Ativar a descoberta de dados sensíveis no nível Enterprise

Nesta página, descrevemos como ativar a descoberta de dados sensíveis usando caso você tenha uma assinatura no nível Enterprise e ative Proteção de Dados Sensíveis, um produto com preço separado. É possível personalizar configurações a qualquer momento depois de ativar a descoberta.

Quando você ativa a descoberta, a Proteção de Dados Sensíveis gera descobertas do Security Command Center que mostram a sensibilidade e os níveis de risco de dados dados em toda a organização.

Para saber como ativar a descoberta de dados sensíveis, independentemente nível de serviço do Security Command Center, consulte as páginas a seguir na Documentação da Proteção de Dados Sensíveis:

• Publicar perfis de dados no Security Command Center
• Informe secrets em variáveis de ambiente para o Security Command Center

Como funciona

O serviço de descoberta da proteção de dados sensíveis ajuda você a proteger os dados em toda a organização, identificando onde os dados sensíveis e de alto risco residir. Na Proteção de Dados Sensíveis, o serviço gera dados de perfis, que apresentam métricas e insights sobre seus dados em vários níveis de detalhes. No Security Command Center, a faz o seguinte:

• Gerar descobertas de observação no Security Command Center que mostrem os e os níveis de risco de dados do BigQuery e dados do Cloud SQL. Você pode usar essas descobertas para informar sua resposta quando você encontrar ameaças e vulnerabilidades relacionadas aos seus ativos de dados. Para uma lista dos tipos de descoberta gerados, consulte Descobertas de observação do descoberta serviço.

  Essas descobertas podem orientar a designação automática de recursos de alto valor com base na sensibilidade dos dados. Para mais informações, consulte Usar insights de descoberta para identificar recursos de alto valor nesta página.

• Gerar descobertas de vulnerabilidade no Security Command Center quando A Proteção de Dados Sensíveis detecta a presença de secrets nos Variáveis de ambiente do Cloud Functions. Armazenar secrets, como senhas, em variáveis de ambiente não é uma prática segura porque as variáveis de ambiente não são criptografados. Para uma lista completa dos tipos de secret que A Proteção de Dados Sensíveis detecta. Consulte Credenciais e secrets. Para conferir uma lista dos tipos de descoberta gerados, consulte Descobertas de vulnerabilidades do Descoberta da proteção de dados sensíveis serviço.

Para ativar a descoberta de dados sensíveis na sua organização, crie uma da verificação de descoberta para cada conteúdo recurso que você quer verificar.

Preços

A descoberta de dados sensíveis é cobrada separadamente do Security Command Center independentemente do nível de serviço. Se você não comprar uma assinatura para descoberta, você é cobrado com base no consumo (bytes verificados). Para mais informações, consulte Descoberta preços na documentação de proteção de dados sensíveis.

Antes de começar

Conclua essas tarefas antes de concluir as tarefas restantes nesta página.

Ativar o nível Security Command Center Enterprise

Conclua as etapas 1 e 2 do guia de configuração para ativar o nível Security Command Center Enterprise. Para mais informações, consulte Ativar o Security Command Center Enterprise nível 2.

Ativar a proteção de dados sensíveis como um serviço integrado

Se a proteção de dados sensíveis ainda não estiver ativada como um serviço integrado, ativá-la. Para mais informações, acesse Adicionar uma conta do Google Cloud serviço.

Configurar permissões

Para receber as permissões necessárias para configurar a descoberta de dados sensíveis, peça que o administrador conceda a você os seguintes papéis do IAM na organização:

Finalidade	Papel predefinido	Permissões relevantes
Criar uma configuração de verificação de descoberta e ver perfis de dados	Administrador do DLP (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Criar um projeto para ser usado como o contêiner do agente de serviço1	roles/resourcemanager.projectCreatorCriador do projeto	resourcemanager.organizations.get resourcemanager.projects.create
Conceder acesso de descoberta2	Uma das seguintes opções: Administrador da organização (roles/resourcemanager.organizationAdmin) Administrador de segurança (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se você não tiver o projeto Criador (roles/resourcemanager.projectCreator), você ainda pode criar uma verificação mas o agente de serviço O contêiner usado precisa ser um projeto atual.

² Se você não tiver a organização Administrador (roles/resourcemanager.organizationAdmin) ou Administrador de segurança (roles/iam.securityAdmin), ainda será possível criar uma configuração de verificação. Depois de criar a configuração de verificação, alguém em sua organização que tenha um desses papéis deverá conceder acesso de descoberta ao agente de serviço.

Para mais informações sobre como conceder papéis, consulte Gerenciar .

Também é possível conseguir as permissões necessárias por meio de configurações de ou outras funções predefinidas papéis.

Ativar descoberta com as configurações padrão

Para ativar a descoberta, crie uma configuração de descoberta para cada fonte de dados que você quer verificar. Esse procedimento permite criar essas descobertas automaticamente usando as definições padrão. É possível personalizar configurações a qualquer momento depois de realizar esse procedimento.

