Erkennung sensibler Daten in der Enterprise-Stufe aktivieren

Auf dieser Seite wird beschrieben, wie Sie die Erkennung sensibler Daten mit den Standardeinstellungen aktivieren, wenn Sie die Enterprise-Stufe abonniert und den Dienst zur Erkennung sensibler Daten aktiviert haben. Sie können die Einstellungen jederzeit anpassen, nachdem Sie die Erkennung aktiviert haben.

Der Dienst zur Erkennung sensibler Daten ist in Ihrem Security Command Center Enterprise-Abo enthalten. Die Discovery-Kapazität wird dynamisch basierend auf Ihren Verarbeitungsanforderungen zugewiesen.

Vorteile

Diese Funktion bietet folgende Vorteile:

  • Anhand der Ergebnisse des Schutzes sensibler Daten können Sie Sicherheitslücken in Ihren Ressourcen erkennen und beheben, die sensible Daten der Öffentlichkeit oder böswilligen Akteuren zugänglich machen.

  • Anhand dieser Informationen können Sie dem Triage-Prozess Kontext hinzufügen und Bedrohungen priorisieren, die auf Ressourcen mit vertraulichen Daten abzielen.

  • Sie können Security Command Center so konfigurieren, dass Ressourcen für die Simulation von Angriffspfaden automatisch priorisiert werden, je nach Vertraulichkeit der Daten, die die Ressourcen enthalten. Weitere Informationen finden Sie unter Prioritätswerte für Ressourcen automatisch anhand der Vertraulichkeit von Daten festlegen.

Funktionsweise

Der Dienst zur Erkennung sensibler Daten hilft Ihnen, Daten in Ihrer Organisation zu schützen, indem Sie ermitteln, wo sich vertrauliche Daten und Daten mit hohem Risiko befinden. Im Rahmen des Schutzes sensibler Daten generiert der Dienst Datenprofile, die Messwerte und Statistiken zu Ihren Daten auf verschiedenen Detailebenen liefern. Im Security Command Center führt der Dienst folgende Aufgaben aus:

  • Erstellen Sie im Security Command Center Beobachtungsergebnisse, die die berechneten Vertraulichkeits- und Datenrisikostufen Ihrer Daten enthalten. Sie können diese Ergebnisse als Grundlage für Ihre Reaktion verwenden, wenn Sie auf Bedrohungen und Sicherheitslücken im Zusammenhang mit Ihren Datenressourcen stoßen. Eine Liste der generierten Ergebnistypen finden Sie unter Ergebnisse der Beobachtung vom Discovery-Dienst.

    Diese Ergebnisse können die automatische Benennung von Ressourcen mit hohem Wert basierend auf der Vertraulichkeit von Daten unterstützen. Weitere Informationen finden Sie auf dieser Seite unter Mithilfe von Entdeckungsstatistiken wertvolle Ressourcen ermitteln.

  • Es werden Ergebnisse zu Sicherheitslücken in Security Command Center generiert, wenn der Schutz sensibler Daten hochsensible Daten erkennt, die nicht geschützt sind. Eine Liste der generierten Ergebnistypen finden Sie unter Sicherheitslücken im Rahmen der Suche nach sensiblen Daten.

Wenn Sie die Erkennung sensibler Daten für Ihre Organisation aktivieren möchten, erstellen Sie eine Scankonfiguration für die Erkennung für jede unterstützte Ressource, die Sie scannen möchten.

Latenz der Ergebnisgenerierung

Nach dem Erstellen der Datenprofile durch den Schutz sensibler Daten kann es bis zu sechs Stunden dauern, bis die zugehörigen Ergebnisse im Security Command Center angezeigt werden.

Nach der Aktivierung der Secrets-Erkennung im Schutz sensibler Daten kann es bis zu 12 Stunden dauern, bis der erste Scan der Umgebungsvariablen abgeschlossen ist und alle Secrets in environment variables-Ergebnisse im Security Command Center angezeigt werden. Anschließend werden die Umgebungsvariablen alle 24 Stunden vom Sensitive Data Protection-System gescannt. In der Praxis können Scans häufiger ausgeführt werden.

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie mit den verbleibenden Aufgaben auf dieser Seite fortfahren.

