Publica perfiles de datos en Security Command Center

En esta página, se proporciona una descripción general de las acciones que debes realizar si quieres que los perfiles de datos generen hallazgos en Security Command Center. En esta página, también se proporcionan consultas de ejemplo que puedes usar para encontrar los hallazgos generados.

Acerca de los perfiles de datos

Puedes configurar Sensitive Data Protection para que genere automáticamente perfiles sobre los datos en una organización, una carpeta o un proyecto. Los perfiles de datos contienen métricas y metadatos sobre tus datos y te ayudan a determinar dónde residen los datos sensibles y de alto riesgo. Sensitive Data Protection informa estas métricas en varios niveles de detalle. Para obtener información sobre los tipos de datos de los que puedes generar perfiles, consulta Recursos admitidos.

Beneficios de publicar perfiles de datos en Security Command Center

Esta función ofrece los siguientes beneficios en Security Command Center:

Hallazgos generados de Security Command Center

Cuando configuras el servicio de descubrimiento para publicar perfiles de datos en Security Command Center, cada perfil de datos de tabla o perfil de datos de almacén de archivos genera los siguientes hallazgos de Security Command Center.

Hallazgos de vulnerabilidades del servicio de descubrimiento

El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si almacenas datos altamente sensibles que no están protegidos.

Categoría Resumen

Nombre de categoría en la API:

PUBLIC_SENSITIVE_DATA

Descripción de los hallazgos: El recurso especificado tiene datos de alta sensibilidad a los que cualquier persona puede acceder desde Internet.

Elementos admitidos:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/TuningJob
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3
  • Contenedor de Azure BLOB Storage

Corrección:

Para los Google Cloud datos, quita allUsers y allAuthenticatedUsers de la política de IAM del recurso de datos.

Para los datos de Amazon S3, configura los parámetros de configuración de bloqueo de acceso público o actualiza la ACL del objeto para denegar el acceso público de lectura. Para obtener más información, consulta Configura los parámetros de configuración de bloqueo de acceso público para tus buckets de S3 y Configura las ACL en la documentación de AWS.

Para los datos de Azure Blob Storage, quita el acceso público al contenedor y a los blobs. Para obtener más información, consulta Descripción general: Corrección del acceso de lectura anónimo para datos de blobs en la documentación de Azure.

Estándares de cumplimiento: No asignado

Nombre de categoría en la API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descripción de los hallazgos: Hay secretos, como contraseñas, tokens de autenticación y Google Cloud credenciales, en las variables de entorno.

Para habilitar este detector, consulta Informa secretos en variables de entorno a Security Command Center en la documentación de Sensitive Data Protection.

Elementos admitidos:

Corrección:

Para las variables de entorno de Cloud Run Functions, quita el secreto de la variable de entorno y almacénalo en Secret Manager en su lugar.

Para las variables de entorno de revisión del servicio de Cloud Run, quita todo el tráfico de la revisión y, luego, borra la revisión.

Estándares de cumplimiento:

  • CIS para GCP Foundation 1.3: 1.18
  • CIS para GCP Foundation 2.0: 1.18

Nombre de categoría en la API:

SECRETS_IN_STORAGE

Descripción de los hallazgos: Hay secretos, como contraseñas, tokens de autenticación y credenciales de la nube, en el recurso especificado.

Elementos admitidos:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/TuningJob
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3
  • Contenedor de Azure BLOB Storage

Corrección:

  1. Para los Google Cloud datos, usa Sensitive Data Protection para ejecutar un análisis de inspección detallado del recurso especificado para identificar todos los recursos afectados. Para los datos de Cloud SQL, exporta esos datos a un archivo CSV o AVRO en un bucket de Cloud Storage y ejecuta un análisis de inspección detallado del bucket.

    Para los datos de otros proveedores de servicios en la nube, inspecciona manualmente el bucket o el contenedor especificados.

  2. Quita los secretos detectados.
  3. Considera restablecer las credenciales.
  4. Para los Google Cloud datos, considera almacenar los secretos detectados en Secret Manager en su lugar.

Estándares de cumplimiento: No asignado

Hallazgos de errores de configuración del servicio de descubrimiento

El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si tienes errores de configuración que podrían exponer datos sensibles.

Categoría Resumen

Nombre de categoría en la API:

SENSITIVE_DATA_CMEK_DISABLED

Descripción de los hallazgos: El recurso especificado tiene datos de alta o moderada sensibilidad y el recurso no usa una clave de encriptación administrada por el cliente (CMEK).

