Habilitar el descubrimiento de datos sensibles en el nivel Enterprise

En esta página se describe cómo habilitar la detección de datos sensibles con la configuración predeterminada. Puedes personalizar los ajustes en cualquier momento después de habilitar el descubrimiento.

Si eres cliente de Security Command Center Enterprise, el servicio de descubrimiento de Protección de datos sensibles se incluye en tu suscripción a Enterprise. Para obtener más información, consulta la sección Asignación de capacidad de descubrimiento de esta página.

Durante el proceso de activación del nivel Enterprise de Security Command Center, el servicio de descubrimiento de protección de datos sensibles se habilita automáticamente para todos los tipos de recursos admitidos. Este proceso de habilitación automática es una operación única que solo se aplica a los tipos de recursos admitidos en el momento de la activación del nivel Enterprise. Si Protección de Datos Sensibles añade más adelante compatibilidad con la detección de nuevos tipos de recursos, deberá habilitar esos tipos de detección manualmente siguiendo estas instrucciones.

Ventajas

Esta función ofrece las siguientes ventajas:

• Puedes usar los resultados de Protección de Datos Sensibles para identificar y corregir vulnerabilidades y configuraciones incorrectas en tus recursos que puedan exponer datos sensibles al público o a agentes perniciosos.

• Puedes usar estos resultados para añadir contexto al proceso de triaje y priorizar las amenazas dirigidas a recursos que contengan datos sensibles.

• Puedes configurar Security Command Center para que priorice automáticamente los recursos de la simulación de ruta de ataque en función de la sensibilidad de los datos que contengan. Para obtener más información, consulta Definir automáticamente los valores de prioridad de los recursos según la sensibilidad de los datos.

Cómo funciona

El servicio de descubrimiento de Protección de Datos Sensibles te ayuda a proteger los datos de toda tu organización identificando dónde se encuentran los datos sensibles y de alto riesgo. En Protección de Datos Sensibles, el servicio genera perfiles de datos, que proporcionan métricas e información valiosa sobre sus datos con distintos niveles de detalle. En Security Command Center, el servicio hace lo siguiente:

• Genera hallazgos de observación en Security Command Center que muestren los niveles de sensibilidad y riesgo de datos calculados de tus datos. Puedes usar estos resultados para informar de tu respuesta cuando detectes amenazas y vulnerabilidades relacionadas con tus recursos de datos. Para ver una lista de los tipos de resultados generados, consulta Resultados de observaciones del servicio de descubrimiento.

  Estos resultados pueden servir para designar automáticamente recursos de alto valor en función de la confidencialidad de los datos. Para obtener más información, consulta la sección Usar estadísticas de descubrimiento para identificar recursos de alto valor de esta página.

• Genera hallazgos de vulnerabilidades en Security Command Center cuando Protección de Datos Sensibles detecta la presencia de datos altamente sensibles que no están protegidos. Para ver una lista de los tipos de hallazgos generados, consulta Hallazgos de vulnerabilidades del servicio de descubrimiento de Protección de Datos Sensibles.

Buscar la latencia de generación

En función del tamaño de tu organización, los resultados de Protección de Datos Sensibles pueden empezar a aparecer en Security Command Center unos minutos después de habilitar la detección de datos sensibles. En el caso de las organizaciones más grandes o de las que tienen configuraciones específicas que afectan a la generación de resultados, pueden pasar hasta 12 horas antes de que aparezcan los primeros resultados en Security Command Center.

Después, Protección de Datos Sensibles genera resultados en Security Command Center unos minutos después de que el servicio de descubrimiento analice tus recursos.

Antes de empezar

Completa estas tareas antes de completar las tareas restantes de esta página.

Activar el nivel Enterprise de Security Command Center

Completa los pasos 1 y 2 de la guía de configuración para activar el nivel Enterprise de Security Command Center. Para obtener más información, consulta Activar el nivel Enterprise de Security Command Center.