Security Command Center Enterprise-Stufe aktivieren

Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um die Security Command Center Enterprise-Stufe zu aktivieren. Weitere Informationen finden Sie unter Security Command Center Enterprise-Tier aktivieren.

Schutz sensibler Daten als integrierten Dienst aktivieren

Wenn der Schutz sensibler Daten noch nicht als integrierter Dienst aktiviert ist, aktivieren Sie ihn. Weitere Informationen finden Sie unter Integrierten Google Cloud-Dienst hinzufügen.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Suche nach sensiblen Daten benötigen:

Zweck Vordefinierte Rolle Relevante Berechtigungen
Konfiguration für den Discovery-Scan erstellen und Datenprofile ansehen DLP Administrator (roles/dlp.admin)
  • dlp.columnDataProfiles.list
  • dlp.fileStoreProfiles.list
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobs.list
  • dlp.jobTriggers.create
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Erstellen Sie ein Projekt, das als Dienst-Agent-Container verwendet werden soll.1 Projektersteller (roles/resourcemanager.projectCreator)
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Discovery-Zugriff gewähren2 Eine der folgenden:
  • Organisationsadministrator (roles/resourcemanager.organizationAdmin)
  • Sicherheitsadministrator (roles/iam.securityAdmin)
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Wenn Sie nicht die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator) haben, können Sie trotzdem eine Scankonfiguration erstellen. Der verwendete Dienst-Agent-Container muss jedoch ein vorhandenes Projekt sein.

2: Auch wenn Sie nicht die Rolle „Organization Administrator“ (roles/resourcemanager.organizationAdmin) oder „Security Admin“ (roles/iam.securityAdmin) haben, können Sie eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss eine Person in Ihrer Organisation, die eine dieser Rollen hat, dem Dienst-Agenten Discovery-Zugriff gewähren.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Discovery mit Standardeinstellungen aktivieren

Wenn Sie die Erkennung aktivieren möchten, erstellen Sie eine Erkennungskonfiguration für jede Datenquelle, die Sie scannen möchten. Mit diesem Verfahren können Sie diese Discovery-Konfigurationen automatisch mit Standardeinstellungen erstellen. Sie können die Einstellungen nach diesem Vorgang jederzeit anpassen.

Wenn Sie die Einstellungen gleich zu Beginn anpassen möchten, lesen Sie stattdessen die folgenden Seiten:

So aktivieren Sie die Erkennung mit den Standardeinstellungen:

  1. Rufen Sie in der Google Cloud Console die Seite Erfassung für den Schutz sensibler Daten aktivieren auf.

    Zu „Erkennung aktivieren“

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie Security Command Center aktiviert haben.

  3. Legen Sie im Feld Dienst-Agent-Container das Projekt fest, das als Dienst-Agent-Container verwendet werden soll. Innerhalb dieses Projekts erstellt das System einen Dienst-Agent und gewährt ihm automatisch die erforderlichen Berechtigungen für die Datenerhebung.

    Wenn Sie den Discovery-Dienst bereits für Ihre Organisation verwendet haben, haben Sie möglicherweise bereits ein Dienst-Agent-Containerprojekt, das Sie wiederverwenden können.

    • Wenn Sie automatisch ein Projekt erstellen möchten, das als Dienst-Agent-Container verwendet werden soll, prüfen Sie die vorgeschlagene Projekt-ID und bearbeiten Sie sie bei Bedarf. Klicken Sie dann auf Erstellen. Es kann einige Minuten dauern, bis die Berechtigungen dem Dienst-Agenten des neuen Projekts gewährt werden.
    • Wenn Sie ein vorhandenes Projekt auswählen möchten, klicken Sie auf das Feld Dienst-Agent-Container und wählen Sie das Projekt aus.

