Activer la découverte des données sensibles dans l'édition Enterprise

Cette page explique comment activer la découverte de données sensibles à l'aide des paramètres si vous êtes abonné au niveau Enterprise et que vous activez Sensitive Data Protection, un produit facturé séparément. Vous pouvez personnaliser à tout moment après l'activation de la détection.

Lorsque vous activez la détection, la protection des données sensibles génère des résultats Security Command Center qui indiquent le niveau de sensibilité et de risque des données dans l'ensemble de votre organisation.

Pour savoir comment activer la détection des données sensibles, quel que soit votre niveau de service Security Command Center, consultez les pages suivantes de la documentation sur la protection des données sensibles :

• Publier des profils de données dans Security Command Center
• Signaler des secrets dans des variables d'environnement à Security Command Center

Fonctionnement

Le service de détection de la protection des données sensibles vous aide à protéger les données au sein de votre organisation en identifiant l'emplacement des données sensibles et à haut risque. Dans la protection des données sensibles, le service génère des profils de données, qui fournissent des métriques et des insights sur vos données à différents niveaux de détail. Dans Security Command Center, le service effectue les opérations suivantes :

• Générer dans Security Command Center des résultats d'observation affichant les valeurs calculées la sensibilité et les niveaux de risque des données de vos données. Vous pouvez utiliser ces résultats pour éclairent votre réponse lorsque vous rencontrez des menaces et des vulnérabilités liées vos éléments de données. Pour obtenir la liste des types de résultats générés, consultez la section Observation les résultats de la découverte service.

  Ces résultats peuvent servir à désigner automatiquement les ressources à forte valeur ajoutée en fonction de la sensibilité des données. Pour en savoir plus, consultez Utiliser Discovery Insights. pour identifier les ressources les plus importantes sur cette page.

• Générez des résultats sur les failles dans Security Command Center lorsque la protection des données sensibles détecte la présence de données hautement sensibles qui ne sont pas protégées. Pour obtenir la liste des types de résultats générés, consultez la page Résultats concernant les failles du service de découverte de la protection des données sensibles.

Pour activer la découverte de données sensibles pour votre organisation, vous devez en créer un la configuration de l'analyse de découverte pour chaque code ressource que vous voulez analyser.

Tarifs

La détection de données sensibles est facturée séparément de Security Command Center quel que soit votre niveau de service. Si vous n'avez pas souscrit d'abonnement pour Discovery, vous êtes facturé en fonction de votre consommation (octets analysés). Pour plus pour plus d'informations, consultez la section Découverte tarifs dans la documentation sur la protection des données sensibles.

Avant de commencer

Effectuez ces tâches avant d'effectuer les autres tâches de cette page.

Activer le niveau Enterprise de Security Command Center

Suivez les étapes 1 et 2 de la guide de configuration pour activer le niveau Security Command Center Enterprise. Pour en savoir plus, consultez Activer le niveau Enterprise de Security Command Center.

Activer la protection des données sensibles en tant que service intégré

Si Sensitive Data Protection n'est pas déjà activé en tant que service intégré, l'activer. Pour en savoir plus, consultez la page Ajouter Google Cloud intégrée service.

Configurer les autorisations

Pour obtenir les autorisations nécessaires pour configurer la découverte de données sensibles, demandez à votre administrateur de vous accorder les rôles IAM suivants dans l'organisation :

Objectif	Rôle prédéfini	Autorisations pertinentes
Créer une configuration d'analyse de découverte et afficher des profils de données	Administrateur DLP (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Créez un projet qui servira de conteneur d'agent de service1	Créateur de projet (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
Accorder l'accès à la découverte2	Choisissez l'une des options suivantes : Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) Administrateur de sécurité (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setiamPolicy

¹ Si vous ne disposez pas du rôle Créateur de projet (roles/resourcemanager.projectCreator), vous pouvez toujours créer une configuration d'analyse, mais le conteneur de l'agent de service que vous utilisez doit être un projet existant.

² Si vous ne disposez pas du rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin) ou "Administrateur de la sécurité" (roles/iam.securityAdmin), vous pouvez toujours créer une configuration d'analyse. Après avoir créer la configuration d'analyse, une personne de votre organisation disposant de l'un de ces rôles doit accorder l'accès de découverte au agent de service.

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès.

Vous pouvez également obtenir les autorisations requises via des rôles ou autres prédéfinis rôles.

Activer la découverte avec les paramètres par défaut

Pour activer la découverte, vous devez créer une configuration de découverte pour chaque source de données que vous souhaitez analyser. Cette procédure vous permet de créer automatiquement ces configurations de découverte à l'aide des paramètres par défaut. Vous pouvez personnaliser les paramètres à tout moment après avoir effectué cette procédure.

Si vous souhaitez personnaliser les paramètres dès le départ, consultez les pages suivantes à la place:

• Profiler les données BigQuery dans une organisation ou un dossier
• Profiler des données Cloud SQL dans une organisation ou un dossier
• Profiler des données Cloud Storage dans une organisation ou un dossier
• Détection de données sensibles pour Amazon S3
• Signaler des secrets dans des variables d'environnement à Security Command Center

Pour activer la découverte avec les paramètres par défaut, procédez comme suit :

1. Dans la console Google Cloud, accédez à Sensitive Data Protection Page Activer la découverte.

   Accéder à "Activer la découverte"

2. Vérifiez que vous consultez bien l'organisation que vous avez activée. Security Command Center activé.

3. Dans le champ Conteneur d'agent de service, définissez le projet à utiliser en tant que agent de service conteneur. Dans ce projet, le système crée un agent de service et lui accorde automatiquement les autorisations de découverte requises.

