Erkennung sensibler Daten auf der Enterprise-Stufe aktivieren

Auf dieser Seite wird beschrieben, wie Sie die Erkennung sensibler Daten mithilfe der Standardeinstellung wenn Sie die Enterprise-Stufe abonniert haben, und aktivieren Sie Sensitive Data Protection ist ein Produkt zu einem separaten Preis. Sie können die Einstellungen jederzeit ändern.

Wenn Sie die Erkennung aktivieren, generiert Sensitive Data Protection Security Command Center-Ergebnisse, die die Vertraulichkeit und das Datenrisiko von Daten in Ihrem gesamten Unternehmen.

Informationen dazu, wie Sie die Erkennung sensibler Daten unabhängig von Ihrem Security Command Center-Dienststufe finden Sie auf den folgenden Seiten in der Dokumentation zum Schutz sensibler Daten:

• Datenprofile in Security Command Center veröffentlichen
• Secrets in Umgebungsvariablen an Security Command Center melden

Funktionsweise

Mit dem Erkennungsdienst für Sensitive Data Protection können Sie Daten schützen in Ihrem Unternehmen, indem Sie ermitteln, wo sensible und risikoreiche Daten wohnhaft sind. Beim Schutz sensibler Daten generiert der Dienst Daten Profilen, die Messwerte enthalten und Einblicke in Ihre Daten auf verschiedenen Detailebenen. In Security Command Center Dienst:

• Beobachtungsergebnisse in Security Command Center generieren, die die berechneten Werte zeigen Vertraulichkeit und Datenrisikostufen von BigQuery und Cloud SQL-Daten. Sie können diese Ergebnisse für Ihre Antwort verwenden. wenn Sie auf Bedrohungen und Sicherheitslücken in Bezug auf Ihre Daten-Assets stoßen. Eine Liste der generierten Ergebnistypen finden Sie unter Beobachtungsergebnisse aus dem Entdecken

  Diese Erkenntnisse können für die automatische Kennzeichnung hochwertiger Ressourcen verwendet werden. Datensensibilität berücksichtigt. Weitere Informationen findest du unter Statistiken zur Auffindbarkeit verwenden zur Identifizierung hochwertiger Ressourcen.

• Ergebnisse zu Sicherheitslücken in Security Command Center generieren, wenn Sensitive Data Protection erkennt das Vorhandensein von Secrets in Ihrem Cloud Functions-Umgebungsvariablen. Secrets wie Passwörter, in Umgebungsvariablen ist keine sichere Praxis, da Umgebungsvariablen nicht verschlüsselt sind. Eine vollständige Liste der Secret-Typen, Sensitive Data Protection erkennt, siehe Anmeldedaten und Secrets. Eine Liste der generierten Ergebnistypen finden Sie unter Sicherheitslückenergebnisse aus dem Erkennung von Sensitive Data Protection

Wenn Sie die Erkennung sensibler Daten für Ihre Organisation aktivieren möchten, müssen Sie eine erstellen Erkennungsscankonfiguration für jede unterstützte Infomaterial die Sie scannen möchten.

Preise

Die Erkennung sensibler Daten wird separat von Security Command Center abgerechnet unabhängig von Ihrer Dienststufe. Wenn Sie kein Abo für werden Ihnen die Kosten basierend auf Ihrem Verbrauch (gescannte Byte) in Rechnung gestellt. Weitere Informationen erhalten Sie unter Erkennung Preise in der Dokumentation zum Schutz sensibler Daten.

Hinweise

Führen Sie diese Schritte aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite ausführen.

Security Command Center Enterprise-Stufe aktivieren

Schließen Sie Schritt 1 und Schritt 2 der Einrichtungsleitfaden zum Aktivieren der Security Command Center Enterprise-Stufe. Weitere Informationen Siehe Security Command Center Enterprise aktivieren Stufe

Sensitive Data Protection als integrierten Dienst aktivieren

Wenn Sensitive Data Protection noch nicht als integrierter Dienst aktiviert ist, aktivieren. Weitere Informationen finden Sie unter Eingebunden in Google Cloud

Berechtigungen einrichten

Bitten Sie um die Berechtigungen, die Sie zum Konfigurieren der Erkennung sensibler Daten benötigen, muss Ihr Administrator Ihnen die folgenden IAM-Rollen für das Organisation:

