Ativar a descoberta de dados sensíveis no nível Enterprise

Nesta página, descrevemos como ativar a descoberta de dados confidenciais usando as configurações padrão se você tiver uma assinatura no nível Enterprise e ativar a proteção de dados confidenciais, um produto com preço separado. É possível personalizar as configurações a qualquer momento depois de ativar a descoberta.

Quando você ativa a descoberta, a proteção de dados sensíveis gera descobertas do Security Command Center que mostram os níveis de risco e confidencialidade dos dados em toda a organização.

Para informações sobre como ativar a descoberta de dados sensíveis, independentemente do nível de serviço do Security Command Center, consulte as seguintes páginas na documentação de proteção de dados sensíveis:

• Publicar perfis de dados no Security Command Center
• Informe secrets em variáveis de ambiente para o Security Command Center

Como funciona

O serviço de descoberta de proteção de dados sensíveis ajuda a proteger os dados em toda a organização identificando onde estão os dados sensíveis e de alto risco. Na proteção de dados sensíveis, o serviço gera perfis de dados, que fornecem métricas e insights sobre os dados em vários níveis de detalhes. No Security Command Center, o serviço faz o seguinte:

• Gerar descobertas de observação no Security Command Center que mostrem a sensibilidade e os níveis de risco de dados calculados dos dados do BigQuery e do Cloud SQL. Você pode usar essas descobertas para informar sua resposta quando encontrar ameaças e vulnerabilidades relacionadas aos seus ativos de dados. Para uma lista de tipos de descoberta gerados, consulte Descobertas de observação do serviço de descoberta.

  Essas descobertas podem informar a designação automática de recursos de alto valor com base na confidencialidade dos dados. Para mais informações, consulte Usar insights de descoberta para identificar recursos de alto valor nesta página.

• Gere descobertas de vulnerabilidade no Security Command Center quando a proteção de dados sensíveis detectar a presença de secrets nas variáveis de ambiente do Cloud Functions. Armazenar secrets, como senhas, em variáveis de ambiente não é uma prática segura, porque as variáveis de ambiente não são criptografadas. Para ver uma lista completa dos tipos de secret detectados pela Proteção de Dados Sensíveis, consulte Credenciais e secrets. Para uma lista de tipos de descoberta gerados, consulte Descobertas de vulnerabilidades do serviço de descoberta de proteção de dados sensíveis.

Para ativar a descoberta de dados confidenciais na organização, crie uma configuração de verificação de descoberta para cada recurso compatível que você quiser verificar.

Preços

A descoberta de dados sensíveis é cobrada separadamente do Security Command Center, independentemente do nível de serviço. Se você não comprar uma assinatura para descoberta, a cobrança será feita com base no seu consumo (bytes verificados). Para mais informações, consulte Preços de descoberta na documentação da Proteção de Dados Sensíveis.

Antes de começar

Conclua essas tarefas antes de concluir as tarefas restantes nesta página.

Ativar o nível Security Command Center Enterprise

Conclua as etapas 1 e 2 do guia de configuração para ativar o nível Security Command Center Enterprise. Para mais informações, consulte Ativar o Security Command Center Enterprise Center.

Ativar a proteção de dados sensíveis como um serviço integrado

Se a Proteção de Dados Sensíveis ainda não estiver ativada como um serviço integrado, ative-a. Para mais informações, consulte Adicionar um serviço integrado do Google Cloud.

Configurar permissões

Para receber as permissões necessárias para configurar a descoberta de dados confidenciais, peça ao administrador para conceder a você os seguintes papéis do IAM na organização:

Finalidade	Papel predefinido	Permissões relevantes
Criar uma configuração de verificação de descoberta e ver perfis de dados	Administrador do DLP (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Criar um projeto para ser usado como o contêiner do agente de serviço1	roles/resourcemanager.projectCreatorCriador do projeto	resourcemanager.organizations.get resourcemanager.projects.create
Conceder acesso de descoberta2	Uma das seguintes opções: Administrador da organização (roles/resourcemanager.organizationAdmin) Administrador de segurança (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se você não tiver o papel Criador de projetos (roles/resourcemanager.projectCreator), ainda poderá criar uma configuração de verificação, mas o contêiner do agente de serviço usado precisa ser um projeto atual.

² Se você não tiver o papel Administrador da organização (roles/resourcemanager.organizationAdmin) ou Administrador de segurança (roles/iam.securityAdmin), ainda poderá criar uma configuração de verificação. Depois que você criar a configuração de verificação, alguém na sua organização que tenha um desses papéis precisará conceder acesso de descoberta ao agente de serviço.

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível receber as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Ativar descoberta com as configurações padrão

Para ativar a descoberta, crie uma configuração de descoberta para cada origem de dados a ser verificada. Este procedimento permite criar essas configurações de descoberta automaticamente usando as configurações padrão. É possível personalizar as configurações a qualquer momento depois de realizar esse procedimento.

