verwenden von Signalen zur Datenvertraulichkeit für die standardmäßige Risikobewertung von Daten.
Event Threat Detection (Teil von Security Command Center) auf Organisationsebene, um die Cloud-Kontrolle für die Datenzugriffs-Governance und die Cloud-Kontrolle für die Datenfluss-Governance zu verwenden.
KI-Schutz zum Schutz des Lebenszyklus Ihrer KI-Arbeitslasten (nur Dienststufe „Security Command Center Enterprise).

Das Data Security and Privacy Essentials framework wird automatisch auf die Organisation angewendet (nur Dienststufen „Premium“ und „Enterprise“).

(Nur Dienststufen „Premium“ und „Enterprise“) Der DSPM-Dienst Agent (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) wird erstellt, wenn Sie DSPM aktivieren.

Informationen zu den IAM-Rollen für DSPM finden Sie unter Identity and Access Management für Aktivierungen auf Organisationsebene.

Downgrade von der Dienststufe „Premium“ oder „Enterprise“ zur Dienststufe „Standard“

Wenn Sie von der Dienststufe „Premium“ oder „Enterprise“ zur Standard Dienststufe wechseln, wirkt sich das wie folgt auf Ihre DSPM-Funktionen aus:

Frameworks entfernt:Bereitgestellte DSPM-Frameworks, die von Premium- oder Enterprise-Funktionen abhängen, werden entfernt.
Funktionszugriff verloren:Sie verlieren den Zugriff auf erweiterte Kontrollen für die Datensicherheit und benutzerdefinierte Daten-Frameworks.
Zurück zu „Basic“:DSPM verwendet die grundlegenden Datensicherheitsprüfungen, die im Framework „Security Essentials“ enthalten sind.
Ergebnisse werden inaktiv:Alle Ergebnisse, die zuvor von Frameworks der Dienststufe „Premium“ oder „Enterprise“ generiert wurden, werden inaktiv. Die einzigen Ergebnisse, die weiterhin verfügbar sind, stammen aus dem Framework „Security Essentials“.

Wenn Sie nach einem Downgrade auf die Dienststufe „Standard“ wieder auf die Dienststufe „Premium“ oder „Enterprise“ upgraden, können Framework-Bereitstellungen, die während des Downgrades entfernt wurden, nicht automatisch wiederhergestellt werden. Sie müssen diese Frameworks manuell neu bereitstellen und zugehörige Konfigurationen neu erstellen.

DSPM-Unterstützung für VPC Service Controls-Perimeter

Wenn Sie DSPM in einer Organisation aktivieren, die VPC Service Controls-Perimeter enthält, beachten Sie Folgendes:

Lesen Sie die Einschränkungen für Security Command Center.
Sie können keinen Perimeter verwenden, um DSPM-Ressourcen zu schützen, da sich alle Ressourcen auf Organisationsebene befinden. Verwenden Sie IAM, um DSPM-Berechtigungen zu verwalten.
Da DSPM auf Organisationsebene aktiviert ist, können keine Datenrisiken und ‑verstöße innerhalb eines Dienstperimeters erkannt werden. Führen Sie die folgenden Schritte aus, um den Zugriff zu ermöglichen:
1. Prüfen Sie, ob Sie die erforderlichen Rollen zum Konfigurieren von VPC Service Controls auf Organisationsebene haben.
2. Konfigurieren Sie die folgende Regel für eingehenden Traffic:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Ersetzen Sie DSPM_SA_EMAIL_ADDRESS durch die E-Mail-Adresse des DSPM-Dienst-Agents (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

Die erforderlichen IAM-Rollen für den Dienst-Agenten werden gewährt, wenn Sie DSPM aktivieren. Sie bestimmen, welche Vorgänge der Dienst-Agent ausführen kann.

Weitere Informationen zu Regeln für eingehenden Traffic finden Sie unter Richtlinien für eingehenden und ausgehenden Traffic konfigurieren.