Zweck	Vordefinierte Rolle	Relevante Berechtigungen
Konfiguration für Discovery-Scan erstellen und Datenprofile ansehen	DLP Administrator (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Erstellen Sie ein Projekt, das als Dienst-Agent-Container verwendet werden soll1	Projektersteller (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
Erkennungszugriff gewähren2	Eine der folgenden: Organisationsadministrator (roles/resourcemanager.organizationAdmin) Sicherheitsadministrator (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Wenn Sie das Projekt nicht haben Creator-Rolle (roles/resourcemanager.projectCreator) können Sie trotzdem einen Scan erstellen Konfiguration, aber der Dienst-Agent verwendeten Container muss ein vorhandenes Projekt sein.

² Wenn Sie die Organisation nicht haben Administrator (roles/resourcemanager.organizationAdmin) oder Sicherheitsadministrator roles/iam.securityAdmin haben, können Sie trotzdem eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellen, muss jemand in Ihrer Organisation mit einer dieser Rollen Erkennungszugriff auf die Dienst-Agent.

Weitere Informationen zum Gewähren von Rollen finden Sie unter Verwalten von Zugriff.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen

Erkennung mit Standardeinstellungen aktivieren

Um die Erkennung zu aktivieren, erstellen Sie für jede Datenquelle die Sie scannen möchten. Mit diesem Verfahren können Sie diese Erkennung erstellen automatisch mit den Standardeinstellungen. Sie können die jederzeit wieder aktivieren.

Informationen dazu, wie Sie die Einstellungen gleich zu Beginn anpassen, finden Sie auf den folgenden Seiten. stattdessen:

• Profil für BigQuery-Daten in einer Organisation oder einem Ordner erstellen
• Profil für Cloud SQL-Daten in einer Organisation oder einem Ordner erstellen
• Secrets in Umgebungsvariablen an Security Command Center melden

So aktivieren Sie die Erkennung mit den Standardeinstellungen:

1. Rufen Sie in der Google Cloud Console den Bereich „Schutz sensibler Daten“ auf. Seite Erkennung aktivieren

   Zu „Erkennung aktivieren“

2. Prüfen, ob die aktivierte Organisation angezeigt wird Security Command Center aktiviert.

3. Legen Sie im Feld Dienst-Agent-Container das Projekt fest, das als Dienst-Agent Container. Innerhalb dieses Projekts erstellt das System einen Dienst-Agent gewährt ihm die erforderlichen Erkennungsberechtigungen.

   Wenn Sie den Discovery-Dienst bereits für Ihre Organisation verwendet haben, haben bereits ein Dienst-Agent-Containerprojekt, das Sie wiederverwenden können.

   • So erstellen Sie automatisch ein Projekt, das als Dienst-Agent-Container verwendet werden soll: Prüfen Sie die vorgeschlagene Projekt-ID und bearbeiten Sie sie nach Bedarf. Klicken Sie dann auf Erstellen: Es kann einige Minuten dauern, bis die Berechtigungen für den Dienst-Agent des neuen Projekts.
   • Klicken Sie auf das Feld Dienst-Agent-Container, um ein vorhandenes Projekt auszuwählen. und wählen Sie das Projekt aus.

4. Klicken Sie auf das Symbol zum Maximieren expand_more, um die Standardeinstellungen zu überprüfen.

5. Gehen Sie für jeden Erkennungstyp, den Sie aktivieren möchten, im Bereich Erkennung aktivieren auf Aktivieren. Das Aktivieren eines Erkennungstyps hat folgende Auswirkungen:

   • BigQuery: Erstellt eine Erkennungskonfiguration für die Profilerstellung. BigQuery-Tabellen in der gesamten Organisation. beginnt Sensitive Data Protection mit dem Erstellen eines BigQuery-Daten und sendet die Profile an Security Command Center.
   • Cloud SQL: Erstellt eine Erkennungskonfiguration für die Profilerstellung Cloud SQL-Tabellen in der gesamten Organisation. Sensitive Data Protection erstellt nun Standardverbindungen für jede Ihrer Cloud SQL-Instanzen. Dieser Vorgang kann einige Stunden. Wenn die Standardverbindungen bereit sind, müssen Sie für den Schutz sensibler Daten auf Ihr Cloud SQL-Instanzen durch Aktualisieren jeder Verbindung mit dem Anmeldedaten eines Datenbanknutzers.
   • Sicherheitslücken in Secrets/Anmeldedaten: Erstellt eine Erkennungskonfiguration. zum Erkennen und Melden unverschlüsselter Secrets in Cloud Functions Umgebungsvariablen. Start des Schutzes sensibler Daten um Ihre Umgebungsvariablen zu scannen.

