Ativar a descoberta de dados sensíveis no nível Enterprise

Esta página descreve como ativar a descoberta de dados sensíveis usando as configurações padrão se você tiver uma assinatura do nível Enterprise e ativar o serviço de descoberta de proteção de dados sensíveis. Você pode personalizar as configurações a qualquer momento depois de ativar a descoberta.

O serviço de descoberta de proteção de dados sensíveis está incluído na sua assinatura do Security Command Center Enterprise. A capacidade de descoberta é alocada dinamicamente com base nas suas necessidades de processamento.

Vantagens

Esse recurso oferece os seguintes benefícios:

Como funciona

O serviço de descoberta da Proteção de Dados Sensíveis ajuda a proteger os dados em toda a organização, identificando onde estão os dados sensíveis e de alto risco. Na Proteção de dados sensíveis, o serviço gera perfis de dados, que fornecem métricas e insights sobre seus dados em vários níveis de detalhes. No Security Command Center, o serviço faz o seguinte:

Para ativar a descoberta de dados sensíveis na sua organização, crie uma configuração de verificação de descoberta para cada recurso com suporte que você quer verificar.

Como encontrar a latência de geração

Quando a proteção de dados sensíveis gera os perfis de dados, pode levar até seis horas para que as descobertas associadas apareçam no Security Command Center.

A partir do momento em que você ativa a descoberta de secrets na proteção de dados confidenciais, pode levar até 12 horas para a verificação inicial de variáveis de ambiente ser concluída e para que as descobertas de Secrets in environment variables apareçam no Security Command Center. Em seguida, a proteção de dados sensíveis verifica as variáveis de ambiente a cada 24 horas. Na prática, as verificações podem ser executadas com mais frequência do que isso.

Antes de começar

Conclua estas tarefas antes de concluir as demais tarefas desta página.

Ativar o nível Security Command Center Enterprise

Conclua as etapas 1 e 2 do guia de configuração para ativar o nível do Security Command Center Enterprise. Para mais informações, consulte Ativar o Security Command Center Enterprise Center.

Ativar a proteção de dados sensíveis como um serviço integrado

Se a proteção de dados sensíveis ainda não estiver ativada como um serviço integrado, ative-a. Para mais informações, consulte Adicionar um serviço integrado do Google Cloud.

Configurar permissões

Para receber as permissões necessárias para configurar a descoberta de dados sensíveis, peça ao administrador para conceder a você os seguintes papéis do IAM na organização:

Motivo Papel predefinido Permissões relevantes
Criar uma configuração de verificação de descoberta e conferir perfis de dados Administrador do DLP (roles/dlp.admin)
  • dlp.columnDataProfiles.list
  • dlp.fileStoreProfiles.list
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobs.list
  • dlp.jobTriggers.create
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Crie um projeto para ser usado como o contêiner do agente de serviço1 roles/resourcemanager.projectCreatorCriador do projeto
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Conceder acesso à descoberta2 Uma das seguintes opções:
  • Administrador da organização (roles/resourcemanager.organizationAdmin)
  • Administrador de segurança (roles/iam.securityAdmin)
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Se você não tiver o papel de criador de projeto (roles/resourcemanager.projectCreator), ainda poderá criar uma configuração de verificação, mas o contêiner do agente de serviço usado precisa ser um projeto existente.

2 Se você não tiver o papel de administrador da organização (roles/resourcemanager.organizationAdmin) ou de administrador de segurança (roles/iam.securityAdmin), ainda poderá criar uma configuração de verificação. Depois de criar a configuração de verificação, alguém na sua organização que tenha uma dessas funções precisa conceder acesso de descoberta ao agente de serviço.

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível receber as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Ativar a descoberta com as configurações padrão

Para ativar a descoberta, crie uma configuração de descoberta para cada fonte de dados que você quer verificar. Esse procedimento permite criar essas configurações de detecção automaticamente usando as configurações padrão. Você pode personalizar as configurações a qualquer momento depois de realizar esse procedimento.

Se você quiser personalizar as configurações desde o início, consulte as páginas a seguir:

Para ativar a descoberta com as configurações padrão, siga estas etapas:

  1. No console do Google Cloud, acesse a página Ativar a descoberta da Proteção de dados sensíveis.

    Acesse Ativar descoberta

  2. Verifique se você está visualizando a organização em que ativou o Security Command Center.

  3. No campo Contêiner de agente de serviço, defina o projeto a ser usado como um contêiner de agente de serviço. Nesse projeto, o sistema cria um agente de serviço e concede automaticamente as permissões de descoberta necessárias a ele.

