Ce document explique comment activer et utiliser Data Security Posture Management (DSPM).
Si vous utilisez le niveau Standard de Security Command Center, certaines fonctionnalités DSPM sont disponibles.
Activer DSPM
Vous pouvez activer DSPM pendant ou après l'activation de Security Command Center.
Pour activer DSPM au niveau de l'organisation, procédez comme suit :
-
Pour obtenir les autorisations nécessaires pour activer DSPM, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :
- Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin) - Administrateur du centre de sécurité (
roles/securitycenter.admin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
- Administrateur de l'organisation (
- Activez DSPM à l'aide de l'une des méthodes suivantes :
Scénario Instructions Vous êtes un nouvel utilisateur ou vous migrez vers le niveau Standard de Security Command Center. Activez DSPM en activant Security Command Center Standard pour une organisation. Vous n'avez pas activé Security Command Center et vous souhaitez utiliser le niveau Premium. Activez DSPM en activant Security Command Center Premium pour une organisation. Vous n'avez pas activé Security Command Center et vous souhaitez utiliser le niveau Security Command Center Enterprise. Activez DSPM en activant Security Command Center Enterprise. Vous avez déjà activé le niveau Premium de Security Command Center et vous souhaitez activer DSPM. Activez DSPM à l'aide de la page Paramètres. Vous avez déjà activé le niveau Security Command Center Enterprise et vous souhaitez activer DSPM. Activez DSPM à l'aide de la page Activer DSPM. Pour en savoir plus sur les niveaux de Security Command Center, consultez Niveaux de service de Security Command Center.
- Activez la détection des ressources que vous souhaitez protéger avec DSPM (niveaux Premium et Enterprise uniquement).
Lorsque vous activez DSPM, les services suivants sont également activés (niveaux Premium et Enterprise uniquement) :
- Compliance Manager pour créer, appliquer et gérer des frameworks de sécurité des données et des contrôles cloud.
- Sensitive Data Protection pour utiliser des signaux de sensibilité des données pour l'évaluation par défaut des risques liés aux données.
- Event Threat Detection (qui fait partie de Security Command Center) au niveau de l'organisation pour utiliser le contrôle cloud de la gouvernance des accès aux données et le contrôle cloud de la gouvernance des flux de données.
- AI Protection pour sécuriser le cycle de vie de vos charges de travail d'IA (niveau Security Command Center Enterprise uniquement).
Le framework Data Security and Privacy Essentials est appliqué automatiquement à l'organisation (niveaux Premium et Enterprise uniquement).
(Niveaux Premium et Enterprise uniquement) L'agent de service DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) est créé lorsque vous activez
DSPM.
Pour en savoir plus sur les rôles IAM DSPM, consultez Gestion de l'authentification et des accès pour les activations au niveau de l'organisation.
Passer du niveau Premium ou Enterprise au niveau Standard
Lorsque vous passez du niveau Premium ou Enterprise au niveau Standard tier, vos fonctionnalités DSPM sont affectées comme suit :
- Frameworks supprimés : les frameworks DSPM déployés qui dépendent des fonctionnalités Premium ou Enterprise sont supprimés.
- Perte d'accès aux fonctionnalités : vous perdez l'accès aux contrôles avancés de sécurité des données et aux frameworks de données personnalisés.
- Retour à la version de base : DSPM utilise les vérifications de sécurité des données de base incluses dans le framework Security Essentials.
- Résultats désactivés : tous les résultats précédemment générés par les frameworks de niveau Premium ou Enterprise sont désactivés. Seuls les résultats du framework Security Essentials restent disponibles.
Si vous repassez au niveau Premium ou Enterprise après être passé au niveau Standard, les déploiements de framework supprimés lors du passage au niveau inférieur ne peuvent pas être récupérés automatiquement. Vous devez redéployer manuellement ces frameworks et recréer les configurations associées.
Compatibilité de DSPM avec les périmètres VPC Service Controls
Lorsque vous activez DSPM dans une organisation qui inclut des périmètres VPC Service Controls, tenez compte des points suivants :
Consultez les limites de Security Command Center.
Vous ne pouvez pas utiliser de périmètre pour protéger les ressources DSPM, car toutes les ressources se trouvent au niveau de l'organisation. Pour gérer les autorisations DSPM, utilisez IAM.