Elementos admitidos:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3
  • Contenedor de Azure BLOB Storage

Corrección:

Estándares de cumplimiento: No asignado

Hallazgos de observación del servicio de descubrimiento

Data sensitivity
Una indicación del nivel de sensibilidad de los datos en un recurso de datos en particular. Los datos son sensibles si contienen PII o algún otro elemento que podría requerir control o administración adicionales. La gravedad del hallazgo es el nivel de sensibilidad que Sensitive Data Protection calculó cuando generó el perfil de datos.
Data risk
El riesgo asociado con los datos en su estado actual. Cuando calcula el riesgo de los datos, Sensitive Data Protection considera el nivel de sensibilidad de los datos en el recurso de datos y la presencia de controles de acceso para proteger esos datos. La gravedad del hallazgo es el nivel de riesgo de los datos que Sensitive Data Protection calculó cuando generó el perfil de datos.

Latencia de generación de hallazgos

Según el tamaño de tu organización, los hallazgos de Sensitive Data Protection pueden comenzar a aparecer en Security Command Center unos minutos después de habilitar el descubrimiento de datos sensibles. En el caso de organizaciones más grandes o con configuraciones específicas que afectan la generación de hallazgos, pueden pasar hasta 12 horas antes de que aparezcan los hallazgos iniciales en Security Command Center.

Posteriormente, Sensitive Data Protection genera hallazgos en Security Command Center unos minutos después de que el servicio de descubrimiento analiza tus recursos.

Envía perfiles de datos a Security Command Center

El siguiente es un flujo de trabajo de alto nivel para publicar perfiles de datos en Security Command Center.

  1. Verifica el tipo de activación de Security Command Center. Es posible que tengas una suscripción de descubrimiento predeterminada a nivel de la organización, según tu nivel de servicio de Security Command Center.

  2. Si Security Command Center no está activado, actívalo.

  3. Confirma que Security Command Center esté configurado para aceptar hallazgos de Sensitive Data Protection; es decir, que Sensitive Data Protection esté habilitado en Security Command Center como un servicio integrado. Para obtener más información, consulta Agrega un Google Cloud servicio integrado en la documentación de Security Command Center.

  4. Para habilitar el descubrimiento, crea una configuración de análisis de descubrimiento para cada fuente de datos que quieras analizar. En la configuración de análisis, asegúrate de que mantienes habilitada la opción Publicar en Security Command Center.

    Si tienes una configuración de análisis de descubrimiento existente que no publica perfiles de datos en Security Command Center, consulta Habilita la publicación en Security Command Center en una configuración existente en esta página.

Habilita el descubrimiento con la configuración predeterminada en una organización

Para habilitar el descubrimiento, crea una configuración de descubrimiento para cada fuente de datos que quieras analizar. Puedes editar las configuraciones después de crearlas. Para personalizar la configuración en el proceso de creación de una configuración, consulta Crea una configuración de análisis en su lugar.

Para habilitar el descubrimiento con la configuración predeterminada a nivel de la organización, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Habilitar descubrimiento de Sensitive Data Protection.

    Ir a Habilitar descubrimiento

  2. Verifica que estés viendo la organización en la que activaste Security Command Center.

  3. En el panel Habilitar descubrimiento, en el campo Contenedor de agente de servicio , establece el proyecto que se usará como contenedor de agente de servicio. Dentro de este proyecto, el sistema crea un agente de servicio y le otorga automáticamente las funciones de descubrimiento necesarias.

    • Para crear automáticamente un proyecto para usarlo como contenedor de agente de servicio, sigue estos pasos:

      1. Haz clic en Crear.
      2. Especifica el nombre, la cuenta de facturación y la organización superior del proyecto nuevo. De manera opcional, edita el ID del proyecto.
      3. Haz clic en Crear.

      El agente de servicio del proyecto nuevo puede tardar unos minutos en recibir las funciones.

    • Para seleccionar un proyecto que usaste anteriormente para las operaciones de descubrimiento, haz clic en el campo Contenedor de agente de servicio y selecciona el proyecto.

