Publicar perfis de dados no Security Command Center

Esta página oferece uma visão geral das ações que você precisa realizar se quiser que os perfis de dados gerem descobertas no Security Command Center. Esta página também fornece exemplos de consultas que podem ser usadas para encontrar as descobertas geradas.

Sobre perfis de dados

É possível configurar a proteção de dados sensíveis para gerar perfis automaticamente sobre dados em uma organização, pasta ou projeto. Os perfis de dados contêm métricas e metadados sobre seus dados e ajudam a determinar onde os dados sensíveis e de alto risco residem. A proteção de dados sensíveis informa essas métricas em vários níveis de detalhe. Para informações sobre os tipos de dados que podem ser criados, consulte Recursos compatíveis.

Benefícios da publicação de perfis de dados no Security Command Center

Esse recurso oferece os seguintes benefícios no Security Command Center:

Descobertas geradas do Security Command Center

Ao configurar o serviço de descoberta para publicar perfis dos dados no Security Command Center, cada perfil dos dados de tabela ou perfil dos dados de repositório de arquivos gera as seguintes descobertas do Security Command Center.

Descobertas de vulnerabilidades do serviço de descoberta

O serviço de descoberta da proteção de dados sensíveis ajuda a determinar se você está armazenando dados altamente sensíveis que não estão protegidos.

Categoria Resumo

Nome da categoria na API:

PUBLIC_SENSITIVE_DATA

Descrição da descoberta: o recurso especificado tem dados de alta sensibilidade que podem ser acessados por qualquer pessoa na Internet.

Recursos compatíveis:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/TuningJob
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket do Amazon S3
  • Contêiner do Armazenamento de Blobs do Azure

Correção:

Para Google Cloud dados, remova allUsers e allAuthenticatedUsers da política do IAM do recurso de dados.

Para dados do Amazon S3, configure as configurações de bloqueio de acesso público ou atualize a ACL do objeto para negar o acesso público de leitura. Para mais informações, consulte Como configurar as configurações de bloqueio de acesso público para buckets do S3 e Como configurar ACLs na documentação da AWS.

Para dados do Armazenamento de Blobs do Azure, remova o acesso público ao contêiner e aos blobs. Para mais informações, consulte Visão geral: como corrigir o acesso de leitura anônimo para dados de blob na documentação do Azure.

Padrões de compliance: não mapeados

Nome da categoria na API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descrição da descoberta: há secrets, como senhas, tokens de autenticação e Google Cloud credenciais, em variáveis de ambiente.

Para ativar esse detector, consulte Informar secrets em variáveis de ambiente para o Security Command Center na documentação da proteção de dados sensíveis.

Recursos compatíveis:

Correção:

Para variáveis de ambiente do Cloud Run functions, remova o secret da variável de ambiente e armazene-o no Secret Manager em vez disso.

Para variáveis de ambiente de revisão de serviço do Cloud Run, mova todo o tráfego de da revisão e exclua a revisão.

Padrões de compliance:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Nome da categoria na API:

SECRETS_IN_STORAGE

Descrição da descoberta: há secrets, como senhas, tokens de autenticação e credenciais de nuvem, no recurso especificado.

Recursos compatíveis:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/TuningJob
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket do Amazon S3
  • Contêiner do Armazenamento de Blobs do Azure

Correção:

  1. Para Google Cloud dados, use a proteção de dados sensíveis para executar uma verificação de inspeção detalhada do recurso especificado para identificar todos os recursos afetados. Para dados do Cloud SQL, exporte esses dados para um arquivo CSV ou AVRO em um bucket do Cloud Storage e execute uma verificação de inspeção detalhada do bucket.

    Para dados de outros provedores de nuvem, inspecione manualmente o bucket ou contêiner especificado.

  2. Remova os secrets detectados.
  3. Considere redefinir as credenciais.
  4. Para Google Cloud dados, considere armazenar os secrets detectados no Secret Manager em vez disso.

Padrões de compliance: não mapeados

Descobertas de configuração incorreta do serviço de descoberta

O serviço de descoberta da proteção de dados sensíveis ajuda a determinar se você tem configurações incorretas que podem expor dados sensíveis.

Categoria Resumo

Nome da categoria na API:

SENSITIVE_DATA_CMEK_DISABLED

Descrição da descoberta: o recurso especificado tem dados de alta ou média sensibilidade e não está usando uma chave de criptografia gerenciada pelo cliente (CMEK).

Recursos compatíveis:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket do Amazon S3
  • Contêiner do Armazenamento de Blobs do Azure

Correção:

Padrões de compliance: não mapeados

Descobertas de observação do serviço de descoberta

Data sensitivity
Uma indicação do nível de sensibilidade dos dados em um recurso de dados específico. Os dados são sensíveis quando contêm PII ou outros elementos que podem exigir mais controle ou gerenciamento. A gravidade da descoberta é o nível de sensibilidade calculado pela proteção de dados sensíveis ao gerar o perfil de dados.
Data risk
Risco associado aos dados no estado atual. Ao calcular o risco de dados, a proteção de dados sensíveis considera o nível de sensibilidade dos dados no recurso de dados e a presença de controles de acesso para protegê-los. A gravidade da descoberta é o nível de risco de dados que a Proteção de Dados Sensíveis calculou ao gerar o perfil dos dados.

Latência de geração de descobertas

Dependendo do tamanho da sua organização, as descobertas da proteção de dados sensíveis podem começar a aparecer no Security Command Center alguns minutos após a ativação da descoberta de dados sensíveis. Para organizações maiores ou com configurações específicas que afetam a geração de descobertas, pode levar até 12 horas para que as descobertas iniciais apareçam no Security Command Center.

Em seguida, a proteção de dados sensíveis gera descobertas no Security Command Center alguns minutos após o serviço de descoberta verificar seus recursos.

Enviar perfis de dados para o Security Command Center

Confira a seguir um fluxo de trabalho de alto nível para publicar perfis de dados no Security Command Center.

  1. Verifique o tipo de ativação do Security Command Center. Você pode ter uma assinatura de descoberta padrão no nível da organização, dependendo do nível de serviço do Security Command Center.

  2. Se o Security Command Center não estiver ativado, ative-o.

  3. Confirme se o Security Command Center está configurado para aceitar descobertas da proteção de dados sensíveis. Ou seja, a proteção de dados sensíveis está ativada no Security Command Center como um serviço integrado. Para mais informações, consulte Adicionar um Google Cloud serviço integrado na documentação do Security Command Center.

  4. Ative a descoberta criando uma configuração de verificação de descoberta para cada fonte de dados que você quer verificar. Na configuração de verificação, mantenha a opção Publicar no Security Command Center ativada.

    Se você tiver uma configuração de verificação de descoberta que não publica perfis de dados no Security Command Center, consulte Ativar a publicação no Security Command Center em uma configuração atual nesta página.

Ativar a descoberta com as configurações padrão em uma organização

Para ativar a descoberta, crie uma configuração de descoberta para cada fonte de dados que você quer verificar. É possível editar as configurações depois de criá-las. Para personalizar as configurações no processo de criação de uma configuração, consulte Criar uma configuração de verificação em vez disso.

Para ativar a descoberta com as configurações padrão no nível da organização, siga estas etapas:

  1. No Google Cloud console, acesse a página da proteção de dados sensíveis Ativar descoberta.

    Acessar a página "Ativar descoberta"

  2. Verifique se você está visualizando a organização em que ativou o Security Command Center.

  3. No painel Ativar descoberta, no campo Contêiner do agente de serviço , defina o projeto a ser usado como contêiner do agente de serviço. Nesse projeto, o sistema cria um agente de serviço e concede automaticamente os papéis de descoberta necessários a ele.

    • Para criar automaticamente um projeto a ser usado como contêiner do agente de serviço, siga estas etapas:

      1. Clique em Criar.
      2. Especifique o nome, a conta de faturamento e a organização pai do novo projeto. Opcionalmente, edite o ID do projeto.
      3. Clique em Criar.

      Pode levar alguns minutos para que os papéis sejam concedidos ao agente de serviço do novo projeto.

    • Para selecionar um projeto que você usou anteriormente para operações de descoberta, clique no campo Contêiner do agente de serviço e selecione o projeto.

