Attivare il rilevamento dei dati sensibili nel livello Enterprise

Questa pagina descrive come attivare il rilevamento dei dati sensibili utilizzando le impostazioni predefinite se hai sottoscritto un abbonamento al livello Enterprise e hai attivato il servizio di rilevamento di Sensitive Data Protection. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver attivato il rilevamento.

Il servizio di rilevamento di Sensitive Data Protection è incluso nel tuo abbonamento a Security Command Center Enterprise. La capacità di discovery viene allocata dinamicamente in base alle tue esigenze di elaborazione.

Vantaggi

Questa funzionalità offre i seguenti vantaggi:

Come funziona

Il servizio di rilevamento Sensitive Data Protection ti aiuta a proteggere i dati in tutta la tua organizzazione identificando dove si trovano i dati sensibili e ad alto rischio. In Protezione dei dati sensibili, il servizio genera profili di dati, che forniscono metriche e approfondimenti sui tuoi dati a vari livelli di dettaglio. In Security Command Center, il servizio svolge le seguenti operazioni:

Per attivare il rilevamento dei dati sensibili per la tua organizzazione, crea una configurazione di scansione del rilevamento per ogni risorsa supportata che vuoi analizzare.

Trovare la latenza di generazione

Dal momento in cui Sensitive Data Protection genera i profili dei dati, possono essere necessarie fino a sei ore prima che i risultati associati vengano visualizzati in Security Command Center.

Dal momento in cui attivi il rilevamento dei secret in Sensitive Data Protection, possono essere necessarie fino a 12 ore per completare la scansione iniziale delle variabili di ambiente e per visualizzare eventuali risultati Secrets in environment variables in Security Command Center. Successivamente, Sensitive Data Protection analizza le variabili di ambiente ogni 24 ore. In pratica, le ricerche possono essere eseguite più di frequente.

Prima di iniziare

Completa queste attività prima di completare le restanti attività in questa pagina.

Attiva il livello Security Command Center Enterprise

Completa i passaggi 1 e 2 della guida alla configurazione per attivare il livello Security Command Center Enterprise. Per ulteriori informazioni, consulta Attivare il livello Security Command Center Enterprise.

Attivare Sensitive Data Protection come servizio integrato

Se Sensitive Data Protection non è già attivato come servizio integrato, attivalo. Per ulteriori informazioni, vedi Aggiungere un servizio integrato di Google Cloud.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per configurare il rilevamento dei dati sensibili, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:

Finalità Ruolo predefinito Autorizzazioni pertinenti
Crea una configurazione di scansione del rilevamento e visualizza i profili di dati Amministratore DLP (roles/dlp.admin)
  • dlp.columnDataProfiles.list
  • dlp.fileStoreProfiles.list
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobs.list
  • dlp.jobTriggers.create
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Crea un progetto da utilizzare come container dell'agente di servizio1 Autore progetto (roles/resourcemanager.projectCreator)
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Concedi l'accesso alla rete di ricerca2 Uno dei seguenti:
  • Amministratore organizzazione (roles/resourcemanager.organizationAdmin)
  • Amministratore sicurezza (roles/iam.securityAdmin)
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Se non disponi del ruolo Progetto Creator (roles/resourcemanager.projectCreator), puoi comunque creare una configurazione della scansione, ma il contenitore agente di servizio che utilizzi deve essere un progetto esistente.

2 Se non disponi del ruolo Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), puoi comunque creare una configurazione di scansione. Dopo aver creato la configurazione della ricerca, un utente della tua organizzazione che dispone di uno di questi ruoli deve concedere l'accesso in modalità di rilevamento all'agente di servizio.

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Attivare il rilevamento con le impostazioni predefinite

Per attivare il rilevamento, devi creare una configurazione di rilevamento per ogni origine dati che vuoi analizzare. Questa procedura ti consente di creare automaticamente queste configurazioni di visibilità utilizzando le impostazioni predefinite. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver eseguito questa procedura.

Se vuoi personalizzare le impostazioni fin dall'inizio, consulta invece le seguenti pagine:

Per attivare il rilevamento con le impostazioni predefinite:

  1. Nella console Google Cloud, vai alla pagina Abilita il rilevamento di Sensitive Data Protection.

    Vai ad Abilita rilevamento

  2. Verifica di visualizzare l'organizzazione in cui hai attivato Security Command Center.

  3. Nel campo Container dell'agente di servizio, imposta il progetto da utilizzare come container dell'agente di servizio. All'interno di questo progetto, il sistema crea un agente di servizio e gli concede automaticamente le autorizzazioni di rilevamento richieste.

