Habilita el descubrimiento de datos sensibles en el nivel empresarial

En esta página, se describe cómo habilitar la detección de datos sensibles con la configuración predeterminada si tienes una suscripción al nivel Enterprise y cómo habilitar la protección de datos sensibles, un producto con un precio independiente. Puedes personalizar la configuración en cualquier momento después de habilitar la detección.

Cuando habilitas el descubrimiento, Sensitive Data Protection genera resultados de Security Command Center que muestran los niveles de sensibilidad y riesgo de datos de los datos en toda tu organización.

Para obtener información sobre cómo habilitar el descubrimiento de datos sensibles sin importar tu nivel de servicio de Security Command Center, consulta las siguientes páginas en la documentación de Sensitive Data Protection:

Cómo funciona

El servicio de descubrimiento de Sensitive Data Protection te ayuda a proteger los datos en toda la organización, ya que identifica dónde residen los datos sensibles y de alto riesgo. En Sensitive Data Protection, el servicio genera perfiles de datos, que proporcionan métricas y estadísticas sobre tus datos en varios niveles de detalle. En Security Command Center, el servicio hace lo siguiente:

  • Generar resultados de observación en Security Command Center que muestren los niveles de riesgo de datos y sensibilidad calculados de tus datos de BigQuery y Cloud SQL Puedes usar estos hallazgos para informar tu respuesta cuando te encuentres con amenazas y vulnerabilidades relacionadas con tus recursos de datos. Para obtener una lista de los tipos de resultados generados, consulta Hallazgos de observación del servicio de descubrimiento.

    Estos hallazgos pueden informar la designación automática de recursos de alto valor en función de la sensibilidad de los datos. Para obtener más información, consulta Usa las estadísticas de descubrimiento para identificar recursos de alto valor en esta página.

  • Generar hallazgos de vulnerabilidades en Security Command Center cuando la protección de datos sensibles detecte la presencia de secretos en las variables de entorno de Cloud Functions Almacenar los secretos, como contraseñas, en las variables de entorno no es una práctica segura porque las variables de entorno no están encriptadas. Para obtener una lista completa de los tipos de secretos que detecta la protección de datos sensibles, consulta Credenciales y secretos. Para obtener una lista de los tipos de resultados generados, consulta Hallazgos de vulnerabilidades del servicio de descubrimiento de Sensitive Data Protection.

Si deseas habilitar el descubrimiento de datos sensibles en tu organización, crea una configuración de análisis de descubrimiento para cada recurso compatible que desees analizar.

Precios

El descubrimiento de datos sensibles se cobra por separado de Security Command Center, sin importar tu nivel de servicio. Si no compras una suscripción para el descubrimiento, se te cobra en función del consumo (bytes analizados). Para obtener más información, consulta los precios de descubrimiento en la documentación de Sensitive Data Protection.

Antes de comenzar

Completa estas tareas antes de completar las tareas restantes de esta página.

Activa el nivel de Security Command Center Enterprise

Completa los pasos 1 y 2 de la guía de configuración para activar el nivel de Security Command Center Enterprise. Para obtener más información, consulta Activa el nivel de Security Command Center Enterprise.

Habilita Sensitive Data Protection como un servicio integrado

Si la protección de datos sensibles aún no está habilitada como un servicio integrado, habilítala. Para obtener más información, consulta Agrega un servicio integrado de Google Cloud.

Configurar los permisos

Si quieres obtener los permisos que necesitas para configurar la detección de datos sensibles, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización:

Objetivo Función predefinida Permisos relevantes
Crea una configuración de análisis de descubrimiento y visualiza perfiles de datos Administrador de DLP (roles/dlp.admin)
  • dlp.columnDataProfiles.list
  • dlp.fileStoreProfiles.list
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobs.list
  • dlp.jobTriggers.create
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Crea un proyecto para usarlo como contenedor de agente de servicio1 Creador del proyecto (roles/resourcemanager.projectCreator)
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Otorga acceso de descubrimiento2 Uno de los siguientes:
  • Administrador de la organización (roles/resourcemanager.organizationAdmin)
  • Administrador de seguridad (roles/iam.securityAdmin)
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Si no tienes la función de creador de proyectos (roles/resourcemanager.projectCreator), puedes crear una configuración de análisis, pero el contenedor de agente de servicio que usas debe ser un proyecto existente.

2 Si no tienes el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) o administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Después de crear la configuración de análisis, una persona de tu organización que tenga uno de estos roles debe otorgar acceso de descubrimiento al agente de servicio.

Para obtener más información sobre cómo otorgar funciones, consulta Administra el acceso.

Es posible que también puedas obtener los permisos necesarios a través de funciones personalizadas o, también, otras funciones predefinidas.

Habilita la detección con la configuración predeterminada

Para habilitar la detección, crea una configuración de detección para cada fuente de datos que desees analizar. Este procedimiento te permite crear esas configuraciones de detección de forma automática con la configuración predeterminada. Después de realizar este procedimiento, puedes personalizar la configuración en cualquier momento.

