本文档介绍了 Sensitive Data Protection 的敏感数据发现功能,该功能在每个 Security Command Center 服务层级中的运作方式,以及如何启用该功能。
准备工作
如需将敏感数据发现功能与 Security Command Center 搭配使用,请完成以下任务。
激活 Security Command Center
激活 Security Command Center。 根据您激活 Security Command Center 的方式,您可能需要为 Sensitive Data Protection 支付额外费用。如需了解详情,请参阅面向 Security Command Center 客户的发现服务价格。
确保 Security Command Center 已配置为接受敏感数据保护发现结果
默认情况下,Security Command Center 配置为接受 Sensitive Data Protection 的发现结果。如果贵组织已停用 Sensitive Data Protection 集成服务,您必须重新启用该服务才能接收敏感数据发现结果。如需了解详情,请参阅添加 Google Cloud 集成服务。
设置权限
如需获得配置敏感数据发现服务所需的权限,请让管理员向您授予组织的以下 IAM 角色:
| 用途 | 预定义角色 | 相关权限 |
|---|---|---|
| 创建发现服务扫描配置和查看数据分析结果 | DLP Administrator (roles/dlp.admin)
|
|
| 创建要用作服务代理容器的项目1 | Project Creator (roles/resourcemanager.projectCreator) |
|
| 授予发现服务访问权限2 | 下列其中一项:
|
|
1 如果您没有 Project Creator (roles/resourcemanager.projectCreator) 角色,您仍然可以创建扫描配置,但您使用的服务代理容器必须是现有项目。
2 如果您没有 Organization Administrator (roles/resourcemanager.organizationAdmin) 或 Security Admin (roles/iam.securityAdmin) 角色,您仍然可以创建扫描配置。不过,创建扫描配置后,您组织中拥有上述任一角色的人员必须向服务代理授予发现服务访问权限。
如需详细了解如何授予角色,请参阅管理访问权限。
优势
此功能具有以下优势:
您可以使用 Sensitive Data Protection 发现结果来识别并修复资源中可能导致敏感数据暴露给公众或恶意方的漏洞和错误配置。
您可以利用 Sensitive Data Protection 发现结果为分类流程添加上下文信息,并优先处理以包含敏感数据的资源为目标的威胁。
您可以将攻击路径模拟功能配置为根据资源所含数据的敏感度自动确定资源的优先级。如需了解详情,请参阅自动按数据敏感度设置资源优先级值。
在 Security Command Center 企业方案中运行敏感数据发现。
Security Command Center 企业方案包含组织级敏感数据保护发现服务订阅。订阅此服务后,您在组织或文件夹级层运行敏感数据发现时,无需支付 Sensitive Data Protection 费用。如需了解详情,请参阅本文档中的企业方案和高级方案中的发现服务容量。
激活 Security Command Center Enterprise 层级后,系统会自动在组织级为所有受支持的资源类型启用敏感数据发现功能。此自动启用过程是一次性操作,仅适用于在激活 Enterprise 层级时受支持的资源类型。如果 Sensitive Data Protection 之后新增了支持发现服务的资源类型,则您需要手动启用发现服务新支持的这些类型。如需了解相关说明,请参阅本文档中的在组织中启用采用默认设置的发现服务。
Security Command Center 高级方案中的敏感数据发现功能
如果您在组织级层激活了 Security Command Center 高级方案,则您的高级方案订阅包含组织级层的 Sensitive Data Protection 发现服务订阅。订阅此服务后,您在组织或文件夹级层运行敏感数据发现时,无需支付 Sensitive Data Protection 费用。如需了解详情,请参阅本文档中的企业方案和高级方案中的发现服务容量。
如需在组织级层执行敏感数据发现,请参阅本文档中的在组织中启用采用默认设置的发现服务。
如果您在项目级层激活了 Security Command Center 高级方案,则可以在项目级层启用敏感数据发现功能,并在 Security Command Center 中获取发现结果。不过,此功能是单独收费的。如需在项目级层启用发现功能,请参阅 Sensitive Data Protection 文档中的创建扫描配置。
如需确定 Security Command Center 实例的激活类型,请参阅查看您当前的激活类型。
Security Command Center Standard 中的敏感数据发现功能
如果您使用的是 Security Command Center 标准方案,则可以启用敏感数据发现功能,并在 Security Command Center 中获取发现结果。不过,此功能是单独收费的。
工作原理
Sensitive Data Protection 发现服务可帮助您识别敏感数据和高风险数据所在的位置,从而保护整个组织中的数据。
- 在 Sensitive Data Protection 中,该发现服务会生成数据分析结果,其中包含数据在各细节级别的指标和分析洞见。
- 在 Security Command Center 中,发现服务会生成发现结果。
已生成发现结果
Sensitive Data Protection 会在 Security Command Center 中生成观测发现结果,以显示计算出的数据敏感度和数据风险级别。当发生与您的数据资产相关的威胁和漏洞时,您可以根据这些发现结果来制定明智的响应措施。如需查看所生成发现结果的类型列表,请参阅来自发现服务的观测发现结果。
