Erkennung sensibler Daten auf der Enterprise-Stufe aktivieren

Auf dieser Seite wird beschrieben, wie Sie die Erkennung sensibler Daten mithilfe der Standardeinstellung wenn Sie die Enterprise-Stufe abonniert haben, und aktivieren Sie Sensitive Data Protection ist ein Produkt zu einem separaten Preis. Sie können die Einstellungen jederzeit ändern.

Wenn Sie die Erkennung aktivieren, generiert Sensitive Data Protection Security Command Center-Ergebnisse, die die Vertraulichkeit und das Datenrisiko von Daten in Ihrem gesamten Unternehmen.

Informationen zum Aktivieren der Erkennung sensibler Daten unabhängig von Ihrer Security Command Center-Dienstebene finden Sie auf den folgenden Seiten der Dokumentation zum Schutz sensibler Daten:

Funktionsweise

Mit dem Erkennungsdienst für Sensitive Data Protection können Sie Daten schützen in Ihrem Unternehmen, indem Sie ermitteln, wo sensible und risikoreiche Daten wohnhaft sind. Im Rahmen des Schutzes sensibler Daten generiert der Dienst Datenprofile, die Messwerte und Statistiken zu Ihren Daten auf verschiedenen Detailebenen liefern. Im Security Command Center führt der Dienst folgende Aufgaben aus:

  • Beobachtungsergebnisse in Security Command Center generieren, die die berechneten Werte zeigen Vertraulichkeit und Datenrisikoniveaus Ihrer Daten. Sie können diese Ergebnisse als Grundlage für Ihre Reaktion verwenden, wenn Sie auf Bedrohungen und Sicherheitslücken im Zusammenhang mit Ihren Datenbeständen stoßen. Eine Liste der generierten Ergebnistypen finden Sie unter Ergebnisse der Beobachtung vom Discovery-Dienst.

    Diese Erkenntnisse können für die automatische Kennzeichnung hochwertiger Ressourcen verwendet werden. Datensensibilität berücksichtigt. Weitere Informationen finden Sie auf dieser Seite unter Mithilfe von Entdeckungsstatistiken wertvolle Ressourcen ermitteln.

  • Ergebnisse zu Sicherheitslücken in Security Command Center generieren, wenn Der Schutz sensibler Daten erkennt das Vorhandensein von hochsensiblen die nicht geschützt sind. Eine Liste der generierten Ergebnistypen finden Sie unter Sicherheitslücken im Rahmen der Suche nach sensiblen Daten.

Wenn Sie die Erkennung sensibler Daten für Ihre Organisation aktivieren möchten, müssen Sie eine erstellen Erkennungsscankonfiguration für jede unterstützte Infomaterial die Sie scannen möchten.

Preise

Die Erkennung sensibler Daten wird separat von Security Command Center abgerechnet unabhängig von Ihrer Dienststufe. Wenn Sie kein Abo für werden Ihnen die Kosten basierend auf Ihrem Verbrauch (gescannte Byte) in Rechnung gestellt. Weitere Informationen erhalten Sie unter Erkennung Preise in der Dokumentation zum Schutz sensibler Daten.

Hinweis

Führen Sie diese Aufgaben aus, bevor Sie mit den verbleibenden Aufgaben auf dieser Seite fortfahren.

Security Command Center Enterprise-Stufe aktivieren

Schließen Sie Schritt 1 und Schritt 2 der Einrichtungsleitfaden zum Aktivieren der Security Command Center Enterprise-Stufe. Weitere Informationen finden Sie unter Security Command Center Enterprise-Tier aktivieren.