  4. Para revisar as configurações padrão, clique no ícone de expansão .

  5. Na seção Ativar descoberta, para cada tipo de descoberta que você quer ativar, clique em Ativar. A ativação de um tipo de descoberta faz o seguinte:

    • BigQuery: cria uma configuração de descoberta para criar perfis de tabelas do BigQuery em toda a organização. A proteção de dados sensíveis começa a criar perfis dos dados do BigQuery e envia os perfis para o Security Command Center.
    • Cloud SQL: cria uma configuração de descoberta para criar perfis de tabelas do Cloud SQL em toda a organização. A proteção de dados sensíveis começa a criar conexões padrão para cada uma das instâncias do Cloud SQL. Esse processo pode levar algumas horas. Quando as conexões padrão estiverem prontas, você precisará conceder acesso à proteção de dados sensíveis às instâncias do Cloud SQL atualizando cada conexão com as credenciais de usuário do banco de dados adequadas.
    • Vulnerabilidades de Secrets/credenciais: cria uma configuração de descoberta para detectar e informar secrets não criptografados em variáveis de ambiente do Cloud Run. A proteção de dados sensíveis começa a verificar as variáveis de ambiente.
    • Cloud Storage: cria uma configuração de descoberta para criar perfis de buckets do Cloud Storage em toda a organização. A proteção de dados sensíveis começa a criar perfis dos dados do Cloud Storage e envia os perfis para o Security Command Center.
    • Conjuntos de dados da Vertex AI: cria uma configuração de descoberta para criar perfis de conjuntos de dados da Vertex AI em toda a organização. A proteção de dados sensíveis começa a criar perfis dos conjuntos de dados da Vertex AI e envia os perfis para o Security Command Center.
    • Amazon S3: cria uma configuração de descoberta para criar perfis de todos os dados do Amazon S3 a que o conector da AWS tem acesso.

    • Armazenamento de Blobs do Azure: cria uma configuração de descoberta para criar perfis de todos os dados do Armazenamento de Blobs do Azure a que o conector do Azure tem acesso.

  6. Para conferir as configurações de descoberta recém-criadas, clique em Acessar a configuração de descoberta.

    Se você ativou a descoberta do Cloud SQL, a configuração de descoberta será criada no modo pausado com erros indicando a ausência de credenciais. Consulte Gerenciar conexões para uso com a descoberta para conceder os papéis necessários do IAM ao agente de serviço e fornecer credenciais de usuário do banco de dados para cada instância do Cloud SQL.

  7. Fechar painel.

Ativar a publicação no Security Command Center em uma configuração atual

Se você tiver uma configuração de verificação de descoberta que não está definida para publicar resultados de descoberta no Security Command Center, siga estas etapas:

  1. Abra a configuração de verificação para edição.

  2. Na seção Ações, ative Publicar no Security Command Center.

  3. Clique em Salvar.

Consultar descobertas do Security Command Center relacionadas a perfis de dados

Confira a seguir exemplos de consultas que podem ser usadas para encontrar descobertas relevantes de Data sensitivity e Data risk no Security Command Center. É possível inserir essas consultas no campo Editor de consultas. Para mais informações sobre o editor de consultas, consulte Editar uma consulta de descobertas no painel do Security Command Center dashboard.

Listar todas as descobertas de Data sensitivity e Data risk para uma tabela específica do BigQuery

Essa consulta é útil, por exemplo, se o Security Command Center detectar um evento em que uma tabela do BigQuery foi salva em um projeto diferente. Nesse caso, uma Exfiltration: BigQuery Data Exfiltration descoberta é gerada e contém o nome de exibição completo da tabela que foi exfiltrada. É possível pesquisar todas as descobertas de Data sensitivity e Data risk relacionadas à tabela. Confira os níveis de sensibilidade e risco de dados calculados para a tabela e planeje sua resposta de acordo.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Substitua:

  • PROJECT_ID: o ID do projeto que contém a tabela do BigQuery
  • DATASET_ID: o ID do conjunto de dados da tabela
  • TABLE_ID: o ID da tabela

Listar todas as descobertas de Data sensitivity e Data risk para uma instância específica do Cloud SQL

Essa consulta é útil, por exemplo, se o Security Command Center detectar um evento em que dados de instância do Cloud SQL foram exportados para um bucket do Cloud Storage fora da organização. Nesse caso, uma descoberta Exfiltration: Cloud SQL Data Exfiltration é gerada e contém o nome completo do recurso da instância que foi exfiltrada. É possível pesquisar todas as descobertas de Data sensitivity e Data risk relacionadas à instância. Confira os níveis de sensibilidade e risco de dados calculados para a instância e planeje sua resposta de acordo.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Substitua:

  • INSTANCE_NAME: uma parte do nome da instância do Cloud SQL

Listar todas as descobertas de Data risk e Data sensitivity com um nível de gravidade High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

A seguir