Usar la gestión de la posición de seguridad de los datos

En este documento se describe cómo puede habilitar y usar la gestión de la posición de seguridad de los datos (DSPM).

Habilitar DSPM

Puedes habilitar DSPM durante o después de activar Security Command Center.

Para habilitar DSPM a nivel de organización, sigue estos pasos:

  1. Para obtener los permisos que necesitas para habilitar DSPM, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:

    Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

    También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

  2. Habilita DSPM mediante uno de los siguientes métodos:
    Situación Instrucciones
    No has activado Security Command Center o estás usando el nivel Standard de Security Command Center y quieres usar el nivel Premium. Para habilitar DSPM, activa Security Command Center Premium en una organización.
    No has activado Security Command Center y quieres usar el nivel Enterprise de Security Command Center. Habilita DSPM activando Security Command Center Enterprise.
    Has activado el nivel Premium de Security Command Center anteriormente y quieres habilitar DSPM. Habilita DSPM en la página Configuración.

    Ir a la página Configuración
    Has activado el nivel Enterprise de Security Command Center y quieres habilitar DSPM. Habilita DSPM en la página Activar DSPM.

    Ir a Activar DSPM

    Para obtener más información sobre los niveles de Security Command Center, consulta el artículo Niveles de servicio de Security Command Center.

  3. Habilita el descubrimiento de los recursos que quieras proteger con DSPM.

Cuando habilitas DSPM, también se habilitan los siguientes servicios:

  • Gestor de cumplimiento para crear, aplicar y gestionar marcos de seguridad de datos y controles en la nube.
  • Protección de Datos Sensibles para usar señales de sensibilidad de los datos en la evaluación de riesgos de los datos predeterminada.
  • Event Threat Detection (parte de Security Command Center) a nivel de organización para usar el control en la nube de gestión del acceso a los datos y el control en la nube de gestión del flujo de datos.
  • AI Protection para proteger el ciclo de vida de tus cargas de trabajo de IA (solo en el nivel Enterprise de Security Command Center).

El marco de trabajo de Essentials de seguridad y privacidad de los datos se aplica a la organización automáticamente.

El agente del servicio DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) se crea cuando habilitas DSPM.

Para obtener información sobre los roles de gestión de identidades y accesos de DSPM, consulta Gestión de identidades y accesos para activaciones a nivel de organización.

Compatibilidad de DSPM con los perímetros de Controles de Servicio de VPC

Cuando habilitas DSPM en una organización que incluye perímetros de Controles de Servicio de VPC, debes tener en cuenta lo siguiente:

  • Consulta las limitaciones de Security Command Center.

  • No puedes usar un perímetro para proteger los recursos de DSPM, ya que todos los recursos están a nivel de organización. Para gestionar los permisos de DSPM, usa IAM.

  • Como DSPM está habilitado a nivel de organización, no puede detectar riesgos ni infracciones de datos dentro de un perímetro de servicio. Para permitir el acceso, sigue estos pasos:

    1. Asegúrate de tener los roles necesarios para configurar Controles de Servicio de VPC a nivel de organización.

    2. Configura la siguiente regla de entrada:

    - ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"

    Sustituye DSPM_SA_EMAIL_ADDRESS por la dirección de correo del agente del servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

    Los roles de gestión de identidades y accesos necesarios para el agente de servicio se conceden cuando habilitas DSPM y determinas qué operaciones puede realizar el agente de servicio.

    Para obtener más información sobre las reglas de entrada, consulta Configurar políticas de entrada y salida.

Usar el panel de control de DSPM

Sigue estos pasos para usar el panel de control y analizar tu postura de seguridad de datos.

  1. Para obtener los permisos que necesitas para usar el panel de control de DSPM, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:

    Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

    También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

  2. Usa el panel de control de DSPM para descubrir datos y analizar riesgos. Cuando habilitas la DSPM, puedes evaluar inmediatamente cómo se alinea tu entorno con el marco de los aspectos esenciales de la seguridad y la privacidad de los datos.

    En la consola, haga clic en la pestaña Protección de datos, en Seguridad y cumplimiento de datos.

    Ir al panel de control de seguridad de los datos

    La siguiente información está disponible:

    • Explorador de mapas de datos
    • Resultados de seguridad de los datos
    • Estadísticas sobre los controles y los marcos de seguridad de datos aplicados

    Usa esta información para revisar y corregir los resultados, de forma que tu entorno se ajuste mejor a tus requisitos de seguridad y cumplimiento.