Comme DSPM est activé au niveau de l'organisation, il ne peut pas détecter les risques et les violations de données dans un périmètre de service. Pour autoriser l'accès, procédez comme suit :
Assurez-vous de disposer des rôles requis pour configurer VPC Service Controls au niveau de l'organisation.
Configurez la règle d'entrée suivante :
- ingressFrom: identities: - serviceAccount: DSPM_SA_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: "*" resources: "*"Remplacez DSPM_SA_EMAIL_ADDRESS par l'adresse e-mail de l'agent de service DSPM (
service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).Les rôles IAM requis pour l'agent de service sont accordés lorsque vous activez DSPM et déterminent les opérations que l'agent de service peut effectuer.
Pour en savoir plus sur les règles d'entrée, consultez Configurer des règles d'entrée et de sortie policies.
Créer des frameworks de sécurité des données personnalisés
Si nécessaire, copiez le framework Data Security and Privacy Essentials et personnalisez-le pour répondre à vos exigences en matière de sécurité et de conformité des données. Pour obtenir des instructions, consultez Appliquer un framework.
Déployer des contrôles cloud avancés de sécurité des données
Si nécessaire, ajoutez les contrôles cloud avancés de sécurité des données aux frameworks personnalisés. Ces contrôles nécessitent une configuration supplémentaire avant de pouvoir être déployés. Pour obtenir des instructions sur le déploiement de contrôles et de frameworks cloud, consultez Appliquer un framework.
Vous pouvez déployer des frameworks qui incluent des contrôles cloud avancés de sécurité des données dans votre organisation, vos dossiers, vos projets et vos applications App Hub dans des dossiers configurés pour la gestion des applications. Pour déployer les contrôles cloud avancés de sécurité des données sur les applications, le framework ne peut inclure que ces contrôles. Vous devez sélectionner le dossier compatible avec les applications et l'application que vous souhaitez que les contrôles cloud surveillent. Les applications dans les projets hôtes ou dans une limite de projet unique ne sont pas compatibles.
Réfléchissez aux éléments suivants :
Consultez les informations de chaque contrôle cloud avancé de sécurité des données pour connaître les limites.
Effectuez les tâches de chaque règle, comme décrit dans le tableau suivant.
Règle Configuration supplémentaire Contrôle cloud de la gouvernance des accès aux données - Activez les journaux d'audit des accès aux données pour Cloud Storage et Agent Platform (le cas échéant dans votre environnement).
Définissez le type d'autorisation d'accès aux données sur
DATA_READ. Activez les journaux d'accès aux données au niveau de l'organisation ou du projet, selon l'endroit où vous appliquez le contrôle cloud de la gouvernance des accès aux données.Vérifiez que seuls les comptes principaux autorisés sont exemptés de la journalisation d'audit. Les comptes principaux exemptés de la journalisation d'audit sont également exemptés de DSPM.
- Ajoutez un ou plusieurs comptes principaux autorisés (jusqu'à 200
comptes principaux maximum) à l'aide de l'un des formats suivants :
- Pour un utilisateur,
principal://goog/subject/USER_EMAIL_ADDRESSExemple :
principal://goog/subject/alex@example.com - Pour un groupe,
principalSet://goog/group/GROUP_EMAIL_ADDRESSExemple :
principalSet://goog/group/my-group@example.com
- Pour un utilisateur,
Contrôle cloud de la gouvernance des flux de données -
Définissez le type d'autorisation d'accès aux données sur
DATA_READ. Activez les journaux d'accès aux données au niveau de l'organisation ou du projet, selon l'endroit où vous appliquez le contrôle cloud de la gouvernance des accès aux données.Vérifiez que seuls les comptes principaux autorisés sont exemptés de la journalisation d'audit. Les comptes principaux exemptés de la journalisation d'audit sont également exemptés de DSPM.
- Spécifiez les pays autorisés à l'aide des codes pays définis dans le projet CLDR (Common Locale Data Repository).
Contrôle cloud de la protection des données et de la gouvernance des clés Activez CMEK dans BigQuery et Agent Platform. Contrôles cloud de suppression des données Définissez les durées de conservation. Par exemple, pour définir une période de conservation de 90 jours en secondes, définissez la période de conservation sur 777600.- Activez les journaux d'audit des accès aux données pour Cloud Storage et Agent Platform (le cas échéant dans votre environnement).
Étape suivante
- Surveillez votre stratégie de sécurité des données.
- Examinez les résultats liés à la sécurité des données.