本页面介绍了如何使用默认的“敏感数据发现”功能启用敏感数据发现 设置(如果您订阅了企业版层级并启用 Sensitive Data Protection,一款单独定价的产品。您可以自定义 设置。
启用发现功能后,Sensitive Data Protection 会生成 Security Command Center 发现结果会显示 组织的数据。
有关如何启用敏感数据发现(无论您使用的是 Security Command Center 服务层级,请参阅 Sensitive Data Protection 文档:
工作原理
Sensitive Data Protection 发现服务可帮助您保护数据 确定敏感数据和高风险数据所在的位置, 资源。在敏感数据保护中,该服务会生成数据 配置文件:这些配置文件提供了 以及有关数据的各种详细程度的数据洞见在 Security Command Center 中, 服务会执行以下操作:
在 Security Command Center 中生成观察发现结果,以显示 数据的敏感性和数据风险等级。您可以将这些发现结果用于 当您遇到与以下项目相关的威胁和漏洞时, 数据资产。如需查看生成的发现结果类型的列表,请参阅观察 从发现阶段中发掘出来的 服务。
这些发现有助于自动标识高价值资源 基于数据敏感度的机器学习模型。如需了解详情,请参阅使用 Discovery Insights 识别此页面上的高价值资源。
在以下情况下,在 Security Command Center 中生成漏洞发现结果: Sensitive Data Protection 可检测是否存在高度敏感的内容 未受保护的数据。如需查看生成的发现结果类型的列表,请参阅 敏感数据保护发现的漏洞发现结果 服务。
要为您的组织启用敏感数据发现功能,请创建一个 每个支持的 资源 您要扫描的文件
价格
敏感数据发现与 Security Command Center 分开计费 而无论服务层级为何如果您没有为以下账号购买订阅: 发现,根据您的使用量(扫描的字节数)向您收费。有关 请参阅发现 价格 。
准备工作
请先完成这些任务,然后再完成此页面上的其余任务。
激活 Security Command Center Enterprise 层级
请完成 激活 Security Command Center Enterprise 层级的设置指南。如需更多信息 请参阅激活 Security Command Center Enterprise 层级。
将敏感数据保护作为集成服务启用
如果尚未将敏感数据保护作为集成服务启用, 启用它。如需了解详情,请参阅添加 Google Cloud 集成的 服务。
设置权限
如需获取配置敏感数据发现所需的权限,请询问 管理员可向您授予以下 IAM 角色: 组织:
| 用途 | 预定义角色 | 相关权限 |
|---|---|---|
| 创建发现扫描配置并查看数据分析文件 | DLP Administrator (roles/dlp.admin)
|
|
| 创建用作服务代理容器的项目1 | Project Creator (roles/resourcemanager.projectCreator) |
|
| 授予发现权限2 | 下列其中一项:
|
|
1 如果您没有项目
Creator (roles/resourcemanager.projectCreator) 角色,您仍然可以创建扫描
服务代理,但服务代理
容器必须是现有项目。
2 如果您没有组织
管理员 (roles/resourcemanager.organizationAdmin) 或 Security Admin
(roles/iam.securityAdmin) 角色,您仍然可以创建扫描配置。在您之后
创建扫描配置时,组织中拥有其中一个角色的人员必须向
服务代理。
如需详细了解如何授予角色,请参阅管理 访问权限。
使用默认设置启用发现功能
如需启用发现功能,请为每个 数据源 您要扫描的文件此过程可让你创建 自动使用默认设置。您可以自定义 设置。
如果您想从一开始就自定义设置,请参阅以下页面 :
- 分析组织或文件夹中的 BigQuery 数据
- 分析组织或文件夹中的 Cloud SQL 数据
- 分析组织或文件夹中的 Cloud Storage 数据
- 适用于 Amazon S3 的敏感数据发现
- 向 Security Command Center 报告环境变量中的 Secret
如需使用默认设置启用发现功能,请按以下步骤操作:
在 Google Cloud 控制台中,前往“Sensitive Data Protection” 启用发现页面。
