Habilita el descubrimiento de datos sensibles en el nivel empresarial

En esta página, se describe cómo habilitar la detección de datos sensibles con la configuración predeterminada si te suscribiste al nivel empresarial y habilitaste el servicio de detección de Protección de datos sensibles. Puedes personalizar la configuración en cualquier momento después de habilitar la detección.

El servicio de descubrimiento de la protección de datos sensibles se incluye en tu suscripción a Security Command Center Enterprise. Tu capacidad de descubrimiento se asigna de forma dinámica según tus necesidades de procesamiento.

Beneficios

Esta función ofrece los siguientes beneficios:

Cómo funciona

El servicio de descubrimiento de Sensitive Data Protection te ayuda a proteger los datos de tu organización, ya que identifica dónde residen los datos sensibles y de alto riesgo. En Sensitive Data Protection, el servicio genera perfiles de datos, que proporcionan métricas y estadísticas sobre tus datos en varios niveles de detalle. En Security Command Center, el servicio hace lo siguiente:

Para habilitar el descubrimiento de datos sensibles en tu organización, crea una configuración de análisis de descubrimiento para cada recurso compatible que quieras analizar.

Cómo encontrar la latencia de generación

Desde el momento en que Sensitive Data Protection genera los perfiles de datos, pueden transcurrir hasta seis horas para que los resultados asociados aparezcan en Security Command Center.

Desde el momento en que activas el descubrimiento de secretos en la Protección de datos sensibles, el análisis inicial de las variables de entorno puede tardar hasta 12 horas en completarse y en que aparezcan los resultados de Secrets in environment variables en Security Command Center. Luego, Sensitive Data Protection analiza las variables del ambiente cada 24 horas. En la práctica, los análisis pueden ejecutarse con mayor frecuencia.

Antes de comenzar

Completa estas tareas antes de completar las restantes en esta página.

Activa el nivel de Security Command Center Enterprise

Completa el paso 1 y el paso 2 de la guía de configuración para activar el nivel de Security Command Center Enterprise. Para obtener más información, consulta Cómo Security Command Center Enterprise Center.

Habilita la protección de datos sensibles como un servicio integrado

Si la protección de datos sensibles aún no está habilitada como servicio integrado, habilita esta opción. Para obtener más información, consulta Cómo agregar un servicio integrado de Google Cloud.

Configura los permisos

Para obtener los permisos que necesitas para configurar el descubrimiento de datos sensibles, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización:

Objetivo Función predefinida Permisos relevantes
Crea una configuración de análisis de descubrimiento y consulta los perfiles de datos Administrador de DLP (roles/dlp.admin)
  • dlp.columnDataProfiles.list
  • dlp.fileStoreProfiles.list
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobs.list
  • dlp.jobTriggers.create
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Crea un proyecto para usarlo como contenedor de agente de servicio1 Creador del proyecto (roles/resourcemanager.projectCreator)
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Otorga acceso de descubrimiento2 Uno de los siguientes:
  • Administrador de la organización (roles/resourcemanager.organizationAdmin)
  • Administrador de seguridad (roles/iam.securityAdmin)
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Si no tienes el rol de creador de proyectos (roles/resourcemanager.projectCreator), puedes crear una configuración de análisis, pero el contenedor del agente de servicio que uses debe ser un proyecto existente.

2 Si no tienes el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) o de administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Después de crear la configuración de análisis, alguien de tu organización que tenga uno de estos roles debe otorgar acceso de descubrimiento al agente de servicio.

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Habilita el descubrimiento con la configuración predeterminada

Para habilitar el descubrimiento, creas una configuración de descubrimiento para cada fuente de datos que deseas analizar. Este procedimiento te permite crear esas configuraciones de descubrimiento automáticamente con la configuración predeterminada. Puedes personalizar la configuración en cualquier momento después de realizar este procedimiento.

Si quieres personalizar la configuración desde el principio, consulta las siguientes páginas:

Para habilitar el descubrimiento con la configuración predeterminada, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Protección de datos sensibles Habilitar descubrimiento.

    Ir a Habilita el descubrimiento

  2. Verifica que estés viendo la organización en la que activaste Security Command Center.

  3. En el campo Service agent container, establece el proyecto que se usará como contenedor de agente de servicio. Dentro de este proyecto, el sistema crea un agente de servicio y le otorga automáticamente los permisos de descubrimiento necesarios.

