Abilita il rilevamento di dati sensibili nel livello Enterprise

In questa pagina viene descritto come attivare il rilevamento dei dati sensibili utilizzando l'impostazione predefinita se hai un abbonamento al livello Enterprise e attivi Sensitive Data Protection, un prodotto con prezzo separato. Puoi personalizzare in qualsiasi momento dopo aver attivato il rilevamento.

Quando attivi il rilevamento, Sensitive Data Protection genera Risultati di Security Command Center che mostrano i livelli di sensibilità e di rischio dei dati all'interno dell'organizzazione.

Per informazioni su come attivare il rilevamento dei dati sensibili indipendentemente dal tuo Livello di servizio Security Command Center: consulta le pagine seguenti nel Documentazione di Sensitive Data Protection:

• Pubblicare profili di dati in Security Command Center
• Segnala i secret nelle variabili di ambiente a Security Command Center

Come funziona

Il servizio di rilevamento di Sensitive Data Protection ti aiuta a proteggere i dati all'interno dell'organizzazione, identificando dove i dati sensibili e ad alto rischio risiedono. In Sensitive Data Protection, il servizio genera dati profili, che forniscono metriche e approfondimenti sui dati a vari livelli di dettaglio. In Security Command Center, del servizio esegue le seguenti operazioni:

• Genera risultati di osservazione in Security Command Center che mostrano i dati dei livelli di sensibilità e di rischio dei dati o i dati di Cloud SQL. Puoi utilizzare questi risultati per elaborare la tua risposta quando incontri minacce e vulnerabilità correlate ai tuoi asset di dati. Per un elenco dei tipi di risultati generati, consulta Risultati dell'osservazione dal scoperta Google Cloud.

  Questi risultati possono indicare la designazione automatica di risorse di alto valore in base alla sensibilità dei dati. Per saperne di più, consulta Utilizzare gli insight sul rilevamento per identificare le risorse di alto valore in questa pagina.

• Genera risultati di vulnerabilità in Security Command Center quando Sensitive Data Protection rileva la presenza di secret nel tuo Variabili di ambiente di Cloud Functions. L'archiviazione di secret come password delle variabili di ambiente non è una pratica sicura, non sono criptati. Per un elenco completo dei tipi di secret Sensitive Data Protection rileva, consulta Credenziali e o altri secret. Per un elenco dei tipi di risultati generati, consulta Risultati di vulnerabilità dal Rilevamento di Sensitive Data Protection Google Cloud.

Per attivare il rilevamento dei dati sensibili per la tua organizzazione, creane uno configurazione della scansione del rilevamento per ogni supporto risorsa che vuoi scansionare.

Prezzi

Il rilevamento dei dati sensibili viene addebitato separatamente da Security Command Center a prescindere dal livello di servizio. Se non acquisti un abbonamento per il rilevamento, l'addebito avviene in base al consumo (byte scansionati). Per ulteriori informazioni per ulteriori informazioni, consulta Discovery prezzi nella documentazione di Sensitive Data Protection.

Prima di iniziare

Completa queste attività prima di completare quelle rimanenti in questa pagina.

Attiva il livello Security Command Center Enterprise

Completa il passaggio 1 e il passaggio 2 della guida alla configurazione per attivare il livello Security Command Center Enterprise. Per ulteriori informazioni, consulta Attivare Security Command Center Enterprise .

Abilita Sensitive Data Protection come servizio integrato

Se Sensitive Data Protection non è già abilitato come servizio integrato, abilitarlo. Per saperne di più, consulta Aggiungere una versione integrata di Google Cloud Google Cloud.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per configurare il rilevamento dei dati sensibili, chiedi affinché l'amministratore ti conceda i seguenti ruoli IAM organizzazione:

Finalità	Ruolo predefinito	Autorizzazioni pertinenti
Crea una configurazione di scansione del rilevamento e visualizza i profili di dati	Amministratore DLP (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un progetto da utilizzare come container dell'agente di servizio1	Autore progetto (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
Concedi l'accesso al rilevamento2	Uno dei seguenti valori: Amministratore organizzazione (roles/resourcemanager.organizationAdmin) Amministratore sicurezza (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se non disponi del progetto Ruolo Creatore (roles/resourcemanager.projectCreator), puoi comunque creare una scansione ma l'agente di servizio che utilizzi deve essere un progetto esistente.

² Se non vedi l'organizzazione Amministratore (roles/resourcemanager.organizationAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), puoi comunque creare una configurazione di scansione. Dopo configurazione della scansione, qualcuno della tua organizzazione con uno di questi ruoli deve concedere l'accesso al rilevamento di servizio.

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso alle app.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite ruoli o altri ruoli predefiniti ruoli.

Abilita il rilevamento con le impostazioni predefinite

Per abilitare il rilevamento, crea una configurazione di rilevamento per ogni origine dati che vuoi scansionare. Questa procedura consente di creare questi tipi di rilevamento configurazioni predefinite utilizzando le impostazioni predefinite. Puoi personalizzare impostazioni in qualsiasi momento dopo aver eseguito questa procedura.

Se vuoi personalizzare le impostazioni dall'inizio, consulta le pagine seguenti anziché:

• Profilare i dati di BigQuery in un'organizzazione o in una cartella
• Profilare i dati di Cloud SQL in un'organizzazione o in una cartella
• Segnala i secret nelle variabili di ambiente a Security Command Center

Per attivare il rilevamento con le impostazioni predefinite:

1. Nella console Google Cloud, vai a Sensitive Data Protection Abilita il rilevamento.

   Vai ad Abilita rilevamento

2. Verifica di visualizzare l'organizzazione che hai attivato Security Command Center attivo.

3. Nel campo Container dell'agente di servizio, imposta il progetto da utilizzare come agente di servizio container. All'interno di questo progetto, il sistema crea un agente di servizio e gli concede le autorizzazioni di rilevamento richieste.

   Se in precedenza hai utilizzato il servizio di rilevamento per la tua organizzazione, potresti dispone già di un progetto container dell'agente di servizio che puoi riutilizzare.

   • Per creare automaticamente un progetto da utilizzare come container dell'agente di servizio, rivedi l'ID progetto suggerito e modificalo in base alle tue esigenze. Quindi, fai clic su Crea. La concessione delle autorizzazioni potrebbe richiedere alcuni minuti da parte dell'agente di servizio del nuovo progetto.
   • Per selezionare un progetto esistente, fai clic sul campo Container dell'agente di servizio. e seleziona il progetto.

4. Per rivedere le impostazioni predefinite, fai clic sull'icona di espansione expand_more.

5. Nella sezione Abilita il rilevamento, per ogni tipo di rilevamento che vuoi attiva, fai clic su Attiva. L'attivazione di un tipo di rilevamento comporta quanto segue:

   • BigQuery: crea una configurazione di rilevamento per la profilazione tabelle BigQuery in tutta l'organizzazione. Sensitive Data Protection avvia la profilazione del tuo BigQuery e invia i profili a Security Command Center.
   • Cloud SQL: crea una configurazione di rilevamento per la profilazione tabelle Cloud SQL in tutta l'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ciascuna delle tue istanze Cloud SQL. Questa procedura può richiedere nell'orario lavorativo locale del TAM. Quando le connessioni predefinite sono pronte, devi concedere Accesso di Sensitive Data Protection al tuo alle istanze Cloud SQL aggiornando ogni connessione con credenziali utente del database.
   • Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare secret non criptati in Cloud Functions variabili di ambiente. Sensitive Data Protection inizia analizzando le variabili di ambiente.

6. Per visualizzare le configurazioni del rilevamento appena create, fai clic su Vai al rilevamento configurazione.

   Se hai abilitato il rilevamento di Cloud SQL, la configurazione del rilevamento Sono stati creati in modalità in pausa con errori che indicano l'assenza di credenziali. Consulta Gestisci le connessioni da utilizzare con discovery per concedere i ruoli IAM richiesti all'agente di servizio e per e credenziali utente del database per ogni istanza Cloud SQL.

7. Chiudi il riquadro.

Dal momento in cui Sensitive Data Protection genera i profili dati, può potrebbero essere necessarie fino a sei ore per gli elementi Data sensitivity e Data risk associati i risultati da visualizzare in Security Command Center.

Dal momento in cui attivi il rilevamento dei secret in Sensitive Data Protection, può richiedere fino a 12 ore per la scansione iniziale delle variabili di ambiente completata e affinché qualsiasi risultato Secrets in environment variables compaia in Security Command Center. Successivamente, Sensitive Data Protection analizza l'ambiente ogni 24 ore. In pratica, le scansioni possono essere eseguite più spesso.

Per visualizzare i risultati generati da Sensitive Data Protection, consulta Rivedi Risultati di Sensitive Data Protection in console Google Cloud.

Utilizza gli insight sul rilevamento per identificare risorse di alto valore

Puoi fare in modo che Security Command Center specifichi automaticamente set di dati BigQuery che contiene un'alta sensibilità dati a sensibilità media come risorsa di alto valore abilitando il rilevamento di Sensitive Data Protection l'opzione insight quando crei un valore di risorsa configurazione per la funzionalità di simulazione del percorso di attacco.

Per le risorse di alto valore, Security Command Center fornisce punteggi di esposizione agli attacchi e del percorso di attacco, che puoi usare per dare priorità alla sicurezza a risorse che contengono dati sensibili.

Le simulazioni del percorso di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità ai dati Protezione dei dati sensibili solo per i seguenti tipi di risorse di dati:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Personalizza le configurazioni della scansione

Dopo aver creato le configurazioni della scansione, puoi personalizzarle. Ad esempio: puoi procedere nel seguente modo:

• Regola le frequenze di scansione.
• Specifica i filtri per gli asset di dati che non vuoi riprofilare.
• Cambia l'ispezione modello, che definisce le informazioni tipi che Sensitive Data Protection analizza.
• Pubblicare i profili di dati generati in altri servizi Google Cloud.
• Cambiare il container dell'agente di servizio.

Per personalizzare una configurazione di scansione:

1. Apri la configurazione della scansione per modifica.

2. Aggiorna le impostazioni in base alle tue esigenze. Per ulteriori informazioni sulle opzioni nella Modifica configurazione della scansione, consulta le seguenti pagine:

   • Profilare i dati di BigQuery in un'organizzazione o in una cartella
   • Profilare i dati di Cloud SQL in un'organizzazione o in una cartella
   • Segnala i secret nelle variabili di ambiente a Security Command Center

Passaggi successivi

• Visualizza i risultati di Sensitive Data Protection