Dokumen ini menjelaskan cara mengaktifkan dan menggunakan Pengelolaan Postur Keamanan Data (DSPM).
Mengaktifkan DSPM
Selesaikan langkah-langkah berikut untuk mengaktifkan DSPM di tingkat organisasi:
-
Untuk mendapatkan izin yang Anda perlukan guna mengaktifkan DSPM, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi Anda:
-
Organization Administrator (
roles/resourcemanager.organizationAdmin) -
Security Center Admin (
roles/securitycenter.admin)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, baca artikel Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
-
Organization Administrator (
- Aktifkan DSPM menggunakan salah satu metode berikut:
- Jika Anda belum mengaktifkan Security Command Center di organisasi Anda, maka Aktifkan Security Command Center Enterprise.
- Jika Anda telah mengaktifkan tingkat layanan Enterprise Security Command Center, tambahkan DSPM menggunakan halaman Aktifkan DSPM.
- Aktifkan penemuan resource yang ingin Anda lindungi dengan DSPM.
Saat Anda mengaktifkan DSPM, layanan berikut juga diaktifkan:
- Compliance Manager untuk membuat, menerapkan, dan mengelola framework keamanan data dan kontrol cloud.
- Sensitive Data Protection untuk menggunakan sinyal sensitivitas data untuk penilaian risiko data default.
- Event Threat Detection (bagian dari Security Command Center) di tingkat organisasi untuk menggunakan kontrol cloud tata kelola akses data dan kontrol cloud tata kelola alur data
- AI Protection untuk membantu mengamankan siklus proses workload AI Anda.
Agen layanan DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) dibuat saat Anda mengaktifkan DSPM.
Untuk mengetahui informasi tentang peran Identity and Access Management DSPM, lihat Identity and Access Management untuk aktivasi tingkat organisasi.
Menggunakan dasbor DSPM
Selesaikan tindakan berikut untuk menggunakan dasbor guna menganalisis postur keamanan data Anda.
-
Untuk mendapatkan izin yang Anda perlukan guna menggunakan dasbor DSPM, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi Anda:
-
Admin Pengelolaan Postur Keamanan Data (
roles/dspm.admin) -
Security Center Admin (
roles/securitycenter.admin) -
Untuk akses hanya baca:
-
Data Security Posture Management Viewer (
roles/dspm.viewer) -
Security Center Admin Viewer (
roles/securitycenter.adminViewer)
-
Data Security Posture Management Viewer (
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, baca artikel Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
-
Admin Pengelolaan Postur Keamanan Data (
- Gunakan dasbor DSPM untuk penemuan data dan analisis
risiko. Saat mengaktifkan DSPM, Anda dapat langsung menilai keselarasan lingkungan Anda dengan framework dasar-dasar keamanan dan privasi Data.
Di konsol, klik tab Perlindungan Data di bagian Kepatuhan & Keamanan Data.
Informasi berikut tersedia:
- Penjelajah pemetaan data
- Temuan keamanan data
- Insight tentang kontrol dan framework keamanan data yang diterapkan
Gunakan informasi ini untuk meninjau dan memperbaiki temuan sehingga lingkungan Anda lebih selaras dengan persyaratan keamanan dan kepatuhan Anda.
Saat melihat dasbor dari tingkat organisasi dan men-deploy aplikasi di folder yang mendukung aplikasi, Anda dapat memilih aplikasi untuk memfilter dasbor agar hanya menampilkan temuan dan insight yang berlaku untuk aplikasi tersebut. Pertimbangkan latensi pemindaian berikut saat meninjau data:
- Panel temuan teratas mungkin menampilkan data konfigurasi resource yang sudah tidak berlaku. Misalnya, resource utama temuan mungkin terkait dengan aplikasi yang sudah tidak berlaku.
- Pemilih aplikasi mungkin tidak menampilkan pendaftaran aplikasi dan resource yang dibuat dalam 24 jam terakhir.
Penjelajah peta data mungkin memerlukan waktu 24 jam setelah Anda mengaktifkan Security Command Center untuk mengisi semua data dari Security Command Center dan Inventaris Aset Cloud.
Membuat framework keamanan data kustom
Jika diperlukan, salin framework dasar keamanan dan privasi data dan sesuaikan untuk memenuhi persyaratan keamanan dan kepatuhan data Anda. Untuk mendapatkan petunjuk, lihat Menerapkan framework.
Men-deploy kontrol cloud keamanan data tingkat lanjut
Jika diperlukan, tambahkan kontrol cloud keamanan data lanjutan ke framework kustom. Kontrol ini memerlukan konfigurasi tambahan sebelum Anda dapat men-deploy-nya. Untuk petunjuk tentang cara men-deploy kontrol dan framework cloud, lihat Menerapkan framework.
Anda dapat men-deploy framework yang mencakup kontrol cloud keamanan data tingkat lanjut ke organisasi, folder, project, dan aplikasi Anda di folder yang mendukung aplikasi di App Hub. Untuk men-deploy kontrol cloud keamanan data tingkat lanjut terhadap aplikasi, framework hanya dapat menyertakan kontrol ini. Anda harus memilih folder yang mendukung aplikasi dan aplikasi yang ingin dipantau oleh kontrol cloud. Aplikasi di project host tidak didukung.
Pertimbangkan hal berikut:
Tinjau informasi untuk setiap kontrol keamanan data lanjutan cloud untuk mengetahui batasannya.
Selesaikan tugas untuk setiap aturan, seperti yang dijelaskan dalam tabel berikut.
Aturan Konfigurasi tambahan Kontrol cloud tata kelola akses data - Aktifkan Log audit Akses Data untuk Cloud Storage dan Vertex AI (jika berlaku di lingkungan Anda).
Tetapkan jenis izin akses data ke
DATA_READ. Aktifkan log akses data di tingkat organisasi atau tingkat project, bergantung pada tempat Anda menerapkan kontrol cloud Tata kelola akses data.Pastikan hanya akun utama yang diberi otorisasi yang dikecualikan dari pencatatan log audit. Akun utama yang dikecualikan dari logging audit juga dikecualikan dari DSPM.
- Tambahkan satu atau beberapa akun utama yang diizinkan (maksimum 200
akun utama), menggunakan salah satu format berikut:
- Untuk pengguna,
principal://goog/subject/USER_EMAIL_ADDRESSContoh:
principal://goog/subject/alex@example.com - Untuk grup,
principalSet://goog/group/GROUP_EMAIL_ADDRESSContoh:
principalSet://goog/group/my-group@example.com
- Untuk pengguna,
Kontrol cloud tata kelola aliran data Aktifkan Log audit Akses Data untuk Cloud Storage dan Vertex AI(jika berlaku di lingkungan Anda).
Tetapkan jenis izin akses data ke
DATA_READ. Aktifkan log akses data di tingkat organisasi atau tingkat project, bergantung pada tempat Anda menerapkan kontrol cloud Tata kelola akses data.Pastikan hanya akun utama yang diberi otorisasi yang dikecualikan dari pencatatan log audit. Akun utama yang dikecualikan dari logging audit juga dikecualikan dari DSPM.
- Tentukan negara yang diizinkan menggunakan kode negara yang ditentukan dalam Unicode Common Locale Data Repository (CLDR).
Kontrol cloud tata kelola kunci dan perlindungan data Aktifkan CMEK di BigQuery dan Vertex AI. Kontrol cloud penghapusan data Tetapkan periode retensi. Misalnya, untuk menetapkan periode retensi 90 hari dalam detik, tetapkan periode retensi ke 777600.- Aktifkan Log audit Akses Data untuk Cloud Storage dan Vertex AI (jika berlaku di lingkungan Anda).
Langkah berikutnya
- Tinjau temuan terkait keamanan data.