    Se in precedenza hai utilizzato il servizio di rilevamento per la tua organizzazione, potresti già avere un progetto di contenitore dell'agente di servizio che puoi riutilizzare.

    • Per creare automaticamente un progetto da utilizzare come contenitore dell'agente di servizio, esamina l'ID progetto suggerito e modificalo in base alle tue esigenze. Quindi, fai clic su Crea. L'assegnazione delle autorizzazioni all'agente di servizio del nuovo progetto potrebbe richiedere alcuni minuti.
    • Per selezionare un progetto esistente, fai clic sul campo Container dell'agente di servizio e seleziona il progetto.
  4. Per rivedere le impostazioni predefinite, fai clic sull'icona di espansione .

  5. Nella sezione Attiva la scoperta, fai clic su Attiva per ogni tipo di scoperta che vuoi attivare. L'attivazione di un tipo di rilevamento comporta quanto segue:

    • BigQuery: crea una configurazione di rilevamento per il profiling delle tabelle BigQuery nell'intera organizzazione. Sensitive Data Protection inizia a creare il profilo dei tuoi dati BigQuery e invia i profili a Security Command Center.
    • Cloud SQL: crea una configurazione di rilevamento per il profiling delle tabelle Cloud SQL nell'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ciascuna delle tue istanze Cloud SQL. Questa procedura può richiedere alcune ore. Quando le connessioni predefinite sono pronte, devi concedere a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database appropriate.
    • Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare i secret non criptati nelle variabili di ambiente Cloud Run. Sensitive Data Protection inizia a eseguire la scansione delle variabili di ambiente.
    • Cloud Storage: crea una configurazione di rilevamento per il profiling dei bucket Cloud Storage dell'organizzazione. Sensitive Data Protection inizia a creare il profilo dei tuoi dati di Cloud Storage e invia i profili a Security Command Center.
    • Set di dati Vertex AI: crea una configurazione di rilevamento per il profiling dei set di dati Vertex AI nell'organizzazione. Sensitive Data Protection inizia a creare il profilo dei set di dati Vertex AI e invia i profili a Security Command Center.
    • Amazon S3: crea una configurazione di rilevamento per creare il profilo dei dati di Amazon S3 nell'intera organizzazione, in un singolo account S3 o in un singolo bucket.

  6. Per visualizzare le configurazioni di rilevamento appena create, fai clic su Vai alla configurazione del rilevamento.

    Se hai attivato il rilevamento Cloud SQL, la configurazione del rilevamento viene creata in modalità in pausa con errori che indicano l'assenza di credenziali. Consulta Gestire le connessioni per l'utilizzo con la scoperta per concedere i ruoli IAM richiesti all'agente di servizio e per fornire le credenziali utente del database per ogni istanza Cloud SQL.

  7. Chiudi il riquadro.

Per visualizzare i risultati generati da Sensitive Data Protection, consulta Esaminare i risultati di Sensitive Data Protection nella console Google Cloud.

Utilizzare gli approfondimenti sulla scoperta per identificare le risorse di alto valore

Puoi fare in modo che Security Command Center designi automaticamente una risorsa che contiene dati con sensibilità elevata o media come una risorsa di alto valore attivando l'opzione di insight sulla scoperta di Sensitive Data Protection quando crei una configurazione del valore della risorsa per la funzionalità di simulazione del percorso di attacco.

Per le risorse di alto valore, Security Command Center fornisce punteggi di esposizione agli attacchi e visualizzazioni dei percorsi di attacco, che puoi utilizzare per dare la priorità alla sicurezza delle tue risorse contenenti dati sensibili.

Le simulazioni dei percorsi di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità dei dati della scoperta di Sensitive Data Protection solo per i seguenti tipi di risorse di dati:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Personalizzare le configurazioni di scansione

Dopo aver creato le configurazioni di scansione, puoi personalizzarle. Ad esempio, puoi eseguire le seguenti operazioni:

  • Regola le frequenze di scansione.
  • Specifica i filtri per gli asset di dati di cui non vuoi ricreare il profilo.
  • Modifica il modello di ispezione, che definisce i tipi di informazioni rilevati da Sensitive Data Protection.
  • Pubblicare i profili di dati generati in altri servizi Google Cloud.
  • Modifica il container dell'agente di servizio.

Passaggi successivi