Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan Pengelolaan Postur Keamanan Data

Dokumen ini menjelaskan cara mengaktifkan dan menggunakan Pengelolaan Postur Keamanan Data (DSPM).

Mengaktifkan DSPM

Anda dapat mengaktifkan DSPM selama atau setelah aktivasi Security Command Center.

Selesaikan langkah-langkah berikut untuk mengaktifkan DSPM di tingkat organisasi:

Untuk mendapatkan izin yang diperlukan untuk mengaktifkan DSPM, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi Anda:
- Organization Administrator (roles/resourcemanager.organizationAdmin)
- Security Center Admin (roles/securitycenter.admin)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Aktifkan DSPM menggunakan salah satu metode berikut:

Skenario	Petunjuk
Anda belum mengaktifkan Security Command Center atau menggunakan paket Standar Security Command Center, dan ingin menggunakan paket Premium Security Command Center.	Aktifkan DSPM dengan mengaktifkan Security Command Center Premium untuk organisasi.
Anda belum mengaktifkan Security Command Center dan ingin menggunakan paket Security Command Center Enterprise.	Aktifkan DSPM dengan mengaktifkan Security Command Center Enterprise.
Anda telah mengaktifkan paket Premium Security Command Center sebelumnya dan ingin mengaktifkan DSPM.	Aktifkan DSPM menggunakan halaman Setelan. Buka halaman Setelan
Anda telah mengaktifkan Paket Enterprise Security Command Center sebelumnya dan ingin mengaktifkan DSPM.	Aktifkan DSPM menggunakan halaman Aktifkan DSPM. Buka Mengaktifkan DSPM

Untuk mengetahui informasi selengkapnya tentang tingkat Security Command Center, lihat Tingkat layanan Security Command Center.

Aktifkan penemuan resource yang ingin Anda lindungi dengan DSPM.

Saat Anda mengaktifkan DSPM, layanan berikut juga diaktifkan:

Compliance Manager untuk membuat, menerapkan, dan mengelola framework keamanan data dan kontrol cloud.
Sensitive Data Protection untuk menggunakan sinyal sensitivitas data untuk penilaian risiko data default.
Event Threat Detection (bagian dari Security Command Center) di tingkat organisasi untuk menggunakan kontrol cloud tata kelola akses data dan kontrol cloud tata kelola alur data.
AI Protection untuk membantu mengamankan siklus proses workload AI Anda (khusus tingkat Enterprise Security Command Center).

Framework Dasar-Dasar Keamanan dan Privasi Data diterapkan ke organisasi secara otomatis.

Agen layanan DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) dibuat saat Anda mengaktifkan DSPM.

Untuk mengetahui informasi tentang peran Identity and Access Management DSPM, lihat Identity and Access Management untuk aktivasi tingkat organisasi.

Dukungan DSPM untuk perimeter Kontrol Layanan VPC

Saat Anda mengaktifkan DSPM di organisasi yang mencakup perimeter Kontrol Layanan VPC, pertimbangkan hal berikut:

Tinjau batasan untuk Security Command Center.
Anda tidak dapat menggunakan perimeter untuk membantu melindungi resource DSPM karena semua resource berada di tingkat organisasi. Untuk mengelola izin DSPM, gunakan IAM.
Karena DSPM diaktifkan di tingkat organisasi, DSPM tidak dapat mendeteksi risiko dan pelanggaran data dalam perimeter layanan. Untuk mengizinkan akses, selesaikan langkah-langkah berikut:
1. Pastikan Anda memiliki peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC di tingkat organisasi.
2. Konfigurasi aturan ingress berikut:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Ganti DSPM_SA_EMAIL_ADDRESS dengan alamat email agen layanan DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

Peran IAM yang diperlukan untuk agen layanan diberikan saat Anda mengaktifkan DSPM, dan menentukan operasi yang dapat dilakukan agen layanan.

Untuk mengetahui informasi selengkapnya tentang aturan ingress, lihat Mengonfigurasi kebijakan ingress dan egress.

Menggunakan dasbor DSPM

Selesaikan tindakan berikut untuk menggunakan dasbor guna menganalisis postur keamanan data Anda.

Guna mendapatkan izin yang Anda perlukan untuk menggunakan dasbor DSPM, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi Anda:
- Admin Pengelolaan Postur Keamanan Data (roles/dspm.admin)
- Security Center Admin (roles/securitycenter.admin)
- Untuk akses hanya baca:
  - Data Security Posture Management Viewer (roles/dspm.viewer)
  - Security Center Admin Viewer (roles/securitycenter.adminViewer)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Gunakan dasbor DSPM untuk penemuan data dan analisis risiko. Saat mengaktifkan DSPM, Anda dapat langsung menilai keselarasan lingkungan Anda dengan framework dasar keamanan dan privasi Data.

Di konsol, klik tab Perlindungan Data di bagian Kepatuhan & Keamanan Data.

