Activer la découverte de données sensibles au niveau Enterprise

Cette page explique comment activer la détection des données sensibles à l'aide des paramètres par défaut si vous êtes abonné au niveau Entreprise et que vous activez la protection des données sensibles (tarif distinct). Vous pouvez personnaliser les paramètres à tout moment après avoir activé la découverte.

Lorsque vous activez la détection, la protection des données sensibles génère des résultats Security Command Center qui indiquent les niveaux de sensibilité et de risque lié aux données pour l'ensemble de votre organisation.

Pour savoir comment activer la détection de données sensibles quel que soit votre niveau de service Security Command Center, consultez les pages suivantes de la documentation sur la protection des données sensibles:

Fonctionnement

Le service de découverte de la protection des données sensibles vous aide à protéger les données de votre organisation en identifiant l'emplacement des données sensibles et à haut risque. Dans la protection des données sensibles, le service génère des profils de données qui fournissent des métriques et des insights sur vos données à différents niveaux de détail. Dans Security Command Center, le service effectue les opérations suivantes:

  • Générez des résultats d'observation dans Security Command Center qui indiquent les niveaux de sensibilité et de risque des données calculés pour vos données BigQuery et Cloud SQL. Vous pouvez utiliser ces résultats pour éclairer votre réponse lorsque vous rencontrez des menaces et des failles liées à vos éléments de données. Pour obtenir la liste des types de résultats générés, consultez la section Résultats des observations du service de découverte.

    Ces résultats peuvent éclairer la désignation automatique des ressources de grande valeur en fonction de la sensibilité des données. Pour en savoir plus, consultez la section Utiliser les insights de découverte pour identifier les ressources à forte valeur ajoutée de cette page.

  • Générez des résultats de failles dans Security Command Center lorsque la protection des données sensibles détecte la présence de secrets dans vos variables d'environnement Cloud Functions. Le stockage de codes secrets, tels que les mots de passe, dans des variables d'environnement n'est pas une pratique sécurisée, car ces variables ne sont pas chiffrées. Pour obtenir la liste complète des types de secrets détectés par la protection des données sensibles, consultez la section Identifiants et secrets. Pour obtenir la liste des types de résultats générés, consultez la section Résultats de failles du service de détection de protection des données sensibles.

Pour activer la détection de données sensibles pour votre organisation, vous devez créer une configuration d'analyse de découverte pour chaque ressource compatible que vous souhaitez analyser.

Tarification

La détection de données sensibles est facturée séparément de Security Command Center, quel que soit votre niveau de service. Si vous ne souscrivez pas d'abonnement pour la découverte, vous êtes facturé en fonction de votre consommation (octets analysés). Pour en savoir plus, consultez la section Tarifs de Discovery dans la documentation sur la protection des données sensibles.

Avant de commencer

Effectuez ces tâches avant de terminer celles restantes sur cette page.

Activer le niveau Security Command Center Enterprise

Suivez les étapes 1 et 2 du guide de configuration pour activer le niveau Security Command Center Enterprise. Pour en savoir plus, consultez Activer Security Command Center Enterprise Center.

Activer la protection des données sensibles en tant que service intégré

Si la protection des données sensibles n'est pas déjà activée en tant que service intégré, activez-la. Pour en savoir plus, consultez la section Ajouter un service intégré Google Cloud.

Configurer les autorisations

Pour obtenir les autorisations dont vous avez besoin pour configurer la détection de données sensibles, demandez à votre administrateur de vous attribuer les rôles IAM suivants au niveau de l'organisation:

Objectif Rôle prédéfini Autorisations pertinentes
Créer une configuration d'analyse de découverte et afficher les profils de données Administrateur DLP (roles/dlp.admin)
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobTriggers.create
  • dlp.columnDataProfiles.list
  • dlp.jobs.list
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Créez un projet qui servira de conteneur d'agent de service1. Créateur de projet (roles/resourcemanager.projectCreator)
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Accorder l'accès à la détection2 Choisissez l'une des options suivantes :
  • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
  • Administrateur de sécurité (roles/iam.securityAdmin)
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Si vous ne disposez pas du rôle de créateur de projet (roles/resourcemanager.projectCreator), vous pouvez toujours créer une configuration d'analyse, mais le conteneur d'agent de service que vous utilisez doit correspondre à un projet existant.

2 Si vous ne disposez pas du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) ou Administrateur de sécurité (roles/iam.securityAdmin), vous pouvez toujours créer une configuration d'analyse. Une fois la configuration d'analyse créée, une personne de votre organisation disposant de l'un de ces rôles doit accorder l'accès à la détection à l'agent de service.

Pour en savoir plus sur l'attribution de rôles, consultez Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Activer la découverte avec les paramètres par défaut

Pour activer la détection, vous devez créer une configuration de découverte pour chaque source de données que vous souhaitez analyser. Cette procédure vous permet de créer automatiquement ces configurations de découverte à l'aide des paramètres par défaut. Vous pouvez personnaliser les paramètres à tout moment après avoir suivi cette procédure.