  4. Para revisar la configuración predeterminada, haz clic en el ícono de expansión .

  5. En la sección Habilitar descubrimiento, para cada tipo de descubrimiento que quieras habilitar, haz clic en Habilitar. Habilitar un tipo de descubrimiento hace lo siguiente:

    • BigQuery: Crea una configuración de descubrimiento para generar perfiles de las tablas de BigQuery en toda la organización. Sensitive Data Protection comienza a generar perfiles de tus datos de BigQuery y envía los perfiles a Security Command Center.
    • Cloud SQL: Crea una configuración de descubrimiento para generar perfiles de las tablas de Cloud SQL en toda la organización. Sensitive Data Protection comienza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar unas horas. Cuando las conexiones predeterminadas estén listas, debes otorgar acceso de Sensitive Data Protection a tus instancias de Cloud SQL actualizando cada conexión con las credenciales de usuario de base de datos adecuadas.
    • Vulnerabilidades de secretos o credenciales: Crea una configuración de descubrimiento para detectar y generar informes de secretos sin encriptar en las variables de entorno de Cloud Run. Sensitive Data Protection comienza a analizar tus variables de entorno.
    • Cloud Storage: Crea una configuración de descubrimiento para generar perfiles de los buckets de Cloud Storage en toda la organización. Sensitive Data Protection comienza a generar perfiles de tus datos de Cloud Storage y envía los perfiles a Security Command Center.
    • Conjuntos de datos de Vertex AI: Crea una configuración de descubrimiento para generar perfiles de los conjuntos de datos de Vertex AI en toda la organización. Sensitive Data Protection comienza a generar perfiles de tus conjuntos de datos de Vertex AI y envía los perfiles a Security Command Center.

    • Amazon S3: Crea una configuración de descubrimiento para generar perfiles de todos los datos de Amazon S3 a los que tiene acceso tu conector de AWS.

    • Azure Blob Storage: Crea una configuración de descubrimiento para generar perfiles de todos los datos de Azure Blob Storage a los que tiene acceso tu conector de Azure.

  6. Para ver las configuraciones de descubrimiento recién creadas, haz clic en Ir a la configuración de descubrimiento.

    Si habilitaste el descubrimiento de Cloud SQL, la configuración de descubrimiento se crea en modo pausado con errores que indican la ausencia de credenciales. Consulta Administra las conexiones para usarlas con el descubrimiento para otorgar las funciones de IAM necesarias a tu agente de servicio y proporcionar credenciales de usuario de base de datos para cada instancia de Cloud SQL.

  7. Cerrar el panel

Habilita la publicación en Security Command Center en una configuración existente

Si tienes una configuración de análisis de descubrimiento existente que no está configurada para publicar los resultados del descubrimiento en Security Command Center, sigue estos pasos:

  1. Abre la configuración de análisis para editarla.

  2. En la sección Acciones, habilita Publicar en Security Command Center.

  3. Haz clic en Guardar.

Consulta los hallazgos de Security Command Center relacionados con los perfiles de datos

Las siguientes son consultas de ejemplo que puedes usar para encontrar hallazgos relevantes de Data sensitivity y Data risk en Security Command Center. Puedes ingresar estas consultas en el campo Editor de consultas. Para obtener más información sobre el editor de consultas, consulta Edita una consulta de hallazgos en el panel de Security Command Center dashboard.

Enumera todos los hallazgos de Data sensitivity y Data risk para una tabla de BigQuery en particular

Esta consulta es útil, por ejemplo, si Security Command Center detecta un evento en el que se guardó una tabla de BigQuery en un proyecto diferente. En este caso, se genera un hallazgo Exfiltration: BigQuery Data Exfiltration, que contiene el nombre visible completo de la tabla que se filtró. Puedes buscar cualquier Data sensitivity y Data risk hallazgo relacionado con la tabla. Consulta los niveles de sensibilidad y riesgo de datos calculados para la tabla y planifica tu respuesta en consecuencia.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto que contiene la tabla de BigQuery
  • DATASET_ID: El ID del conjunto de datos de la tabla
  • TABLE_ID: El ID de la tabla

Enumera todos los hallazgos de Data sensitivity y Data risk para una instancia de Cloud SQL en particular

Esta consulta es útil, por ejemplo, si Security Command Center detecta un evento en el que se exportaron datos de instancias de Cloud SQL en vivo a un bucket de Cloud Storage fuera de la organización. En este caso, se genera un hallazgo Exfiltration: Cloud SQL Data Exfiltration, que contiene el nombre completo del recurso de la instancia que se filtró. Puedes buscar cualquier Data sensitivity y Data risk hallazgo relacionado con la instancia. Consulta los niveles de sensibilidad y riesgo de datos calculados para la instancia y planifica tu respuesta en consecuencia.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Reemplaza lo siguiente:

  • INSTANCE_NAME: Una parte del nombre de la instancia de Cloud SQL

Enumera todos los hallazgos de Data risk y Data sensitivity con un nivel de gravedad High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

¿Qué sigue?