6. Klicken Sie zum Aufrufen der neu erstellten Erkennungskonfigurationen auf Zur Erkennung Konfiguration.

   Wenn Sie die Cloud SQL-Erkennung aktiviert haben, ist die Erkennungskonfiguration im pausierten Modus mit Fehlern erstellt wurden, die das Fehlen von Anmeldedaten angeben. Weitere Informationen finden Sie unter Verbindungen zur Verwendung mit verwalten Discovery zu verwenden, um dem die erforderlichen IAM-Rollen für Ihren Dienst-Agent Anmeldedaten eines Datenbanknutzers für jede Cloud SQL-Instanz

7. Schließen Sie den Bereich.

Ab der Erstellung der Datenprofile durch den Schutz sensibler Daten kann Es kann bis zu sechs Stunden dauern, bis die verknüpften Data sensitivity und Data risk Ergebnisse, die in Security Command Center angezeigt werden sollen.

Wenn Sie die Secret-Erkennung in Sensitive Data Protection aktivieren, Es kann bis zu 12 Stunden dauern, bis die Umgebungsvariablen abgeschlossen ist und alle Secrets in environment variables Ergebnisse in Security Command Center. Anschließend scannt der Schutz sensibler Daten die Umgebung alle 24 Stunden ändern. In der Praxis können Scans häufiger ausgeführt werden.

Informationen zum Ansehen der von Sensitive Data Protection generierten Ergebnisse finden Sie unter Überprüfung Ergebnisse zum Schutz sensibler Daten in der Google Cloud Console

Mit Discovery Insights wertvolle Ressourcen identifizieren

Sie können Security Command Center festlegen, BigQuery-Dataset, das empfindliche oder Daten mit mittlerer Vertraulichkeit als hochwertige Ressource, indem Sie die Erkennung von Sensitive Data Protection aktivieren Option für Statistiken, wenn Sie einen Ressourcenwert erstellen Konfiguration für die Angriffspfadsimulation.

Für hochwertige Ressourcen bietet Security Command Center Angriffsrisikobewertungen Visualisierungen von Angriffspfaden, mit denen Sie die Sicherheit Ihres Ressourcen, die sensible Daten enthalten.

Angriffspfadsimulationen können automatisch Prioritätswerte festlegen basierend auf den Datensensitivitätsklassifizierungen Schutz sensibler Daten nur für die folgenden Datenressourcentypen:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Scankonfigurationen anpassen

Nachdem Sie die Scankonfigurationen erstellt haben, können Sie sie anpassen. Beispiel: können Sie Folgendes tun:

• Passen Sie die Scanfrequenzen an.
• Geben Sie Filter für Daten-Assets an, für die Sie kein neues Profil erstellen möchten.
• Die Prüfung ändern Vorlage, mit dem die Informationen Sensitive Data Protection sucht nach.
• Veröffentlichen Sie die generierten Datenprofile in anderen Google Cloud-Diensten.
• Ändern Sie den Dienst-Agent-Container.

So passen Sie eine Scankonfiguration an:

1. Scankonfiguration für bearbeiten.

2. Aktualisieren Sie die Einstellungen nach Bedarf. Weitere Informationen zu den Optionen auf der Scankonfiguration bearbeiten finden Sie auf den folgenden Seiten:

   • Profil für BigQuery-Daten in einer Organisation oder einem Ordner erstellen
   • Profil für Cloud SQL-Daten in einer Organisation oder einem Ordner erstellen
   • Secrets in Umgebungsvariablen an Security Command Center melden

Nächste Schritte

• Ergebnisse zum Schutz sensibler Daten ansehen