Este documento descreve como pode ativar e usar a gestão da postura de segurança de dados (DSPM).
Ative o DSPM
Pode ativar a DSPM durante ou após a ativação do Security Command Center.
Conclua os passos seguintes para ativar a DSPM ao nível da organização:
-
Para receber as autorizações de que precisa para ativar a DSPM, peça ao seu administrador para lhe conceder as seguintes funções do IAM na sua organização:
-
Administrador da organização (
roles/resourcemanager.organizationAdmin) -
Administrador do centro de segurança (
roles/securitycenter.admin)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
-
Administrador da organização (
- Ative a DSPM através de um dos seguintes métodos:
Cenário Instruções Não ativou o Security Command Center ou está a usar o nível Standard do Security Command Center e quer usar o nível Premium do Security Command Center. Ative a DSPM ativando o Security Command Center Premium para uma organização. Não ativou o Security Command Center e quer usar o nível Enterprise do Security Command Center. Ative a DSPM ativando o Security Command Center Enterprise. Ativou o nível Premium do Security Command Center anteriormente e quer ativar a DSPM. Ative a DSPM através da página Definições. Ativou o nível Enterprise do Security Command Center anteriormente e quer ativar a DSPM. Ative o DSPM através da página Ativar DSPM. Para mais informações sobre os níveis do Security Command Center, consulte o artigo Níveis de serviço do Security Command Center.
- Ative a deteção dos recursos que quer proteger com a DSPM.
Quando ativa a DSPM, os seguintes serviços também são ativados:
- Gestor de conformidade para criar, aplicar e gerir frameworks de segurança de dados e controlos na nuvem.
- Proteção de dados confidenciais para usar sinais de sensibilidade dos dados para a avaliação de risco de dados predefinida.
- Event Threat Detection (parte do Security Command Center) ao nível da organização para usar o controlo na nuvem de governação do acesso aos dados e o controlo na nuvem de governação do fluxo de dados.
- Proteção de IA para ajudar a proteger o ciclo de vida das suas cargas de trabalho de IA (apenas no nível empresarial do Security Command Center).
A estrutura de segurança e privacidade de dados essenciais é aplicada à organização automaticamente.
O agente do serviço DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) é criado quando ativa o DSPM.
Para ver informações sobre as funções de gestão de identidade e acesso da DSPM, consulte o artigo Gestão de identidade e acesso para ativações ao nível da organização.
Suporte da DSPM para perímetros dos VPC Service Controls
Quando ativa a DSPM numa organização que inclui perímetros do VPC Service Controls, tenha em atenção o seguinte:
Reveja as limitações do Security Command Center.
Não pode usar um perímetro para ajudar a proteger os recursos da DSPM, porque todos os recursos estão ao nível da organização. Para gerir as autorizações do DSPM, use o IAM.
Uma vez que a DSPM está ativada ao nível da organização, não consegue detetar riscos e violações de dados num perímetro de serviço. Para permitir o acesso, conclua o seguinte:
Certifique-se de que tem as funções necessárias para configurar o VPC Service Controls ao nível da organização.
Configure a seguinte regra de entrada:
- ingressFrom: identities: - serviceAccount: DSPM_SA_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: "*" resources: "*"Substitua DSPM_SA_EMAIL_ADDRESS pelo endereço de email do agente do serviço DSPM (
service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).As funções de IAM necessárias para o agente de serviço são concedidas quando ativa o DSPM e determinam que operações o agente de serviço pode realizar.
Para mais informações sobre as regras de entrada, consulte o artigo Configurar políticas de entrada e saída.
Use o painel de controlo da DSPM
Conclua as ações seguintes para usar o painel de controlo para analisar a sua postura de segurança de dados.
-
Para receber as autorizações de que precisa para usar o painel de controlo da DSPM, peça ao seu administrador para lhe conceder as seguintes funções de IAM na sua organização:
-
Administrador da gestão da postura de segurança dos dados (
roles/dspm.admin) -
Administrador do centro de segurança (
roles/securitycenter.admin) -
Para acesso só de leitura:
-
Visualizador de gestão da postura de segurança dos dados (
roles/dspm.viewer) -
Visualizador de administrador do centro de segurança (
roles/securitycenter.adminViewer)
-
Visualizador de gestão da postura de segurança dos dados (
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
-
Administrador da gestão da postura de segurança dos dados (
- Use o painel de controlo da DSPM para a deteção de dados e a análise de riscos. Quando ativa a DSPM, pode avaliar imediatamente
a forma como o seu ambiente se alinha com a estrutura
de segurança e privacidade de dados essenciais.