Sensitive Data Protection als integrierten Dienst aktivieren

Aktivieren Sie den Schutz sensibler Daten als integrierten Dienst, falls dies noch nicht geschehen ist. Weitere Informationen finden Sie unter Integrierten Google Cloud-Dienst hinzufügen.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Suche nach sensiblen Daten benötigen:

Zweck Vordefinierte Rolle Relevante Berechtigungen
Konfiguration für Discovery-Scan erstellen und Datenprofile ansehen DLP Administrator (roles/dlp.admin)
  • dlp.columnDataProfiles.list
  • dlp.fileStoreProfiles.list
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobs.list
  • dlp.jobTriggers.create
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Erstellen Sie ein Projekt, das als Dienst-Agent-Container verwendet werden soll.1 Projektersteller (roles/resourcemanager.projectCreator)
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Erkennungszugriff gewähren2 Eine der folgenden:
  • Organisationsadministrator (roles/resourcemanager.organizationAdmin)
  • Sicherheitsadministrator (roles/iam.securityAdmin)
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Wenn Sie nicht die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator) haben, können Sie trotzdem eine Scankonfiguration erstellen. Der verwendete Dienst-Agent-Container muss jedoch ein vorhandenes Projekt sein.

2 Wenn Sie die Organisation nicht haben Administrator (roles/resourcemanager.organizationAdmin) oder Sicherheitsadministrator roles/iam.securityAdmin haben, können Sie trotzdem eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellen, muss jemand in Ihrer Organisation mit einer dieser Rollen Erkennungszugriff auf die Dienst-Agent.

Weitere Informationen zum Gewähren von Rollen finden Sie unter Verwalten von Zugriff.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen

Discovery mit Standardeinstellungen aktivieren

Wenn Sie die Erkennung aktivieren möchten, erstellen Sie eine Erkennungskonfiguration für jede Datenquelle, die Sie scannen möchten. Mit diesem Verfahren können Sie diese Discovery-Konfigurationen automatisch mit Standardeinstellungen erstellen. Sie können die jederzeit wieder aktivieren.

Informationen dazu, wie Sie die Einstellungen gleich zu Beginn anpassen, finden Sie auf den folgenden Seiten. stattdessen:

So aktivieren Sie die Erkennung mit den Standardeinstellungen:

  1. Rufen Sie in der Google Cloud Console den Bereich „Schutz sensibler Daten“ auf. Seite Erkennung aktivieren

    Zu „Erkennung aktivieren“

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie Security Command Center aktiviert haben.

  3. Legen Sie im Feld Dienst-Agent-Container das Projekt fest, das als Dienst-Agent-Container verwendet werden soll. Innerhalb dieses Projekts erstellt das System einen Dienst-Agent und gewährt ihm automatisch die erforderlichen Discovery-Berechtigungen.

    Wenn Sie den Discovery-Dienst bereits für Ihre Organisation verwendet haben, haben Sie möglicherweise bereits ein Dienst-Agent-Containerprojekt, das Sie wiederverwenden können.

    • Wenn Sie automatisch ein Projekt als Dienst-Agent-Container erstellen möchten, prüfen Sie die vorgeschlagene Projekt-ID und bearbeiten Sie sie bei Bedarf. Klicken Sie dann auf Erstellen. Es kann einige Minuten dauern, bis die Berechtigungen dem Dienst-Agenten des neuen Projekts gewährt werden.
    • Wenn Sie ein vorhandenes Projekt auswählen möchten, klicken Sie auf das Feld Dienst-Agent-Container und wählen Sie das Projekt aus.
  4. Wenn Sie die Standardeinstellungen aufrufen möchten, klicken Sie auf das Symbol .

  5. Klicken Sie im Bereich Discovery aktivieren für jeden Discovery-Typ, den Sie aktivieren möchten, auf Aktivieren. Wenn Sie einen Erkennungstyp aktivieren, geschieht Folgendes:

    • BigQuery: Erstellt eine Erkennungskonfiguration für die Profilerstellung. BigQuery-Tabellen in der gesamten Organisation. beginnt Sensitive Data Protection mit dem Erstellen eines BigQuery-Daten und sendet die Profile an Security Command Center.
    • Cloud SQL: Erstellt eine Erkennungskonfiguration für die Profilerstellung Cloud SQL-Tabellen in der gesamten Organisation. Sensitive Data Protection erstellt nun Standardverbindungen für jede Ihrer Cloud SQL-Instanzen. Dieser Vorgang kann einige Stunden dauern. Wenn die Standardverbindungen bereit sind, müssen Sie für den Schutz sensibler Daten auf Ihr Cloud SQL-Instanzen durch Aktualisieren jeder Verbindung mit dem Anmeldedaten eines Datenbanknutzers.
    • Sicherheitslücken in Secrets/Anmeldedaten: Erstellt eine Erkennungskonfiguration. zum Erkennen und Melden unverschlüsselter Secrets in Cloud Run-Funktionen Umgebungsvariablen. Start des Schutzes sensibler Daten um Ihre Umgebungsvariablen zu scannen.
    • Cloud Storage: Erstellt eine Discovery-Konfiguration zum Profilieren von Cloud Storage-Buckets in der gesamten Organisation. beginnt Sensitive Data Protection mit dem Erstellen eines Cloud Storage-Daten an und sendet die Profile an Security Command Center.
    • Amazon S3: Erstellt eine Erkennungskonfiguration für die Profilerstellung Amazon S3-Daten im gesamten Unternehmen, ein einzelnes S3-Konto oder ein einzelnes Bucket.

