Usa Data Security Posture Management

En este documento, se describe cómo puedes habilitar y usar la Administración de la postura de seguridad de los datos (DSPM).

Habilita DSPM

Puedes habilitar la DSPM durante la activación de Security Command Center o después.

Completa los siguientes pasos para habilitar DSPM a nivel de la organización:

  1. Si quieres obtener los permisos que necesitas para habilitar DSPM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

  2. Habilita la DSPM con uno de los siguientes métodos:
    Situación Instrucciones
    No activaste Security Command Center o usas el nivel Estándar de Security Command Center y quieres usar el nivel Premium de Security Command Center. Habilita la DSPM activando Security Command Center Premium para una organización.
    No activaste Security Command Center y quieres usar el nivel de Security Command Center Enterprise. Habilita la DSPM activando Security Command Center Enterprise.
    Ya activaste el nivel Premium de Security Command Center y quieres habilitar la DSPM. Habilita DSPM en la página Configuración.

    Ir a la página Configuración
    Ya activaste el nivel de Security Command Center Enterprise y quieres habilitar la DSPM. Habilita DSPM en la página Activar DSPM.

    Ir a Activar DSPM

    Para obtener más información sobre los niveles de Security Command Center, consulta Niveles de servicio de Security Command Center.

  3. Habilita el descubrimiento de los recursos que deseas proteger con DSPM.

Cuando habilitas la DSPM, también se habilitan los siguientes servicios:

  • Administrador de cumplimiento para crear, aplicar y administrar marcos de seguridad de los datos y controles de la nube
  • Sensitive Data Protection para usar indicadores de sensibilidad de los datos en la evaluación predeterminada del riesgo de los datos
  • Detección de eventos de amenazas (parte de Security Command Center) a nivel de la organización para usar el control de nube de administración de acceso a los datos y el control de nube de administración de flujo de datos.
  • Protección de la IA para ayudar a proteger el ciclo de vida de tus cargas de trabajo de IA (solo para el nivel de Security Command Center Enterprise)

El framework de conceptos básicos de seguridad y privacidad de los datos se aplica a la organización automáticamente.

El agente de servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) se crea cuando habilitas DSPM.

Para obtener información sobre los roles de Identity and Access Management de DSPM, consulta Identity and Access Management para activaciones a nivel de la organización.

Compatibilidad de DSPM con los perímetros de Controles del servicio de VPC

Cuando habilites la DSPM en una organización que incluya perímetros de Controles del servicio de VPC, ten en cuenta lo siguiente:

  • Revisa las limitaciones de Security Command Center.

  • No puedes usar un perímetro para proteger los recursos de DSPM, ya que todos se encuentran a nivel de la organización. Para administrar los permisos de DSPM, usa IAM.

  • Como DSPM está habilitado a nivel de la organización, no puede detectar riesgos ni incumplimientos de datos dentro de un perímetro de servicio. Para permitir el acceso, completa los siguientes pasos:

    1. Asegúrate de tener los roles necesarios para configurar los Controles del servicio de VPC a nivel de la organización.

    2. Configura la siguiente regla de entrada:

    - ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"

    Reemplaza DSPM_SA_EMAIL_ADDRESS por la dirección de correo electrónico del agente de servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

    Los roles de IAM necesarios para el agente de servicio se otorgan cuando habilitas DSPM y determinan qué operaciones puede realizar el agente de servicio.

    Para obtener más información sobre las reglas de entrada, consulta Configura políticas de entrada y salida.

Usa el panel de DSPM

Completa las siguientes acciones para usar el panel y analizar tu postura de seguridad de los datos.

  1. Para obtener los permisos que necesitas para usar el panel de DSPM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

  2. Usa el panel de DSPM para el descubrimiento de datos y el análisis de riesgos. Cuando habilitas la DSPM, puedes evaluar de inmediato cómo se alinea tu entorno con el marco de trabajo de aspectos básicos de la seguridad y la privacidad de los datos.

    En la consola, haz clic en la pestaña Protección de datos en Seguridad y cumplimiento de datos.

    Ir al panel de seguridad de los datos

    La siguiente información está disponible:

    • Explorador del mapa de datos
    • Hallazgos de seguridad de los datos
    • Estadísticas sobre los controles y frameworks de seguridad de los datos aplicados

    Usa esta información para revisar y corregir los resultados, de modo que tu entorno se alinee mejor con tus requisitos de seguridad y cumplimiento.

