Publicar perfiles de datos en Security Command Center

En esta página se ofrece una descripción general de las acciones que debe llevar a cabo si quiere que los perfiles de datos generen resultados en Security Command Center. En esta página también se proporcionan consultas de ejemplo que puede usar para encontrar los resultados generados.

Acerca de los perfiles de datos

Puedes configurar Protección de Datos Sensibles para que genere automáticamente perfiles sobre los datos de una organización, una carpeta o un proyecto. Los perfiles de datos contienen métricas y metadatos sobre tus datos, y te ayudan a determinar dónde se encuentran los datos sensibles y de alto riesgo. Protección de Datos Sensibles genera informes sobre estas métricas con distintos niveles de detalle. Para obtener información sobre los tipos de datos que puede perfilar, consulte Recursos admitidos.

Ventajas de publicar perfiles de datos en Security Command Center

Esta función ofrece las siguientes ventajas en Security Command Center:

Resultados generados por Security Command Center

Cuando configuras el servicio de descubrimiento para que publique perfiles de datos en Security Command Center, cada perfil de datos de tabla o de archivo genera los siguientes resultados de Security Command Center.

Vulnerabilidades detectadas por el servicio de descubrimiento

El servicio de descubrimiento de Protección de Datos Sensibles te ayuda a determinar si almacenas datos altamente sensibles que no están protegidos.

Categoría Resumen

Nombre de la categoría en la API:

PUBLIC_SENSITIVE_DATA

Descripción de la detección: el recurso especificado tiene datos de alta sensibilidad a los que puede acceder cualquier usuario de Internet.

Recursos admitidos:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Segmento de Amazon S3
  • Contenedor de Azure Blob Storage

Corrección:

Para los datos Google Cloud , elimina allUsers y allAuthenticatedUsers de la política de gestión de identidades y accesos del recurso de datos.

En el caso de los datos de Amazon S3, configura los ajustes de bloqueo del acceso público o actualiza la LCA del objeto para denegar el acceso de lectura público. Para obtener más información, consulta los artículos Configurar los ajustes de bloqueo del acceso público para los buckets de S3 y Configurar ACLs en la documentación de AWS.

En el caso de los datos de Azure Blob Storage, elimina el acceso público al contenedor y a los blobs. Para obtener más información, consulta Información general: corregir el acceso de lectura anónimo a datos de blob en la documentación de Azure.

Estándares de cumplimiento: no asignado

Nombre de la categoría en la API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descripción del problema: hay secretos, como contraseñas, tokens de autenticación y Google Cloud credenciales, en variables de entorno.

Para habilitar este detector, consulta Informar de secretos en variables de entorno a Security Command Center en la documentación de Protección de Datos Sensibles.

Recursos admitidos:

Corrección:

En el caso de las variables de entorno de las funciones de Cloud Run, elimina el secreto de la variable de entorno y almacénalo en Secret Manager.

En el caso de las variables de entorno de la revisión del servicio de Cloud Run, desvía todo el tráfico de la revisión y, a continuación, elimina la revisión.

Estándares de cumplimiento:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Nombre de la categoría en la API:

SECRETS_IN_STORAGE

Descripción del hallazgo: hay secretos, como contraseñas, tokens de autenticación y credenciales de nube, en el recurso especificado.

Recursos admitidos:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Segmento de Amazon S3
  • Contenedor de Azure Blob Storage

Corrección:

  1. Para los Google Cloud datos, usa Protección de datos sensibles para ejecutar un análisis de inspección exhaustivo del recurso especificado para identificar todos los recursos afectados. En el caso de los datos de Cloud SQL, expórtalos a un archivo CSV o AVRO en un segmento de Cloud Storage y ejecuta un análisis de inspección detallada del segmento.

    En el caso de los datos de otros proveedores de la nube, inspecciona manualmente el segmento o el contenedor especificados.

  2. Elimina los secretos detectados.
  3. Plantéate la posibilidad de restablecer las credenciales.
  4. Para los datos, te recomendamos que almacenes los secretos detectados en Secret Manager. Google Cloud

Estándares de cumplimiento: no asignado

Resultados de configuraciones erróneas del servicio de descubrimiento

El servicio de descubrimiento de Protección de Datos Sensibles te ayuda a determinar si tienes configuraciones incorrectas que puedan exponer datos sensibles.

Categoría Resumen

Nombre de la categoría en la API:

SENSITIVE_DATA_CMEK_DISABLED

Descripción de la detección: el recurso especificado tiene datos de alta o media sensibilidad y no usa una clave de encriptado gestionada por el cliente (CMEK).

