Questa pagina descrive come attivare il rilevamento dei dati sensibili utilizzando le impostazioni predefinite se hai sottoscritto un abbonamento al livello Enterprise e hai attivato il servizio di rilevamento di Sensitive Data Protection. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver attivato il rilevamento.
Il servizio di rilevamento di Sensitive Data Protection è incluso nel tuo abbonamento a Security Command Center Enterprise. La capacità di discovery viene allocata dinamicamente in base alle tue esigenze di elaborazione.
Vantaggi
Questa funzionalità offre i seguenti vantaggi:
Puoi utilizzare i risultati della Protezione dei dati sensibili per identificare e correggere le vulnerabilità nelle tue risorse che possono esporre dati sensibili al pubblico o a malintenzionati.
Puoi utilizzare questi risultati per aggiungere contesto al processo di triage e dare la priorità alle minacce che hanno come target risorse contenenti dati sensibili.
Puoi configurare Security Command Center in modo da dare automaticamente la priorità alle risorse per la funzionalità di simulazione del percorso di attacco in base alla sensibilità dei dati contenuti nelle risorse. Per ulteriori informazioni, vedi Impostare automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati.
Come funziona
Il servizio di rilevamento Sensitive Data Protection ti aiuta a proteggere i dati in tutta la tua organizzazione identificando dove si trovano i dati sensibili e ad alto rischio. In Protezione dei dati sensibili, il servizio genera profili di dati, che forniscono metriche e approfondimenti sui tuoi dati a vari livelli di dettaglio. In Security Command Center, il servizio svolge le seguenti operazioni:
Genera in Security Command Center risultati di osservazione che mostrano i livelli di sensibilità e rischio dei dati calcolati. Puoi utilizzare questi risultati per informare la tua risposta quando riscontri minacce e vulnerabilità relative alle tue risorse di dati. Per un elenco dei tipi di risultati generati, consulta Risultati dell'osservazione del servizio di rilevamento.
Questi risultati possono essere utilizzati per la designazione automatica delle risorse di alto valore in base alla sensibilità dei dati. Per ulteriori informazioni, consulta Utilizzare gli approfondimenti sul rilevamento per identificare le risorse di alto valore in questa pagina.
Genera risultati relativi alle vulnerabilità in Security Command Center quando Sensitive Data Protection rileva la presenza di dati altamente sensibili non protetti. Per un elenco dei tipi di risultati generati, consulta Risultati relativi alle vulnerabilità del servizio di rilevamento di Sensitive Data Protection.
Per attivare il rilevamento dei dati sensibili per la tua organizzazione, crea una configurazione di scansione del rilevamento per ogni risorsa supportata che vuoi analizzare.
Trovare la latenza di generazione
Dal momento in cui Sensitive Data Protection genera i profili dei dati, possono essere necessarie fino a sei ore prima che i risultati associati vengano visualizzati in Security Command Center.
Dal momento in cui attivi il rilevamento dei secret in Sensitive Data Protection, possono essere necessarie fino a 12 ore per completare la scansione iniziale delle variabili di ambiente e per visualizzare eventuali risultati Secrets in environment variables
in Security Command Center. Successivamente, Sensitive Data Protection analizza le variabili di ambiente ogni 24 ore. In pratica, le ricerche possono essere eseguite più di frequente.
Prima di iniziare
Completa queste attività prima di completare le restanti attività in questa pagina.
Attiva il livello Security Command Center Enterprise
Completa i passaggi 1 e 2 della guida alla configurazione per attivare il livello Security Command Center Enterprise. Per ulteriori informazioni, consulta Attivare il livello Security Command Center Enterprise.
Attivare Sensitive Data Protection come servizio integrato
Se Sensitive Data Protection non è già attivato come servizio integrato, attivalo. Per ulteriori informazioni, vedi Aggiungere un servizio integrato di Google Cloud.
Configurare le autorizzazioni
Per ottenere le autorizzazioni necessarie per configurare il rilevamento dei dati sensibili, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:
Finalità | Ruolo predefinito | Autorizzazioni pertinenti |
---|---|---|
Crea una configurazione di scansione del rilevamento e visualizza i profili di dati | Amministratore DLP (roles/dlp.admin )
|
|
Crea un progetto da utilizzare come container dell'agente di servizio1 | Autore progetto (roles/resourcemanager.projectCreator ) |
|
Concedi l'accesso alla rete di ricerca2 | Uno dei seguenti:
|
|
1 Se non disponi del ruolo Progetto
Creator (roles/resourcemanager.projectCreator
), puoi comunque creare una configurazione
della scansione, ma il contenitore agente di servizio che utilizzi deve essere un progetto esistente.
2 Se non disponi del ruolo Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin
) o Amministratore sicurezza (roles/iam.securityAdmin
), puoi comunque creare una configurazione di scansione. Dopo aver creato la configurazione della ricerca, un utente della tua organizzazione che dispone di uno di questi ruoli deve concedere l'accesso in modalità di rilevamento all'agente di servizio.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Attivare il rilevamento con le impostazioni predefinite
Per attivare il rilevamento, devi creare una configurazione di rilevamento per ogni origine dati che vuoi analizzare. Questa procedura ti consente di creare automaticamente queste configurazioni di visibilità utilizzando le impostazioni predefinite. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver eseguito questa procedura.
Se vuoi personalizzare le impostazioni fin dall'inizio, consulta invece le seguenti pagine:
- Creare un profilo dei dati di BigQuery in un'organizzazione o una cartella
- Eseguire il profilo dei dati Cloud SQL in un'organizzazione o una cartella
- Eseguire il profilo dei dati di Cloud Storage in un'organizzazione o una cartella
- Eseguire il profilo dei dati di Vertex AI in un'organizzazione o una cartella (anteprima)
- Rilevamento dei dati sensibili per Amazon S3
- Segnalare i secret nelle variabili di ambiente a Security Command Center
Per attivare il rilevamento con le impostazioni predefinite:
Nella console Google Cloud, vai alla pagina Abilita il rilevamento di Sensitive Data Protection.
Verifica di visualizzare l'organizzazione in cui hai attivato Security Command Center.
Nel campo Container dell'agente di servizio, imposta il progetto da utilizzare come container dell'agente di servizio. All'interno di questo progetto, il sistema crea un agente di servizio e gli concede automaticamente le autorizzazioni di rilevamento richieste.
Se in precedenza hai utilizzato il servizio di rilevamento per la tua organizzazione, potresti già avere un progetto di contenitore dell'agente di servizio che puoi riutilizzare.
- Per creare automaticamente un progetto da utilizzare come contenitore dell'agente di servizio, esamina l'ID progetto suggerito e modificalo in base alle tue esigenze. Quindi, fai clic su Crea. L'assegnazione delle autorizzazioni all'agente di servizio del nuovo progetto potrebbe richiedere alcuni minuti.
- Per selezionare un progetto esistente, fai clic sul campo Container dell'agente di servizio e seleziona il progetto.
Per rivedere le impostazioni predefinite, fai clic sull'icona di espansione
.Nella sezione Attiva la scoperta, fai clic su Attiva per ogni tipo di scoperta che vuoi attivare. L'attivazione di un tipo di rilevamento comporta quanto segue:
- BigQuery: crea una configurazione di rilevamento per il profiling delle tabelle BigQuery nell'intera organizzazione. Sensitive Data Protection inizia a creare il profilo dei tuoi dati BigQuery e invia i profili a Security Command Center.
- Cloud SQL: crea una configurazione di rilevamento per il profiling delle tabelle Cloud SQL nell'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ciascuna delle tue istanze Cloud SQL. Questa procedura può richiedere alcune ore. Quando le connessioni predefinite sono pronte, devi concedere a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database appropriate.
- Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare i secret non criptati nelle variabili di ambiente Cloud Run. Sensitive Data Protection inizia a eseguire la scansione delle variabili di ambiente.
- Cloud Storage: crea una configurazione di rilevamento per il profiling dei bucket Cloud Storage dell'organizzazione. Sensitive Data Protection inizia a creare il profilo dei tuoi dati di Cloud Storage e invia i profili a Security Command Center.
- Set di dati Vertex AI: crea una configurazione di rilevamento per il profiling dei set di dati Vertex AI nell'organizzazione. Sensitive Data Protection inizia a creare il profilo dei set di dati Vertex AI e invia i profili a Security Command Center.
Amazon S3: crea una configurazione di rilevamento per creare il profilo dei dati di Amazon S3 nell'intera organizzazione, in un singolo account S3 o in un singolo bucket.
Per visualizzare le configurazioni di rilevamento appena create, fai clic su Vai alla configurazione del rilevamento.
Se hai attivato il rilevamento Cloud SQL, la configurazione del rilevamento viene creata in modalità in pausa con errori che indicano l'assenza di credenziali. Consulta Gestire le connessioni per l'utilizzo con la scoperta per concedere i ruoli IAM richiesti all'agente di servizio e per fornire le credenziali utente del database per ogni istanza Cloud SQL.
Chiudi il riquadro.
Per visualizzare i risultati generati da Sensitive Data Protection, consulta Esaminare i risultati di Sensitive Data Protection nella console Google Cloud.
Utilizzare gli approfondimenti sulla scoperta per identificare le risorse di alto valore
Puoi fare in modo che Security Command Center designi automaticamente una risorsa che contiene dati con sensibilità elevata o media come una risorsa di alto valore attivando l'opzione di insight sulla scoperta di Sensitive Data Protection quando crei una configurazione del valore della risorsa per la funzionalità di simulazione del percorso di attacco.
Per le risorse di alto valore, Security Command Center fornisce punteggi di esposizione agli attacchi e visualizzazioni dei percorsi di attacco, che puoi utilizzare per dare la priorità alla sicurezza delle tue risorse contenenti dati sensibili.
Le simulazioni dei percorsi di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità dei dati della scoperta di Sensitive Data Protection solo per i seguenti tipi di risorse di dati:
bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Personalizzare le configurazioni di scansione
Dopo aver creato le configurazioni di scansione, puoi personalizzarle. Ad esempio, puoi eseguire le seguenti operazioni:
- Regola le frequenze di scansione.
- Specifica i filtri per gli asset di dati di cui non vuoi ricreare il profilo.
- Modifica il modello di ispezione, che definisce i tipi di informazioni rilevati da Sensitive Data Protection.
- Pubblicare i profili di dati generati in altri servizi Google Cloud.
- Modifica il container dell'agente di servizio.