Habilita el descubrimiento de datos sensibles en el nivel empresarial

En esta página, se describe cómo habilitar la detección de datos sensibles con la configuración si te suscribiste al nivel Enterprise y habilita Sensitive Data Protection, un producto con precios separados. Puedes personalizar el en cualquier momento después de habilitar la detección.

Cuando habilitas la detección, Sensitive Data Protection genera los hallazgos de Security Command Center que muestran la sensibilidad y los niveles de riesgo de datos de datos en toda tu organización.

Para obtener información sobre cómo habilitar el descubrimiento de datos sensibles sin importar tu Security Command Center, consulta las siguientes páginas en el Documentación de Sensitive Data Protection:

• Publica perfiles de datos en Security Command Center
• Informa los secretos de las variables de entorno a Security Command Center

Cómo funciona

El servicio de descubrimiento de Sensitive Data Protection te ayuda a proteger los datos en toda la organización identificando dónde se encuentran residen. En la protección de datos sensibles, el servicio genera datos perfiles, que proporcionan métricas y estadísticas sobre tus datos en varios niveles de detalle. En Security Command Center, el servicio hace lo siguiente:

• Generar resultados de observación en Security Command Center que muestren el cálculo la sensibilidad y los niveles de riesgo de datos de tus Datos de Cloud SQL. Puedes usar estos hallazgos para informar tu respuesta. cuando encuentras amenazas y vulnerabilidades relacionadas con tus recursos de datos. Para obtener una lista de los tipos de hallazgos generados, consulta Hallazgos de observación del descubrimiento servicio.

  Estos hallazgos pueden informar la designación automática de recursos de alto valor en función de la sensibilidad de los datos. Para obtener más información, consulta Usa las estadísticas de descubrimiento. para identificar recursos de alto valor en esta página.

• Genera hallazgos de vulnerabilidades en Security Command Center cuando Sensitive Data Protection detecta la presencia de secretos en tu Variables de entorno de Cloud Functions. Almacenar Secrets, como contraseñas, en las variables de entorno no es una práctica segura porque no están encriptados. Para obtener una lista completa de los tipos de Secrets Sensitive Data Protection detecta, consulta Credenciales y secrets. Para obtener una lista de los tipos de hallazgos generados, consulta Hallazgos de vulnerabilidades del Descubrimiento de Sensitive Data Protection servicio.

Crea uno para habilitar el descubrimiento de datos sensibles en tu organización configuración de análisis de descubrimiento para cada uno recurso que quieres analizar.

Precios

El descubrimiento de datos sensibles se cobra aparte del Security Command Center sin importar tu nivel de servicio. Si no compras una suscripción para descubrimiento, se te cobra en función de tu consumo (bytes analizados). Para ver más consulta Detección precios en la documentación de Protección de datos sensibles.

Antes de comenzar

Completa estas tareas antes de completar las tareas restantes de esta página.

Activa el nivel de Security Command Center Enterprise

Completa los pasos 1 y 2 de la para activar el nivel de Security Command Center Enterprise. Para obtener más información, consulta Activa el Security Command Center Enterprise nivel superior.

Habilita Sensitive Data Protection como un servicio integrado

Si Sensitive Data Protection aún no está habilitado como servicio integrado, habilitarla. Para obtener más información, consulta Agrega una instancia de servicio.

Configura los permisos

Para obtener los permisos que necesitas para configurar la detección de datos sensibles, solicita tu administrador que te otorgue los siguientes roles de IAM en organización:

Objetivo	Función predefinida	Permisos relevantes
Crea una configuración de análisis de descubrimiento y visualiza perfiles de datos	Administrador de DLP (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un proyecto para usarlo como contenedor de agente de servicio1	Creador del proyecto (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
Otorga acceso de descubrimiento2	Uno de los siguientes: Administrador de la organización (roles/resourcemanager.organizationAdmin) Administrador de seguridad (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Si no tienes el proyecto rol de Creador (roles/resourcemanager.projectCreator), aún puedes crear un análisis pero el agente de servicio contenedor que uses debe ser un proyecto existente.

² Si no tienes la cuenta de organización Administrador (roles/resourcemanager.organizationAdmin) o administrador de seguridad (roles/iam.securityAdmin), aún puedes crear una configuración de análisis. Después de crea la configuración de análisis, una persona de tu organización con uno de estos roles debe otorgar acceso de descubrimiento al agente de servicio.

Para obtener más información sobre cómo otorgar roles, consulta Administra acceso.

También es posible que obtengas los permisos necesarios mediante las o cualquier otro rol predefinido roles.

Habilita la detección con la configuración predeterminada

Para habilitar la detección, debes crear una configuración de detección para cada fuente de datos que quieres analizar. Este procedimiento te permite crear esos configuración automáticamente con la configuración predeterminada. Puedes personalizar el configuración en cualquier momento después de realizar este procedimiento.