Recursos admitidos:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Segmento de Amazon S3
  • Contenedor de Azure Blob Storage

Corrección:

Estándares de cumplimiento: no asignado

Resultados de las observaciones del servicio de descubrimiento

Data sensitivity
Indicación del nivel de sensibilidad de los datos de un recurso de datos concreto. Los datos son sensibles si contienen información personal identificable u otros elementos que pueden requerir controles o gestión adicionales. La gravedad de la detección es el nivel de sensibilidad que Protección de Datos Sensibles ha calculado al generar el perfil de datos.
Data risk
El riesgo asociado a los datos en su estado actual. Al calcular el riesgo de los datos, Protección de Datos Sensibles tiene en cuenta el nivel de sensibilidad de los datos del recurso de datos y la presencia de controles de acceso para proteger esos datos. La gravedad del hallazgo es el nivel de riesgo de los datos que Protección de Datos Sensibles ha calculado al generar el perfil de datos.

Buscar la latencia de generación

En función del tamaño de tu organización, los resultados de Protección de Datos Sensibles pueden empezar a aparecer en Security Command Center unos minutos después de habilitar la detección de datos sensibles. En el caso de las organizaciones más grandes o de las que tienen configuraciones específicas que afectan a la generación de resultados, pueden pasar hasta 12 horas antes de que aparezcan los resultados iniciales en Security Command Center.

Después, Protección de Datos Sensibles genera resultados en Security Command Center unos minutos después de que el servicio de descubrimiento analice tus recursos.

Enviar perfiles de datos a Security Command Center

A continuación, se muestra un flujo de trabajo general para publicar perfiles de datos en Security Command Center.

  1. Comprueba el tipo de activación de Security Command Center. Puede que tengas una suscripción de descubrimiento predeterminada a nivel de organización, en función de tu nivel de servicio de Security Command Center.

  2. Si Security Command Center no está activado, actívalo.

  3. Confirma que Security Command Center esté configurado para aceptar resultados de Protección de Datos Sensibles. Es decir, Protección de Datos Sensibles debe estar habilitado en Security Command Center como servicio integrado. Para obtener más información, consulta el artículo Añadir un servicio integrado en la documentación de Security Command Center.Google Cloud

  4. Para habilitar el descubrimiento, cree una configuración de análisis de descubrimiento para cada fuente de datos que quiera analizar. En la configuración del análisis, asegúrate de que la opción Publicar en Security Command Center esté habilitada.

    Si tienes una configuración de análisis de descubrimiento que no publica perfiles de datos en Security Command Center, consulta la sección Habilitar la publicación en Security Command Center en una configuración ya creada de esta página.

Habilitar la detección con la configuración predeterminada en una organización

Para habilitar el descubrimiento, crea una configuración de descubrimiento para cada fuente de datos que quieras analizar. Puedes editar las configuraciones después de crearlas. Para personalizar los ajustes durante el proceso de creación de una configuración, consulta el artículo Crear una configuración de análisis.

Para habilitar la detección con la configuración predeterminada a nivel de organización, sigue estos pasos:

  1. En la consola, ve a la página Protección de datos sensibles Habilitar descubrimiento. Google Cloud

    Habilitar el descubrimiento

  2. Comprueba que estás viendo la organización en la que has activado Security Command Center.

  3. En el panel Habilitar descubrimiento, en el campo Contenedor de agente de servicio, define el proyecto que se va a usar como contenedor de agente de servicio. En este proyecto, el sistema crea un agente de servicio y le asigna automáticamente los roles de descubrimiento necesarios.

    • Para crear automáticamente un proyecto que se usará como contenedor de tu agente de servicio, sigue estos pasos:

      1. Haz clic en Crear.
      2. Especifica el nombre, la cuenta de facturación y la organización principal del nuevo proyecto. También puedes editar el ID del proyecto.
      3. Haz clic en Crear.

      Los roles pueden tardar unos minutos en asignarse al agente de servicio del nuevo proyecto.

    • Para seleccionar un proyecto que hayas usado anteriormente en operaciones de descubrimiento, haz clic en el campo Contenedor del agente de servicio y selecciona el proyecto.