Buka Dasbor Keamanan Data

Informasi berikut tersedia:
- Penjelajah pemetaan data
- Temuan keamanan data
- Insight tentang kontrol dan framework keamanan data yang diterapkan
Gunakan informasi ini untuk meninjau dan memperbaiki temuan sehingga lingkungan Anda lebih selaras dengan persyaratan keamanan dan kepatuhan Anda.

Saat melihat dasbor dari tingkat organisasi dan men-deploy aplikasi di folder yang dikonfigurasi untuk pengelolaan aplikasi, Anda dapat memilih aplikasi untuk memfilter dasbor agar hanya menampilkan temuan dan insight yang berlaku untuk aplikasi tersebut. Pertimbangkan latensi scan berikut saat meninjau data:
- Panel temuan teratas mungkin menampilkan data konfigurasi resource yang sudah tidak berlaku. Misalnya, resource utama temuan mungkin terkait dengan aplikasi yang sudah tidak berlaku.
- Pemilih aplikasi mungkin tidak menampilkan pendaftaran aplikasi dan resource yang dibuat dalam 24 jam terakhir.
Penjelajah peta data mungkin memerlukan waktu 24 jam setelah Anda mengaktifkan Security Command Center untuk mengisi semua data dari Security Command Center dan Inventaris Aset Cloud.

Membuat framework keamanan data kustom

Jika diperlukan, salin framework dasar keamanan dan privasi data dan sesuaikan untuk memenuhi persyaratan keamanan dan kepatuhan data Anda. Untuk mendapatkan petunjuk, lihat Menerapkan framework.

Men-deploy kontrol cloud keamanan data tingkat lanjut

Jika diperlukan, tambahkan kontrol cloud keamanan data lanjutan ke framework kustom. Kontrol ini memerlukan konfigurasi tambahan sebelum Anda dapat men-deploy-nya. Untuk petunjuk tentang cara men-deploy kontrol dan framework cloud, lihat Menerapkan framework.

Anda dapat men-deploy framework yang mencakup kontrol cloud keamanan data tingkat lanjut ke organisasi, folder, project, dan aplikasi App Hub di folder yang dikonfigurasi untuk pengelolaan aplikasi. Untuk men-deploy kontrol cloud keamanan data tingkat lanjut terhadap aplikasi, framework hanya dapat menyertakan kontrol ini. Anda harus memilih folder yang mendukung aplikasi dan aplikasi yang ingin dipantau oleh kontrol cloud. Aplikasi di project host atau batas project tunggal tidak didukung.

Pertimbangkan hal berikut:

Tinjau informasi untuk setiap kontrol cloud keamanan data lanjutan untuk mengetahui batasannya.

Selesaikan tugas untuk setiap aturan, seperti yang dijelaskan dalam tabel berikut.

Aturan	Konfigurasi tambahan
Kontrol cloud tata kelola akses data	Aktifkan Log audit Akses Data untuk Cloud Storage dan Vertex AI (jika berlaku di lingkungan Anda). Tetapkan jenis izin akses data ke `DATA_READ`. Aktifkan log akses data di tingkat organisasi atau tingkat project, bergantung pada tempat Anda menerapkan kontrol cloud Tata kelola akses data. Pastikan hanya akun utama yang sah yang dikecualikan dari pencatatan log audit. Akun utama yang dikecualikan dari logging audit juga dikecualikan dari DSPM. Tambahkan satu atau beberapa akun utama yang diizinkan (maksimum 200 akun utama), menggunakan salah satu format berikut: Untuk pengguna, `principal://goog/subject/USER_EMAIL_ADDRESS` Contoh: `principal://goog/subject/alex@example.com` Untuk grup, `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Contoh: `principalSet://goog/group/my-group@example.com`
Kontrol cloud tata kelola aliran data	Aktifkan Log audit Akses Data untuk Cloud Storage dan Vertex AI(jika berlaku di lingkungan Anda). Tetapkan jenis izin akses data ke `DATA_READ`. Aktifkan log akses data di tingkat organisasi atau tingkat project, bergantung pada tempat Anda menerapkan kontrol cloud Tata kelola akses data. Pastikan hanya akun utama yang diotorisasi yang dikecualikan dari pencatatan log audit. Akun utama yang dikecualikan dari logging audit juga dikecualikan dari DSPM. Tentukan negara yang diizinkan menggunakan kode negara yang ditentukan dalam Unicode Common Locale Data Repository (CLDR).
Kontrol cloud tata kelola kunci dan perlindungan data	Aktifkan CMEK di BigQuery dan Vertex AI.
Kontrol cloud penghapusan data	Tetapkan periode retensi. Misalnya, untuk menetapkan periode retensi 90 hari dalam detik, tetapkan periode retensi ke `777600`.

Langkah berikutnya

Tinjau temuan terkait keamanan data.