שימוש ב-Data Security Posture Management

במאמר הזה מוסבר איך להפעיל את Data Security Posture Management (DSPM) ולהשתמש בו.

אם אתם משתמשים ברמת Standard של Security Command Center, תוכלו לגשת לתכונות מוגבלות של DSPM.

הפעלת DSPM

אפשר להפעיל DSPM במהלך ההפעלה של Security Command Center או אחרי ההפעלה.

כדי להפעיל DSPM ברמת הארגון:

1. כדי לקבל את ההרשאות שדרושות להפעלת DSPM, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:

   • אדמין ארגוני (roles/resourcemanager.organizationAdmin)
   • אדמין ב-Security Center (roles/securitycenter.admin)

   להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

   יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

2. מפעילים את DSPM באחת מהשיטות הבאות:

   תרחיש	הוראות
   אתם משתמשים חדשים ב-Security Command Center Standard או עוברים אליו.	כדי להפעיל DSPM, צריך להפעיל את Security Command Center Standard בארגון.
   לא הפעלתם את Security Command Center ואתם רוצים להשתמש ברמת Premium של Security Command Center.	כדי להפעיל את DSPM, מפעילים את Security Command Center Premium בארגון.
   לא הפעלתם את Security Command Center ואתם רוצים להשתמש ברמת השירות Security Command Center Enterprise.	מפעילים את DSPM על ידי הפעלת Security Command Center Enterprise.
   הפעלתם בעבר את רמת Premium של Security Command Center ואתם רוצים להפעיל את DSPM.	הפעלת DSPM באמצעות הדף הגדרות. מעבר לדף ההגדרות
   הפעלתם בעבר את רמת השירות Security Command Center Enterprise ואתם רוצים להפעיל את DSPM.	מפעילים את ה-DSPM באמצעות הדף Activate DSPM (הפעלת DSPM). מעבר להפעלת DSPM

   מידע נוסף על רמות השירות של Security Command Center זמין במאמר רמות השירות של Security Command Center.

3. הפעלת גילוי של המשאבים שרוצים להגן עליהם באמצעות DSPM (רק בתוכניות Premium ו-Enterprise).

כשמפעילים את DSPM, גם השירותים הבאים מופעלים (רק ברמות Premium ו-Enterprise):

• ‫Compliance Manager כדי ליצור, להחיל ולנהל מסגרות אבטחת מידע ואמצעי בקרה בענן.
• ‫Sensitive Data Protection כדי להשתמש באותות רגישות נתונים להערכת סיכוני נתונים כברירת מחדל.
• ‫Event Threat Detection (חלק מ-Security Command Center) ברמת הארגון, כדי להשתמש באמצעי הבקרה בענן לניהול גישה לנתונים ובאמצעי הבקרה בענן לניהול זרימת נתונים.
• ‫ניהול סיכונים במערכות AI כדי לעזור באבטחת מחזור החיים של עומסי העבודה של ה-AI (רק ברמת Enterprise של Security Command Center).

מסגרת העבודה בנושא אבטחת מידע ופרטיות מוחלת על הארגון באופן אוטומטי (במהדורות Premium ו-Enterprise בלבד).

(רק ברמות Premium ו-Enterprise) סוכן שירות ה-DSPM‏ (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) נוצר כשמפעילים את ה-DSPM.

במאמר ניהול זהויות והרשאות גישה להפעלות ברמת הארגון מוסבר על התפקידים ב-IAM של DSPM.

שדרוג לאחור ממסלולי Premium או Enterprise למסלול Standard

כשמשדרגים לאחור מהרמה Premium או Enterprise לרמה Standard, היכולות שלכם ב-DSPM מושפעות באופן הבא:

• מסגרות שהוסרו: מסגרות DSPM שנפרסו ותלויות בתכונות של מהדורות Premium או Enterprise יוסרו.
• איבדתם את הגישה לפיצ'רים: איבדתם את הגישה לאמצעי בקרה מתקדמים לאבטחת מידע ולמסגרות נתונים בהתאמה אישית.
• חוזר לבסיסי: DSPM משתמש בבדיקות אבטחת מידע הבסיסיות שכלולות במסגרת Security Essentials.
• התוצאות מושבתות: כל התוצאות שנוצרו בעבר על ידי מסגרות של מהדורות Premium או Enterprise מושבתות. התוצאות היחידות שעדיין יהיו זמינות הן אלה שמתקבלות מה-framework של Security Essentials.

אם תשדרגו חזרה לרמה Premium או Enterprise אחרי שדרוג לאחור לרמה Standard, לא תהיה אפשרות לשחזר באופן אוטומטי פריסות של מסגרות שהוסרו במהלך השדרוג לאחור. צריך לפרוס מחדש את המסגרות האלה באופן ידני ולבנות מחדש את ההגדרות המשויכות.

