Habilita el descubrimiento de datos sensibles en el nivel empresarial

En esta página, se describe cómo habilitar el descubrimiento de datos sensibles mediante la configuración predeterminada si estás suscrito al nivel empresarial y habilitar la protección de datos sensibles, un producto con un precio independiente. Puedes personalizar la configuración en cualquier momento después de habilitar el descubrimiento.

Cuando habilitas el descubrimiento, la protección de datos sensibles genera resultados de Security Command Center que muestran los niveles de sensibilidad y riesgo de datos de los datos en toda tu organización.

Si deseas obtener información para habilitar el descubrimiento de datos sensibles sin importar el nivel de servicio de Security Command Center, consulta las siguientes páginas en la documentación de Protección de datos sensibles:

Cómo funciona

El servicio de descubrimiento de protección de datos sensibles te ayuda a proteger los datos en toda tu organización mediante la identificación de dónde residen los datos sensibles y de alto riesgo. En la protección de datos sensibles, el servicio genera perfiles de datos, que proporcionan métricas y estadísticas sobre tus datos en varios niveles de detalle. En Security Command Center, el servicio hace lo siguiente:

  • Generar resultados de observación en Security Command Center que muestren los niveles calculados de sensibilidad y riesgo de los datos de tus datos de BigQuery y Cloud SQL Puedes usar estos hallazgos para informar tu respuesta cuando te encuentres con amenazas y vulnerabilidades relacionadas con tus recursos de datos. Para obtener una lista de los tipos de resultados generados, consulta Resultados de observación del servicio de descubrimiento.

    Estos resultados pueden informar la designación automática de recursos de alto valor en función de la sensibilidad de los datos. Si quieres obtener más información, consulta Cómo usar las estadísticas de descubrimiento para identificar recursos de alto valor en esta página.

  • Genera resultados de vulnerabilidades en Security Command Center cuando la protección de datos sensibles detecte la presencia de secretos en tus variables de entorno de Cloud Functions. Almacenar secretos, como contraseñas, en variables de entorno no es una práctica segura porque estas variables no están encriptadas. Para obtener una lista completa de los tipos de secretos que detecta la protección de datos sensibles, consulta Credenciales y secretos. Para obtener una lista de los tipos de resultados generados, consulta Resultados de vulnerabilidades del servicio de descubrimiento de protección de datos sensibles.

A fin de habilitar el descubrimiento de datos sensibles en tu organización, debes crear una configuración de análisis de descubrimiento para cada recurso compatible que quieras analizar.

Precios

El descubrimiento de datos sensibles se cobra por separado de Security Command Center, independientemente de tu nivel de servicio. Si no compras una suscripción para el descubrimiento, se te cobra en función del consumo (bytes analizados). Para obtener más información, consulta Precios de descubrimiento en la documentación de Protección de datos sensibles.

Antes de comenzar

Completa estas tareas antes de finalizar las tareas restantes de esta página.

Activa el nivel de Security Command Center Enterprise

Completa los pasos 1 y 2 de la guía de configuración para activar el nivel Security Command Center Enterprise. Para obtener más información, consulta Activa el nivel de Security Command Center Enterprise.

Habilitar la protección de datos sensibles como servicio integrado

Si la protección de datos sensibles aún no está habilitada como servicio integrado, habilítala. Para obtener más información, consulta Agrega un servicio integrado de Google Cloud.

Configurar los permisos

A fin de obtener los permisos que necesitas para configurar el descubrimiento de datos sensibles, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización:

Objetivo Función predefinida Permisos relevantes
Crea una configuración de análisis de descubrimiento y visualiza perfiles de datos Administrador de DLP (roles/dlp.admin)
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobTriggers.create
  • dlp.columnDataProfiles.list
  • dlp.jobs.list
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Crea un proyecto para usarlo como el contenedor del agente de servicio1 Creador del proyecto (roles/resourcemanager.projectCreator)
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Otorga acceso de descubrimiento2 Uno de los siguientes:
  • Administrador de la organización (roles/resourcemanager.organizationAdmin)
  • Administrador de seguridad (roles/iam.securityAdmin)
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Aunque no tengas la función de Creador del proyecto (roles/resourcemanager.projectCreator), puedes crear una configuración de análisis, pero el contenedor del agente de servicio que uses debe ser un proyecto existente.

2 Si no tienes el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) o administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Después de crear la configuración de análisis, un miembro de tu organización que tenga una de estas funciones debe otorgar acceso de descubrimiento al agente de servicio.

Para obtener más información sobre cómo otorgar funciones, consulta Administra el acceso.

Es posible que también puedas obtener los permisos necesarios mediante las funciones personalizadas o las funciones predefinidas.

Habilitar el descubrimiento con la configuración predeterminada

A fin de habilitar el descubrimiento, crea una configuración de descubrimiento para cada fuente de datos que deseas analizar. Este procedimiento te permite crear esas configuraciones de descubrimiento automáticamente con la configuración predeterminada. Puedes personalizar la configuración en cualquier momento después de realizar este procedimiento.

Si deseas personalizar la configuración desde el principio, consulta las siguientes páginas:

Para habilitar el descubrimiento con la configuración predeterminada, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Habilitar descubrimiento de la protección de datos sensibles.

    Ir a Habilitar descubrimiento

  2. Verifica que estés viendo la organización en la que activaste Security Command Center.

  3. En el campo Contenedor del agente de servicio, configura el proyecto para que se use como un contenedor del agente de servicio. Dentro de este proyecto, el sistema crea un agente de servicio y le otorga automáticamente los permisos de descubrimiento necesarios.

    Si ya usaste el servicio de descubrimiento para tu organización, es posible que ya tengas un proyecto de contenedor de agente de servicio que puedes volver a usar.

    • Para crear automáticamente un proyecto y usarlo como contenedor de agente de servicio, revisa el ID del proyecto sugerido y edítalo según sea necesario. Luego, haz clic en Crear. Es posible que los permisos tarden unos minutos en otorgarse al agente de servicio del proyecto nuevo.
    • Para seleccionar un proyecto existente, haz clic en el campo Contenedor del agente de servicio y selecciona el proyecto.

  4. Para revisar la configuración predeterminada, haz clic en el ícono de expandir .

  5. En la sección Habilitar descubrimiento, para cada tipo de descubrimiento que quieras habilitar, haz clic en Habilitar. Cuando se habilita un tipo de descubrimiento, se hace lo siguiente:

    • BigQuery: Crea una configuración de descubrimiento para generar perfiles de las tablas de BigQuery en toda la organización. La protección de datos sensibles comienza a generar perfiles de tus datos de BigQuery y los envía a Security Command Center.
    • Cloud SQL: Crea una configuración de descubrimiento para generar perfiles de las tablas de Cloud SQL en toda la organización. La protección de datos sensibles comienza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar unas horas. Cuando las conexiones predeterminadas estén listas, debes otorgar a la protección de datos sensibles acceso a tus instancias de Cloud SQL mediante la actualización de cada conexión con las credenciales de usuario de base de datos adecuadas.
    • Vulnerabilidades de secretos o credenciales: Crea una configuración de descubrimiento para detectar e informar secretos no encriptados en las variables de entorno de Cloud Functions. Sensitive Data Protection comienza a analizar tus variables de entorno.

  6. Para ver las configuraciones de descubrimiento recién creadas, haz clic en Ir a la configuración de descubrimiento.

    Si habilitaste el descubrimiento de Cloud SQL, la configuración de descubrimiento se crea en modo de pausa con errores que indican la ausencia de credenciales. Consulta Administra conexiones para usar con el descubrimiento a fin de otorgar los roles de IAM necesarios a tu agente de servicio y proporcionar credenciales de usuario de base de datos para cada instancia de Cloud SQL.

  7. Cerrar el panel

Desde el momento en que la protección de datos sensibles genera los perfiles de datos, los resultados Data sensitivity y Data risk asociados pueden tardar hasta seis horas en aparecer en Security Command Center.

Desde el momento en que activas el descubrimiento de secretos en la protección de datos sensibles, puede tardar hasta 12 horas en completarse el análisis inicial de las variables de entorno y que los resultados de Secrets in environment variables aparezcan en Security Command Center. Luego, Sensitive Data Protection analiza las variables de entorno cada 24 horas. En la práctica, los análisis se pueden ejecutar con mayor frecuencia.

Para ver los resultados que generó la protección de datos sensibles, consulta Revisa los resultados de la protección de datos sensibles en la consola de Google Cloud.

Usa las estadísticas de descubrimiento para identificar recursos de alto valor

Puedes hacer que Security Command Center designe de forma automática cualquier conjunto de datos de BigQuery que contenga datos de alta sensibilidad o sensibilidad media como un recurso de alto valor si habilitas la opción de estadísticas del descubrimiento de la protección de datos sensibles cuando creas una configuración de valor del recurso para la función de simulación de la ruta de ataque.

En el caso de los recursos de alto valor, Security Command Center proporciona puntuaciones de exposición a ataques y visualizaciones de rutas de ataque, que puedes usar para priorizar la seguridad de los recursos que contienen datos sensibles.

Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad en función de las clasificaciones de sensibilidad de los datos de la Protección de datos sensibles solo para los siguientes tipos de recursos de datos:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance

Personaliza las configuraciones de análisis

Después de crear los parámetros de configuración de análisis, puedes personalizarlos. Por ejemplo, puedes hacer lo siguiente:

  • Ajusta las frecuencias de búsqueda.
  • Especifica filtros para los recursos de datos para los que no quieres volver a generar el perfil.
  • Cambia la plantilla de inspección, que define los tipos de información que analiza la protección de datos sensibles.
  • Publicar los perfiles de datos generados en otros servicios de Google Cloud
  • Cambiar el contenedor del agente de servicio

Para personalizar una configuración de análisis, sigue estos pasos:

  1. Abre la configuración del análisis para editarlo.

  2. Actualiza la configuración según sea necesario. Para obtener más información sobre las opciones de la página Editar configuración de análisis, consulta las siguientes páginas:

¿Qué sigue?