如果您订阅了企业层级并启用敏感数据保护(一款单独定价的产品),本页将介绍如何使用默认设置启用敏感数据发现功能。启用发现功能后,您可以随时自定义设置。
启用发现功能后,敏感数据保护功能会生成 Security Command Center 发现结果,其中会显示整个组织中数据的敏感程度和数据风险级别。
如需了解如何启用敏感数据发现(无论您的 Security Command Center 服务层级如何),请参阅敏感数据保护文档中的以下页面:
工作原理
Sensitive Data Protection 发现服务通过识别敏感数据和高风险数据的存储位置,帮助您保护整个组织中的数据。在“敏感数据保护”中,该服务会生成数据配置文件,以提供各种详细程度的数据指标和数据分析。在 Security Command Center 中,该服务会执行以下操作:
在 Security Command Center 中生成观察发现结果,以显示经过计算的 BigQuery 和 Cloud SQL 数据的敏感度和数据风险级别。当您遇到与数据资产相关的威胁和漏洞时,可以使用这些发现结果来制定响应措施。如需查看生成的发现结果类型的列表,请参阅发现服务的观察结果。
这些发现结果有助于根据数据敏感度自动标识高价值资源。如需了解详情,请参阅本页面上的使用发现数据分析识别高价值资源。
当敏感数据保护检测到 Cloud Functions 环境变量中存在密钥时,在 Security Command Center 中生成漏洞发现结果。在环境变量中存储密钥(如密码)并不安全,因为环境变量未加密。如需查看敏感数据保护检测到的 Secret 类型的完整列表,请参阅凭据和 Secret。如需查看生成的发现结果类型的列表,请参阅敏感数据保护发现服务的漏洞发现结果。
如需为您的组织启用敏感数据发现功能,请为要扫描的每个受支持的资源创建一个发现扫描配置。
价格
无论您的服务层级如何,敏感数据发现服务会与 Security Command Center 分开收费。如果您未购买用于发现的订阅,则系统会根据您的消耗(扫描的字节数)向您收费。如需了解详情,请参阅敏感数据保护文档中的发现功能价格。
准备工作
请先完成这些任务,然后再完成此页面中的其余任务。
激活 Security Command Center Enterprise 层级
完成设置指南中的第 1 步和第 2 步,以激活 Security Command Center Enterprise 层级。如需了解详情,请参阅激活 Security Command Center Enterprise 层级。
将敏感数据保护作为集成服务启用
如果 Sensitive Data Protection 尚未作为集成服务启用,请将其启用。如需了解详情,请参阅添加 Google Cloud 集成服务。
设置权限
如需获取配置敏感数据发现所需的权限,请让管理员授予您组织的以下 IAM 角色:
| Purpose | 预定义角色 | 相关权限 |
|---|---|---|
| 创建发现扫描配置并查看数据分析文件 | DLP Administrator (roles/dlp.admin)
|
|
| 创建将用作服务代理容器的项目1 | Project Creator (roles/resourcemanager.projectCreator) |
|
| 授予发现访问权限2 | 下列其中一项:
|
|
1 如果您没有 Project Creator (roles/resourcemanager.projectCreator) 角色,仍然可以创建扫描配置,但您使用的服务代理容器必须是现有项目。
2 如果您没有组织管理员 (roles/resourcemanager.organizationAdmin) 或 Security Admin (roles/iam.securityAdmin) 角色,仍然可以创建扫描配置。创建扫描配置后,组织中拥有其中某个角色的人员必须向服务代理授予发现访问权限。
如需详细了解如何授予角色,请参阅管理访问权限。
使用默认设置启用发现服务
如需启用发现功能,请为要扫描的每个数据源创建发现配置。此过程可让您使用默认设置自动创建这些发现配置。执行此过程后,您可以随时自定义设置。
如果您想从一开始就自定义设置,请改为参阅以下页面:
如需使用默认设置启用发现功能,请按以下步骤操作:
在 Google Cloud 控制台中,转到敏感数据保护的启用发现页面。
验证您正在查看的是已启用 Security Command Center 的组织。
在服务代理容器字段中,设置将用作服务代理容器的项目。在此项目中,系统将创建一个服务代理,并自动向其授予所需的发现权限。
如果您之前为组织使用过发现服务,则您可能已经拥有可以重复使用的服务代理容器项目。
- 如需自动创建用作服务代理容器的项目,请查看建议的项目 ID 并根据需要进行修改。然后,点击创建。可能需要几分钟时间才能将权限授予新项目的服务代理。
- 要选择现有项目,请点击服务代理容器字段,然后选择相应项目。
如需查看默认设置,请点击 展开图标。
在启用发现部分中,对于要启用的每种发现类型,点击启用。启用发现类型将执行以下操作:
- BigQuery:创建发现配置,用于分析整个组织中的 BigQuery 表。 敏感数据保护会开始分析您的 BigQuery 数据,并将配置文件发送到 Security Command Center。
- Cloud SQL:创建发现配置,用于分析整个组织中的 Cloud SQL 表。敏感数据保护开始为您的每个 Cloud SQL 实例创建默认连接。此过程可能需要几个小时的时间。当默认连接准备就绪时,您必须使用适当的数据库用户凭据更新每个连接,从而授予 Sensitive Data Protection 对 Cloud SQL 实例的访问权限。
- Secret/凭据漏洞:创建用于检测和报告 Cloud Functions 环境变量中未加密的 Secret 的发现配置。敏感数据保护会开始扫描您的环境变量。
如需查看新创建的发现配置,请点击转到发现配置。
如果您启用了 Cloud SQL 发现功能,则发现配置会在暂停模式下创建,并显示表示缺少凭据的错误。请参阅管理用于发现的连接,向服务代理授予必需的 IAM 角色,并为每个 Cloud SQL 实例提供数据库用户凭据。
关闭窗格。
从敏感数据保护生成数据分析文件开始,关联的 Data sensitivity 和 Data risk 发现结果最多可能需要 6 小时才会显示在 Security Command Center 中。
从您在“敏感数据保护”中启用 Secret 发现时,最多可能需要 12 小时才能完成环境变量的初始扫描,并且任何 Secrets in environment variables 发现结果才会显示在 Security Command Center 中。之后,敏感数据保护每 24 小时扫描一次环境变量。实际上,扫描的运行频率可以高于此频率。
如需查看 Sensitive Data Protection 生成的发现结果,请参阅在 Google Cloud 控制台中查看 Sensitive Data Protection 发现结果。
使用发现数据洞见识别高价值资源
在为攻击路径模拟功能创建资源值配置时,您可以通过启用 Sensitive Data Protection 发现数据分析选项,让 Security Command Center 自动将任何包含高敏感度或中敏感度数据的 BigQuery 数据集指定为高价值资源。
对于高价值资源,Security Command Center 提供攻击风险得分和攻击路径可视化,这有助于您确定包含敏感数据的资源的优先级。
攻击路径模拟可以根据敏感数据保护的数据敏感度分类自动为以下数据资源类型设置优先级值:
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instance
自定义扫描配置
创建扫描配置后,您可以对其进行自定义。例如,您可以执行以下操作:
- 调整扫描频率。
- 指定您不想重新分析的数据资产的过滤条件。
- 更改检查模板,其中定义了敏感数据保护功能要扫描的信息类型。
- 将生成的数据分析文件发布到其他 Google Cloud 服务。
- 更改服务代理容器。
如需自定义扫描配置,请按以下步骤操作:
- 打开扫描配置进行修改。
根据需要更新设置。如需详细了解修改扫描配置页面上的选项,请参阅以下页面: