En esta página, se describe cómo habilitar la detección de datos sensibles con la configuración si te suscribiste al nivel Enterprise y habilita Sensitive Data Protection, un producto con precios separados. Puedes personalizar el en cualquier momento después de habilitar la detección.
Cuando habilitas la detección, Sensitive Data Protection genera los hallazgos de Security Command Center que muestran la sensibilidad y los niveles de riesgo de datos de datos en toda tu organización.
Para obtener información sobre cómo habilitar el descubrimiento de datos sensibles sin importar tu Security Command Center, consulta las siguientes páginas en el Documentación de Sensitive Data Protection:
- Publica perfiles de datos en Security Command Center
- Informa los secretos de las variables de entorno a Security Command Center
Cómo funciona
El servicio de descubrimiento de Sensitive Data Protection te ayuda a proteger los datos en toda la organización identificando dónde se encuentran residen. En la protección de datos sensibles, el servicio genera datos perfiles, que proporcionan métricas y estadísticas sobre tus datos en varios niveles de detalle. En Security Command Center, el servicio hace lo siguiente:
Generar resultados de observación en Security Command Center que muestren el cálculo la sensibilidad y los niveles de riesgo de tus datos. Puedes usar estos hallazgos para debe informar su respuesta cuando encuentre amenazas y vulnerabilidades relacionadas con de tus recursos de datos. Para obtener una lista de los tipos de resultados generados, consulta Observación hallazgos del descubrimiento servicio.
Estos hallazgos pueden informar la designación automática de recursos de alto valor en función de la sensibilidad de los datos. Para obtener más información, consulta Usa las estadísticas de descubrimiento. para identificar recursos de alto valor en esta página.
Genera hallazgos de vulnerabilidades en Security Command Center cuando Sensitive Data Protection detecta la presencia de datos altamente sensibles los datos que no están protegidos. Para obtener una lista de los tipos de resultados generados, consulta Hallazgos de vulnerabilidades del descubrimiento de Sensitive Data Protection servicio.
Crea uno para habilitar el descubrimiento de datos sensibles en tu organización configuración de análisis de descubrimiento para cada uno recurso que quieres analizar.
Precios
El descubrimiento de datos sensibles se cobra por separado de Security Command Center sin importar tu nivel de servicio. Si no compras una suscripción para descubrimiento, se te cobra en función de tu consumo (bytes analizados). Para ver más consulta Detección precios en la documentación de Protección de datos sensibles.
Antes de comenzar
Completa estas tareas antes de completar las tareas restantes de esta página.
Activa el nivel de Security Command Center Enterprise
Completa los pasos 1 y 2 de la para activar el nivel de Security Command Center Enterprise. Para obtener más información, consulta Activa el Security Command Center Enterprise nivel superior.
Habilita Sensitive Data Protection como un servicio integrado
Si Sensitive Data Protection aún no está habilitado como servicio integrado, habilitarla. Para obtener más información, consulta Agrega una instancia de servicio.
Configura los permisos
Para obtener los permisos que necesitas para configurar la detección de datos sensibles, solicita tu administrador que te otorgue los siguientes roles de IAM en organización:
Objetivo | Función predefinida | Permisos relevantes |
---|---|---|
Crea una configuración de análisis de descubrimiento y visualiza perfiles de datos | Administrador de DLP (roles/dlp.admin )
|
|
Crea un proyecto para usarlo como contenedor de agente de servicio1 | Creador del proyecto (roles/resourcemanager.projectCreator ) |
|
Otorga acceso de descubrimiento2 | Uno de los siguientes:
|
|
1 Si no tienes el proyecto
rol de Creador (roles/resourcemanager.projectCreator
), aún puedes crear un análisis
pero el agente de servicio
contenedor que uses debe ser un proyecto existente.
2 Si no tienes la cuenta de organización
Administrador (roles/resourcemanager.organizationAdmin
) o administrador de seguridad
(roles/iam.securityAdmin
), aún puedes crear una configuración de análisis. Después de
crea la configuración de análisis, una persona de tu organización con uno de estos roles debe otorgar acceso de descubrimiento al
agente de servicio.
Para obtener más información sobre cómo otorgar roles, consulta Administra acceso.
También es posible que obtengas los permisos necesarios mediante las rolesu otros predefinidos roles.
Habilitar la detección con la configuración predeterminada
Para habilitar la detección, debes crear una configuración de detección para cada fuente de datos que quieres analizar. Este procedimiento te permite crear esos configuración automáticamente con la configuración predeterminada. Puedes personalizar el configuración en cualquier momento después de realizar este procedimiento.
Si quieres personalizar la configuración desde el principio, consulta las siguientes páginas en su lugar:
- Crea perfiles de datos de BigQuery en una organización o carpeta
- Crea perfiles de datos de Cloud SQL en una organización o carpeta
- Crea perfiles de los datos de Cloud Storage en una organización o carpeta
- Descubrimiento de datos sensibles para Amazon S3
- Informa los secretos de las variables de entorno a Security Command Center
Para habilitar la detección con la configuración predeterminada, sigue estos pasos:
En la consola de Google Cloud, ve a Sensitive Data Protection Habilita la página de descubrimiento.
Verifica que estás viendo la organización que activaste Security Command Center activado.
En el campo Contenedor del agente de servicio, configura el proyecto que se usará como agente de servicio contenedor. Dentro de este proyecto, el sistema crea un agente de servicio otorga los permisos de detección necesarios.
Si alguna vez usaste el servicio de descubrimiento para tu organización, ya tienes un proyecto de contenedor del agente de servicio que puedes reutilizar.
- Para crear automáticamente un proyecto y usarlo como tu contenedor de agente de servicio, revisa el ID del proyecto sugerido y edítalo según sea necesario. Luego, haz clic en Crear. Es posible que debas esperar unos minutos para que se otorguen los permisos a el agente de servicio del proyecto nuevo.
- Para seleccionar un proyecto existente, haz clic en el campo Contenedor del agente de servicio. y seleccionaré el proyecto.
Para revisar la configuración predeterminada, haz clic en el ícono de expandir
.En la sección Habilitar la detección, para cada tipo de descubrimiento que desees. haz clic en Habilitar. Si habilitas un tipo de descubrimiento, ocurrirá lo siguiente:
- BigQuery: Crea una configuración de detección para la generación de perfiles tablas de BigQuery en toda la organización. Sensitive Data Protection comienza a perfilar tus datos de BigQuery y envía los perfiles a Security Command Center.
- Cloud SQL: Crea una configuración de descubrimiento para la generación de perfiles tablas de Cloud SQL en toda la organización. Sensitive Data Protection comienza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar algunos horas. Cuando las conexiones predeterminadas estén listas, Sensitive Data Protection para tu instancias de Cloud SQL actualizando cada conexión con la credenciales de usuario de la base de datos.
- Vulnerabilidades de secretos o credenciales: Crea una configuración de descubrimiento para detectar e informar Secrets no encriptados en Cloud Run variables de entorno. Comienza la protección de datos sensibles el análisis de tus variables de entorno.
- Cloud Storage: Crea una configuración de detección para la generación de perfiles buckets Google Cloud Storage en toda la organización. Sensitive Data Protection comienza a perfilar tus Cloud Storage y envía los perfiles a Security Command Center.
Amazon S3 (versión preliminar): Crea una configuración de detección para la generación de perfiles datos de Amazon S3 entre organizaciones, una sola cuenta de S3 o una sola bucket.
Para ver las configuraciones de detección creadas recientemente, haz clic en Ir a la detección. actual.
Si habilitaste el descubrimiento de Cloud SQL, la configuración de detección es se crea en modo de pausa con errores que indican la ausencia de credenciales. Consulta Administrar conexiones para usar con discovery para otorgar a la los roles de IAM necesarios a tu agente de servicio credenciales de usuario de la base de datos para cada instancia de Cloud SQL.
Cerrar el panel
Desde el momento en que Sensitive Data Protection genera los perfiles de datos, puede pueden pasar hasta seis horas para que los resultados asociados aparezcan en Security Command Center.
Desde que activas el descubrimiento de secretos en Sensitive Data Protection,
El análisis inicial de las variables de entorno puede tardar hasta 12 horas
completar y que aparezca cualquier resultado de Secrets in environment variables
en
Security Command Center. Posteriormente, Sensitive Data Protection analiza el entorno
variables cada 24 horas. En la práctica, los análisis se pueden ejecutar con mayor frecuencia.
Para ver los hallazgos que generó Sensitive Data Protection, consulta Revisión Hallazgos de Sensitive Data Protection en el Consola de Google Cloud.
Usa las estadísticas de descubrimiento para identificar recursos de alto valor
Puedes hacer que Security Command Center designe automáticamente un recurso que contiene datos de alta o media sensibilidad como un recurso de alto valor, ya que habilitar la opción de estadísticas de descubrimiento de Sensitive Data Protection cuando Crea un valor de recurso. configuración para la función de simulación de rutas de ataque.
Para los recursos de alto valor, Security Command Center proporciona puntuaciones de exposición a ataques y visualizaciones de rutas de ataque, que puede usar para priorizar la seguridad de su recursos que contienen datos sensibles.
Las simulaciones de rutas de ataque pueden establecer valores de prioridad automáticamente basadas en clasificaciones de sensibilidad de los datos desde Protección de datos sensibles solo para los siguientes tipos de recursos de datos:
bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Personaliza los parámetros de configuración del análisis
Después de crear los parámetros de configuración de análisis, puedes personalizarlos. Por ejemplo: puedes hacer lo siguiente:
- Ajusta las frecuencias de búsqueda.
- Especifica filtros para los recursos de datos para los que no deseas volver a generar el perfil.
- Cambia la inspección plantilla, que define la información tipos que Sensitive Data Protection analiza.
- Publicar los perfiles de datos generados en otros servicios de Google Cloud
- Cambia el contenedor del agente de servicio.
Para personalizar la configuración de un análisis, sigue estos pasos:
- Abrir la configuración de análisis del edición.
Actualiza la configuración según sea necesario. Para obtener más información sobre las opciones en la Edit scan configuration, consulta las siguientes páginas:
- Crea perfiles de datos de BigQuery en una organización o carpeta
- Crea perfiles de datos de Cloud SQL en una organización o carpeta
- Crea perfiles de los datos de Cloud Storage en una organización o carpeta
- Cómo generar perfiles de los datos de Amazon S3
- Informa los secretos de las variables de entorno a Security Command Center