תמיכה ב-DSPM להיקפי אבטחה של VPC Service Controls

כשמפעילים את DSPM בארגון שכולל גבולות גזרה של VPC Service Controls, חשוב לשים לב לנקודות הבאות:

• כדאי לעיין במגבלות של Security Command Center.

• אי אפשר להשתמש בגבולות גזרה כדי להגן על משאבי DSPM כי כל המשאבים נמצאים ברמת הארגון. כדי לנהל את ההרשאות של DSPM, משתמשים ב-IAM.

• מכיוון ש-DSPM מופעל ברמת הארגון, הוא לא יכול לזהות סיכונים והפרות של נתונים בתוך גבולות גזרה לשירות. כדי לאשר גישה, צריך לבצע את הפעולות הבאות:

  1. מוודאים שיש לכם את התפקידים הנדרשים להגדרת VPC Service Controls ברמת הארגון.

  2. מגדירים את כלל הכניסה הבא:

  - ingressFrom:
    identities:
    - serviceAccount: DSPM_SA_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
    ingressTo:
      operations: "*"
      resources: "*"
  

  מחליפים את DSPM_SA_EMAIL_ADDRESS בכתובת האימייל של סוכן השירות של DSPM‏ (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

  תפקידי ה-IAM הנדרשים לסוכן השירות ניתנים כשמפעילים את DSPM, וקובעים אילו פעולות סוכן השירות יכול לבצע.

  מידע נוסף על כללי כניסה מופיע במאמר הגדרת מדיניות כניסה ויציאה.

שימוש במרכז הבקרה של DSPM

התוכן והתכונות של מרכז הבקרה תלויים ברמת השירות של Security Command Center. אם אתם משתמשים במהדורת Standard, תוכלו לעיין בסקירה הכללית של Data Security Posture Management במהדורת Standard כדי לראות אילו יכולות זמינות לכם בלוח הבקרה.

מידע נוסף על מרכז הבקרה זמין במאמר מרכז הבקרה 'כל הסיכונים' במהדורות Security Command Center Premium ו-Enterprise.

כדי להשתמש בלוח הבקרה לניתוח מצב אבטחת הנתונים, צריך לבצע את הפעולות הבאות:

1. כדי לקבל את ההרשאות שדרושות לשימוש במרכז הבקרה של DSPM, אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:

   • אדמין ל-Data Security Posture Management (roles/dspm.admin)
   • אדמין ב-Security Center (roles/securitycenter.admin)
   • כדי לקבל הרשאת קריאה בלבד:
     • צפייה ב-Data Security Posture Management (roles/dspm.viewer)
     • צפייה באדמין ב-Security Center (roles/securitycenter.adminViewer)

   להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

   יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

2. להשתמש בלוח הבקרה של DSPM כדי לגלות נתונים ולנתח סיכונים. כשמפעילים את ה-DSPM, אפשר להעריך באופן מיידי איך הסביבה שלכם תואמת למסגרת של עקרונות בסיסיים לאבטחת מידע ולפרטיות.

   במסוף Google Cloud , עוברים לדף Data Security & Compliance ובוחרים את הארגון Google Cloud . אחרי שבוחרים ארגון, מועברים לכרטיסייה נתונים בלוח הבקרה סקירת סיכונים.

   מעבר ללוח הבקרה Risk Overview

   המידע הבא זמין:

   • סייר מפת הנתונים
   • ממצאי אבטחת מידע
   • תובנות בנושא אבטחת מידע
   • (תצוגה מקדימה) תובנות לגבי אמצעי בקרה ומסגרות אבטחת מידע שהופעלו

   השתמשו במידע הזה כדי לבדוק את הממצאים ולתקן אותם, וכך לשפר את ההתאמה של הסביבה שלכם לדרישות האבטחה והתאימות.

   כשמציגים את לוח הבקרה ברמת הארגון ומפעילים אפליקציות בתיקייה שהוגדרה לניהול אפליקציות, אפשר לבחור אפליקציה כדי לסנן את לוח הבקרה כך שיוצגו רק הממצאים והתובנות שרלוונטיים לאפליקציה. כשבודקים את הנתונים, כדאי לשים לב לזמני האחזור של הסריקה:

   • יכול להיות שבחלונית 'ממצאים מובילים' יוצגו נתוני הגדרות של משאבים לא עדכניים. לדוגמה, יכול להיות שהמשאב העיקרי של ממצא מסוים משויך לאפליקציה לא מעודכנת.
   • יכול להיות שבבורר האפליקציות לא יופיעו האפליקציות והרשמות למשאבים שנוצרו ב-24 השעות האחרונות.

