Cette page explique comment activer la découverte des données sensibles à l'aide des paramètres par défaut si vous êtes abonné au niveau Enterprise et que vous activez le service de découverte de la protection des données sensibles. Vous pouvez personnaliser les paramètres à tout moment après avoir activé la découverte.
Le service de détection de la protection des données sensibles est inclus dans votre abonnement Security Command Center Enterprise. Votre capacité de détection est allouée de manière dynamique en fonction de vos besoins de traitement.
Avantages
Cette fonctionnalité présente les avantages suivants:
Vous pouvez utiliser les résultats de la protection des données sensibles pour identifier et corriger les vulnérabilités de vos ressources qui peuvent exposer des données sensibles au public ou à des acteurs malveillants.
Vous pouvez utiliser ces résultats pour ajouter du contexte au processus de tri et hiérarchiser les menaces qui ciblent des ressources contenant des données sensibles.
Vous pouvez configurer Security Command Center pour qu'il hiérarchise automatiquement les ressources de la fonctionnalité de simulation de chemin d'attaque en fonction de la sensibilité des données qu'elles contiennent. Pour en savoir plus, consultez la section Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données.
Fonctionnement
Le service de découverte Sensitive Data Protection vous aide à protéger les données au sein de votre organisation en identifiant l'emplacement des données sensibles et à haut risque. Dans la protection des données sensibles, le service génère des profils de données, qui fournissent des métriques et des insights sur vos données à différents niveaux de détail. Dans Security Command Center, le service effectue les opérations suivantes:
Générez des résultats d'observation dans Security Command Center qui indiquent les niveaux de sensibilité et de risque liés aux données calculés pour vos données. Vous pouvez utiliser ces résultats pour orienter votre réponse lorsque vous rencontrez des menaces et des failles liées à vos composants de données. Pour obtenir la liste des types de résultats générés, consultez la section Résultats d'observation du service de découverte.
Ces résultats peuvent servir à désigner automatiquement les ressources à forte valeur ajoutée en fonction de la sensibilité des données. Pour en savoir plus, consultez la section Utiliser les insights de découverte pour identifier les ressources à forte valeur sur cette page.
Générez des résultats sur les failles dans Security Command Center lorsque la protection des données sensibles détecte la présence de données hautement sensibles qui ne sont pas protégées. Pour obtenir la liste des types de résultats générés, consultez la page Résultats concernant les failles du service de découverte de la protection des données sensibles.
Pour activer la découverte des données sensibles pour votre organisation, vous devez créer une configuration d'analyse de découverte pour chaque ressource compatible que vous souhaitez analyser.
Latence de génération de résultats
À partir du moment où Sensitive Data Protection génère les profils de données, l'affichage des résultats associés dans Security Command Center peut prendre jusqu'à six heures.
À partir du moment où vous activez la découverte de secrets dans la protection des données sensibles, l'analyse initiale des variables d'environnement peut prendre jusqu'à 12 heures et les résultats Secrets in environment variables peuvent mettre jusqu'à 12 heures à apparaître dans Security Command Center. Ensuite, Sensitive Data Protection analyse les variables d'environnement toutes les 24 heures. En pratique, les analyses peuvent s'exécuter plus fréquemment.
Avant de commencer
Effectuez ces tâches avant d'effectuer les autres tâches de cette page.
Activer le niveau Security Command Center Enterprise
Suivez les étapes 1 et 2 du guide de configuration pour activer le niveau Security Command Center Enterprise. Pour en savoir plus, consultez Activer Security Command Center Enterprise Center.
Activer la protection des données sensibles en tant que service intégré
Si la protection des données sensibles n'est pas encore activée en tant que service intégré, activez-la. Pour en savoir plus, consultez Ajouter un service intégré Google Cloud.
Configurer les autorisations
Pour obtenir les autorisations nécessaires pour configurer la découverte de données sensibles, demandez à votre administrateur de vous accorder les rôles IAM suivants dans l'organisation:
| Objectif | Rôle prédéfini | Autorisations pertinentes |
|---|---|---|
| Créer une configuration d'analyse de découverte et afficher des profils de données | Administrateur DLP (roles/dlp.admin) |
|
| Créez un projet à utiliser comme conteneur d'agent de service1. | Créateur de projet (roles/resourcemanager.projectCreator) |
|
| Accorder l'accès à la découverte2 | Choisissez l'une des options suivantes :
|
|
1 Si vous ne disposez pas du rôle Créateur de projet (roles/resourcemanager.projectCreator), vous pouvez toujours créer une configuration d'analyse, mais le conteneur de l'agent de service que vous utilisez doit être un projet existant.
2 Si vous ne disposez pas du rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin) ou "Administrateur de sécurité" (roles/iam.securityAdmin), vous pouvez toujours créer une configuration d'analyse. Une fois la configuration d'analyse créée, un membre de votre organisation disposant de l'un de ces rôles doit accorder un accès de découverte à l'agent de service.
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Activer la découverte avec les paramètres par défaut
Pour activer la découverte, vous devez créer une configuration de découverte pour chaque source de données que vous souhaitez analyser. Cette procédure vous permet de créer automatiquement ces configurations de découverte à l'aide des paramètres par défaut. Vous pouvez personnaliser les paramètres à tout moment après avoir effectué cette procédure.
Si vous souhaitez personnaliser les paramètres dès le départ, consultez plutôt les pages suivantes:
- Profiler les données BigQuery d'une organisation ou d'un dossier
- Profiler des données Cloud SQL dans une organisation ou un dossier
- Profiler les données Cloud Storage d'une organisation ou d'un dossier
- Profiler les données Vertex AI d'une organisation ou d'un dossier (Preview)
- Détection de données sensibles pour Amazon S3
- Signaler des secrets dans des variables d'environnement à Security Command Center
Pour activer la découverte avec les paramètres par défaut, procédez comme suit:
Dans la console Google Cloud, accédez à la page Activer la découverte de la protection des données sensibles.
Vérifiez que vous consultez l'organisation pour laquelle vous avez activé Security Command Center.
Dans le champ Conteneur d'agent de service, définissez le projet à utiliser en tant que conteneur d'agent de service. Dans ce projet, le système crée un agent de service et lui accorde automatiquement les autorisations de découverte requises.
Si vous avez déjà utilisé le service de découverte pour votre organisation, vous disposez peut-être déjà d'un projet de conteneur d'agent de service que vous pouvez réutiliser.
- Pour créer automatiquement un projet à utiliser comme conteneur d'agent de service, examinez l'ID de projet suggéré et modifiez-le si nécessaire. Cliquez ensuite sur Créer. L'octroi des autorisations à l'agent de service du nouveau projet peut prendre quelques minutes.
- Pour sélectionner un projet existant, cliquez sur le champ Service agent container (Conteneur de l'agent de service) et sélectionnez le projet.
Pour consulter les paramètres par défaut, cliquez sur l'icône de développement .
Dans la section Activer la découverte, cliquez sur Activer pour chaque type de découverte que vous souhaitez activer. L'activation d'un type de découverte a les effets suivants:
- BigQuery: crée une configuration de découverte pour le profilage des tables BigQuery dans l'ensemble de l'organisation. La protection des données sensibles commence à profiler vos données BigQuery et envoie les profils à Security Command Center.
- Cloud SQL: crée une configuration de découverte pour le profilage des tables Cloud SQL dans l'ensemble de l'organisation. Sensitive Data Protection commence à créer des connexions par défaut pour chacune de vos instances Cloud SQL. Ce processus peut prendre quelques heures. Lorsque les connexions par défaut sont prêtes, vous devez autoriser Sensitive Data Protection à accéder à vos instances Cloud SQL en mettant à jour chaque connexion avec les identifiants de l'utilisateur de la base de données appropriés.
- Failles liées aux secrets et aux identifiants: crée une configuration de découverte pour détecter et signaler les secrets non chiffrés dans les variables d'environnement Cloud Run. La protection des données sensibles commence à analyser vos variables d'environnement.
- Cloud Storage: crée une configuration de découverte pour le profilage des buckets Cloud Storage dans l'ensemble de l'organisation. La protection des données sensibles commence à profiler vos données Cloud Storage et envoie les profils à Security Command Center.
- Ensembles de données Vertex AI: crée une configuration de découverte pour le profilage des ensembles de données Vertex AI dans l'ensemble de l'organisation. Le service de protection des données sensibles commence à profiler vos ensembles de données Vertex AI et envoie les profils à Security Command Center.
Amazon S3: crée une configuration de découverte pour le profilage des données Amazon S3 dans l'organisation, un seul compte S3 ou un seul bucket.
Pour afficher les configurations de découverte nouvellement créées, cliquez sur Accéder à la configuration de découverte.
Si vous avez activé la découverte Cloud SQL, la configuration de découverte est créée en mode suspendu avec des erreurs indiquant l'absence d'identifiants. Consultez la section Gérer les connexions à utiliser avec la découverte pour attribuer les rôles IAM requis à votre agent de service et fournir des identifiants utilisateur de base de données pour chaque instance Cloud SQL.
Fermez le volet.
Pour afficher les résultats générés par Sensitive Data Protection, consultez Examiner les résultats de Sensitive Data Protection dans la console Google Cloud.
Utiliser les insights de découverte pour identifier les ressources à forte valeur
Vous pouvez demander à Security Command Center de désigner automatiquement une ressource contenant des données de sensibilité élevée ou moyenne comme ressource à forte valeur en activant l'option d'insights de découverte de la protection des données sensibles lorsque vous créez une configuration de valeur de ressource pour la fonctionnalité de simulation de chemin d'attaque.
Pour les ressources à forte valeur, Security Command Center fournit des scores d'exposition aux attaques et des visualisations de chemins d'attaque, que vous pouvez utiliser pour hiérarchiser la sécurité de vos ressources contenant des données sensibles.
Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données issues de la découverte de la protection des données sensibles, mais uniquement pour les types de ressources de données suivants:
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Personnaliser les configurations d'analyse
Une fois les configurations d'analyse créées, vous pouvez les personnaliser. Par exemple, vous pouvez effectuer les opérations suivantes:
- Ajustez les fréquences d'analyse.
- Spécifiez des filtres pour les éléments de données que vous ne souhaitez pas reprofiler.
- Modifiez le modèle d'inspection, qui définit les types d'informations que la protection des données sensibles recherche.
- Publier les profils de données générés dans d'autres services Google Cloud.
- Modifiez le conteneur de l'agent de service.