Mengaktifkan penemuan data sensitif di tingkat Perusahaan

Halaman ini menjelaskan cara mengaktifkan penemuan data sensitif menggunakan setelan default jika Anda berlangganan tingkat Enterprise dan mengaktifkan layanan penemuan Perlindungan Data Sensitif. Anda dapat menyesuaikan setelan kapan saja setelah mengaktifkan penemuan.

Layanan penemuan Sensitive Data Protection disertakan dalam langganan Security Command Center Enterprise Anda. Kapasitas penemuan Anda dialokasikan secara dinamis berdasarkan kebutuhan pemrosesan Anda.

Manfaat

Fitur ini menawarkan manfaat berikut:

  • Anda dapat menggunakan temuan Perlindungan Data Sensitif untuk mengidentifikasi dan memperbaiki kerentanan di resource Anda yang dapat mengekspos data sensitif kepada publik atau pelaku kejahatan.

  • Anda dapat menggunakan temuan ini untuk menambahkan konteks ke proses pemilahan dan memprioritaskan ancaman yang menargetkan resource yang berisi data sensitif.

  • Anda dapat mengonfigurasi Security Command Center untuk otomatis memprioritaskan resource untuk fitur simulasi jalur serangan sesuai dengan sensitivitas data yang dimuat resource. Untuk mengetahui informasi selengkapnya, lihat Menetapkan nilai prioritas resource secara otomatis berdasarkan sensitivitas data.

Cara kerjanya

Layanan penemuan Sensitive Data Protection membantu Anda melindungi data di seluruh organisasi dengan mengidentifikasi lokasi data sensitif dan berisiko tinggi. Di Perlindungan Data Sensitif, layanan ini menghasilkan profil data, yang memberikan metrik dan insight tentang data Anda di berbagai tingkat detail. Di Security Command Center, layanan ini melakukan hal berikut:

Untuk mengaktifkan penemuan data sensitif bagi organisasi, Anda membuat satu konfigurasi pemindaian penemuan untuk setiap resource yang didukung yang ingin Anda pindai.

Menemukan latensi pembuatan

Sejak Sensitive Data Protection membuat profil data, mungkin perlu waktu hingga enam jam agar temuan terkait muncul di Security Command Center.

Sejak Anda mengaktifkan penemuan secret di Perlindungan Data Sensitif, perlu waktu hingga 12 jam agar pemindaian awal variabel lingkungan selesai dan agar temuan Secrets in environment variables muncul di Security Command Center. Selanjutnya, Sensitive Data Protection akan memindai variabel lingkungan setiap 24 jam. Dalam praktiknya, pemindaian dapat berjalan lebih sering dari itu.

Sebelum memulai

Selesaikan tugas ini sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Mengaktifkan paket Security Command Center Enterprise

Selesaikan langkah 1 dan langkah 2 panduan penyiapan untuk mengaktifkan paket Security Command Center Enterprise. Untuk informasi selengkapnya, lihat Mengaktifkan tingkat Enterprise Security Command Center.

Mengaktifkan Perlindungan Data Sensitif sebagai layanan terintegrasi

Jika Sensitive Data Protection belum diaktifkan sebagai layanan terintegrasi, aktifkan. Untuk informasi selengkapnya, lihat Menambahkan layanan terintegrasi Google Cloud.

Siapkan izin

Untuk mendapatkan izin yang diperlukan guna mengonfigurasi penemuan data sensitif, minta administrator untuk memberi Anda peran IAM berikut di organisasi:

Tujuan Peran bawaan Izin yang relevan
Membuat konfigurasi pemindaian penemuan dan melihat profil data DLP Administrator (roles/dlp.admin)
  • dlp.columnDataProfiles.list
  • dlp.fileStoreProfiles.list
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobs.list
  • dlp.jobTriggers.create
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Buat project yang akan digunakan sebagai penampung agen layanan1 Project Creator (roles/resourcemanager.projectCreator)
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Memberikan akses penemuan2 Salah satu dari berikut ini:
  • Administrator Organisasi (roles/resourcemanager.organizationAdmin)
  • (roles/iam.securityAdmin) Security Admin
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Jika tidak memiliki peran Project Creator (roles/resourcemanager.projectCreator), Anda masih dapat membuat konfigurasi pemindaian, tetapi penampung agen layanan yang Anda gunakan harus berupa project yang ada.

2 Jika tidak memiliki peran Administrator Organisasi (roles/resourcemanager.organizationAdmin) atau Admin Keamanan (roles/iam.securityAdmin), Anda tetap dapat membuat konfigurasi pemindaian. Setelah Anda membuat konfigurasi pemindaian, seseorang di organisasi Anda yang memiliki salah satu peran ini harus memberikan akses penemuan ke agen layanan.

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengaktifkan penemuan dengan setelan default

Untuk mengaktifkan penemuan, Anda membuat konfigurasi penemuan untuk setiap sumber data yang ingin dipindai. Prosedur ini memungkinkan Anda membuat konfigurasi penemuan tersebut secara otomatis menggunakan setelan default. Anda dapat menyesuaikan setelan ini kapan saja setelah melakukan prosedur ini.

Jika Anda ingin menyesuaikan setelan dari awal, lihat halaman berikut:

Untuk mengaktifkan penemuan dengan setelan default, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman Aktifkan penemuan di Sensitive Data Protection.

    Buka Aktifkan penemuan

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan Security Command Center.

  3. Di kolom Service agent container, tetapkan project yang akan digunakan sebagai penampung agen layanan. Dalam project ini, sistem membuat agen layanan dan secara otomatis memberikan izin penemuan yang diperlukan ke agen tersebut.

    Jika sebelumnya menggunakan layanan penemuan untuk organisasi, Anda mungkin sudah memiliki project penampung agen layanan yang dapat digunakan kembali.

    • Untuk membuat project secara otomatis yang akan digunakan sebagai penampung agen layanan, tinjau project ID yang disarankan dan edit sesuai kebutuhan. Kemudian, klik Create. Diperlukan waktu beberapa menit agar izin diberikan kepada agen layanan project baru.
    • Untuk memilih project yang ada, klik kolom Penampung agen layanan, lalu pilih project.

  4. Untuk meninjau setelan default, klik ikon luaskan .

  5. Di bagian Aktifkan penemuan, untuk setiap jenis penemuan yang ingin Anda aktifkan, klik Aktifkan. Mengaktifkan jenis penemuan akan melakukan hal berikut:

    • BigQuery: Membuat konfigurasi penemuan untuk membuat profil tabel BigQuery di seluruh organisasi. Perlindungan Data Sensitif mulai membuat profil data BigQuery Anda dan mengirimkan profil tersebut ke Security Command Center.
    • Cloud SQL: Membuat konfigurasi penemuan untuk membuat profil tabel Cloud SQL di seluruh organisasi. Sensitive Data Protection mulai membuat koneksi default untuk setiap instance Cloud SQL Anda. Proses ini dapat memerlukan waktu beberapa jam. Saat koneksi default siap, Anda harus memberikan akses Perlindungan Data Sensitif ke instance Cloud SQL dengan memperbarui setiap koneksi dengan kredensial pengguna database yang sesuai.
    • Kerentanan secret/kredensial: Membuat konfigurasi penemuan untuk mendeteksi dan melaporkan secret yang tidak dienkripsi di variabel lingkungan Cloud Run. Perlindungan Data Sensitif mulai memindai variabel lingkungan Anda.
    • Cloud Storage: Membuat konfigurasi penemuan untuk membuat profil bucket Cloud Storage di seluruh organisasi. Sensitive Data Protection mulai membuat profil data Cloud Storage Anda dan mengirimkan profil tersebut ke Security Command Center.
    • Set data Vertex AI: Membuat konfigurasi penemuan untuk membuat profil set data Vertex AI di seluruh organisasi. Sensitive Data Protection mulai membuat profil set data Vertex AI Anda dan mengirimkan profil tersebut ke Security Command Center.

    • Amazon S3: Membuat konfigurasi penemuan untuk membuat profil data Amazon S3 di seluruh organisasi, satu akun S3, atau satu bucket.

  6. Untuk melihat konfigurasi penemuan yang baru dibuat, klik Buka konfigurasi penemuan.

    Jika Anda mengaktifkan penemuan Cloud SQL, konfigurasi penemuan akan dibuat dalam mode dijeda dengan error yang menunjukkan tidak adanya kredensial. Lihat Mengelola koneksi untuk digunakan dengan penemuan guna memberikan peran IAM yang diperlukan kepada agen layanan Anda dan memberikan kredensial pengguna database untuk setiap instance Cloud SQL.

  7. Tutup panel.

Untuk melihat temuan yang dihasilkan oleh Sensitive Data Protection, lihat Meninjau temuan Sensitive Data Protection di konsol Google Cloud.

Menggunakan insight penemuan untuk mengidentifikasi resource bernilai tinggi

Anda dapat meminta Security Command Center untuk otomatis menetapkan resource yang berisi data dengan sensitivitas tinggi atau sedang sebagai resource bernilai tinggi dengan mengaktifkan opsi insight penemuan Perlindungan Data Sensitif saat Anda membuat konfigurasi nilai resource untuk fitur simulasi jalur serangan.

Untuk resource bernilai tinggi, Security Command Center memberikan skor eksposur serangan dan visualisasi jalur serangan, yang dapat Anda gunakan untuk memprioritaskan keamanan resource yang berisi data sensitif.

Simulasi jalur serangan dapat otomatis menetapkan nilai prioritas berdasarkan klasifikasi sensitivitas data dari penemuan Perlindungan Data Sensitif hanya untuk jenis resource data berikut:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Menyesuaikan konfigurasi pemindaian

Setelah membuat konfigurasi pemindaian, Anda dapat menyesuaikannya. Misalnya, Anda dapat melakukan hal berikut:

  • Sesuaikan frekuensi pemindaian.
  • Tentukan filter untuk aset data yang tidak ingin Anda buat profil ulang.
  • Ubah template pemeriksaan, yang menentukan jenis informasi yang dipindai oleh Perlindungan Data Sensitif.
  • Memublikasikan profil data yang dihasilkan ke layanan Google Cloud lainnya.
  • Ubah penampung agen layanan.

Langkah selanjutnya