Utiliser la gestion de la stratégie de sécurité des données

Ce document explique comment activer et utiliser Data Security Posture Management (DSPM).

Si vous utilisez le niveau Standard de Security Command Center, certaines fonctionnalités DSPM sont disponibles.

Activer DSPM

Vous pouvez activer DSPM pendant ou après l'activation de Security Command Center.

Pour activer DSPM au niveau de l'organisation, procédez comme suit :

  1. Pour obtenir les autorisations nécessaires pour activer DSPM, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :

    Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

    Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

  2. Activez DSPM à l'aide de l'une des méthodes suivantes :
    Scénario Instructions
    Vous êtes un nouvel utilisateur ou vous migrez vers le niveau Standard de Security Command Center. Activez DSPM en activant Security Command Center Standard pour une organisation.
    Vous n'avez pas activé Security Command Center et vous souhaitez utiliser le niveau Premium. Activez DSPM en activant Security Command Center Premium pour une organisation.
    Vous n'avez pas activé Security Command Center et vous souhaitez utiliser le niveau Security Command Center Enterprise. Activez DSPM en activant Security Command Center Enterprise.
    Vous avez déjà activé le niveau Premium de Security Command Center et vous souhaitez activer DSPM. Activez DSPM à l'aide de la page Paramètres.

    Accéder à la page Paramètres

    Vous avez déjà activé le niveau Security Command Center Enterprise et vous souhaitez activer DSPM. Activez DSPM à l'aide de la page Activer DSPM.

    Accéder à Activer DSPM

    Pour en savoir plus sur les niveaux de Security Command Center, consultez Niveaux de service de Security Command Center.

  3. Activez la détection des ressources que vous souhaitez protéger avec DSPM (niveaux Premium et Enterprise uniquement).

Lorsque vous activez DSPM, les services suivants sont également activés (niveaux Premium et Enterprise uniquement) :

  • Compliance Manager pour créer, appliquer et gérer des frameworks de sécurité des données et des contrôles cloud.
  • Sensitive Data Protection pour utiliser des signaux de sensibilité des données pour l'évaluation par défaut des risques liés aux données.
  • Event Threat Detection (qui fait partie de Security Command Center) au niveau de l'organisation pour utiliser le contrôle cloud de la gouvernance des accès aux données et le contrôle cloud de la gouvernance des flux de données.
  • AI Protection pour sécuriser le cycle de vie de vos charges de travail d'IA (niveau Security Command Center Enterprise uniquement).

Le framework Data Security and Privacy Essentials est appliqué automatiquement à l'organisation (niveaux Premium et Enterprise uniquement).

(Niveaux Premium et Enterprise uniquement) L'agent de service DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) est créé lorsque vous activez DSPM.

Pour en savoir plus sur les rôles IAM DSPM, consultez Gestion de l'authentification et des accès pour les activations au niveau de l'organisation.

Passer du niveau Premium ou Enterprise au niveau Standard

Lorsque vous passez du niveau Premium ou Enterprise au niveau Standard tier, vos fonctionnalités DSPM sont affectées comme suit :

  • Frameworks supprimés : les frameworks DSPM déployés qui dépendent des fonctionnalités Premium ou Enterprise sont supprimés.
  • Perte d'accès aux fonctionnalités : vous perdez l'accès aux contrôles avancés de sécurité des données et aux frameworks de données personnalisés.
  • Retour à la version de base : DSPM utilise les vérifications de sécurité des données de base incluses dans le framework Security Essentials.
  • Résultats désactivés : tous les résultats précédemment générés par les frameworks de niveau Premium ou Enterprise sont désactivés. Seuls les résultats du framework Security Essentials restent disponibles.

Si vous repassez au niveau Premium ou Enterprise après être passé au niveau Standard, les déploiements de framework supprimés lors du passage au niveau inférieur ne peuvent pas être récupérés automatiquement. Vous devez redéployer manuellement ces frameworks et recréer les configurations associées.

Compatibilité de DSPM avec les périmètres VPC Service Controls

Lorsque vous activez DSPM dans une organisation qui inclut des périmètres VPC Service Controls, tenez compte des points suivants :

  • Consultez les limites de Security Command Center.

  • Vous ne pouvez pas utiliser de périmètre pour protéger les ressources DSPM, car toutes les ressources se trouvent au niveau de l'organisation. Pour gérer les autorisations DSPM, utilisez IAM.

  • Comme DSPM est activé au niveau de l'organisation, il ne peut pas détecter les risques et les violations de données dans un périmètre de service. Pour autoriser l'accès, procédez comme suit :

    1. Assurez-vous de disposer des rôles requis pour configurer VPC Service Controls au niveau de l'organisation.

    2. Configurez la règle d'entrée suivante :

    - ingressFrom:
      identities:
      - serviceAccount: DSPM_SA_EMAIL_ADDRESS
      sources:
          - accessLevel: "*"
      ingressTo:
        operations: "*"
        resources: "*"
    

    Remplacez DSPM_SA_EMAIL_ADDRESS par l'adresse e-mail de l'agent de service DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

    Les rôles IAM requis pour l'agent de service sont accordés lorsque vous activez DSPM et déterminent les opérations que l'agent de service peut effectuer.

    Pour en savoir plus sur les règles d'entrée, consultez Configurer des règles d'entrée et de sortie policies.

Créer des frameworks de sécurité des données personnalisés

Si nécessaire, copiez le framework Data Security and Privacy Essentials et personnalisez-le pour répondre à vos exigences en matière de sécurité et de conformité des données. Pour obtenir des instructions, consultez Appliquer un framework.

Déployer des contrôles cloud avancés de sécurité des données

Si nécessaire, ajoutez les contrôles cloud avancés de sécurité des données aux frameworks personnalisés. Ces contrôles nécessitent une configuration supplémentaire avant de pouvoir être déployés. Pour obtenir des instructions sur le déploiement de contrôles et de frameworks cloud, consultez Appliquer un framework.

Vous pouvez déployer des frameworks qui incluent des contrôles cloud avancés de sécurité des données dans votre organisation, vos dossiers, vos projets et vos applications App Hub dans des dossiers configurés pour la gestion des applications. Pour déployer les contrôles cloud avancés de sécurité des données sur les applications, le framework ne peut inclure que ces contrôles. Vous devez sélectionner le dossier compatible avec les applications et l'application que vous souhaitez que les contrôles cloud surveillent. Les applications dans les projets hôtes ou dans une limite de projet unique ne sont pas compatibles.

Réfléchissez aux éléments suivants :

Étape suivante