这些发现结果可用来根据数据敏感度自动指定高价值资源。如需了解详情,请参阅本文档中的使用发现服务分析洞见来识别高价值资源。
当 Sensitive Data Protection 检测到未受保护的高敏感度或中等敏感度数据时,会在 Security Command Center 中生成漏洞和配置错误发现结果。如需查看所生成发现结果的类型列表,请参阅以下内容:
如需查看 Sensitive Data Protection 生成的发现结果的完整列表,请参阅 Sensitive Data Protection。
发现结果生成延迟时间
启用敏感数据发现功能后,Sensitive Data Protection 发现结果可能会在几分钟内开始显示在 Security Command Center 中,具体取决于您组织的规模。对于规模较大的组织或具有影响发现结果生成的特定配置的组织,初始发现结果可能需要长达 12 小时才会显示在 Security Command Center 中。
随后,在发现服务扫描您的资源后几分钟内,Sensitive Data Protection 会在 Security Command Center 中生成发现结果。
在组织中使用默认设置启用发现服务
如需启用发现服务,您需要为要扫描的每个数据源创建一个发现服务配置。您可以在创建配置后修改配置。如需在创建配置的过程中自定义设置,请参阅创建扫描配置。
如需在组织级层启用采用默认设置的发现服务,请按以下步骤操作:
在 Google Cloud 控制台中,前往 Sensitive Data Protection 的启用发现服务页面。
确保该页面上的组织已激活 Security Command Center。
在启用发现窗格的服务代理容器字段中,设置要用作服务代理容器的项目。系统会在该项目中创建一个服务代理,并自动向其授予所需的发现服务角色。
如要自动创建用作服务代理容器的项目,请按照以下步骤操作:
- 点击创建。
- 指定新项目的名称、结算账号和父组织。您可以视需要修改项目 ID。
- 点击创建。
向新项目的服务代理授予角色可能需要几分钟时间。
如需选择之前用于发现操作的项目,请点击服务代理容器字段,然后选择相应项目。
如需查看默认设置,请点击 “展开”图标。
在启用发现服务部分,针对要启用的每种发现服务类型,点击启用。启用发现服务类型后,相应服务会执行以下操作:
- BigQuery:创建发现服务配置,以分析整个组织中的 BigQuery 表。Sensitive Data Protection 会开始分析您的 BigQuery 数据,并将分析结果发送到 Security Command Center。
- Cloud SQL:创建发现服务配置,以分析整个组织中的 Cloud SQL 表。Sensitive Data Protection 会开始为每个 Cloud SQL 实例创建默认连接。此过程可能需要几个小时才能完成。默认连接就绪后,您必须通过使用正确的数据库用户凭证更新每个连接,来授予 Sensitive Data Protection 对 Cloud SQL 实例的访问权限。
- 密钥/凭证漏洞:创建发现服务配置,以检测和报告 Cloud Run 环境变量中未加密的 Secret。Sensitive Data Protection 会开始扫描您的环境变量。
- Cloud Storage:创建发现服务配置,以分析整个组织中的 Cloud Storage 存储桶。Sensitive Data Protection 会开始分析您的 Cloud Storage 数据,并将分析结果发送到 Security Command Center。
- Vertex AI 数据集:创建发现服务配置,以分析整个组织中的 Vertex AI 数据集。Sensitive Data Protection 会开始分析您的 Vertex AI 数据集,并将分析结果发送到 Security Command Center。
Amazon S3:创建发现服务配置,以分析您的 AWS 连接器有权访问的所有 Amazon S3 数据。
Azure Blob Storage:创建发现服务配置,以分析 Azure 连接器有权访问的所有 Azure Blob Storage 数据。
如需查看新创建的发现服务配置,请点击前往发现服务配置。
如果您启用了 Cloud SQL 发现服务,系统会以暂停模式创建发现服务配置,并显示指示缺少凭证的错误。如需向服务代理授予所需的 IAM 角色,并为每个 Cloud SQL 实例提供数据库用户凭证,请参阅管理用于发现服务的连接。
关闭窗格。
如需查看 Sensitive Data Protection 生成的发现结果,请参阅在Google Cloud 控制台中查看 Sensitive Data Protection 发现结果。
自定义扫描配置
您启用的每种发现服务类型都会有一项发现服务扫描配置,您可以自定义该配置。例如,您可以执行以下操作:
- 调整扫描频率。
- 为不想重新分析的数据资产指定过滤条件。
- 更改检查模板,该模板定义了 Sensitive Data Protection 要扫描的信息类型。
- 将生成的数据分析结果发布到其他 Google Cloud 服务。
- 更改服务代理容器。
使用发现服务分析洞见来识别高价值资源
Security Command Center 可以自动将包含高敏感度或中等敏感度数据的资源指定为高价值资源。对于高价值资源,Security Command Center 会提供攻击风险得分和攻击路径可视化图表,您可以利用这些信息来确定包含敏感数据的资源在安全方面的优先级。如需了解详情,请参阅自动按数据敏感度设置资源优先级值。
企业方案和高级方案中的发现容量
如果您的敏感数据发现服务需求超出了为 Security Command Center 企业方案或高级方案(组织层级)客户分配的容量,Sensitive Data Protection 可能会临时增加您的容量。不过,我们无法保证您的容量一定会增加,具体取决于当时是否有可用的计算资源。如果您需要更多发现服务容量,请与您的客户代表或 Google Cloud 销售专员联系。如需了解详情,请参阅 Sensitive Data Protection 文档中的监控利用率。