    Si ves el panel de control a nivel de organización y despliegas aplicaciones en una carpeta configurada para la gestión de aplicaciones, puedes seleccionar una aplicación para filtrar el panel de control y que solo se muestren las conclusiones y las estadísticas que se aplican a esa aplicación. Cuando revises los datos, ten en cuenta las siguientes latencias de escaneo:

    • Es posible que el panel de resultados principales muestre datos de configuración de recursos obsoletos. Por ejemplo, el recurso principal de una detección puede estar asociado a una aplicación obsoleta.

    • Es posible que el selector de aplicaciones no muestre las aplicaciones ni los registros de recursos que se hayan creado en las últimas 24 horas.

    El explorador del mapa de datos puede tardar 24 horas después de activar Security Command Center en rellenar todos los datos de Security Command Center y Cloud Asset Inventory.

Crear marcos de seguridad de datos personalizados

Si es necesario, copia el marco de trabajo de los aspectos esenciales de la privacidad y la seguridad de los datos y personalízalo para que se ajuste a tus requisitos de seguridad y cumplimiento de los datos. Para obtener instrucciones, consulta Aplicar un framework.

Implementar controles de seguridad de datos avanzados en la nube

Si es necesario, añade los controles de nube de seguridad de datos avanzada a los frameworks personalizados. Para poder implementar estos controles, es necesario llevar a cabo ajustes adicionales. Para obtener instrucciones sobre cómo desplegar controles y marcos de trabajo en la nube, consulta el artículo Aplicar un marco de trabajo.

Puedes implementar frameworks que incluyan controles de seguridad de datos avanzados en la nube en tu organización, carpetas, proyectos y aplicaciones de App Hub en carpetas configuradas para la gestión de aplicaciones. Para implementar los controles de nube de seguridad de datos avanzada en las aplicaciones, el framework solo puede incluir estos controles. Debes seleccionar la carpeta habilitada para la aplicación y la aplicación que quieras que monitoricen los controles en la nube. No se admiten aplicaciones en proyectos host ni en un límite de un solo proyecto.

Ten en cuenta lo siguiente:

  • Consulta la información de cada control de seguridad de datos avanzado en la nube para conocer las limitaciones.

  • Completa las tareas de cada regla, tal como se describe en la siguiente tabla.

    Regla Configuración adicional
    Control de la nube de gobierno de acceso a datos
    • Habilita los registros de auditoría de acceso a datos de Cloud Storage y Vertex AI (si procede en tu entorno).

      Asigna el valor DATA_READ al tipo de permiso de acceso a los datos. Habilita los registros de acceso a datos a nivel de organización o de proyecto, en función de dónde apliques el control en la nube de gobernanza de acceso a datos.

      Verifica que solo los principales autorizados estén exentos del registro de auditoría. Los principales exentos del registro de auditoría también están exentos de DSPM.

    • Añada uno o varios principales permitidos (hasta un máximo de 200) con uno de los siguientes formatos:
      • Para un usuario, principal://goog/subject/USER_EMAIL_ADDRESS

        Ejemplo: principal://goog/subject/alex@example.com

      • En el caso de un grupo, principalSet://goog/group/GROUP_EMAIL_ADDRESS

        Ejemplo: principalSet://goog/group/my-group@example.com
    Control de la nube de gobierno del flujo de datos

    • Habilita los registros de auditoría de acceso a datos de Cloud Storage y Vertex AI(si procede en tu entorno).

      Asigna el valor DATA_READ al tipo de permiso de acceso a los datos. Habilita los registros de acceso a datos a nivel de organización o de proyecto, en función de dónde apliques el control en la nube de gobernanza de acceso a datos.

      Verifica que solo los principales autorizados estén exentos del registro de auditoría. Los principales exentos del registro de auditoría también están exentos de DSPM.

    • Especifique los países permitidos mediante los códigos de país definidos en el repositorio de datos de configuración regional común de Unicode (CLDR).
    Protección de datos y control de gestión de claves en la nube Habilita CMEK en BigQuery y Vertex AI.
    Controles de eliminación de datos en la nube Define los periodos de conservación. Por ejemplo, para definir un periodo de conservación de 90 días en segundos, defina el periodo de conservación en 777600.

Siguientes pasos