Na consola, clique no separador Proteção de dados em Segurança e conformidade de dados.
Aceder ao painel de controlo de segurança de dados
Estão disponíveis as seguintes informações:
- Explorador de mapas de dados
- Resultados da segurança dos dados
- Estatísticas sobre os controlos e as estruturas de segurança de dados aplicados
Use estas informações para rever e corrigir as conclusões, de modo que o seu ambiente se alinhe melhor com os seus requisitos de segurança e conformidade.
Quando vê o painel de controlo ao nível da organização e implementa aplicações numa pasta configurada para gestão de aplicações, pode selecionar uma aplicação para filtrar o painel de controlo de modo a mostrar apenas as conclusões e as estatísticas que se aplicam à aplicação. Tenha em consideração as seguintes latências de análise quando rever os dados:
- O painel de principais conclusões pode mostrar dados de configuração de recursos desatualizados. Por exemplo, o recurso principal de uma descoberta pode estar associado a uma aplicação desatualizada.
- O seletor de aplicações pode não apresentar as aplicações e os registos de recursos que foram criados nas últimas 24 horas.
O explorador do mapa de dados pode demorar 24 horas após a ativação do Security Command Center a preencher todos os dados do Security Command Center e do Cloud Asset Inventory.
Crie frameworks de segurança de dados personalizados
Se necessário, copie a estrutura de elementos essenciais de segurança e privacidade de dados e personalize-a de acordo com os seus requisitos de segurança e conformidade de dados. Para ver instruções, consulte o artigo Aplique uma estrutura.
Implemente controlos na nuvem de segurança de dados avançada
Se necessário, adicione os controlos na nuvem de segurança de dados avançada a frameworks personalizados. Estes controlos requerem uma configuração adicional antes de os poder implementar. Para ver instruções sobre a implementação de controlos e frameworks na nuvem, consulte o artigo Aplique um framework.
Pode implementar frameworks que incluem controlos de nuvem de segurança de dados avançados na sua organização, pastas, projetos e aplicações do App Hub em pastas configuradas para a gestão de aplicações. Para implementar os controlos na nuvem de segurança de dados avançada contra aplicações, a estrutura só pode incluir estes controlos. Tem de selecionar a pasta com a app e a aplicação que quer que os controlos na nuvem monitorizem. As aplicações em projetos anfitriões ou num limite de projeto único não são suportadas.
Considere o seguinte:
Reveja as informações de cada controlo de segurança de dados avançado na nuvem para conhecer as limitações.
Conclua as tarefas de cada regra, conforme descrito na tabela seguinte.
Regra Configuração adicional Controlo na nuvem da gestão do acesso aos dados - Ative os registos de auditoria de acesso a dados para o Cloud Storage e a Vertex AI (quando aplicável no seu ambiente).
Defina o tipo de autorização de acesso a dados como
DATA_READ. Ative os registos de acesso a dados ao nível da organização ou do projeto, consoante o local onde aplica o controlo na nuvem de governação de acesso a dados.Verifique se apenas os principais autorizados estão isentos do registo de auditoria. Os principais isentos do registo de auditoria também estão isentos da DSPM.
- Adicione um ou mais principais permitidos (até um máximo de 200 principais) através de um dos seguintes formatos:
- Para um utilizador,
principal://goog/subject/USER_EMAIL_ADDRESSExemplo:
principal://goog/subject/alex@example.com - Para um grupo,
principalSet://goog/group/GROUP_EMAIL_ADDRESSExemplo:
principalSet://goog/group/my-group@example.com
- Para um utilizador,
Controlo de nuvem de gestão do fluxo de dados Ative os registos de auditoria de acesso a dados para o Cloud Storage e a Vertex AI(quando aplicável no seu ambiente).
Defina o tipo de autorização de acesso a dados como
DATA_READ. Ative os registos de acesso a dados ao nível da organização ou do projeto, consoante o local onde aplica o controlo na nuvem de governação de acesso a dados.Verifique se apenas os principais autorizados estão isentos do registo de auditoria. Os principais isentos do registo de auditoria também estão isentos da DSPM.
- Especifique os países permitidos através dos códigos de países definidos no Unicode Common Locale Data Repository (CLDR).
Proteção de dados e controlo de nuvem de gestão de chaves Ative as CMEK no BigQuery e no Vertex AI. Controlos de eliminação de dados na nuvem Defina os períodos de retenção. Por exemplo, para definir um período de retenção de 90 dias em segundos, defina o período de retenção como 777600.- Ative os registos de auditoria de acesso a dados para o Cloud Storage e a Vertex AI (quando aplicável no seu ambiente).