DSPM-Dashboard verwenden

Dashboard-Inhalte und ‑Funktionen hängen von der Security Command Center-Dienststufe ab. Wenn Sie die Dienststufe „Standard“ verwenden, finden Sie unter Datensicherheitsstatus-Verwaltung in der Übersicht der Dienststufe „Standard“ Informationen zu den Funktionen, die Ihnen im Dashboard zur Verfügung stehen.

Weitere Informationen zum Dashboard in den Dienststufen „Premium“ und „Enterprise“ von Security Command Center finden Sie unter Dashboard „Alle Risiken“.

Führen Sie die folgenden Schritte aus, um den Datensicherheitsstatus mit dem Dashboard zu analysieren.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des DSPM Dashboards benötigen:
- Administrator für die Datensicherheitsstatus-Verwaltung (roles/dspm.admin)
- Sicherheitscenter-Administrator (roles/securitycenter.admin)
- Für den Lesezugriff:
  - Datensicherheitsstatus-Verwaltung Viewer (roles/dspm.viewer)
  - Sicherheitscenter-Admin-Betrachter (roles/securitycenter.adminViewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Verwenden Sie das DSPM-Dashboard für die Datenermittlung und Risiko Analyse. Wenn Sie DSPM aktivieren, können Sie sofort beurteilen, inwieweit Ihre Umgebung dem Framework „Data Security and Privacy Essentials“ entspricht.

Rufen Sie in der Google Cloud Console die Seite Datensicherheit und Compliance auf und wählen Sie dann Ihre Google Cloud Organisation aus. Nachdem Sie eine Organisation ausgewählt haben, werden Sie zum Daten Tab im Risikoübersicht Dashboard weitergeleitet.

Zum Dashboard „Risikoübersicht“

Folgende Informationen sind verfügbar:
- Data Map Explorer
- Datensicherheitsergebnisse
- Statistiken zur Datensicherheit
- (Vorabversion) Statistiken zu angewendeten Kontrollen und Frameworks für die Datensicherheit
Anhand dieser Informationen können Sie Ergebnisse überprüfen und beheben, damit Ihre Umgebung besser Ihren Sicherheits- und Complianceanforderungen entspricht.

Wenn Sie das Dashboard auf Organisationsebene aufrufen und Anwendungen in einem Ordner bereitstellen, der für die Anwendungsverwaltung konfiguriert ist, können Sie eine Anwendung auswählen, um das Dashboard so zu filtern, dass nur die Ergebnisse und Statistiken angezeigt werden, die für die Anwendung gelten. Berücksichtigen Sie beim Überprüfen der Daten die folgenden Scan -Latenzen:
- Im Bereich „Top-Ergebnisse“ werden möglicherweise veraltete Daten zur Ressourcenkonfiguration angezeigt. Beispielsweise kann die primäre Ressource eines Ergebnisses mit einer veralteten Anwendung verknüpft sein.
- In der Anwendungsauswahl werden möglicherweise nicht die Anwendungen und Ressourcen Registrierungen angezeigt, die in den letzten 24 Stunden erstellt wurden.
Es kann bis zu 24 Stunden dauern, bis alle Daten aus Security Command Center und Cloud Asset Inventory in den Data Map Explorer übernommen wurden, nachdem Sie Security Command Center aktiviert haben.

Benutzerdefinierte Frameworks für die Datensicherheit erstellen

Kopieren Sie bei Bedarf das Framework „Data Security and Privacy Essentials“ und passen Sie es an Ihre Anforderungen an die Datensicherheit und Compliance an. Eine Anleitung finden Sie unter Framework anwenden.

