Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Usa Data Security Posture Management

En este documento, se describe cómo puedes habilitar y usar la Administración de la postura de seguridad de los datos (DSPM).

Si estás en el nivel Security Command Center Standard, hay funciones limitadas de la DSPM disponibles.

Habilita DSPM

Puedes habilitar la DSPM durante la activación de Security Command Center o después.

Para habilitar DSPM a nivel de la organización, completa los siguientes pasos:

Para obtener los permisos que necesitas para habilitar DSPM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
- Administrador de la organización (roles/resourcemanager.organizationAdmin)
- Administrador del centro de seguridad (roles/securitycenter.admin)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Habilita la DSPM con uno de los siguientes métodos:

Situación	Instrucciones
Eres nuevo en Security Command Center Standard o estás migrando a él.	Habilita la DSPM activando Security Command Center Standard para una organización.
No activaste Security Command Center y quieres usar el nivel Premium de Security Command Center.	Habilita la DSPM activando Security Command Center Premium para una organización.
No activaste Security Command Center y quieres usar el nivel Security Command Center Enterprise.	Habilita la DSPM activando Security Command Center Enterprise.
Activaste el nivel Premium de Security Command Center anteriormente y deseas habilitar la DSPM.	Habilita DSPM en la página Configuración. Ir a la página Configuración
Ya activaste el nivel Security Command Center Enterprise y quieres habilitar la DSPM.	Habilita DSPM en la página Activar DSPM. Ir a Activar DSPM

Para obtener más información sobre los niveles de Security Command Center, consulta Niveles de servicio de Security Command Center.

Habilita el descubrimiento de los recursos que deseas proteger con la DSPM (solo para los niveles Premium y Enterprise).

Cuando habilitas DSPM, también se habilitan los siguientes servicios (solo para los niveles Premium y Enterprise):

Administrador de cumplimiento para crear, aplicar y administrar marcos de seguridad de los datos y controles de la nube
Sensitive Data Protection para usar indicadores de sensibilidad de los datos en la evaluación predeterminada del riesgo de los datos
Event Threat Detection (parte de Security Command Center) a nivel de la organización para usar el control de nube de administración de acceso a los datos y el control de nube de administración de flujo de datos.
AI Protection para ayudar a proteger el ciclo de vida de tus cargas de trabajo de IA (solo para el nivel Security Command Center Enterprise)

El marco de trabajo de Nociones básicas de seguridad y privacidad de los datos se aplica a la organización automáticamente (solo en los niveles Premium y Enterprise).

(Solo para los niveles Premium y Enterprise) El agente de servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) se crea cuando habilitas DSPM.

Para obtener información sobre los roles de Identity and Access Management de DSPM, consulta Identity and Access Management para activaciones a nivel de la organización.

Cambio de los niveles Premium o Enterprise al nivel Estándar

Cuando cambias de los niveles Premium o Enterprise al nivel Estándar, tus capacidades de DSPM se ven afectadas de la siguiente manera:

Se quitaron los frameworks: Se quitaron los frameworks de DSPM implementados que dependen de funciones Premium o Enterprise.
Pérdida de acceso a las funciones: Pierdes el acceso a los controles avanzados de seguridad de los datos y a los marcos de datos personalizados.
Vuelve a la configuración básica: La DSPM usa las verificaciones básicas de seguridad de los datos incluidas en el marco de trabajo de Security Essentials.
Los hallazgos se vuelven inactivos: Todos los hallazgos que generaron anteriormente los marcos de trabajo de los niveles Premium o Enterprise se vuelven inactivos. Los únicos hallazgos que permanecen disponibles son los del marco de trabajo de Security Essentials.

Si vuelves a actualizar al nivel Premium o Enterprise después de cambiar al nivel Estándar, las implementaciones de frameworks que se quitaron durante el cambio no se podrán recuperar automáticamente. Debes volver a implementar estos frameworks de forma manual y volver a compilar las configuraciones asociadas.