Se você quiser personalizar as configurações desde o início, consulte as seguintes páginas:

• Criar perfil de dados do BigQuery em uma organização ou pasta
• Criar perfil de dados do Cloud SQL em uma organização ou pasta
• Informe secrets em variáveis de ambiente para o Security Command Center

Para ativar a descoberta com as configurações padrão, siga estas etapas:

1. No console do Google Cloud, acesse a página Ativar descoberta da proteção de dados sensíveis.

   Acessar "Ativar descoberta"

2. Verifique se você está visualizando a organização em que ativou o Security Command Center.

3. No campo Contêiner do agente de serviço, defina o projeto a ser usado como um contêiner do agente de serviço. Nesse projeto, o sistema cria um agente de serviço e concede automaticamente as permissões de descoberta necessárias a ele.

   Se você já usou o serviço de descoberta na sua organização, talvez já tenha um projeto de contêiner de agente de serviço que possa ser reutilizado.

   • Para criar automaticamente um projeto para usar como contêiner do agente de serviço, analise o ID do projeto sugerido e edite-o conforme necessário. Em seguida, clique em Criar. Pode levar alguns minutos para que as permissões sejam concedidas ao agente de serviço do novo projeto.
   • Para selecionar um projeto atual, clique no campo Contêiner do agente de serviço e selecione o projeto.

4. Para revisar as configurações padrão, clique no ícone de expansão expand_more.

5. Na seção Ativar descoberta, para cada tipo de descoberta que você quer ativar, clique em Ativar. A ativação de um tipo de descoberta faz o seguinte:

   • BigQuery: cria uma configuração de descoberta para criar o perfil de tabelas do BigQuery em toda a organização. A proteção de dados sensíveis inicia a criação de perfil dos dados do BigQuery e os envia ao Security Command Center.
   • Cloud SQL: cria uma configuração de descoberta para criar o perfil das tabelas do Cloud SQL em toda a organização. A proteção de dados sensíveis começa a criar conexões padrão para cada uma das instâncias do Cloud SQL. Esse processo pode levar algumas horas. Quando as conexões padrão estiverem prontas, você precisará conceder à proteção de dados sensíveis acesso às instâncias do Cloud SQL. Para isso, atualize cada conexão com as credenciais de usuário do banco de dados adequadas.
   • Vulnerabilidades de secrets/credenciais: cria uma configuração de descoberta para detectar e relatar secrets não criptografados em variáveis de ambiente do Cloud Functions. A Proteção de Dados Sensíveis começa a verificar as variáveis de ambiente.

6. Para conferir as configurações de descoberta recém-criadas, clique em Acessar a configuração de descoberta.

   Se você ativou a descoberta do Cloud SQL, a configuração de descoberta será criada no modo pausado com erros que indicam a ausência de credenciais. Consulte Gerenciar conexões para uso com descoberta para conceder os papéis do IAM necessários ao agente de serviço e fornecer credenciais de usuário do banco de dados para cada instância do Cloud SQL.

7. Fechar painel.

Quando a proteção de dados confidenciais gera os perfis de dados, pode levar até seis horas para que as descobertas de Data sensitivity e Data risk associadas apareçam no Security Command Center.

A partir do momento em que você ativa a descoberta de secrets na Proteção de Dados Sensíveis, pode levar até 12 horas para que a verificação inicial das variáveis de ambiente seja concluída e para que as descobertas Secrets in environment variables apareçam no Security Command Center. Em seguida, a Proteção de Dados Sensíveis verifica variáveis de ambiente a cada 24 horas. Na prática, as verificações podem ser executadas com mais frequência do que isso.

Para visualizar as descobertas geradas pela Proteção de Dados Sensíveis, consulte Analisar as descobertas da Proteção de Dados Sensíveis no console do Google Cloud.

Usar insights de descoberta para identificar recursos de alto valor

É possível fazer com que o Security Command Center designe automaticamente qualquer conjunto de dados do BigQuery que contenha dados de alta ou média sensibilidade como um recurso de alto valor. Para isso, ative a opção de insights de descoberta da proteção de dados sensíveis ao criar uma configuração de valor de recurso para o recurso de simulação do caminho de ataque.

Para recursos de alto valor, o Security Command Center fornece pontuações de exposição e visualizações de caminho de ataque, que podem ser usadas para priorizar a segurança dos recursos que contêm dados confidenciais.

As simulações de caminho de ataque podem definir automaticamente valores de prioridade com base em classificações de sensibilidade de dados da Proteção de Dados Sensíveis apenas para os seguintes tipos de recursos de dados:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Personalizar as configurações de verificação

Depois de criar as configurações de verificação, elas podem ser personalizadas. Por exemplo, você pode fazer o seguinte:

• Ajuste as frequências de busca.
• Especifique filtros para os recursos de dados que você não quer recriar.
• Altere o modelo de inspeção, que define os tipos de informações que a Proteção de Dados Sensíveis verifica.
• Publicar os perfis de dados gerados em outros serviços do Google Cloud.
• Altere o contêiner do agente de serviço.

Para personalizar uma configuração de verificação, siga estas etapas:

1. Abra a configuração da verificação para edição.

2. Atualize as configurações conforme necessário. Para mais informações sobre as opções na página Editar configuração da verificação, consulte as seguintes páginas:

   • Criar perfil de dados do BigQuery em uma organização ou pasta
   • Criar perfil de dados do Cloud SQL em uma organização ou pasta
   • Informe secrets em variáveis de ambiente para o Security Command Center

A seguir

• Ver descobertas da proteção de dados sensíveis