如果您订阅了企业版层级并启用了敏感数据保护发现服务,本页介绍了如何使用默认设置启用敏感数据发现功能。启用发现功能后,您可以随时自定义设置。
您的 Security Command Center Enterprise 订阅中包含敏感数据保护发现服务。系统会根据您的处理需求动态分配发现容量。
优势
此功能具有以下优势:
您可以使用 Sensitive Data Protection 中的发现结果来识别和修复资源中的漏洞,这些漏洞可能会将敏感数据泄露给公众或恶意行为者。
您可以使用这些发现为分类流程添加背景信息,并优先处理针对包含敏感数据的资源的威胁。
您可以配置 Security Command Center,以便根据资源包含的数据的敏感度,自动为攻击路径模拟功能确定资源的优先级。如需了解详情,请参阅自动按数据敏感度设置资源优先级值。
工作原理
Sensitive Data Protection 发现服务可帮助您识别敏感数据和高风险数据所在的位置,从而保护整个组织中的数据。在敏感数据保护中,该服务会生成数据分析文件,以便在不同详细级别提供有关数据的指标和数据分析。在 Security Command Center 中,该服务会执行以下操作:
在 Security Command Center 中生成观察结果,显示系统计算的数据敏感度和数据风险级别。当您遇到与数据资产相关的威胁和漏洞时,可以根据这些发现制定相应响应措施。如需查看生成的发现结果类型的列表,请参阅发现服务中的观察结果。
这些发现有助于根据数据敏感性自动指定高价值资源。如需了解详情,请参阅本页上的使用发现洞见识别高价值资源。
当敏感数据保护功能检测到存在未受保护的高度敏感数据时,会在 Security Command Center 中生成漏洞发现结果。如需查看生成的发现结果类型的列表,请参阅敏感数据保护发现服务中的漏洞发现结果。
如需为贵组织启用敏感数据发现功能,您需要为要扫描的每个受支持的资源创建一个发现扫描配置。
查找生成延迟时间
从敏感数据保护生成数据分析文件之时起,相关发现结果最长可能需要 6 小时才能显示在 Security Command Center 中。
从您在敏感数据保护中启用 Secret 发现开始,最长可能需要 12 小时才能完成环境变量的初始扫描,并且任何 Secrets in environment variables 发现结果都可能需要 12 小时才能显示在 Security Command Center 中。此后,敏感数据保护功能每 24 小时扫描一次环境变量。实际上,扫描的运行频率可能高于该频率。
准备工作
请先完成这些任务,然后再完成本页面上的其余任务。
激活 Security Command Center Enterprise 层级
完成设置指南的第 1 步和第 2 步,以激活 Security Command Center Enterprise 层级。如需了解详情,请参阅激活 Security Command Center Enterprise。
将敏感数据保护作为集成服务启用
如果敏感数据保护尚未作为集成服务启用,请启用该服务。如需了解详情,请参阅添加 Google Cloud 集成服务。
设置权限
如需获得配置敏感数据发现所需的权限,请让您的管理员向您授予组织的以下 IAM 角色:
| 用途 | 预定义角色 | 相关权限 |
|---|---|---|
| 创建发现扫描配置并查看数据配置文件 | DLP Administrator (roles/dlp.admin)
|
|
| 创建一个要用作服务代理容器的项目1 | Project Creator (roles/resourcemanager.projectCreator) |
|
| 授予发现权限2 | 下列其中一项:
|
|
1 如果您没有“Project Creator”(项目创建者)(roles/resourcemanager.projectCreator) 角色,仍然可以创建扫描配置,但您使用的服务代理容器必须是现有项目。
2 如果您没有“组织管理员”(roles/resourcemanager.organizationAdmin) 或“Security Admin”(roles/iam.securityAdmin) 角色,仍然可以创建扫描配置。创建扫描配置后,您组织中拥有以下任一角色的人员必须向服务代理授予发现权限。
如需详细了解如何授予角色,请参阅管理访问权限。
使用默认设置启用发现功能
如需启用发现功能,您需要为要扫描的每个数据源创建一个发现配置。通过此过程,您可以使用默认设置自动创建这些发现配置。执行此过程后,您可以随时自定义设置。