Compatibilidad de DSPM con los perímetros de Controles del servicio de VPC

Cuando habilites la DSPM en una organización que incluya perímetros de Controles del servicio de VPC, ten en cuenta lo siguiente:

Revisa las limitaciones de Security Command Center.
No puedes usar un perímetro para proteger los recursos de DSPM, ya que todos los recursos están a nivel de la organización. Para administrar los permisos de DSPM, usa IAM.
Dado que la DSPM está habilitada a nivel de la organización, no puede detectar riesgos ni incumplimientos de datos dentro de un perímetro de servicio. Para permitir el acceso, completa los siguientes pasos:
1. Asegúrate de tener los roles necesarios para configurar los Controles del servicio de VPC a nivel de la organización.
2. Configura la siguiente regla de entrada:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Reemplaza DSPM_SA_EMAIL_ADDRESS por la dirección de correo electrónico del agente de servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

Los roles de IAM necesarios para el agente de servicio se otorgan cuando habilitas la DSPM y determinan qué operaciones puede realizar el agente de servicio.

Si deseas obtener más información sobre las reglas de entrada, consulta Configura políticas de entrada y salida.

Crea frameworks de seguridad de los datos personalizados

Si es necesario, copia el marco de trabajo de aspectos básicos de seguridad y privacidad de los datos y personalízalo para satisfacer tus requisitos de seguridad y cumplimiento de datos. Para obtener instrucciones, consulta Cómo aplicar un marco de trabajo.

Implementa controles avanzados de seguridad de los datos en la nube

Si es necesario, agrega los controles avanzados de seguridad de los datos en la nube a los marcos personalizados. Estos controles requieren configuración adicional antes de que puedas implementarlos. Para obtener instrucciones sobre la implementación de controles y marcos de trabajo de la nube, consulta Cómo aplicar un marco de trabajo.

Puedes implementar marcos de trabajo que incluyen controles avanzados de seguridad de los datos en la nube para tu organización, carpetas, proyectos y aplicaciones de App Hub en carpetas configuradas para la administración de aplicaciones. Para implementar los controles avanzados de seguridad de los datos en la nube en las aplicaciones, el framework solo puede incluir estos controles. Debes seleccionar la carpeta habilitada para apps y la aplicación que deseas que supervisen los controles en la nube. No se admiten aplicaciones en proyectos host ni en un límite de un solo proyecto.

Ten en cuenta lo siguiente:

Revisa la información de cada control avanzado de seguridad de los datos en la nube para conocer las limitaciones.

Completa las tareas para cada regla, como se describe en la siguiente tabla.

Regla	Configuración adicional
Control de nube de administración de acceso a los datos	Habilita los registros de auditoría de acceso a los datos para Cloud Storage y Agent Platform (cuando corresponda en tu entorno). Establece el tipo de permiso de acceso a los datos en `DATA_READ`. Habilita los registros de acceso a los datos a nivel de la organización o del proyecto, según dónde apliques el control de nube de administración de acceso a los datos. Verifica que solo los principales autorizados estén exentos del registro de auditoría. Las principales exentas del registro de auditoría también están exentas de la DSPM. Agrega una o más principales permitidas (hasta un máximo de 200) con uno de los siguientes formatos: Para un usuario, `principal://goog/subject/USER_EMAIL_ADDRESS` Ejemplo: `principal://goog/subject/alex@example.com` Para un grupo, `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Ejemplo: `principalSet://goog/group/my-group@example.com`
Control de nube para la administración de flujos de datos	Habilita los registros de auditoría de acceso a los datos para Cloud Storage y Agent Platform (cuando corresponda en tu entorno). Establece el tipo de permiso de acceso a los datos en `DATA_READ`. Habilita los registros de acceso a los datos a nivel de la organización o del proyecto, según dónde apliques el control de nube de administración de acceso a los datos. Verifica que solo los principales autorizados estén exentos del registro de auditoría. Las principales que están exentas del registro de auditoría también están exentas de la DSPM. Especifica los países permitidos con los códigos de país definidos en el repositorio de datos de configuración regional común (CLDR) de Unicode.
Protección de datos y control clave de administración de la nube	Habilita la CMEK en BigQuery y en Agent Platform.
Controles de eliminación de datos en la nube	Establece los períodos de retención. Por ejemplo, para establecer un período de retención de 90 días en segundos, configura el período de retención en `777600`.