   יכול להיות שיחלפו 24 שעות אחרי הפעלת Security Command Center עד שכל הנתונים מ-Security Command Center ומ-מאגר משאבי ענן יופיעו במפה.

יצירת מסגרות מותאמות אישית לאבטחת מידע

אם נדרש, מעתיקים את מסגרת העבודה בנושא אבטחת מידע ופרטיותומתאימים אותה לדרישות שלכם בנושא אבטחת מידע ועמידה בדרישות. הוראות מפורטות מופיעות במאמר בנושא החלת מסגרת.

פריסת אמצעי בקרה מתקדמים בענן לאבטחת מידע

אם נדרש, מוסיפים את אמצעי הבקרה המתקדמים לאבטחת נתונים בענן למסגרות בהתאמה אישית. כדי להטמיע את אמצעי הבקרה האלה, צריך לבצע הגדרה נוספת. הוראות להטמעה של אמצעי בקרה ומסגרות בענן מופיעות במאמר החלת מסגרת.

אתם יכולים לפרוס מסגרות שכוללות אמצעי בקרה מתקדמים לאבטחת מידע בענן בארגון, בתיקיות, בפרויקטים ובאפליקציות של App Hub בתיקיות שהוגדרו לניהול אפליקציות. כדי לפרוס את אמצעי הבקרה המתקדמים בענן לאבטחת נתונים באפליקציות, המסגרת יכולה לכלול רק את אמצעי הבקרה האלה. צריך לבחור את התיקייה שמופעלת בה האפליקציה ואת האפליקציה שרוצים שהבקרה בענן תעקוב אחריה. אין תמיכה באפליקציות בפרויקטים מארחים או בגבולות של פרויקט יחיד.

כמה נקודות שכדאי לחשוב עליהן:

• כדאי לעיין במידע על כל אמצעי בקרה מתקדם לאבטחת נתונים בענן כדי לראות מהן המגבלות.

• מבצעים את המשימות לכל כלל, כפי שמתואר בטבלה הבאה.

  כלל	שלבי הגדרת תצורה נוספים
  שליטה בענן לניהול גישה לנתונים	מפעילים יומני בקרת הרשאות גישה לנתונים ב-Cloud Storage וב-Vertex AI (אם רלוונטי בסביבה שלכם). מגדירים את סוג הרשאת הגישה לנתונים ל-DATA_READ. מפעילים את יומני הגישה לנתונים ברמת הארגון או ברמת הפרויקט, בהתאם למקום שבו אתם מיישמים את אמצעי הבקרה של משילות הגישה לנתונים בענן. מוודאים שרק חשבונות משתמשים מורשים מוחרגים מרישום ביומן הביקורת. חשבונות משתמשים שמוחרגים מרישום ביומן הביקורת מוחרגים גם מ-DSPM. מוסיפים חשבון משתמש אחד או יותר (עד 200 חשבונות משתמשים) באחד מהפורמטים הבאים: למשתמש אחד (principal://goog/subject/USER_EMAIL_ADDRESS) לדוגמה: principal://goog/subject/alex@example.com לקבוצה, principalSet://goog/group/GROUP_EMAIL_ADDRESS לדוגמה: principalSet://goog/group/my-group@example.com
  אמצעי בקרה בענן לניהול זרימת נתונים	מפעילים יומני בקרת הרשאות גישה לנתונים ב-Cloud Storage וב-Vertex AI (אם רלוונטי בסביבה שלכם). מגדירים את סוג הרשאת הגישה לנתונים ל-DATA_READ. מפעילים את יומני הגישה לנתונים ברמת הארגון או ברמת הפרויקט, בהתאם למקום שבו אתם מיישמים את אמצעי הבקרה של משילות הגישה לנתונים בענן. מוודאים שרק חשבונות משתמשים מורשים מוחרגים מרישום ביומן הביקורת. חשבונות משתמשים שמוחרגים מרישום ביומן הביקורת מוחרגים גם מ-DSPM. מציינים את המדינות המותרות באמצעות קודי המדינות שמוגדרים במאגר הנתונים של Unicode Common Locale (CLDR).
  הגנה על נתונים ובקרה על ניהול מפתחות בענן	מפעילים את CMEK ב-BigQuery וב-Vertex AI.
  אמצעי בקרה בענן למחיקת נתונים	מגדירים את תקופות השמירה. לדוגמה, כדי להגדיר תקופת שמירה של 90 יום בשניות, מגדירים את תקופת השמירה ל-777600.

המאמרים הבאים

• בודקים את הממצאים שקשורים לאבטחת נתונים.