Asegúrate de que la protección de datos sensibles esté habilitada como servicio integrado

De forma predeterminada, la protección de datos sensibles está habilitada en Security Command Center como servicio integrado. Si Protección de datos sensibles aún no está habilitada, debes habilitarla. Para obtener más información, consulta Añadir un servicio integrado. Google Cloud

Configurar permisos

Para obtener los permisos que necesitas para configurar la detección de datos sensibles, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en la organización:

Finalidad	Rol predefinido	Permisos pertinentes
Crear una configuración de análisis de descubrimiento y ver perfiles de datos	Administrador de DLP (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un proyecto que se usará como contenedor de agentes de servicio1.	Creador del proyecto (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
Conceder acceso de descubrimiento2	Una de las siguientes: Administrador de la organización (roles/resourcemanager.organizationAdmin) Administrador de seguridad (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Si no tienes el rol Project Creator (roles/resourcemanager.projectCreator), puedes crear una configuración de análisis, pero el contenedor del agente de servicio que utilices debe ser un proyecto que ya exista.

² Si no tienes el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) o de administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Después de crear la configuración de análisis, alguien de tu organización que tenga uno de estos roles debe conceder acceso de descubrimiento al agente de servicio.

Para obtener más información sobre cómo conceder roles, consulta el artículo sobre cómo gestionar el acceso.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Habilitar el descubrimiento con los ajustes predeterminados

Para habilitar la detección, debe crear una configuración de detección para cada fuente de datos que quiera analizar. Este procedimiento te permite crear esas configuraciones de descubrimiento automáticamente con los ajustes predeterminados. Puedes personalizar los ajustes en cualquier momento después de realizar este procedimiento.

Si quieres personalizar los ajustes desde el principio, consulta las siguientes páginas:

• Crear perfiles de datos de BigQuery en una organización o carpeta
• Crear perfiles de datos de Cloud SQL en una organización o carpeta
• Crear perfiles de datos de Cloud Storage en una organización o carpeta
• Crear perfiles de datos de Vertex AI en una organización o carpeta
• Descubrimiento de datos sensibles en Amazon S3
• Informar de secretos en variables de entorno a Security Command Center

Para habilitar la detección con la configuración predeterminada, sigue estos pasos:

1. En la consola de Google Cloud , ve a la página Protección de datos sensibles Habilitar descubrimiento.

   Habilitar el descubrimiento

2. Comprueba que estás viendo la organización en la que has activado Security Command Center.

3. En el campo Contenedor de agente de servicio, define el proyecto que se va a usar como contenedor de agente de servicio. En este proyecto, el sistema crea un agente de servicio y le otorga automáticamente los permisos de descubrimiento necesarios.

   Si ya has usado el servicio de descubrimiento en tu organización, es posible que ya tengas un proyecto de contenedor de agente de servicio que puedas reutilizar.

   • Para crear automáticamente un proyecto que se usará como contenedor del agente de servicio, revisa el ID de proyecto sugerido y edítalo si es necesario. A continuación, haz clic en Crear. Los permisos pueden tardar unos minutos en concederse al agente de servicio del nuevo proyecto.
   • Para seleccionar un proyecto, haz clic en el campo Contenedor del agente de servicio y selecciona el proyecto.

4. Para revisar la configuración predeterminada, haga clic en el icono de expand_more expansión.

5. En la sección Habilitar Discovery, haz clic en Habilitar junto a cada tipo de Discovery que quieras habilitar. Si habilitas un tipo de descubrimiento, ocurrirá lo siguiente:

   • BigQuery crea una configuración de descubrimiento para crear perfiles de tablas de BigQuery en toda la organización. Protección de Datos Sensibles empieza a crear perfiles de tus datos de BigQuery y los envía a Security Command Center.
   • Cloud SQL: crea una configuración de descubrimiento para crear perfiles de tablas de Cloud SQL en toda la organización. Protección de Datos Sensibles empieza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar unas horas. Cuando las conexiones predeterminadas estén listas, debes dar acceso a Protección de Datos Sensibles a tus instancias de Cloud SQL actualizando cada conexión con las credenciales de usuario de base de datos adecuadas.
   • Vulnerabilidades de secretos o credenciales: crea una configuración de descubrimiento para detectar y registrar secretos sin cifrar en variables de entorno de Cloud Run. Protección de Datos Sensibles empieza a analizar tus variables de entorno.
   • Cloud Storage: crea una configuración de descubrimiento para crear perfiles de segmentos de Cloud Storage en toda la organización. La protección de datos sensibles empieza a crear perfiles de tus datos de Cloud Storage y los envía a Security Command Center.
   • Conjuntos de datos de Vertex AI: crea una configuración de descubrimiento para crear perfiles de conjuntos de datos de Vertex AI de toda la organización. Protección de Datos Sensibles empieza a crear perfiles de tus conjuntos de datos de Vertex AI y los envía a Security Command Center.

   • Amazon S3: crea una configuración de descubrimiento para crear perfiles de todos los datos de Amazon S3 a los que tiene acceso tu conector de AWS.

   • Azure Blob Storage: crea una configuración de detección para crear perfiles de todos los datos de Azure Blob Storage a los que tenga acceso tu conector de Azure.

6. Para ver las configuraciones de descubrimiento que acabas de crear, haz clic en Ir a la configuración de descubrimiento.

   Si has habilitado la detección de Cloud SQL, la configuración de detección se crea en modo Pausado con errores que indican la ausencia de credenciales. Consulta Gestionar conexiones para usar con Discovery para asignar los roles de gestión de identidades y accesos necesarios a tu agente de servicio y proporcionar las credenciales de usuario de la base de datos de cada instancia de Cloud SQL.

7. Cierra el panel.

Para ver los resultados generados por Protección de Datos Sensibles, consulta el artículo Revisar los resultados de Protección de Datos Sensibles en la consolaGoogle Cloud .

Usar las estadísticas de descubrimiento para identificar recursos de alto valor

Puedes hacer que Security Command Center designe automáticamente como recurso de alto valor un recurso que contenga datos de alta o media sensibilidad. Para ello, habilita la opción de estadísticas de descubrimiento de Protección de Datos Sensibles al crear una configuración de valor de recurso para la función de simulación de ruta de ataque.

En el caso de los recursos de alto valor, Security Command Center proporciona puntuaciones de exposición a ataques y visualizaciones de rutas de ataque, que puedes usar para priorizar la seguridad de los recursos que contienen datos sensibles. Para obtener más información, consulta Definir automáticamente los valores de prioridad de los recursos según la sensibilidad de los datos .

Personalizar las configuraciones de análisis

Cada tipo de descubrimiento que esté habilitado tiene una configuración de análisis de descubrimiento que puedes personalizar. Por ejemplo, puedes hacer lo siguiente:

• Ajusta las frecuencias de análisis.
• Especifica filtros para los recursos de datos de los que no quieras volver a crear un perfil.
• Cambia la plantilla de inspección, que define los tipos de información que busca Protección de Datos Sensibles.
• Publica los perfiles de datos generados en otros servicios. Google Cloud
• Cambiar el contenedor del agente de servicio.

Asignación de capacidad de descubrimiento

Si tus necesidades de detección de datos sensibles superan la capacidad asignada a los clientes de Security Command Center Enterprise, Protección de Datos Sensibles puede aumentar tu capacidad temporalmente. Sin embargo, este aumento no está garantizado y depende de si hay recursos de computación disponibles. Si necesitas más capacidad de descubrimiento, ponte en contacto con tu representante de cuenta o con un Google Cloud especialista en ventas. Para obtener más información, consulta el artículo Monitorizar el uso de la documentación de Protección de Datos Sensibles.

Siguientes pasos

• Ver resultados de Protección de Datos Sensibles
• Consulta los perfiles de datos en Protección de Datos Sensibles.