    Cuando ves el panel a nivel de la organización y, luego, implementas aplicaciones en una carpeta configurada para la administración de aplicaciones, puedes seleccionar una aplicación para filtrar el panel y mostrar solo los hallazgos y las estadísticas que se aplican a la aplicación. Cuando revises los datos, ten en cuenta las siguientes latencias de análisis:

    • Es posible que el panel de principales hallazgos muestre datos de configuración de recursos desactualizados. Por ejemplo, el recurso principal de un hallazgo podría estar asociado a una aplicación desactualizada.

    • Es posible que el selector de aplicaciones no muestre las aplicaciones ni los registros de recursos que se crearon en las últimas 24 horas.

    Es posible que el explorador del mapa de datos tarde 24 horas después de que actives Security Command Center en completar todos los datos de Security Command Center y Cloud Asset Inventory.

Crea frameworks de seguridad de los datos personalizados

Si es necesario, copia el marco de trabajo de los aspectos básicos de seguridad y privacidad de los datos y personalízalo para que cumpla con tus requisitos de seguridad y cumplimiento de datos. Para obtener instrucciones, consulta Cómo aplicar un marco de trabajo.

Implementa controles avanzados de seguridad de los datos en la nube

Si es necesario, agrega los controles de seguridad de los datos avanzados en la nube a los marcos personalizados. Estos controles requieren configuración adicional antes de que puedas implementarlos. Para obtener instrucciones sobre la implementación de controles y marcos de trabajo de la nube, consulta Cómo aplicar un marco de trabajo.

Puedes implementar frameworks que incluyen controles avanzados de seguridad de los datos en la nube para tu organización, carpetas, proyectos y aplicaciones de App Hub en carpetas configuradas para la administración de aplicaciones. Para implementar los controles avanzados de seguridad de los datos en la nube en las aplicaciones, el framework solo puede incluir estos controles. Debes seleccionar la carpeta habilitada para apps y la aplicación que deseas que supervisen los controles en la nube. No se admiten aplicaciones en proyectos host ni en un límite de un solo proyecto.

Ten en cuenta lo siguiente:

  • Revisa la información de cada control avanzado de seguridad de los datos en la nube para conocer las limitaciones.

  • Completa las tareas para cada regla, como se describe en la siguiente tabla.

    Regla Configuración adicional
    Control de nube de administración de acceso a los datos
    • Habilita los registros de auditoría de acceso a los datos para Cloud Storage y Vertex AI (cuando corresponda en tu entorno).

      Establece el tipo de permiso de acceso a los datos en DATA_READ. Habilita los registros de acceso a los datos a nivel de la organización o del proyecto, según dónde apliques el control de nube de administración de acceso a los datos.

      Verifica que solo los principales autorizados estén exentos del registro de auditoría. Las entidades principales exentas del registro de auditoría también están exentas de la DSPM.

    • Agrega una o más principales permitidas (hasta un máximo de 200) con uno de los siguientes formatos:
      • Para un usuario, principal://goog/subject/USER_EMAIL_ADDRESS

        Ejemplo: principal://goog/subject/alex@example.com

      • Para un grupo, principalSet://goog/group/GROUP_EMAIL_ADDRESS

        Ejemplo: principalSet://goog/group/my-group@example.com
    Control de nube para la administración de flujos de datos

    • Habilita los registros de auditoría de acceso a los datos para Cloud Storage y Vertex AI(cuando corresponda en tu entorno).

      Establece el tipo de permiso de acceso a los datos en DATA_READ. Habilita los registros de acceso a los datos a nivel de la organización o del proyecto, según dónde apliques el control de nube de administración de acceso a los datos.

      Verifica que solo los principales autorizados estén exentos del registro de auditoría. Las principales exentas del registro de auditoría también están exentas de la DSPM.

    • Especifica los países permitidos con los códigos de país definidos en el Unicode Common Locale Data Repository (CLDR).
    Control de administración de claves y protección de datos en la nube Habilita la CMEK en BigQuery y Vertex AI.
    Controles de eliminación de datos en la nube Establece los períodos de retención. Por ejemplo, para establecer un período de retención de 90 días en segundos, configura el período de retención en 777600.

¿Qué sigue?