Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Utilizzare la gestione della security posture dei dati

Questo documento descrive come abilitare e utilizzare Data Security Posture Management (DSPM).

Se hai sottoscritto il livello Standard di Security Command Center, sono disponibili funzionalità DSPM limitate.

Abilitare DSPM

Puoi abilitare DSPM durante o dopo l'attivazione di Security Command Center.

Completa i seguenti passaggi per abilitare DSPM a livello di organizzazione:

Per ottenere le autorizzazioni necessarie per abilitare DSPM, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:
- Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)
- Amministratore del Centro sicurezza (roles/securitycenter.admin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Abilita DSPM utilizzando uno dei seguenti metodi:

Scenario	Istruzioni
Non hai mai utilizzato il livello Standard di Security Command Center o stai eseguendo la migrazione a questo livello.	Abilita DSPM attivando Security Command Center Standard per un'organizzazione.
Non hai attivato Security Command Center e vuoi utilizzare il livello Premium di Security Command Center.	Abilita DSPM attivando Security Command Center Premium per un'organizzazione.
Non hai attivato Security Command Center e vuoi utilizzare il livello Security Command Center Enterprise.	Abilita DSPM attivando Security Command Center Enterprise.
Hai attivato il livello Premium di Security Command Center in precedenza e vuoi abilitare DSPM.	Abilita DSPM utilizzando la pagina Impostazioni. Vai alla pagina Impostazioni
Hai attivato il livello Security Command Center Enterprise in precedenza e vuoi abilitare DSPM.	Abilita DSPM utilizzando la pagina Attiva DSPM. Vai ad Attiva DSPM

Per saperne di più sui livelli di Security Command Center, consulta Livelli di servizio di Security Command Center.

Abilita il rilevamento delle risorse che vuoi proteggere con DSPM (solo livelli Premium ed Enterprise).

Quando abiliti DSPM, vengono abilitati anche i seguenti servizi (solo livelli Premium ed Enterprise):

Compliance Manager per creare, applicare e gestire framework di sicurezza dei dati e controlli cloud.
Sensitive Data Protection per utilizzare gli indicatori di sensibilità dei dati per la valutazione predefinita dell'analisi del rischio dei dati.
Event Threat Detection (parte di Security Command Center) a livello di organizzazione per utilizzare il controllo cloud di governance degli accessi ai dati e il controllo cloud di governance del flusso di dati.
AI Protection per proteggere il ciclo di vita dei tuoi workload di AI (solo livello Security Command Center Enterprise).

Il framework Data Security and Privacy Essentials viene applicato automaticamente all'organizzazione (solo livelli Premium ed Enterprise).

(Solo livelli Premium ed Enterprise) Il service agent (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) viene creato quando abiliti DSPM.

Per informazioni sui ruoli di Identity and Access Management di DSPM, consulta Identity and Access Management per le attivazioni a livello di organizzazione.

Eseguire il downgrade dai livelli Premium o Enterprise al livello Standard

Quando esegui il downgrade dal livello Premium o Enterprise al livello Standard tier, le funzionalità DSPM vengono interessate come segue:

Framework rimossi: i framework DSPM di cui è stato eseguito il deployment e che dipendono dalle funzionalità Premium o Enterprise vengono rimossi.
Accesso alle funzionalità perso: perdi l'accesso ai controlli avanzati di sicurezza dei dati e ai framework di dati personalizzati.
Ripristino delle impostazioni di base: DSPM utilizza i controlli di sicurezza dei dati di base inclusi nel framework Security Essentials.
I risultati diventano non attivi: tutti i risultati generati in precedenza dai framework di livello Premium o Enterprise diventano non attivi. Gli unici risultati che rimangono disponibili sono quelli del framework Security Essentials.

Se esegui di nuovo l'upgrade al livello Premium o Enterprise dopo aver eseguito il downgrade al livello Standard, i deployment dei framework rimossi durante il downgrade non possono essere recuperati automaticamente. Devi eseguire di nuovo il deployment di questi framework e ricompilare le configurazioni associate.

Supporto DSPM per i perimetri dei Controlli di servizio VPC

Quando abiliti DSPM in un'organizzazione che include i perimetri dei Controlli di servizio VPC, tieni presente quanto segue:

Esamina le limitazioni per Security Command Center.
Non puoi utilizzare un perimetro per proteggere le risorse DSPM perché tutte le risorse sono a livello di organizzazione. Per gestire le autorizzazioni DSPM, utilizza IAM.
Poiché DSPM è abilitato a livello di organizzazione, non può rilevare rischi e violazioni dei dati all'interno di un perimetro di servizio. Per consentire l'accesso, completa i seguenti passaggi:
1. Assicurati di disporre dei ruoli necessari per configurare i Controlli di servizio VPC a livello di organizzazione.
2. Configura la seguente regola in entrata:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Sostituisci DSPM_SA_EMAIL_ADDRESS con l'indirizzo email del service agent DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

I ruoli IAM richiesti per il service agent vengono concessi quando abiliti DSPM e determinano le operazioni che il service agent può eseguire.

Per saperne di più sulle regole in entrata, consulta Configurazione delle policy in entrata e in uscita.

Utilizzare la dashboard DSPM

I contenuti e le funzionalità della dashboard dipendono dal livello di Security Command Center. Se hai sottoscritto il livello Standard, consulta la panoramica di Data Security Posture Management nel livello Standard per scoprire quali funzionalità sono disponibili nella dashboard.

Per saperne di più sulla dashboard nei livelli Security Command Center Premium ed Enterprise, consulta la dashboard Tutti i rischi.

Completa le seguenti azioni per utilizzare la dashboard per analizzare la security posture dei dati.