Erweiterte Cloud-Kontrollen für die Datensicherheit bereitstellen

Fügen Sie bei Bedarf die erweiterten Cloud-Kontrollen für die Datensicherheit zu benutzerdefinierten Frameworks hinzu. Diese Kontrollen erfordern eine zusätzliche Konfiguration, bevor Sie sie bereitstellen können. Eine Anleitung zum Bereitstellen von Cloud-Kontrollen und ‑Frameworks finden Sie unter Framework anwenden.

Sie können Frameworks, die erweiterte Cloud-Kontrollen für die Datensicherheit enthalten, in Ihrer Organisation, in Ordnern, Projekten und App Hub-Anwendungen in Ordnern bereitstellen, die für die Anwendungsverwaltung konfiguriert sind. Wenn Sie die erweiterten Cloud-Kontrollen für die Datensicherheit auf Anwendungen anwenden möchten, darf das Framework nur diese Kontrollen enthalten. Sie müssen den Ordner, für den die Anwendungsverwaltung aktiviert ist, und die Anwendung auswählen, die von den Cloud-Kontrollen überwacht werden soll. Anwendungen in Hostprojekten oder einer Einzelprojektgrenze werden nicht unterstützt.

Berücksichtige Folgendes:

Prüfen Sie die Informationen zu den einzelnen erweiterten Cloud-Kontrollen für die Datensicherheit auf Einschränkungen.

Führen Sie die Aufgaben für jede Regel aus, wie in der folgenden Tabelle beschrieben.

Regel	Zusätzliche Konfiguration
Cloud-Kontrolle für die Datenzugriffs-Governance	Aktivieren Sie Audit-Logs zum Daten zugriff für Cloud Storage und die Agent Platform (falls in Ihrer Umgebung zutreffend). Legen Sie den Berechtigungstyp für den Datenzugriff auf `DATA_READ` fest. Aktivieren Sie die Audit-Logs zum Datenzugriff auf Organisationsebene oder Projektebene, je nachdem, wo Sie die Cloud-Kontrolle für die Datenzugriffs-Governance anwenden. Prüfen Sie, ob nur autorisierte Hauptkonten von der Audit-Protokollierung ausgenommen sind. Hauptkonten, die von der Audit-Protokollierung ausgenommen sind, sind auch von DSPM ausgenommen. Fügen Sie ein oder mehrere zulässige Hauptkonten hinzu (maximal 200 Hauptkonten) und verwenden Sie dabei eines der folgenden Formate: Für einen Nutzer: `principal://goog/subject/USER_EMAIL_ADDRESS` Beispiel: `principal://goog/subject/alex@example.com` Für eine Gruppe: `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Beispiel: `principalSet://goog/group/my-group@example.com`
Cloud-Kontrolle für die Datenfluss-Governance	Aktivieren Sie Audit-Logs zum Daten zugriff für Cloud Storage und die Agent Platform (falls in Ihrer Umgebung zutreffend). Legen Sie den Berechtigungstyp für den Datenzugriff auf `DATA_READ` fest. Aktivieren Sie die Audit-Logs zum Datenzugriff auf Organisationsebene oder Projektebene, je nachdem, wo Sie die Cloud-Kontrolle für die Datenzugriffs-Governance anwenden. Prüfen Sie, ob nur autorisierte Hauptkonten von der Audit-Protokollierung ausgenommen sind. Hauptkonten, die von der Audit-Protokollierung ausgenommen sind, sind auch von DSPM ausgenommen. Geben Sie zulässige Länder mit den Ländercodes an, die im Unicode Common Locale Data Repository (CLDR) definiert sind.
Cloud-Kontrolle für Datenschutz und Schlüsselverwaltung	Aktivieren Sie CMEK in BigQuery und der Agent Platform.
Cloud-Kontrollen für das Löschen von Daten	Legen Sie die Aufbewahrungszeiträume fest. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen in Sekunden festlegen möchten, setzen Sie den Aufbewahrungszeitraum auf `777600`.

Nächste Schritte

Ergebnisse im Zusammenhang mit der Datensicherheit prüfen.