  6. Klicken Sie auf Zur Erkennungskonfiguration, um die neu erstellten Erkennungskonfigurationen aufzurufen.

    Wenn Sie die Cloud SQL-Erkennung aktiviert haben, ist die Erkennungskonfiguration im pausierten Modus mit Fehlern erstellt wurden, die das Fehlen von Anmeldedaten angeben. Weitere Informationen finden Sie unter Verbindungen für die Verwendung mit der Erkennung verwalten. Dort erfahren Sie, wie Sie Ihrem Servicemitarbeiter die erforderlichen IAM-Rollen zuweisen und Anmeldedaten für Datenbanknutzer für jede Cloud SQL-Instanz angeben.

  7. Schließen Sie den Bereich.

Nach dem Erstellen der Datenprofile durch den Schutz sensibler Daten kann es bis zu sechs Stunden dauern, bis die zugehörigen Ergebnisse im Security Command Center angezeigt werden.

Wenn Sie die Secret-Erkennung in Sensitive Data Protection aktivieren, Es kann bis zu 12 Stunden dauern, bis die Umgebungsvariablen abgeschlossen ist und alle Secrets in environment variables Ergebnisse in Security Command Center. Anschließend scannt der Schutz sensibler Daten die Umgebung alle 24 Stunden ändern. In der Praxis können Scans häufiger ausgeführt werden.

Informationen zu den vom Schutz sensibler Daten generierten Ergebnissen finden Sie unter Ergebnisse des Schutzes sensibler Daten in der Google Cloud Console ansehen.

Mit Discovery Insights wertvolle Ressourcen identifizieren

Sie können Security Command Center festlegen, dass eine Ressource automatisch Daten mit hoher oder mittlerer Vertraulichkeit als hochwertige Ressource enthalten, Aktivieren Sie die Option „Statistiken zum Schutz sensibler Daten“, wenn Sie Einen Ressourcenwert erstellen Konfiguration für die Angriffspfadsimulation.

Für hochwertige Ressourcen bietet Security Command Center Angriffsrisikobewertungen Visualisierungen von Angriffspfaden, mit denen Sie die Sicherheit Ihres Ressourcen, die sensible Daten enthalten.

Bei Simulationen von Angriffspfaden können Prioritätswerte nur für die folgenden Datenressourcentypen automatisch anhand der Klassifizierungen der Datensensibilität aus der Erfassung sensibler Daten festgelegt werden:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Scankonfigurationen anpassen

Nachdem Sie die Scankonfigurationen erstellt haben, können Sie sie anpassen. Beispiel: können Sie Folgendes tun:

  • Passen Sie die Scanfrequenzen an.
  • Geben Sie Filter für Daten-Assets an, für die kein neues Profil erstellt werden soll.
  • Ändern Sie die Inspektionsvorlage, in der die Informationstypen definiert sind, nach denen der Schutz sensibler Daten sucht.
  • Die generierten Datenprofile in anderen Google Cloud-Diensten veröffentlichen.
  • Ändern Sie den Dienst-Agent-Container.

So passen Sie eine Scankonfiguration an:

  1. Öffnen Sie die Scankonfiguration zur Bearbeitung.
  2. Aktualisieren Sie die Einstellungen nach Bedarf. Weitere Informationen zu den Optionen auf der Seite Scankonfiguration bearbeiten finden Sie auf den folgenden Seiten:

Nächste Schritte