Si deseas personalizar la configuración desde el principio, consulta las siguientes páginas:

Para habilitar la detección con la configuración predeterminada, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Habilitar descubrimiento de Sensitive Data Protection.

    Ir a Habilitar descubrimiento

  2. Verifica que estás viendo la organización en la que activaste Security Command Center.

  3. En el campo Contenedor de agente de servicio, configura el proyecto que se usará como contenedor de agente de servicio. Dentro de este proyecto, el sistema crea un agente de servicio y le otorga automáticamente los permisos de descubrimiento necesarios.

    Si ya usaste el servicio de descubrimiento para tu organización, es posible que ya tengas un proyecto de contenedor de agente de servicio que puedes volver a usar.

    • Si quieres crear un proyecto de forma automática para usarlo como tu contenedor de agente de servicio, revisa el ID del proyecto sugerido y edítalo según sea necesario. Luego, haz clic en Crear. Es posible que pasen algunos minutos hasta que se otorguen los permisos al agente de servicio del proyecto nuevo.
    • Para seleccionar un proyecto existente, haz clic en el campo Contenedor del agente de servicio (Service agent container) y selecciona el proyecto.

  4. Para revisar la configuración predeterminada, haz clic en el ícono de expandir .

  5. En la sección Habilitar descubrimiento, en cada tipo de descubrimiento que quieras habilitar, haz clic en Habilitar. Si habilitas un tipo de descubrimiento, ocurrirá lo siguiente:

    • BigQuery: Crea una configuración de descubrimiento para generar perfiles de tablas de BigQuery en toda la organización. Sensitive Data Protection comienza a generar perfiles de tus datos de BigQuery y envía los perfiles a Security Command Center.
    • Cloud SQL: Crea una configuración de descubrimiento para generar perfiles de tablas de Cloud SQL en toda la organización. Sensitive Data Protection comienza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar unas horas. Cuando las conexiones predeterminadas estén listas, debes otorgar a Sensitive Data Protection acceso a tus instancias de Cloud SQL mediante la actualización de cada conexión con las credenciales de usuario de la base de datos adecuadas.
    • Vulnerabilidades de secretos o credenciales: Crea una configuración de descubrimiento para detectar y, también, informar secretos no encriptados en variables de entorno de Cloud Functions. Sensitive Data Protection comienza a analizar tus variables de entorno.

  6. Para ver las configuraciones de detección recién creadas, haz clic en Ir a la configuración de detección.

    Si habilitaste el descubrimiento de Cloud SQL, la configuración de detección se crea en modo de pausa con errores que indican la ausencia de credenciales. Consulta Administra conexiones para usar con descubrimiento si quieres otorgar los roles de IAM necesarios a tu agente de servicio y proporcionar credenciales de usuario de base de datos para cada instancia de Cloud SQL.

  7. Cerrar el panel

Desde el momento en que Sensitive Data Protection genera los perfiles de datos, pueden tardar hasta seis horas en aparecer en Security Command Center los resultados asociados Data sensitivity y Data risk.

Desde el momento en que activas el descubrimiento de secretos en Sensitive Data Protection, el análisis inicial de las variables de entorno puede tardar hasta 12 horas en completarse y los hallazgos de Secrets in environment variables en aparecer en Security Command Center. Luego, Sensitive Data Protection analiza las variables de entorno cada 24 horas. En la práctica, los análisis se pueden ejecutar con mayor frecuencia.

Para ver los resultados que genera Sensitive Data Protection, consulta Revisa los resultados de Sensitive Data Protection en la consola de Google Cloud.

Usa las estadísticas de descubrimiento para identificar recursos de alto valor

Puedes hacer que Security Command Center designe de forma automática cualquier conjunto de datos de BigQuery que contenga datos de alta o media sensibilidad como un recurso de alto valor si habilitas la opción de estadísticas de descubrimiento de Sensitive Data Protection cuando creas una configuración del valor del recurso para la función de simulación de la ruta de ataque.

En el caso de los recursos de alto valor, Security Command Center proporciona puntuaciones de exposición a ataques y visualizaciones de rutas de ataque, que puedes usar para priorizar la seguridad de los recursos que contienen datos sensibles.

Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad según las clasificaciones de sensibilidad de los datos de Sensitive Data Protection solo para los siguientes tipos de recursos de datos:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance

Personaliza los parámetros de configuración del análisis

Después de crear los parámetros de configuración de análisis, puedes personalizarlos. Por ejemplo, puedes hacer lo siguiente:

  • Ajusta las frecuencias de búsqueda.
  • Especifica filtros para los recursos de datos para los que no deseas volver a generar el perfil.
  • Cambia la plantilla de inspección, que define los tipos de información que analiza la protección de datos sensibles.
  • Publicar los perfiles de datos generados en otros servicios de Google Cloud
  • Cambia el contenedor del agente de servicio.

Para personalizar la configuración de un análisis, sigue estos pasos:

  1. Abre la configuración de análisis para editarla.

  2. Actualiza la configuración según sea necesario. Para obtener más información sobre las opciones de la página Edit scan configuration, consulta las siguientes páginas:

¿Qué sigue?