Si vous souhaitez personnaliser les paramètres dès le départ, consultez plutôt les pages suivantes:

Pour activer la découverte avec les paramètres par défaut, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Activer la détection de la protection des données sensibles.

    Accéder à la page "Activer la découverte"

  2. Vérifiez que vous voyez bien l'organisation pour laquelle vous avez activé Security Command Center.

  3. Dans le champ Conteneur d'agent de service, définissez le projet à utiliser comme conteneur d'agent de service. Dans ce projet, le système crée un agent de service et lui accorde automatiquement les autorisations de découverte requises.

    Si vous avez déjà utilisé le service de découverte pour votre organisation, vous disposez peut-être déjà d'un projet de conteneur d'agent de service que vous pouvez réutiliser.

    • Pour créer automatiquement un projet à utiliser comme conteneur d'agent de service, examinez l'ID de projet suggéré et modifiez-le si nécessaire. Cliquez ensuite sur Créer. L'attribution des autorisations à l'agent de service du nouveau projet peut prendre quelques minutes.
    • Pour sélectionner un projet existant, cliquez sur le champ Conteneur d'agent de service et sélectionnez le projet.

  4. Pour examiner les paramètres par défaut, cliquez sur l'icône de développement .

  5. Dans la section Activer la détection, cliquez sur Activer pour chaque type de découverte que vous souhaitez activer. L'activation d'un type de découverte entraîne les conséquences suivantes:

    • BigQuery: crée une configuration de découverte pour profiler les tables BigQuery dans l'organisation. La protection des données sensibles commence à profiler vos données BigQuery et envoie les profils à Security Command Center.
    • Cloud SQL: crée une configuration de découverte pour profiler les tables Cloud SQL dans l'organisation. La protection des données sensibles commence à créer des connexions par défaut pour chacune de vos instances Cloud SQL. Ce processus peut prendre quelques heures. Lorsque les connexions par défaut sont prêtes, vous devez autoriser la protection des données sensibles à accéder à vos instances Cloud SQL en mettant à jour chaque connexion avec les identifiants utilisateur de base de données appropriés.
    • Failles liées aux secrets/identifiants: crée une configuration de découverte pour détecter et signaler les secrets non chiffrés dans les variables d'environnement Cloud Functions. La protection des données sensibles commence à analyser vos variables d'environnement.

  6. Pour afficher les configurations de découverte que vous venez de créer, cliquez sur Accéder à la configuration de la découverte.

    Si vous avez activé la découverte Cloud SQL, la configuration de découverte est créée en mode suspendu avec des erreurs indiquant l'absence d'identifiants. Consultez la section Gérer les connexions à utiliser avec la détection pour attribuer les rôles IAM requis à votre agent de service et fournir des identifiants d'utilisateur de base de données pour chaque instance Cloud SQL.

  7. Fermez le volet.

À partir du moment où la protection des données sensibles génère les profils de données, l'affichage des résultats Data sensitivity et Data risk associés peut prendre jusqu'à six heures dans Security Command Center.

À partir du moment où vous activez la découverte de secrets dans la protection des données sensibles, l'analyse initiale des variables d'environnement et l'affichage des résultats Secrets in environment variables dans Security Command Center peuvent prendre jusqu'à 12 heures. Ensuite, la protection des données sensibles analyse les variables d'environnement toutes les 24 heures. En pratique, les analyses peuvent être exécutées plus fréquemment.

Pour afficher les résultats générés par Sensitive Data Protection, consultez Examiner les résultats de la protection des données sensibles dans la console Google Cloud.

Identifiez les ressources à forte valeur grâce aux insights sur la découverte

Vous pouvez faire en sorte que Security Command Center désigne automatiquement tout ensemble de données BigQuery contenant des données à haute ou sensibilité moyenne comme ressource de grande valeur. Pour ce faire, activez l'option "Insights de découverte Sensitive Data Protection" lorsque vous créez une configuration de valeur de ressource pour la fonctionnalité de simulation du chemin d'attaque.

Pour les ressources de grande valeur, Security Command Center fournit des scores d'exposition aux attaques et des visualisations des vecteurs d'attaque, qui vous permettent de hiérarchiser la sécurité de vos ressources contenant des données sensibles.

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de la sensibilité des données issues de la protection des données sensibles, mais uniquement pour les types de ressources de données suivants:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance

Personnaliser les configurations d'analyse

Une fois les configurations d'analyse créées, vous pouvez les personnaliser. Par exemple, vous pouvez effectuer les opérations suivantes:

  • Réglez les fréquences de balayage.
  • Spécifiez des filtres pour les éléments de données que vous ne souhaitez pas reprofiler.
  • Modifiez le modèle d'inspection, qui définit les types d'informations analysés par la protection des données sensibles.
  • Publiez les profils de données générés sur d'autres services Google Cloud.
  • Modifiez le conteneur de l'agent de service.

Pour personnaliser une configuration d'analyse, procédez comme suit:

  1. Ouvrez la configuration d'analyse pour la modifier.

  2. Mettez à jour les paramètres selon vos besoins. Pour en savoir plus sur les options de la page Modifier la configuration d'analyse, consultez les pages suivantes:

Étapes suivantes