  4. Klicken Sie auf das Symbol , um die Standardeinstellungen aufzurufen.

  5. Klicken Sie im Bereich Discovery aktivieren für jeden Discovery-Typ, den Sie aktivieren möchten, auf Aktivieren. Wenn Sie einen Erkennungstyp aktivieren, geschieht Folgendes:

    • BigQuery: Erstellt eine Discovery-Konfiguration zum Profilieren von BigQuery-Tabellen in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Erstellung von Profilen für Ihre BigQuery-Daten und sendet die Profile an Security Command Center.
    • Cloud SQL: Erstellt eine Entdeckerkonfiguration zum Erstellen von Cloud SQL-Tabellenprofilen in der gesamten Organisation. Sensitive Data Protection beginnt damit, Standardverbindungen für jede Ihrer Cloud SQL-Instanzen zu erstellen. Dieser Vorgang kann einige Stunden dauern. Sobald die Standardverbindungen bereit sind, müssen Sie Sensitive Data Protection Zugriff auf Ihre Cloud SQL-Instanzen gewähren. Aktualisieren Sie dazu jede Verbindung mit den richtigen Datenbank-Nutzeranmeldedaten.
    • Sicherheitslücken bei Secrets/Anmeldedaten: Hiermit wird eine Erkennungskonfiguration zum Erkennen und Melden nicht verschlüsselter Secrets in Cloud Run-Umgebungsvariablen erstellt. Der Schutz sensibler Daten beginnt mit dem Scannen Ihrer Umgebungsvariablen.
    • Cloud Storage: Erstellt eine Discovery-Konfiguration zum Profilieren von Cloud Storage-Buckets in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Erstellung von Profilen für Ihre Cloud Storage-Daten und sendet die Profile an Security Command Center.
    • Vertex AI-Datasets: Hiermit wird eine Discovery-Konfiguration zum Profilieren von Vertex AI-Datasets in der gesamten Organisation erstellt. Der Schutz sensibler Daten beginnt mit der Erstellung von Profilen für Ihre Vertex AI-Datasets und sendet die Profile an Security Command Center.

    • Amazon S3: Hiermit wird eine Discovery-Konfiguration zum Erstellen von Amazon S3-Datenprofilen für die gesamte Organisation, ein einzelnes S3-Konto oder einen einzelnen Bucket erstellt.

  6. Klicken Sie auf Zur Erkennungskonfiguration, um die neu erstellten Erkennungskonfigurationen aufzurufen.

    Wenn Sie die Cloud SQL-Erkennung aktiviert haben, wird die Erkennungskonfiguration im Pausiermodus erstellt und es werden Fehler angezeigt, die auf fehlende Anmeldedaten hinweisen. Weitere Informationen finden Sie unter Verbindungen für die Verwendung mit der Erkennung verwalten. Dort erfahren Sie, wie Sie Ihrem Servicemitarbeiter die erforderlichen IAM-Rollen zuweisen und Anmeldedaten für Datenbanknutzer für jede Cloud SQL-Instanz angeben.

  7. Schließen Sie den Bereich.

Informationen zu den vom Schutz sensibler Daten generierten Ergebnissen finden Sie unter Ergebnisse des Schutzes sensibler Daten in der Google Cloud Console ansehen.

Mithilfe von Entdeckungsstatistiken hochwertige Ressourcen identifizieren

Sie können eine Ressource, die Daten mit hoher oder mittlerer Vertraulichkeit enthält, automatisch als hochwertige Ressource kennzeichnen lassen. Aktivieren Sie dazu die Option „Erkenntnisse zum Schutz sensibler Daten“, wenn Sie eine Konfiguration für Ressourcenwerte für die Funktion „Angriffspfadsimulation“ erstellen.

Für wertvolle Ressourcen bietet Security Command Center Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden, mit denen Sie die Sicherheit Ihrer Ressourcen mit sensiblen Daten priorisieren können.

Bei Simulationen von Angriffspfaden können Prioritätswerte nur für die folgenden Datenressourcentypen automatisch anhand der Klassifizierungen der Datensensibilität aus der Erfassung sensibler Daten festgelegt werden:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Scankonfigurationen anpassen

Nachdem Sie die Scankonfigurationen erstellt haben, können Sie sie anpassen. Sie haben zum Beispiel folgende Möglichkeiten:

  • Passen Sie die Scanhäufigkeiten an.
  • Legen Sie Filter für Daten-Assets fest, für die Sie kein neues Profil erstellen möchten.
  • Ändern Sie die Inspektionsvorlage, in der die Informationstypen definiert sind, nach denen der Schutz sensibler Daten sucht.
  • Die generierten Datenprofile in anderen Google Cloud-Diensten veröffentlichen.
  • Ändern Sie den Dienst-Agent-Container.

Nächste Schritte