  4. Para revisar la configuración predeterminada, haga clic en el icono de expansión.

  5. En la sección Habilitar descubrimiento, haz clic en Habilitar junto a cada tipo de descubrimiento que quieras habilitar. Si habilitas un tipo de descubrimiento, ocurrirá lo siguiente:

    • BigQuery crea una configuración de descubrimiento para crear perfiles de tablas de BigQuery en toda la organización. Protección de Datos Sensibles empieza a crear perfiles de tus datos de BigQuery y los envía a Security Command Center.
    • Cloud SQL: crea una configuración de descubrimiento para crear perfiles de tablas de Cloud SQL en toda la organización. Protección de Datos Sensibles empieza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar unas horas. Cuando las conexiones predeterminadas estén listas, debes dar acceso a Protección de Datos Sensibles a tus instancias de Cloud SQL actualizando cada conexión con las credenciales de usuario de base de datos adecuadas.
    • Vulnerabilidades de secretos o credenciales: crea una configuración de descubrimiento para detectar y registrar secretos sin cifrar en variables de entorno de Cloud Run. Protección de Datos Sensibles empieza a analizar tus variables de entorno.
    • Cloud Storage: crea una configuración de descubrimiento para crear perfiles de segmentos de Cloud Storage en toda la organización. La protección de datos sensibles empieza a crear perfiles de tus datos de Cloud Storage y los envía a Security Command Center.
    • Conjuntos de datos de Vertex AI: crea una configuración de descubrimiento para crear perfiles de conjuntos de datos de Vertex AI de toda la organización. Protección de Datos Sensibles empieza a crear perfiles de tus conjuntos de datos de Vertex AI y los envía a Security Command Center.

    • Amazon S3: crea una configuración de descubrimiento para crear perfiles de todos los datos de Amazon S3 a los que tenga acceso tu conector de AWS.

    • Azure Blob Storage: crea una configuración de descubrimiento para crear perfiles de todos los datos de Azure Blob Storage a los que tenga acceso tu conector de Azure.

  6. Para ver las configuraciones de descubrimiento que acabas de crear, haz clic en Ir a la configuración de descubrimiento.

    Si has habilitado la detección de Cloud SQL, la configuración de detección se crea en modo de pausa con errores que indican la ausencia de credenciales. Consulta Gestionar conexiones para usar con Discovery para asignar los roles de gestión de identidades y accesos necesarios a tu agente de servicio y proporcionar las credenciales de usuario de la base de datos de cada instancia de Cloud SQL.

  7. Cierra el panel.

Habilitar la publicación en Security Command Center en una configuración

Si tienes una configuración de análisis de descubrimiento que no está configurada para publicar los resultados de descubrimiento en Security Command Center, sigue estos pasos:

  1. Abre la configuración del análisis para editarla.

  2. En la sección Acciones, habilita Publicar en Security Command Center.

  3. Haz clic en Guardar.

Consultar resultados de Security Command Center relacionados con perfiles de datos

A continuación, se muestran consultas de ejemplo que puede usar para encontrar resultados relevantes de Data sensitivity y Data risk en Security Command Center. Puede introducir estas consultas en el campo Editor de consultas. Para obtener más información sobre el editor de consultas, consulta el artículo Editar una consulta de resultados en el panel de control de Security Command Center.

Lista todos los resultados de Data sensitivity y Data risk de una tabla de BigQuery concreta

Esta consulta es útil, por ejemplo, si Security Command Center detecta un evento en el que se ha guardado una tabla de BigQuery en otro proyecto. En este caso, se genera un resultado Exfiltration: BigQuery Data Exfiltration que contiene el nombre visible completo de la tabla que se ha filtrado. Puedes buscar cualquier Data sensitivity y Data risk hallazgo relacionado con la tabla. Consulta los niveles de sensibilidad y riesgo de los datos calculados de la tabla y planifica tu respuesta en consecuencia.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Haz los cambios siguientes:

  • PROJECT_ID: el ID del proyecto que contiene la tabla de BigQuery
  • DATASET_ID: el ID del conjunto de datos de la tabla
  • TABLE_ID: ID de la tabla

Lista de todos los resultados de Data sensitivity y Data risk de una instancia de Cloud SQL concreta

Esta consulta es útil, por ejemplo, si Security Command Center detecta un evento en el que se han exportado datos de una instancia de Cloud SQL activa a un segmento de Cloud Storage fuera de la organización. En este caso, se genera un Exfiltration: Cloud SQL Data Exfiltration resultado que contiene el nombre completo del recurso de la instancia que se ha filtrado. Puedes buscar cualquier Data sensitivity y Data risk hallazgo relacionado con la instancia. Consulta los niveles de sensibilidad y riesgo de los datos calculados de la instancia y planifica tu respuesta en consecuencia.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Haz los cambios siguientes:

  • INSTANCE_NAME: una parte del nombre de la instancia de Cloud SQL

Mostrar todos los resultados de Data risk y Data sensitivity con un nivel de gravedad High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

Siguientes pasos