Se você quiser personalizar as configurações desde o início, consulte as páginas a seguir como alternativa:

• Criar perfil de dados do BigQuery em uma organização ou pasta
• Criar perfil de dados do Cloud SQL em uma organização ou pasta
• Informe secrets em variáveis de ambiente para o Security Command Center

Para ativar a descoberta com as configurações padrão, siga estas etapas:

1. No console do Google Cloud, acesse "Proteção de dados sensíveis" Ativar descoberta.

   Acessar "Ativar descoberta"

2. Verifique se você está visualizando a organização ativada. Security Command Center ativado.

3. No campo Contêiner do agente de serviço, defina o projeto a ser usado como um agente de serviço contêiner do Docker. Nesse projeto, o sistema cria um agente de serviço e automaticamente concede a ele as permissões de descoberta necessárias.

   Se você já usou o serviço de descoberta na sua organização, talvez já tem um projeto de contêiner de agente de serviço que pode ser reutilizado.

   • Para criar automaticamente um projeto para usar como contêiner do agente de serviço, faça o seguinte: revise o ID do projeto sugerido e edite-o conforme necessário. Em seguida, clique em Criar. Pode levar alguns minutos para que as permissões sejam concedidas a agente de serviço do novo projeto.
   • Para selecionar um projeto atual, clique no campo Contêiner do agente de serviço e selecione o projeto.

4. Para revisar as configurações padrão, clique no ícone de expansão expand_more.

5. Na seção Ativar descoberta, para cada tipo de descoberta que você ativar, clique em Ativar. A ativação de um tipo de descoberta faz o seguinte:

   • BigQuery: cria uma configuração de descoberta para criação de perfil Tabelas do BigQuery em toda a organização. A Proteção de Dados Sensíveis começa a criar perfis os dados do BigQuery e envia os perfis para o Security Command Center.
   • Cloud SQL: cria uma configuração de descoberta para criação de perfil Tabelas do Cloud SQL em toda a organização. A Proteção de Dados Sensíveis começa a criar conexões padrão para para cada uma das instâncias do Cloud SQL. Esse processo pode levar alguns do horário de funcionamento local. Quando as conexões padrão estiverem prontas, dê o acesso à proteção de dados sensíveis instâncias do Cloud SQL atualizando cada conexão com as credenciais do usuário do banco de dados.
   • Vulnerabilidades de secrets/credenciais: cria uma configuração de descoberta. para detectar e relatar secrets não criptografados no Cloud Functions variáveis de ambiente. Início da proteção de dados sensíveis verificar as variáveis de ambiente.

6. Para conferir as configurações de descoberta recém-criadas, clique em Acessar descoberta do Terraform.

   Se você ativou a descoberta do Cloud SQL, a configuração da descoberta será criado no modo pausado com erros que indicam a ausência de credenciais. Consulte Gerenciar conexões para usar com discovery para conceder a os papéis do IAM necessários ao agente de serviço e fornecer credenciais de usuário do banco de dados para cada instância do Cloud SQL.

7. Fechar painel.

Quando a proteção de dados confidenciais gera os perfis de dados, pode levar até seis horas para que as descobertas de Data sensitivity e Data risk associadas apareçam no Security Command Center.

A partir do momento em que você ativa a descoberta de secrets na Proteção de Dados Sensíveis, pode levar até 12 horas para que a verificação inicial das variáveis de ambiente seja concluída. concluída e que as descobertas de Secrets in environment variables apareçam em o Security Command Center. Em seguida, a Proteção de Dados Sensíveis verifica o ambiente a cada 24 horas. Na prática, as verificações podem ser executadas com mais frequência do que isso.

Para acessar as descobertas geradas pela Proteção de Dados Sensíveis, consulte Revisar descobertas sobre a proteção de dados sensíveis na Console do Google Cloud.

Usar insights de descoberta para identificar recursos de alto valor

O Security Command Center pode designar automaticamente Conjunto de dados do BigQuery que contém dados de sensibilidade média como um recurso de alto valor, ativando a descoberta da de insights ao criar um valor de recurso configuração para o recurso de simulação do caminho de ataque.

Para recursos de alto valor, o Security Command Center fornece pontuações de exposição a ataques e visualizações de caminho de ataque, as quais podem ser usadas para priorizar a segurança recursos que contêm dados sensíveis.

As simulações de caminho de ataque podem definir automaticamente valores de prioridade com base nas classificações de sensibilidade de dados Proteção de Dados Sensíveis apenas para os seguintes tipos de recursos de dados:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Personalizar as configurações de verificação

Depois de criar as configurações de verificação, elas podem ser personalizadas. Por exemplo: faça o seguinte:

• Ajuste as frequências de busca.
• Especifique filtros para os recursos de dados que você não quer recriar.
• Altere a inspeção modelo, que define as informações tipos que A Proteção de Dados Sensíveis verifica.
• Publicar os perfis de dados gerados em outros serviços do Google Cloud.
• Altere o contêiner do agente de serviço.

Para personalizar uma configuração de verificação, siga estas etapas:

1. Abra a configuração de verificação para edição.

2. Atualize as configurações conforme necessário. Para mais informações sobre as opções na Editar configuração da verificação, consulte as seguintes páginas:

   • Criar perfil de dados do BigQuery em uma organização ou pasta
   • Criar perfil de dados do Cloud SQL em uma organização ou pasta
   • Informe secrets em variáveis de ambiente para o Security Command Center

A seguir

• Ver descobertas da proteção de dados sensíveis