如果您想从一开始就自定义设置,请改为参阅以下页面:
- 分析组织或文件夹中的 BigQuery 数据
- 对组织或文件夹中的 Cloud SQL 数据进行性能分析
- 对组织或文件夹中的 Cloud Storage 数据进行性能分析
- 分析组织或文件夹中的 Vertex AI 数据(预览版)
- Amazon S3 敏感数据发现
- 将环境变量中的密钥报告给 Security Command Center
如需使用默认设置启用发现功能,请按以下步骤操作:
在 Google Cloud 控制台中,前往“敏感数据保护”页面,然后启用发现。
确认您查看的是已为其激活 Security Command Center 的组织。
在服务代理容器字段中,将要用作服务代理容器的项目设置为相应值。在该项目中,系统会创建一个服务代理,并自动向其授予所需的发现权限。
如果您之前为贵组织使用过发现服务,可能已经有可重复使用的服务代理容器项目。
- 如需自动创建一个用作服务代理容器的项目,请查看建议的项目 ID,并根据需要进行修改。然后,点击创建。系统可能需要几分钟时间才能向新项目的服务代理授予权限。
- 如需选择现有项目,请点击服务代理容器字段,然后选择相应项目。
如需查看默认设置,请点击 展开图标。
在启用发现功能部分,针对您要启用的每种发现功能,点击启用。启用某种发现类型会执行以下操作:
- BigQuery:创建一个发现配置,以分析整个组织中的 BigQuery 表。敏感数据保护功能会开始分析您的 BigQuery 数据,并将分析结果发送到 Security Command Center。
- Cloud SQL:创建发现配置,以分析整个组织中的 Cloud SQL 表。Sensitive Data Protection 会开始为您的每个 Cloud SQL 实例创建默认连接。此过程可能需要几个小时。默认连接就绪后,您必须使用适当的数据库用户凭据更新每个连接,以便 Sensitive Data Protection 访问您的 Cloud SQL 实例。
- 密钥/凭据漏洞:创建一个发现配置,用于检测和报告 Cloud Run 环境变量中的未加密 Secret。敏感数据保护功能会开始扫描您的环境变量。
- Cloud Storage:创建发现配置,以分析整个组织中的 Cloud Storage 存储分区。敏感数据保护功能会开始分析您的 Cloud Storage 数据,并将分析结果发送到 Security Command Center。
- Vertex AI 数据集:创建发现配置,以分析整个组织中的 Vertex AI 数据集。敏感数据保护功能会开始分析您的 Vertex AI 数据集,并将分析结果发送到 Security Command Center。
Amazon S3:创建发现配置,以分析整个组织、单个 S3 账号或单个存储桶中的 Amazon S3 数据。
如需查看新创建的发现配置,请点击前往发现配置。
如果您启用了 Cloud SQL 发现功能,则发现配置会在暂停模式下创建,并会显示指示缺少凭据的错误。请参阅管理要与发现功能搭配使用的连接,为您的服务代理授予所需的 IAM 角色,并为每个 Cloud SQL 实例提供数据库用户凭据。
关闭窗格。
如需查看敏感数据保护生成的发现结果,请参阅在 Google Cloud 控制台中查看敏感数据保护发现结果。
使用发现数据分析来识别高价值资源
您可以为攻击路径模拟功能创建资源值配置,然后启用“敏感数据保护”发现分析洞见选项,以便 Security Command Center 自动将包含高敏感度或中敏感度数据的资源指定为高价值资源。
对于高价值资源,Security Command Center 会提供攻击风险得分和攻击路径可视化结果,以便您确定包含敏感数据的资源的安全性优先级。
攻击路径模拟功能只能针对以下数据资源类型根据 Sensitive Data Protection 发现中的数据敏感度分类自动设置优先级值:
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
自定义扫描配置
创建扫描配置后,您可以对其进行自定义。例如,您可以执行以下操作:
- 调整扫描频率。
- 为您不想重新分析的数据资产指定过滤条件。
- 更改检查模板,该模板定义了 Sensitive Data Protection 要扫描的信息类型。
- 将生成的数据剖析结果发布到其他 Google Cloud 服务。
- 更改服务代理容器。