    Se você já usou o serviço de descoberta para sua organização, talvez já tenha um projeto de contêiner de agente de serviço que pode ser reutilizado.

    • Para criar automaticamente um projeto a ser usado como contêiner do agente de serviço, confira o ID do projeto sugerido e edite conforme necessário. Em seguida, clique em Criar. Pode levar alguns minutos para que as permissões sejam concedidas ao agente de serviço do novo projeto.
    • Para selecionar um projeto, clique no campo Contêiner do agente de serviço e selecione o projeto.
  4. Para revisar as configurações padrão, clique no ícone de expansão .

  5. Na seção Ativar descoberta, clique em Ativar para cada tipo de descoberta que você quer ativar. Ativar um tipo de descoberta faz o seguinte:

    • BigQuery: cria uma configuração de descoberta para gerar perfis de tabelas do BigQuery em toda a organização. A Proteção de dados sensíveis começa a criar o perfil dos seus dados do BigQuery e envia os perfis para o Security Command Center.
    • Cloud SQL: cria uma configuração de descoberta para gerar perfis de tabelas do Cloud SQL em toda a organização. A Proteção de dados sensíveis começa a criar conexões padrão para cada uma das suas instâncias do Cloud SQL. Esse processo pode levar algumas horas. Quando as conexões padrão estiverem prontas, você precisará conceder acesso à Proteção de Dados Sensíveis às suas instâncias do Cloud SQL atualizando cada conexão com as credenciais adequadas do usuário do banco de dados.
    • Vulnerabilidades de secrets/credenciais: cria uma configuração de descoberta para detectar e informar secrets não criptografados em variáveis de ambiente do Cloud Run. A Proteção de Dados Sensíveis começa a verificar suas variáveis de ambiente.
    • Cloud Storage: cria uma configuração de descoberta para criar perfis de buckets do Cloud Storage em toda a organização. A Proteção de dados sensíveis começa a criar o perfil dos seus dados do Cloud Storage e envia os perfis para o Security Command Center.
    • Conjuntos de dados da Vertex AI: cria uma configuração de descoberta para criar perfis de conjuntos de dados da Vertex AI em toda a organização. A Proteção de dados sensíveis começa a criar perfis dos seus conjuntos de dados da Vertex AI e envia os perfis para o Security Command Center.
    • Amazon S3: cria uma configuração de descoberta para criar perfis de dados do Amazon S3 em toda a organização, em uma única conta do S3 ou em um bucket.

  6. Para conferir as configurações de descoberta recém-criadas, clique em Acessar a configuração de descoberta.

    Se você ativou a descoberta do Cloud SQL, a configuração de descoberta é criada no modo pausado com erros indicando a ausência de credenciais. Consulte Gerenciar conexões para uso com a detecção para conceder os papéis do IAM necessários ao agente de serviço e fornecer as credenciais do usuário do banco de dados para cada instância do Cloud SQL.

  7. Fechar painel.

Para conferir as descobertas geradas pela proteção de dados sensíveis, consulte Analisar descobertas da proteção de dados sensíveis no console do Google Cloud.

Usar insights de descoberta para identificar recursos de alto valor

É possível fazer com que o Security Command Center designe automaticamente um recurso que contenha dados de alta ou média sensibilidade como um recurso de alto valor, ativando a opção de insights de descoberta da Proteção de Dados Sensíveis ao criar uma configuração de valor de recurso para o recurso de simulação de caminho de ataque.

Para recursos de alto valor, o Security Command Center fornece pontuações de exposição a ataques e visualizações de caminho de ataque, que podem ser usadas para priorizar a segurança dos recursos que contêm dados sensíveis.

As simulações de caminho de ataque podem definir automaticamente valores de prioridade com base nas classificações de confidencialidade de dados da detecção de proteção de dados sensíveis apenas para os seguintes tipos de recursos de dados:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Personalizar as configurações de verificação

Depois de criar as configurações de verificação, você pode personalizá-las. Por exemplo, é possível fazer o seguinte:

  • Ajuste as frequências de verificação.
  • Especifique filtros para os recursos de dados que você não quer refazer o perfil.
  • Mude o modelo de inspeção, que define os tipos de informações que a Proteção de Dados Sensíveis verifica.
  • Publique os perfis de dados gerados em outros serviços do Google Cloud.
  • Mude o contêiner do agente de serviço.

A seguir