En esta página, se describe cómo configurar la protección de datos sensibles para generar resultados que muestren los niveles de sensibilidad y riesgo de datos de los recursos de datos de tu organización. En este procedimiento, se describe cómo habilitar el descubrimiento de datos sensibles si estás suscrito al nivel empresarial de Security Command Center. Si deseas obtener información para habilitar el descubrimiento de datos sensibles sin importar el nivel de servicio de Security Command Center, consulta las siguientes páginas en la documentación de Protección de datos sensibles:
- Publica perfiles de datos en Security Command Center
- Informa los secretos de las variables de entorno a Security Command Center
Cómo funciona
El servicio de descubrimiento de protección de datos sensibles te ayuda a proteger los datos en toda tu organización mediante la identificación de dónde residen los datos sensibles y de alto riesgo. En la protección de datos sensibles, el servicio genera perfiles de datos, que proporcionan métricas y estadísticas sobre tus datos en varios niveles de detalle. En Security Command Center, el servicio hace lo siguiente:
Generar resultados de observación en Security Command Center que muestren los niveles calculados de sensibilidad y riesgo de los datos de tus datos de BigQuery y Cloud SQL Puedes usar estos hallazgos para informar tu respuesta cuando te encuentres con amenazas y vulnerabilidades relacionadas con tus recursos de datos. Para obtener una lista de los tipos de resultados generados, consulta Resultados de observación del servicio de descubrimiento.
Estos resultados pueden informar la designación automática de recursos de alto valor en función de la sensibilidad de los datos. Si quieres obtener más información, consulta Cómo usar las estadísticas de descubrimiento para identificar recursos de alto valor en esta página.
Genera resultados de vulnerabilidades en Security Command Center cuando la protección de datos sensibles detecte la presencia de secretos en tus variables de entorno de Cloud Functions. Almacenar secretos, como contraseñas, en variables de entorno no es una práctica segura porque estas variables no están encriptadas. Para obtener una lista completa de los tipos de secretos que detecta la protección de datos sensibles, consulta Credenciales y secretos. Para obtener una lista de los tipos de resultados generados, consulta Resultados de vulnerabilidades del servicio de descubrimiento de protección de datos sensibles.
A fin de habilitar el descubrimiento de datos sensibles en tu organización, debes crear una configuración de análisis de descubrimiento para cada recurso compatible que quieras analizar.
Precios
El descubrimiento de datos sensibles se cobra por separado de Security Command Center, independientemente de tu nivel de servicio. Si no compras una suscripción para el descubrimiento, se te cobra en función del consumo (bytes analizados). Para obtener más información, consulta Precios de descubrimiento en la documentación de Protección de datos sensibles.
Antes de comenzar
Completa estas tareas antes de finalizar las tareas restantes de esta página.
Activa el nivel de Security Command Center Enterprise
Completa los pasos 1 y 2 de la guía de configuración para activar el nivel Security Command Center Enterprise. Para obtener más información, consulta Activa el nivel de Security Command Center Enterprise.
Habilitar la protección de datos sensibles como servicio integrado
Si la protección de datos sensibles aún no está habilitada como servicio integrado, habilítala. Para obtener más información, consulta Agrega un servicio integrado de Google Cloud.
Configurar los permisos
A fin de obtener los permisos que necesitas para configurar el descubrimiento de datos sensibles, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización:
| Objetivo | Función predefinida | Permisos relevantes |
|---|---|---|
| Crea una configuración de análisis de descubrimiento y visualiza perfiles de datos | Administrador de DLP (roles/dlp.admin)
|
|
| Crea un proyecto para usarlo como el contenedor del agente de servicio1 | Creador del proyecto (roles/resourcemanager.projectCreator) |
|
| Otorga acceso de descubrimiento2 | Uno de los siguientes:
|
|
1 Aunque no tengas la función de Creador del proyecto (roles/resourcemanager.projectCreator), puedes crear una configuración de análisis, pero el contenedor del agente de servicio que uses debe ser un proyecto existente.
2 Si no tienes el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) o administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Después de crear la configuración de análisis, un miembro de tu organización que tenga una de estas funciones debe otorgar acceso de descubrimiento al agente de servicio.
Para obtener más información sobre cómo otorgar funciones, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios mediante las funciones personalizadas o las funciones predefinidas.
Habilitar descubrimiento
A fin de habilitar el descubrimiento, debes crear una configuración de análisis para cada tipo de descubrimiento que deseas habilitar.
En la consola de Google Cloud, ve a la página de configuración.
Verifica que estés viendo la organización en la que activaste el nivel de Security Command Center Enterprise.
Haz clic en Configurar la protección de datos sensibles. Aparecerá el panel de descubrimiento en Protección de datos sensibles. En la sección Cobertura del producto del panel, se muestra el estado de cada tipo de descubrimiento.
Para un tipo de descubrimiento que quieras habilitar, haz clic en Habilitar. Por ejemplo, si quieres analizar las tablas de BigQuery de tu organización, en la tarjeta BigQuery, haz clic en Habilitar.
Se abrirá la página Crear configuración de análisis.
Configura el descubrimiento a nivel de la organización. Para obtener más información, consulta una de las siguientes páginas, según el tipo de descubrimiento que desees habilitar:
Repite estos pasos a fin de crear configuraciones de análisis para los tipos de descubrimiento restantes.
Desde el momento en que la protección de datos sensibles genera los perfiles de datos, los resultados Data sensitivity y Data risk asociados pueden tardar hasta seis horas en aparecer en Security Command Center.
Desde el momento en que activas el descubrimiento de secretos en la protección de datos sensibles, puede tardar hasta 12 horas en completarse el análisis inicial de las variables de entorno y que los resultados de Secrets in environment variables aparezcan en Security Command Center. Luego, Sensitive Data Protection analiza las variables de entorno cada 24 horas. En la práctica, los análisis se pueden ejecutar con mayor frecuencia.
Para ver los resultados que generó la protección de datos sensibles, consulta Revisa los resultados de la protección de datos sensibles en la consola de Google Cloud.
Usa las estadísticas de descubrimiento para identificar recursos de alto valor
Puedes hacer que Security Command Center designe de forma automática cualquier conjunto de datos de BigQuery que contenga datos de alta sensibilidad o sensibilidad media como un recurso de alto valor si habilitas la opción de estadísticas del descubrimiento de la protección de datos sensibles cuando creas una configuración de valor del recurso para la función de simulación de la ruta de ataque.
En el caso de los recursos de alto valor, Security Command Center proporciona puntuaciones de exposición a ataques y visualizaciones de rutas de ataque, que puedes usar para priorizar la seguridad de los recursos que contienen datos sensibles.
Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad en función de las clasificaciones de sensibilidad de los datos de la Protección de datos sensibles solo para el tipo de recurso de datos bigquery.googleapis.com/Dataset.