    Si usaste el servicio de descubrimiento para tu organización, es posible que ya tengas un proyecto de contenedor de agente de servicio que puedas volver a usar.

    • Para crear automáticamente un proyecto que se usará como contenedor de agente de servicio, revisa el ID del proyecto sugerido y edítalo según sea necesario. Luego, haz clic en Crear. Los permisos pueden tardar unos minutos en otorgarse al agente de servicio del proyecto nuevo.
    • Para seleccionar un proyecto existente, haz clic en el campo Service agent container y selecciónalo.
  4. Para revisar la configuración predeterminada, haz clic en el ícono de expansión .

  5. En la sección Habilitar descubrimiento, haz clic en Habilitar para cada tipo de descubrimiento que quieras habilitar. Cuando habilitas un tipo de descubrimiento, sucede lo siguiente:

    • BigQuery: Crea una configuración de descubrimiento para generar perfiles de las tablas de BigQuery en toda la organización. La protección de datos sensibles comienza a generar perfiles de tus data de BigQuery y envía los perfiles a Security Command Center.
    • Cloud SQL: Crea una configuración de descubrimiento para generar perfiles de las tablas de Cloud SQL en toda la organización. Sensitive Data Protection comienza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar algunas horas. Cuando las conexiones predeterminadas estén listas, debes darle a Sensitive Data Protection acceso a tus instancias de Cloud SQL. Para ello, actualiza cada conexión con las credenciales de usuario de la base de datos adecuadas.
    • Vulnerabilidades de secretos o credenciales: Crea una configuración de descubrimiento para detectar y, luego, informar secretos no encriptados en las variables de entorno de Cloud Run. Sensitive Data Protection comienza a analizar tus variables de entorno.
    • Cloud Storage: Crea una configuración de descubrimiento para generar perfiles de buckets de Cloud Storage en toda la organización. La protección de datos sensibles comienza a generar perfiles de tus datos de Cloud Storage y los envía a Security Command Center.
    • Conjuntos de datos de Vertex AI: Crea una configuración de descubrimiento para generar perfiles de conjuntos de datos de Vertex AI en toda la organización. La protección de datos sensibles comienza a generar perfiles de tus conjuntos de datos de Vertex AI y envía los perfiles a Security Command Center.
    • Amazon S3: Crea una configuración de descubrimiento para crear perfiles de datos de Amazon S3 en toda la organización, una sola cuenta de S3 o un solo bucket.

  6. Para ver las configuraciones de descubrimiento creadas recientemente, haz clic en Ir a la configuración de descubrimiento.

    Si habilitaste el descubrimiento de Cloud SQL, la configuración de descubrimiento se crea en modo pausado con errores que indican la ausencia de credenciales. Consulta Cómo administrar las conexiones para usarlas con el descubrimiento para otorgar los roles de IAM necesarios a tu agente de servicio y proporcionar credenciales de usuario de la base de datos para cada instancia de Cloud SQL.

  7. Cerrar el panel

Para ver los resultados que genera Sensitive Data Protection, consulta Revisa los resultados de Sensitive Data Protection en la consola de Google Cloud.

Usa las estadísticas de descubrimiento para identificar recursos de alto valor

Puedes hacer que Security Command Center designe automáticamente un recurso que contenga datos de sensibilidad alta o media como un recurso de alto valor. Para ello, habilita la opción de estadísticas de descubrimiento de Sensitive Data Protection cuando crees una configuración de valor de recurso para la función de simulación de ruta de ataque.

En el caso de los recursos de alto valor, Security Command Center proporciona puntuaciones de exposición a ataques y visualizaciones de rutas de ataque, que puedes usar para priorizar la seguridad de tus recursos que contienen datos sensibles.

Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad basados en las clasificaciones de sensibilidad de los datos del descubrimiento de Sensitive Data Protection solo para los siguientes tipos de recursos de datos:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Personaliza las configuraciones de análisis

Después de crear las configuraciones de análisis, puedes personalizarlas. Por ejemplo, puedes hacer lo siguiente:

  • Ajusta las frecuencias de análisis.
  • Especifica filtros para los recursos de datos que no deseas volver a perfilar.
  • Cambia la plantilla de inspección, que define los tipos de información que busca Sensitive Data Protection.
  • Publica los perfiles de datos generados en otros servicios de Google Cloud.
  • Cambia el contenedor del agente de servicio.

¿Qué sigue?