Usa Data Security Posture Management

En este documento, se describe cómo puedes habilitar y usar la Administración de la postura de seguridad de los datos (DSPM).

Si estás en el nivel Estándar de Security Command Center, hay funciones limitadas de la DSPM disponibles.

Habilita DSPM

Puedes habilitar la DSPM durante la activación de Security Command Center o después.

Para habilitar DSPM a nivel de la organización, completa los siguientes pasos:

  1. Para obtener los permisos que necesitas para habilitar DSPM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

  2. Habilita la DSPM con uno de los siguientes métodos:
    Situación Instrucciones
    Eres nuevo en el nivel estándar de Security Command Center o estás migrando a él. Activa Security Command Center Standard para una organización y, así, habilitar la DSPM.
    No activaste Security Command Center y quieres usar el nivel Premium de Security Command Center. Habilita la DSPM activando Security Command Center Premium para una organización.
    No activaste Security Command Center y quieres usar el nivel Security Command Center Enterprise. Habilita la DSPM activando Security Command Center Enterprise.
    Activaste el nivel Premium de Security Command Center anteriormente y deseas habilitar la DSPM. Habilita DSPM en la página Configuración.

    Ir a la página Configuración
    Ya activaste el nivel Security Command Center Enterprise y quieres habilitar la DSPM. Habilita DSPM en la página Activar DSPM.

    Ir a Activar DSPM

    Para obtener más información sobre los niveles de Security Command Center, consulta Niveles de servicio de Security Command Center.

  3. Habilita el descubrimiento de los recursos que deseas proteger con la DSPM (solo para los niveles Premium y Enterprise).

Cuando habilitas la DSPM, también se habilitan los siguientes servicios (solo para los niveles Premium y Enterprise):

  • Administrador de cumplimiento para crear, aplicar y administrar marcos de seguridad de los datos y controles de la nube
  • Sensitive Data Protection para usar indicadores de sensibilidad de los datos en la evaluación predeterminada del riesgo de los datos
  • Detección de eventos de amenazas (parte de Security Command Center) a nivel de la organización para usar el control de nube de administración de acceso a los datos y el control de nube de administración de flujo de datos.
  • AI Protection para ayudar a proteger el ciclo de vida de tus cargas de trabajo de IA (solo para el nivel Security Command Center Enterprise)

El marco de trabajo de los conceptos básicos de seguridad y privacidad de los datos se aplica automáticamente a la organización (solo en los niveles Premium y Enterprise).

(Solo para los niveles Premium y Enterprise) El agente de servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) se crea cuando habilitas DSPM.

Para obtener información sobre los roles de Identity and Access Management de DSPM, consulta Identity and Access Management para activaciones a nivel de la organización.

Cambio del nivel Premium o Enterprise al nivel Estándar

Cuando cambias de nivel de Premium o Enterprise al nivel Estándar, tus capacidades de DSPM se ven afectadas de la siguiente manera:

  • Se quitaron los frameworks: Se quitaron los frameworks de DSPM implementados que dependen de las funciones Premium o Enterprise.
  • Pérdida de acceso a funciones: Pierdes el acceso a los controles de seguridad de los datos avanzados y a los marcos de datos personalizados.
  • Vuelve a la configuración básica: La DSPM usa las verificaciones básicas de seguridad de los datos incluidas en el marco de trabajo de Security Essentials.
  • Los hallazgos dejan de estar activos: Todos los hallazgos que generaron anteriormente los frameworks de nivel Premium o Enterprise dejan de estar activos. Los únicos hallazgos que siguen disponibles son los del framework de Security Essentials.

Si vuelves a actualizar al nivel Premium o Enterprise después de cambiar al nivel Estándar, las implementaciones de frameworks que se quitaron durante el cambio no se podrán recuperar automáticamente. Debes volver a implementar estos frameworks de forma manual y volver a compilar las configuraciones asociadas.

Compatibilidad de DSPM con los perímetros de Controles del servicio de VPC

Cuando habilites la DSPM en una organización que incluya perímetros de Controles del servicio de VPC, ten en cuenta lo siguiente:

  • Revisa las limitaciones de Security Command Center.

  • No puedes usar un perímetro para proteger los recursos de DSPM, ya que todos se encuentran a nivel de la organización. Para administrar los permisos de DSPM, usa IAM.

  • Como DSPM está habilitado a nivel de la organización, no puede detectar riesgos ni incumplimientos de datos dentro de un perímetro de servicio. Para permitir el acceso, completa los siguientes pasos:

    1. Asegúrate de tener los roles necesarios para configurar los Controles del servicio de VPC a nivel de la organización.

    2. Configura la siguiente regla de entrada:

    - ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"

    Reemplaza DSPM_SA_EMAIL_ADDRESS por la dirección de correo electrónico del agente de servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

    Los roles de IAM necesarios para el agente de servicio se otorgan cuando habilitas la DSPM y determinan qué operaciones puede realizar el agente de servicio.

    Para obtener más información sobre las reglas de entrada, consulta Configura políticas de entrada y salida.

Usa el panel de DSPM

El contenido y las funciones del panel dependen del nivel de Security Command Center. Si estás en el nivel Estándar, consulta la descripción general de la Administración de la postura de seguridad de los datos en el nivel Estándar para conocer las capacidades disponibles en el panel.

Consulta Todos los riesgos en el panel para obtener más información sobre el panel en los niveles Premium y Enterprise de Security Command Center.

Completa las siguientes acciones para usar el panel y analizar tu postura de seguridad de los datos.

  1. Para obtener los permisos que necesitas para usar el panel de DSPM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

  2. Usa el panel de DSPM para el descubrimiento de datos y el análisis de riesgos. Cuando habilitas la DSPM, puedes evaluar de inmediato cómo se alinea tu entorno con el marco de trabajo de aspectos básicos de la seguridad y la privacidad de los datos.

    En la consola de Google Cloud , ve a la página Seguridad y cumplimiento de datos y, luego, selecciona tu organización de Google Cloud . Después de seleccionar una organización, se te redireccionará a la pestaña Datos en el panel Resumen de riesgos.

    Ir al panel de Visión general del riesgo

    La siguiente información está disponible:

    • Explorador del mapa de datos
    • Hallazgos de seguridad de los datos
    • Estadísticas de seguridad de los datos
    • (Versión preliminar) Estadísticas sobre los controles y los marcos de seguridad de los datos aplicados

    Usa esta información para revisar y corregir los resultados, de modo que tu entorno se alinee mejor con tus requisitos de seguridad y cumplimiento.

    Cuando ves el panel a nivel de la organización y, luego, implementas aplicaciones en una carpeta configurada para la administración de aplicaciones, puedes seleccionar una aplicación para filtrar el panel y mostrar solo los hallazgos y las estadísticas que se aplican a la aplicación. Cuando revises los datos, ten en cuenta las siguientes latencias de análisis:

    • Es posible que el panel de principales hallazgos muestre datos de configuración de recursos desactualizados. Por ejemplo, el recurso principal de un hallazgo podría estar asociado con una aplicación desactualizada.

    • Es posible que el selector de aplicaciones no muestre las aplicaciones ni los registros de recursos que se crearon en las últimas 24 horas.

    Es posible que el Explorador del mapa de datos tarde 24 horas después de que actives Security Command Center en completar todos los datos de Security Command Center y Cloud Asset Inventory.

Crea frameworks de seguridad de los datos personalizados

Si es necesario, copia el marco de trabajo de los aspectos básicos de seguridad y privacidad de los datos y personalízalo para que cumpla con tus requisitos de seguridad y cumplimiento de datos. Para obtener instrucciones, consulta Cómo aplicar un marco de trabajo.

Implementa controles avanzados de seguridad de los datos en la nube

Si es necesario, agrega los controles avanzados de seguridad de los datos en la nube a los marcos personalizados. Estos controles requieren configuración adicional antes de que puedas implementarlos. Para obtener instrucciones sobre la implementación de controles y marcos de trabajo de la nube, consulta Aplica un marco de trabajo.

Puedes implementar marcos de trabajo que incluyen controles avanzados de seguridad de los datos en la nube para tu organización, carpetas, proyectos y aplicaciones de App Hub en carpetas configuradas para la administración de aplicaciones. Para implementar los controles avanzados de seguridad de los datos en la nube en las aplicaciones, el framework solo puede incluir estos controles. Debes seleccionar la carpeta habilitada para apps y la aplicación que deseas que supervisen los controles en la nube. No se admiten aplicaciones en proyectos host ni en un límite de un solo proyecto.

Ten en cuenta lo siguiente:

¿Qué sigue?