Per ottenere le autorizzazioni necessarie per utilizzare la dashboard DSPM, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:
- Amministratore di Data Security Posture Management (roles/dspm.admin)
- Amministratore del Centro sicurezza (roles/securitycenter.admin)
- Per l'accesso di sola lettura:
  - Visualizzatore di Data Security Posture Management (roles/dspm.viewer)
  - Visualizzatore dell'amministratore del Centro sicurezza (roles/securitycenter.adminViewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Utilizza la dashboard DSPM per il rilevamento dei dati e l'analisi dei rischi. Quando abiliti DSPM, puoi valutare immediatamente in che modo il tuo ambiente è allineato al framework Data security and privacy essentials.

Nella Google Cloud console, vai alla pagina Sicurezza e conformità dei dati e seleziona la tua Google Cloud organizzazione. Dopo aver selezionato un' organizzazione, viene visualizzata la scheda Dati nella dashboard Panoramica dei rischi.

Vai alla dashboard Panoramica dei rischi

Sono disponibili le seguenti informazioni:
- Explorer mappa dati
- Risultati relativi alla sicurezza dei dati
- Insight sulla sicurezza dei dati
- (Anteprima) Insight sui framework e sui controlli di sicurezza dei dati applicati
Utilizza queste informazioni per esaminare e correggere i risultati in modo che il tuo ambiente sia più in linea con i requisiti di sicurezza e conformità.

Quando visualizzi la dashboard a livello di organizzazione ed esegui il deployment delle applicazioni in una cartella configurata per la gestione delle applicazioni, puoi selezionare un' applicazione per filtrare la dashboard in modo da mostrare solo i risultati e gli insight che si applicano all'applicazione. Tieni presente le seguenti latenze di scansione quando esamini i dati:
- Il riquadro dei risultati principali potrebbe mostrare dati di configurazione delle risorse non aggiornati. Ad esempio, la risorsa principale di un risultato potrebbe essere associata a un'applicazione non aggiornata.
- Il selettore dell'applicazione potrebbe non mostrare le applicazioni e le registrazioni delle risorse create nelle ultime 24 ore.
L'explorer mappa dati potrebbe richiedere 24 ore dopo l'attivazione di Security Command Center per popolare tutti i dati di Security Command Center e Cloud Asset Inventory.

Creare framework di sicurezza dei dati personalizzati

Se necessario, copia il framework Data Security and Privacy Essentials e personalizzalo in base ai tuoi requisiti di sicurezza e conformità dei dati. Per istruzioni, consulta Applicare un framework.

Eseguire il deployment dei controlli cloud avanzati di sicurezza dei dati

Se necessario, aggiungi i controlli cloud avanzati di sicurezza dei dati ai framework personalizzati. Questi controlli richiedono una configurazione aggiuntiva prima di poter essere sottoposti a deployment. Per istruzioni sul deployment di controlli e framework cloud, consulta Applicare un framework.

Puoi eseguire il deployment di framework che includono controlli cloud avanzati di sicurezza dei dati nella tua organizzazione, nelle cartelle, nei progetti e nelle applicazioni App Hub in cartelle configurate per la gestione delle applicazioni. Per eseguire il deployment dei controlli cloud avanzati di sicurezza dei dati sulle applicazioni, il framework può includere solo questi controlli. Devi selezionare la cartella abilitata per le app e l'applicazione che vuoi che i controlli cloud monitorino. Le applicazioni nei progetti host o in un limite di un singolo progetto non sono supportate.

Considera quanto segue:

Esamina le informazioni relative a ogni controllo cloud avanzato di sicurezza dei dati per le limitazioni.

Completa le attività per ogni regola, come descritto nella tabella seguente.

Regola	Configurazione aggiuntiva
Controllo cloud di governance degli accessi ai dati	Abilita gli audit log di accesso ai dati per Cloud Storage e Agent Platform (se applicabile nel tuo ambiente). Imposta il tipo di autorizzazione di accesso ai dati su `DATA_READ`. Abilita i log di accesso ai dati a livello di organizzazione o di progetto, a seconda di dove applichi il controllo cloud di governance degli accessi ai dati. Verifica che solo le entità autorizzate siano esenti dalla registrazione degli audit log. Le entità esenti dalla registrazione degli audit log sono esenti anche da DSPM. Aggiungi una o più entità consentite (fino a un massimo di 200 entità) utilizzando uno dei seguenti formati: Per un utente, `principal://goog/subject/USER_EMAIL_ADDRESS` Esempio: `principal://goog/subject/alex@example.com` Per un gruppo, `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Esempio: `principalSet://goog/group/my-group@example.com`
Controllo cloud di governance del flusso di dati	Abilita gli audit log di accesso ai dati per Cloud Storage e Agent Platform (se applicabile nel tuo ambiente). Imposta il tipo di autorizzazione di accesso ai dati su `DATA_READ`. Abilita i log di accesso ai dati a livello di organizzazione o di progetto, a seconda di dove applichi il controllo cloud di governance degli accessi ai dati. Verifica che solo le entità autorizzate siano esenti dalla registrazione degli audit log. Le entità esenti dalla registrazione degli audit log sono esenti anche da DSPM. Specifica i paesi consentiti utilizzando i codici paese definiti in Unicode Common Locale Data Repository (CLDR).
Controllo cloud di protezione dei dati e governance delle chiavi	Abilita CMEK in BigQuery e Agent Platform.
Controlli cloud di eliminazione dei dati	Imposta i periodi di conservazione. Ad esempio, per impostare un periodo di conservazione di 90 giorni in secondi, imposta il periodo di conservazione su `777600`.

Passaggi successivi

Esamina i risultati relativi alla sicurezza dei dati.