验证您查看的是已激活的组织 已启用 Security Command Center。
在服务代理容器字段中,设置将用作 服务代理 容器。 在此项目中,系统会创建一个服务代理,并自动 会向其授予必要的发现权限。
如果您之前为组织使用过发现服务,则可能需要 已有一个可以重复使用的服务代理容器项目
- 如需自动创建用作服务代理容器的项目,请执行以下操作: 请查看建议的项目 ID,并根据需要进行修改。然后,点击 创建。授予权限可能需要几分钟的时间 新项目的服务代理。
- 如需选择现有项目,请点击服务代理容器字段 然后选择项目。
如需查看默认设置,请点击 展开图标。
在启用发现部分中,针对您要启用的每种发现类型, 请点击启用。启用发现类型会执行以下操作:
- BigQuery:创建用于分析的发现配置 整个组织的 BigQuery 表。 Sensitive Data Protection 开始分析您的 BigQuery 数据并将配置文件发送到 Security Command Center。
- Cloud SQL:创建用于分析的发现配置 整个组织的 Cloud SQL 表。 Sensitive Data Protection 开始为以下各项创建默认连接: Cloud SQL 实例,这个过程可能需要一些时间 。当默认连接准备就绪时,您必须 Sensitive Data Protection 对您的 Cloud SQL 实例,通过适当的 数据库用户凭据。
- Secret/凭据漏洞:创建发现配置 用于检测和报告 Cloud Run 函数中的未加密 Secret 环境变量Sensitive Data Protection 开始 扫描环境变量
- Cloud Storage:创建用于分析的发现配置 整个组织的 Cloud Storage 存储分区。 Sensitive Data Protection 开始分析您的 Cloud Storage 数据,并将配置文件发送到 Security Command Center。
Amazon S3(预览版):创建用于分析的发现配置 跨组织的 Amazon S3 数据、单个 S3 账号或单个 存储分区。
如需查看新创建的 Discovery 配置,请点击前往发现页面 配置。
如果您启用了 Cloud SQL 发现,则发现配置 在暂停模式下创建,存在表示缺少凭据的错误。请参阅 管理与以下服务搭配使用的连接 发现以授予 并为服务代理提供所需的 IAM 角色 每个 Cloud SQL 实例的数据库用户凭据。
关闭窗格。
从 Sensitive Data Protection 生成数据分析文件起,它可以: 关联的发现结果最长需要 6 个小时才会显示在 Security Command Center。
从您在 Sensitive Data Protection 中启用 Secret 发现后,
最长可能需要 12 小时才能对环境变量进行初始扫描,
完成后,只要有任何 Secrets in environment variables 发现结果,就会显示在
Security Command Center。随后,Sensitive Data Protection 会扫描环境
变量。实际上,扫描的运行频率可能会高于此值。
如需查看 Sensitive Data Protection 生成的发现结果,请参阅查看 以下服务中的 Sensitive Data Protection 发现结果: Google Cloud 控制台。
使用发现分析洞见来识别高价值资源
您可以让 Security Command Center 自动指定 包含作为高价值资源的高敏感度或中敏感度数据, 启用 Sensitive Data Protection 发现分析洞见选项 创建资源值 配置 攻击路径模拟功能
对于高价值资源,Security Command Center 会提供攻击风险得分和 攻击路径可视化,可用于将您的 包含敏感数据的资源
攻击路径模拟可自动设置优先级值 数据敏感度分类, 敏感数据保护 仅适用于以下数据资源类型:
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
自定义扫描配置
创建扫描配置后,您可以对其进行自定义。例如: 您可以执行以下操作:
- 调整扫描频率。
- 指定您不想重新分析的数据资产的过滤条件。
- 更改检查 模板, 用于定义 类型 Sensitive Data Protection 扫描。
- 将生成的数据分析文件发布到其他 Google Cloud 服务。
- 更改服务代理容器。
如需自定义扫描配置,请按以下步骤操作:
- 打开以下项目的扫描配置: 修改。
根据需要更新设置。有关 修改扫描配置页面,请参阅以下页面: