Erkennung sensibler Daten auf der Enterprise-Stufe aktivieren

Auf dieser Seite wird beschrieben, wie Sie die Erkennung sensibler Daten mithilfe der Standardeinstellungen aktivieren, wenn Sie die Enterprise-Stufe abonniert und den Schutz sensibler Daten, ein separat kostenpflichtiges Produkt, aktivieren. Sie können die Einstellungen nach der Aktivierung der Erkennung jederzeit anpassen.

Wenn Sie die Erkennung aktivieren, generiert der Schutz sensibler Daten Security Command Center-Ergebnisse, die die Vertraulichkeits- und Datenrisikostufen von Daten in Ihrer Organisation anzeigen.

Informationen zum Aktivieren der Erkennung sensibler Daten unabhängig von Ihrer Security Command Center-Dienststufe finden Sie auf den folgenden Seiten der Dokumentation zum Schutz sensibler Daten:

• Datenprofile in Security Command Center veröffentlichen
• Secrets in Umgebungsvariablen an Security Command Center melden

Funktionsweise

Der Erkennungsdienst für den Schutz sensibler Daten hilft Ihnen, Daten in Ihrer Organisation zu schützen, indem er ermittelt, wo sich sensible und risikoreiche Daten befinden. Beim Schutz sensibler Daten generiert der Dienst Datenprofile, die Messwerte und Statistiken zu Ihren Daten auf verschiedenen Detailebenen bieten. In Security Command Center führt der Dienst folgende Schritte aus:

• Generieren Sie in Security Command Center Beobachtungsergebnisse, die die berechnete Vertraulichkeit und Datenrisikostufen Ihrer BigQuery- und Cloud SQL-Daten anzeigen. Anhand dieser Erkenntnisse können Sie auf Bedrohungen und Sicherheitslücken im Zusammenhang mit Ihren Daten-Assets reagieren. Eine Liste der generierten Ergebnistypen finden Sie unter Beobachtungsergebnisse vom Erkennungsdienst.

  Anhand dieser Erkenntnisse können hochwertige Ressourcen basierend auf der Vertraulichkeit der Daten automatisch eingestuft werden. Weitere Informationen finden Sie auf dieser Seite unter Mit Erkennungsstatistiken hochwertige Ressourcen identifizieren.

• Generieren Sie in Security Command Center Ergebnisse zu Sicherheitslücken, wenn der Schutz sensibler Daten das Vorhandensein von Secrets in Ihren Cloud Functions-Umgebungsvariablen erkennt. Das Speichern von Secrets wie Passwörtern in Umgebungsvariablen ist keine sichere Praxis, da Umgebungsvariablen nicht verschlüsselt werden. Eine vollständige Liste der Secret-Typen, die vom Schutz sensibler Daten erkannt werden, finden Sie unter Anmeldedaten und Secrets. Eine Liste der generierten Ergebnistypen finden Sie unter Ergebnisse von Sicherheitslücken des Erkennungsdienstes für den Schutz sensibler Daten.

Um die Erkennung sensibler Daten für Ihre Organisation zu aktivieren, erstellen Sie für jede unterstützte Ressource, die Sie scannen möchten, eine Discovery-Scankonfiguration.

Preise

Die Erkennung sensibler Daten wird unabhängig von Ihrer Dienststufe separat von Security Command Center in Rechnung gestellt. Wenn Sie kein Abo zur Erkennung erwerben, werden die Kosten nach Verbrauch (gescannte Byte) berechnet. Weitere Informationen finden Sie in der Dokumentation zum Schutz sensibler Daten unter Discovery-Preise.

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie die restlichen Aufgaben auf dieser Seite ausführen.

Security Command Center Enterprise-Stufe aktivieren

Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um die Enterprise-Stufe von Security Command Center zu aktivieren. Weitere Informationen finden Sie unter Security Command Center Enterprise-Stufe aktivieren.

Schutz sensibler Daten als integrierten Dienst aktivieren

Wenn der Schutz sensibler Daten noch nicht als integrierter Dienst aktiviert ist, aktivieren Sie ihn. Weitere Informationen finden Sie unter Integrierten Google Cloud-Dienst hinzufügen.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Erkennung sensibler Daten benötigen:

Zweck	Vordefinierte Rolle	Relevante Berechtigungen
Konfiguration für Discovery-Scan erstellen und Datenprofile ansehen	DLP Administrator (roles/dlp.admin)	dlp.inspectTemplates.create dlp.jobs.create dlp.jobTriggers.create dlp.columnDataProfiles.list dlp.jobs.list dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Projekt erstellen, das als Dienst-Agent-Container verwendet werden soll1	Projektersteller (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
Zugriff für Erkennung gewähren2	Eine der folgenden: Organisationsadministrator (roles/resourcemanager.organizationAdmin) Sicherheitsadministrator (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Auch wenn Sie die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator) nicht haben, können Sie eine Scankonfiguration erstellen. Der von Ihnen verwendete Dienst-Agent-Container muss jedoch ein vorhandenes Projekt sein.

² Wenn Sie nicht die Rolle „Organization Administrator“ (roles/resourcemanager.organizationAdmin) oder „Security Admin“ (roles/iam.securityAdmin) haben, können Sie trotzdem eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss eine Person in Ihrer Organisation, die eine dieser Rollen hat, dem Dienst-Agent Erkennungszugriff gewähren.

Weitere Informationen zum Gewähren von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Erkennung mit Standardeinstellungen aktivieren

Um die Erkennung zu aktivieren, müssen Sie für jede Datenquelle, die Sie scannen möchten, eine Erkennungskonfiguration erstellen. Mit diesem Verfahren können Sie diese Erkennungskonfigurationen automatisch mit den Standardeinstellungen erstellen. Sie können die Einstellungen jederzeit anpassen, nachdem Sie diesen Vorgang ausgeführt haben.

Wenn Sie die Einstellungen von Anfang an anpassen möchten, lesen Sie stattdessen die folgenden Seiten:

• Profil für BigQuery-Daten in einer Organisation oder einem Ordner erstellen
• Profil für Cloud SQL-Daten in einer Organisation oder einem Ordner erstellen
• Secrets in Umgebungsvariablen an Security Command Center melden

So aktivieren Sie die Erkennung mit den Standardeinstellungen:

1. Rufen Sie in der Google Cloud Console die Seite Erkennung aktivieren für den Schutz sensibler Daten auf.

   Zur Seite „Erkennung aktivieren“

2. Prüfen Sie, ob Sie die Organisation sehen, für die Sie Security Command Center aktiviert haben.

3. Legen Sie im Feld Dienst-Agent-Container das Projekt fest, das als Dienst-Agent-Container verwendet werden soll. Innerhalb dieses Projekts erstellt das System einen Dienst-Agent und gewährt ihm automatisch die erforderlichen Erkennungsberechtigungen.

   Wenn Sie den Discovery-Dienst bereits für Ihre Organisation verwendet haben, haben Sie möglicherweise bereits ein Dienst-Agent-Containerprojekt, das Sie wiederverwenden können.

   • Überprüfen Sie die vorgeschlagene Projekt-ID und bearbeiten Sie sie nach Bedarf, um automatisch ein Projekt zu erstellen, das als Dienst-Agent-Container verwendet werden soll. Klicken Sie dann auf Erstellen. Es kann einige Minuten dauern, bis die Berechtigungen dem Dienst-Agent des neuen Projekts gewährt werden.
   • Klicken Sie auf das Feld Dienst-Agent-Container und wählen Sie das Projekt aus, um ein vorhandenes Projekt auszuwählen.

4. Klicken Sie auf das expand_more-Symbol zum Maximieren, um die Standardeinstellungen zu überprüfen.

5. Klicken Sie im Abschnitt Erkennung aktivieren für jeden Erkennungstyp, den Sie aktivieren möchten, auf Aktivieren. Das Aktivieren eines Erkennungstyps hat folgende Auswirkungen:

   • BigQuery: Erstellt eine Erkennungskonfiguration zur Profilerstellung für BigQuery-Tabellen in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Profilerstellung für Ihre BigQuery-Daten und sendet die Profile an Security Command Center.
   • Cloud SQL: Erstellt eine Erkennungskonfiguration für die Profilerstellung für Cloud SQL-Tabellen in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit dem Erstellen von Standardverbindungen für jede Ihrer Cloud SQL-Instanzen. Dieser Vorgang kann einige Stunden dauern. Wenn die Standardverbindungen bereit sind, müssen Sie dem Schutz sensibler Daten Zugriff auf Ihre Cloud SQL-Instanzen gewähren. Aktualisieren Sie dazu jede Verbindung mit den richtigen Anmeldedaten des Datenbanknutzers.
   • Sicherheitslücken bei Secrets/Anmeldedaten: Erstellt eine Erkennungskonfiguration zum Erkennen und Melden unverschlüsselter Secrets in Cloud Functions-Umgebungsvariablen. Der Schutz sensibler Daten beginnt mit dem Scannen Ihrer Umgebungsvariablen.

6. Klicken Sie zum Aufrufen der neu erstellten Erkennungskonfigurationen auf Zur Erkennungskonfiguration.

   Wenn Sie die Cloud SQL-Erkennung aktiviert haben, wird die Erkennungskonfiguration im pausierten Modus erstellt. Dabei werden Fehler angezeigt, die auf das Fehlen von Anmeldedaten hinweisen. Unter Verbindungen zur Verwendung mit der Erkennung verwalten erfahren Sie, wie Sie Ihrem Dienst-Agent die erforderlichen IAM-Rollen gewähren und für jede Cloud SQL-Instanz Anmeldedaten von Datenbanknutzern bereitstellen.

7. Schließen Sie den Bereich.

Ab dem Zeitpunkt, an dem der Schutz sensibler Daten die Datenprofile generiert, kann es bis zu sechs Stunden dauern, bis die zugehörigen Ergebnisse Data sensitivity und Data risk in Security Command Center angezeigt werden.

Nachdem Sie die Secret-Erkennung im Schutz sensibler Daten aktiviert haben, kann es bis zu 12 Stunden dauern, bis der erste Scan der Umgebungsvariablen abgeschlossen ist und alle Secrets in environment variables-Ergebnisse in Security Command Center angezeigt werden. Anschließend scannt Sensitive Data Protection die Umgebungsvariablen alle 24 Stunden. In der Praxis können Scans auch häufiger ausgeführt werden.

Informationen zu den Ergebnissen, die vom Schutz sensibler Daten generiert wurden, finden Sie unter Ergebnisse für den Schutz sensibler Daten in der Google Cloud Console prüfen.

Mit Discovery Insights hochwertige Ressourcen identifizieren

Sie können Security Command Center festlegen, dass BigQuery-Datasets, die Daten mit hoher oder mittlerer Vertraulichkeit enthalten, automatisch als hochwertige Ressource festgelegt werden. Dazu aktivieren Sie beim Erstellen einer Ressourcenwertkonfiguration für das Feature zur Simulation des Angriffspfads die Erkennungsoption für den Schutz sensibler Daten.

Für hochwertige Ressourcen bietet Security Command Center Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden, mit denen Sie die Sicherheit Ihrer Ressourcen mit sensiblen Daten priorisieren können.

Angriffspfadsimulationen können anhand der Datensensitivitätsklassifizierungen aus dem Schutz sensibler Daten automatisch nur für die folgenden Datenressourcentypen automatisch Prioritätswerte festlegen:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Scankonfigurationen anpassen

Nachdem Sie die Scankonfigurationen erstellt haben, können Sie sie anpassen. Sie können beispielsweise Folgendes tun:

• Passe die Suchhäufigkeit an.
• Geben Sie Filter für Daten-Assets an, für die kein neues Profil erstellt werden soll.
• Die Inspektionsvorlage ändern, die die Informationstypen definiert, nach denen der Schutz sensibler Daten sucht.
• Veröffentlichen Sie die generierten Datenprofile in anderen Google Cloud-Diensten.
• Ändern Sie den Dienst-Agent-Container.

So passen Sie eine Scankonfiguration an:

1. Öffnen Sie die Scankonfiguration zum Bearbeiten.

2. Aktualisieren Sie die Einstellungen nach Bedarf. Weitere Informationen zu den Optionen auf der Seite Scankonfiguration bearbeiten finden Sie auf den folgenden Seiten:

   • Profil für BigQuery-Daten in einer Organisation oder einem Ordner erstellen
   • Profil für Cloud SQL-Daten in einer Organisation oder einem Ordner erstellen
   • Secrets in Umgebungsvariablen an Security Command Center melden

Nächste Schritte

• Ergebnisse für den Schutz sensibler Daten ansehen