Cette page a été traduite par l'API Cloud Translation.

Utiliser la gestion de la stratégie de sécurité des données

Ce document explique comment activer et utiliser la gestion de la stratégie de sécurité des données (DSPM).

Activer DSPM

Vous pouvez activer DSPM pendant ou après l'activation de Security Command Center.

Pour activer DSPM au niveau de l'organisation, procédez comme suit :

Pour obtenir les autorisations nécessaires pour activer DSPM, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :
- Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
- Administrateur du centre de sécurité (roles/securitycenter.admin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Activez DSPM à l'aide de l'une des méthodes suivantes :

Scénario	Instructions
Vous n'avez pas activé Security Command Center ou vous utilisez le niveau Security Command Center Standard, et vous souhaitez utiliser le niveau Security Command Center Premium.	Activez DSPM en activant Security Command Center Premium pour une organisation.
Vous n'avez pas activé Security Command Center et vous souhaitez utiliser le niveau Security Command Center Enterprise.	Activez DSPM en activant Security Command Center Enterprise.
Vous avez déjà activé le niveau Security Command Center Premium et vous souhaitez activer DSPM.	Activez DSPM sur la page Paramètres. Accéder à la page Paramètres
Vous avez déjà activé le niveau Security Command Center Enterprise et vous souhaitez activer DSPM.	Activez DSPM sur la page Activer DSPM. Accéder à Activer DSPM

Pour en savoir plus sur les niveaux Security Command Center, consultez Niveaux de service Security Command Center.

Activez la découverte des ressources que vous souhaitez protéger avec DSPM.

Lorsque vous activez DSPM, les services suivants sont également activés :

Compliance Manager pour créer, appliquer et gérer des frameworks de sécurité des données et des contrôles cloud.
Sensitive Data Protection pour utiliser les signaux de sensibilité des données afin d'évaluer les risques liés aux données par défaut.
Event Threat Detection (qui fait partie de Security Command Center) au niveau de l'organisation pour utiliser les contrôles cloud de gouvernance des accès aux données et de gouvernance des flux de données.
Protection de l'IA pour sécuriser le cycle de vie de vos charges de travail d'IA (niveau Enterprise de Security Command Center uniquement).

Le cadre Essentials pour la sécurité et la confidentialité des données est automatiquement appliqué à l'organisation.

L'agent de service DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) est créé lorsque vous activez DSPM.

Pour en savoir plus sur les rôles Identity and Access Management (IAM) DSPM, consultez Identity and Access Management pour les activations au niveau de l'organisation.

Compatibilité de DSPM avec les périmètres VPC Service Controls

Lorsque vous activez DSPM dans une organisation qui inclut des périmètres VPC Service Controls, tenez compte des points suivants :

Consultez les limites de Security Command Center.
Vous ne pouvez pas utiliser de périmètre pour protéger les ressources DSPM, car elles sont toutes au niveau de l'organisation. Pour gérer les autorisations DSPM, utilisez IAM.
Étant donné que DSPM est activé au niveau de l'organisation, il ne peut pas détecter les risques et les cas de non-respect des données dans un périmètre de service. Pour autoriser l'accès, procédez comme suit :
1. Assurez-vous de disposer des rôles requis pour configurer VPC Service Controls au niveau de l'organisation.
2. Configurez la règle d'entrée suivante :
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Remplacez DSPM_SA_EMAIL_ADDRESS par l'adresse e-mail de l'agent de service DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

Les rôles IAM requis pour l'agent de service sont accordés lorsque vous activez DSPM. Ils déterminent les opérations que l'agent de service peut effectuer.

Pour en savoir plus sur les règles d'entrée, consultez Configurer des règles d'entrée et de sortie.

Utiliser le tableau de bord DSPM

Pour utiliser le tableau de bord afin d'analyser votre posture de sécurité des données, effectuez les actions suivantes.

Pour obtenir les autorisations nécessaires pour utiliser le tableau de bord DSPM, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :
- Administrateur de la gestion de la posture de sécurité des données (roles/dspm.admin)
- Administrateur du centre de sécurité (roles/securitycenter.admin)
- Pour un accès en lecture seule :
  - Lecteur de gestion de la stratégie de sécurité des données (roles/dspm.viewer)
  - Lecteur administrateur du centre de sécurité (roles/securitycenter.adminViewer)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Utilisez le tableau de bord DSPM pour découvrir les données et analyser les risques. Lorsque vous activez DSPM, vous pouvez immédiatement évaluer l'alignement de votre environnement sur le cadre des principes essentiels de sécurité et de confidentialité des données.

Dans la console, cliquez sur l'onglet Protection des données sous Sécurité et conformité des données.

Accéder au tableau de bord de sécurité des données

Les informations suivantes sont disponibles :
- Explorateur de la carte des données
- Résultats liés à la sécurité des données
- Informations sur les contrôles et les frameworks de sécurité des données appliqués
Utilisez ces informations pour examiner et corriger les résultats afin que votre environnement soit mieux aligné sur vos exigences de sécurité et de conformité.

Lorsque vous consultez le tableau de bord au niveau d'une organisation et que vous déployez des applications dans un dossier configuré pour la gestion des applications, vous pouvez sélectionner une application pour filtrer le tableau de bord afin de n'afficher que les résultats et les insights qui s'appliquent à l'application. Tenez compte des latences d'analyse suivantes lorsque vous examinez les données :
- Le panneau des principaux résultats peut afficher des données de configuration de ressources obsolètes. Par exemple, la ressource principale d'un résultat peut être associée à une application obsolète.
- Il est possible que le sélecteur d'applications n'affiche pas les applications et les enregistrements de ressources créés au cours des dernières 24 heures.
Il peut s'écouler jusqu'à 24 heures après l'activation de Security Command Center pour que l'explorateur de cartographie des données remplisse toutes les données de Security Command Center et de l'inventaire des éléments cloud.

Créer des frameworks de sécurité des données personnalisés

Si nécessaire, copiez le cadre des principes essentiels de sécurité et de confidentialité des données et personnalisez-le pour répondre à vos exigences en matière de sécurité et de conformité des données. Pour obtenir des instructions, consultez Appliquer un framework.

Déployer des contrôles cloud avancés pour la sécurité des données

Si nécessaire, ajoutez les contrôles cloud de sécurité avancée des données aux frameworks personnalisés. Ces contrôles nécessitent une configuration supplémentaire avant de pouvoir être déployés. Pour obtenir des instructions sur le déploiement de contrôles et de frameworks cloud, consultez Appliquer un framework.

Vous pouvez déployer des frameworks qui incluent des contrôles cloud avancés de sécurité des données dans votre organisation, vos dossiers, vos projets et vos applications App Hub dans les dossiers configurés pour la gestion des applications. Pour déployer les contrôles cloud de sécurité avancée des données sur les applications, le framework ne peut inclure que ces contrôles. Vous devez sélectionner le dossier compatible avec les applications et l'application que vous souhaitez que les commandes cloud surveillent. Les applications dans des projets hôtes ou une limite de projet unique ne sont pas acceptées.

Réfléchissez aux éléments suivants :

Consultez les informations sur chaque contrôle de sécurité avancée des données dans le cloud pour connaître les limites.

Effectuez les tâches pour chaque règle, comme décrit dans le tableau suivant.

Règle	Configuration supplémentaire
Contrôle cloud de la gouvernance des accès aux données	Activez les journaux d'audit des accès aux données pour Cloud Storage et Vertex AI (le cas échéant dans votre environnement). Définissez le type d'autorisation d'accès aux données sur `DATA_READ`. Activez les journaux d'accès aux données au niveau de l'organisation ou du projet, selon l'endroit où vous appliquez le contrôle cloud de gouvernance des accès aux données. Vérifiez que seuls les comptes principaux autorisés sont exemptés de la journalisation d'audit. Les comptes principaux exemptés de la journalisation d'audit sont également exemptés de DSPM. Ajoutez un ou plusieurs comptes principaux autorisés (200 maximum) en utilisant l'un des formats suivants : Pour un utilisateur, `principal://goog/subject/USER_EMAIL_ADDRESS` Exemple : `principal://goog/subject/alex@example.com` Pour un groupe : `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Exemple : `principalSet://goog/group/my-group@example.com`
Contrôle cloud de la gouvernance des flux de données	Activez les journaux d'audit des accès aux données pour Cloud Storage et Vertex AI(le cas échéant dans votre environnement). Définissez le type d'autorisation d'accès aux données sur `DATA_READ`. Activez les journaux d'accès aux données au niveau de l'organisation ou du projet, selon l'endroit où vous appliquez le contrôle cloud de gouvernance des accès aux données. Vérifiez que seuls les comptes principaux autorisés sont exemptés de la journalisation d'audit. Les comptes principaux exemptés de la journalisation des audits sont également exemptés de la DSPM. Spécifiez les pays autorisés à l'aide des codes pays définis dans le Unicode Common Locale Data Repository (CLDR).
Protection des données et contrôle de la gouvernance des clés dans le cloud	Activez CMEK dans BigQuery et Vertex AI.
Commandes cloud de suppression des données	Définissez les durées de conservation. Par exemple, pour définir une période de conservation de 90 jours en secondes, définissez la période de conservation sur `777600`.

Étapes suivantes

Consultez les résultats liés à la sécurité des données.