Si quieres personalizar la configuración desde el principio, consulta las siguientes páginas en su lugar:

• Crea perfiles de datos de BigQuery en una organización o carpeta
• Crea perfiles de datos de Cloud SQL en una organización o carpeta
• Informa los secretos de las variables de entorno a Security Command Center

Para habilitar la detección con la configuración predeterminada, sigue estos pasos:

1. En la consola de Google Cloud, ve a Sensitive Data Protection Habilita la página de descubrimiento.

   Ir a Habilitar descubrimiento

2. Verifica que estás viendo la organización que activaste Security Command Center activado.

3. En el campo Contenedor del agente de servicio, configura el proyecto que se usará como agente de servicio contenedor. Dentro de este proyecto, el sistema crea un agente de servicio otorga los permisos de detección necesarios.

   Si alguna vez usaste el servicio de descubrimiento para tu organización, ya tienes un proyecto de contenedor del agente de servicio que puedes reutilizar.

   • Para crear automáticamente un proyecto y usarlo como tu contenedor de agente de servicio, revisa el ID del proyecto sugerido y edítalo según sea necesario. Luego, haz clic en Crear. Es posible que debas esperar unos minutos para que se otorguen los permisos a el agente de servicio del proyecto nuevo.
   • Para seleccionar un proyecto existente, haz clic en el campo Contenedor del agente de servicio. y seleccionaré el proyecto.

4. Para revisar la configuración predeterminada, haz clic en el ícono de expandir expand_more.

5. En la sección Habilitar la detección, para cada tipo de descubrimiento que desees. haz clic en Habilitar. Si habilitas un tipo de descubrimiento, ocurrirá lo siguiente:

   • BigQuery: Crea una configuración de detección para la generación de perfiles tablas de BigQuery en toda la organización. Sensitive Data Protection comienza a perfilar tus datos de BigQuery y envía los perfiles a Security Command Center.
   • Cloud SQL: Crea una configuración de descubrimiento para la generación de perfiles tablas de Cloud SQL en toda la organización. Sensitive Data Protection comienza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar algunos horas. Cuando las conexiones predeterminadas estén listas, Sensitive Data Protection para tu instancias de Cloud SQL actualizando cada conexión con la credenciales de usuario de la base de datos.
   • Vulnerabilidades de secretos o credenciales: Crea una configuración de descubrimiento para detectar e informar Secrets no encriptados en Cloud Functions variables de entorno. Comienza la protección de datos sensibles el análisis de tus variables de entorno.

6. Para ver las configuraciones de detección creadas recientemente, haz clic en Ir a la detección. actual.

   Si habilitaste el descubrimiento de Cloud SQL, la configuración de detección es se crea en modo de pausa con errores que indican la ausencia de credenciales. Consulta Administrar conexiones para usar con discovery para otorgar a la los roles de IAM necesarios a tu agente de servicio credenciales de usuario de la base de datos para cada instancia de Cloud SQL.

7. Cerrar el panel

Desde el momento en que Sensitive Data Protection genera los perfiles de datos, puede puede demorar hasta seis horas para la Data sensitivity y la Data risk asociadas para que aparezcan en Security Command Center.

Desde que activas el descubrimiento de secretos en Sensitive Data Protection, El análisis inicial de las variables de entorno puede tardar hasta 12 horas completar y que aparezca cualquier resultado de Secrets in environment variables en Security Command Center. Posteriormente, Sensitive Data Protection analiza el entorno variables cada 24 horas. En la práctica, los análisis se pueden ejecutar con mayor frecuencia.

Para ver los hallazgos que generó Sensitive Data Protection, consulta Revisión Hallazgos de Sensitive Data Protection en el Consola de Google Cloud.

Usa las estadísticas de descubrimiento para identificar recursos de alto valor

Puedes hacer que Security Command Center designe automáticamente un conjunto de datos de BigQuery que contenga datos de sensibilidad media como un recurso de alto valor habilitando el descubrimiento de Sensitive Data Protection de estadísticas cuando crea un valor de un recurso configuración para la función de simulación de rutas de ataque.

Para los recursos de alto valor, Security Command Center proporciona puntuaciones de exposición a ataques y visualizaciones de rutas de ataque, que puede usar para priorizar la seguridad de su recursos que contienen datos sensibles.

Las simulaciones de rutas de ataque pueden establecer valores de prioridad automáticamente basadas en clasificaciones de sensibilidad de los datos desde Protección de datos sensibles solo para los siguientes tipos de recursos de datos:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Personaliza los parámetros de configuración del análisis

Después de crear los parámetros de configuración de análisis, puedes personalizarlos. Por ejemplo: puedes hacer lo siguiente:

• Ajusta las frecuencias de búsqueda.
• Especifica filtros para los recursos de datos para los que no deseas volver a generar el perfil.
• Cambia la inspección plantilla, que define la información tipos que Sensitive Data Protection analiza.
• Publicar los perfiles de datos generados en otros servicios de Google Cloud
• Cambia el contenedor del agente de servicio.

Para personalizar la configuración de un análisis, sigue estos pasos:

1. Abrir la configuración de análisis del edición.

2. Actualiza la configuración según sea necesario. Para obtener más información sobre las opciones en la Edit scan configuration, consulta las siguientes páginas:

   • Crea perfiles de datos de BigQuery en una organización o carpeta
   • Crea perfiles de datos de Cloud SQL en una organización o carpeta
   • Informa los secretos de las variables de entorno a Security Command Center

¿Qué sigue?

• Consulta los hallazgos de Sensitive Data Protection