   Si vous utilisiez auparavant le service de découverte pour votre organisation, vous pouvez vous disposez déjà d'un projet de conteneur d'agent de service que vous pouvez réutiliser.

   • Pour créer automatiquement un projet à utiliser comme conteneur d'agent de service, Examinez l'ID de projet suggéré et modifiez-le si nécessaire. Cliquez ensuite sur Créer : L'attribution des autorisations peut prendre quelques minutes l'agent de service du nouveau projet.
   • Pour sélectionner un projet existant, cliquez sur le champ Conteneur d'agent de service et sélectionnez le projet.

4. Pour consulter les paramètres par défaut, cliquez sur l'icône de développement expand_more.

5. Dans la section Activer la découverte, pour chaque type de découverte que vous souhaitez cliquez sur Activer. L'activation d'un type de découverte a les effets suivants:

   • BigQuery: crée une configuration de découverte pour le profilage tables BigQuery dans toute l'organisation. La protection des données sensibles commence à profiler vos données BigQuery et envoie les profils à Security Command Center.
   • Cloud SQL : crée une configuration de découverte pour le profilage des tables Cloud SQL dans l'ensemble de l'organisation. La protection des données sensibles commence à créer des connexions par défaut pour pour chacune de vos instances Cloud SQL. Ce processus peut prendre quelques heures. Lorsque les connexions par défaut sont prêtes, vous devez attribuer Accès de Sensitive Data Protection à vos les instances Cloud SQL en mettant à jour chaque connexion avec la bonne les identifiants de l'utilisateur de la base de données.
   • Failles des secrets/identifiants: crée une configuration de découverte pour détecter et signaler les secrets non chiffrés dans les fonctions Cloud Run variables d'environnement. La protection des données sensibles commence à analyser vos variables d'environnement.
   • Cloud Storage : crée une configuration de découverte pour le profilage des buckets Cloud Storage dans l'ensemble de l'organisation. Sensitive Data Protection commence à profiler Cloud Storage et envoie les profils à Security Command Center.

   • Amazon S3 : crée une configuration de découverte pour le profilage des données Amazon S3 dans l'organisation, un seul compte S3 ou un seul bucket.

6. Pour afficher les configurations de découverte nouvellement créées, cliquez sur Accéder à la configuration de découverte.

   Si vous avez activé la découverte Cloud SQL, la configuration de découverte est créé en mode suspendu avec des erreurs indiquant l'absence d'identifiants. Consultez la section Gérer les connexions à utiliser avec la découverte pour attribuer les rôles IAM requis à votre agent de service et fournir des identifiants utilisateur de base de données pour chaque instance Cloud SQL.

7. Fermez le volet.

À partir du moment où Sensitive Data Protection génère les profils de données, il peut il peut s'écouler jusqu'à six heures avant que les résultats associés n'apparaissent dans Security Command Center.

Dès que vous activez la découverte de secrets dans Sensitive Data Protection, peut prendre jusqu'à 12 heures pour que l'analyse initiale des variables d'environnement complètes et pour que tous les résultats Secrets in environment variables apparaissent dans Security Command Center. Ensuite, Sensitive Data Protection analyse les variables d'environnement toutes les 24 heures. En pratique, les analyses peuvent s'exécuter plus fréquemment.

Pour afficher les résultats générés par Sensitive Data Protection, consultez la section Examiner Résultats de Sensitive Data Protection dans console Google Cloud.

Utiliser les insights de découverte pour identifier les ressources à forte valeur

Vous pouvez demander à Security Command Center de désigner automatiquement une ressource contenant des données à sensibilité élevée ou moyenne comme ressource à forte valeur en activant l'option d'insights de découverte de la protection des données sensibles lorsque vous créez une configuration de valeur de ressource pour la fonctionnalité de simulation de chemin d'attaque.

Pour les ressources à forte valeur, Security Command Center fournit des scores d'exposition aux attaques et des visualisations de chemins d'attaque, que vous pouvez utiliser pour hiérarchiser la sécurité de vos ressources contenant des données sensibles.

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité sur la base des classifications de la sensibilité des données issues Détection pour la protection des données sensibles uniquement pour les types de ressources de données suivants:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Personnaliser les configurations d'analyse

Une fois les configurations d'analyse créées, vous pouvez les personnaliser. Par exemple : vous pouvez effectuer les opérations suivantes:

• Ajustez les fréquences d'analyse.
• Spécifiez des filtres pour les éléments de données que vous ne souhaitez pas reprofiler.
• Modifiez l'inspection modèle, qui définit les informations d'IA qui Sensitive Data Protection analyse.
• Publier les profils de données générés dans d'autres services Google Cloud.
• Modifiez le conteneur de l'agent de service.

Pour personnaliser une configuration d'analyse, procédez comme suit :

1. Ouvrez la configuration d'analyse pour la modifier.

2. Mettez à jour les paramètres si nécessaire. Pour en savoir plus sur les options Edit scan configuration (Modifier la configuration de l'analyse), consultez les pages suivantes:

   • Profiler les données BigQuery d'une organisation ou d'un dossier
   • Profiler des données Cloud SQL dans une organisation ou un dossier
   • Profiler des données Cloud Storage dans une organisation ou un dossier
   • Profiler les données Amazon S3
   • Signaler des secrets dans des variables d'environnement à Security Command Center

Étape suivante

• Afficher les résultats de la protection des données sensibles