Activer la détection de données sensibles au niveau de l'entreprise

Cette page explique comment activer la découverte de données sensibles à l'aide des paramètres par défaut si vous êtes abonné au niveau Enterprise et que vous activez Sensitive Data Protection, un produit facturé séparément. Vous pouvez personnaliser ces paramètres à tout moment après avoir activé la détection.

Lorsque vous activez la détection, la protection des données sensibles génère des résultats Security Command Center qui montrent le niveau de sensibilité et de risque pour les données de votre organisation.

Pour en savoir plus sur l'activation de la découverte de données sensibles quel que soit votre niveau de service Security Command Center, consultez les pages suivantes dans la documentation sur la protection des données sensibles:

Fonctionnement

Le service de découverte Sensitive Data Protection vous aide à protéger les données de votre organisation en identifiant l'emplacement des données sensibles et à haut risque. Dans Sensitive Data Protection, le service génère des profils de données, qui fournissent des métriques et des insights sur vos données à différents niveaux de détail. Dans Security Command Center, le service effectue les opérations suivantes:

  • Générez des résultats d'observation dans Security Command Center, qui montrent la sensibilité et les niveaux de risque calculés pour vos données BigQuery et Cloud SQL. Vous pouvez utiliser ces résultats pour orienter votre réponse lorsque vous rencontrez des menaces et des failles liées à vos éléments de données. Pour obtenir la liste des types de résultats générés, consultez la section Résultats d'observation du service de découverte.

    Ces résultats peuvent éclairer la désignation automatique des ressources de grande valeur en fonction de la sensibilité des données. Pour en savoir plus, consultez la section Utiliser Discovery Insights pour identifier les ressources les plus importantes sur cette page.

  • Générez des résultats de failles dans Security Command Center lorsque Sensitive Data Protection détecte la présence de secrets dans vos variables d'environnement Cloud Functions. Le stockage des secrets, tels que des mots de passe, dans les variables d'environnement n'est pas une pratique sécurisée, car les variables d'environnement ne sont pas chiffrées. Pour obtenir la liste complète des types de secrets détectés par la protection des données sensibles, consultez la section Identifiants et secrets. Pour obtenir la liste des types de résultats générés, consultez la section Résultats de failles du service de découverte Sensitive Data Protection.

Pour activer la découverte de données sensibles pour votre organisation, vous devez créer une configuration d'analyse de découverte pour chaque ressource compatible que vous souhaitez analyser.

Tarification

La détection de données sensibles est facturée séparément de Security Command Center, quel que soit votre niveau de service. Si vous ne souscrivez pas d'abonnement pour la détection, vous êtes facturé en fonction de votre consommation (octets analysés). Pour en savoir plus, consultez la section Tarifs de découverte dans la documentation sur la protection des données sensibles.

Avant de commencer

Effectuez ces tâches avant de terminer celles qui figurent sur cette page.

Activer le niveau Security Command Center Enterprise

Suivez les étapes 1 et 2 du guide de configuration pour activer le niveau Security Command Center Enterprise. Pour en savoir plus, consultez la page Activer le niveau Security Command Center Enterprise.

Activer la protection des données sensibles en tant que service intégré

Si la protection des données sensibles n'est pas déjà activée en tant que service intégré, activez-la. Pour en savoir plus, consultez la section Ajouter un service intégré Google Cloud.

Configurer les autorisations

Pour obtenir les autorisations nécessaires à la configuration de la découverte de données sensibles, demandez à votre administrateur de vous attribuer les rôles IAM suivants au niveau de l'organisation:

Objectif Rôle prédéfini Autorisations pertinentes
Créer une configuration d'analyse de découverte et afficher les profils de données Administrateur DLP (roles/dlp.admin)
  • dlp.columnDataProfiles.list
  • dlp.fileStoreProfiles.list
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobs.list
  • dlp.jobTriggers.create
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Créez un projet qui servira de conteneur d'agent de service1 Créateur de projet (roles/resourcemanager.projectCreator)
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Accorder l'accès à la découverte2 Choisissez l'une des options suivantes :
  • Administrateur de l'organisation (roles/resourcemanager.organizationAdmin)
  • Administrateur de sécurité (roles/iam.securityAdmin)
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Si vous ne disposez pas du rôle de créateur de projet (roles/resourcemanager.projectCreator), vous pouvez toujours créer une configuration d'analyse, mais le conteneur d'agent de service que vous utilisez doit être un projet existant.

2 Si vous ne disposez pas du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) ou Administrateur de sécurité (roles/iam.securityAdmin), vous pouvez toujours créer une configuration d'analyse. Une fois la configuration d'analyse créée, un membre de votre organisation disposant de l'un de ces rôles doit accorder l'accès de découverte à l'agent de service.

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer l'accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Activer la découverte avec les paramètres par défaut

Pour activer la découverte, vous devez créer une configuration de découverte pour chaque source de données à analyser. Cette procédure vous permet de créer automatiquement ces configurations de découverte à l'aide des paramètres par défaut. Vous pouvez personnaliser les paramètres à tout moment après avoir effectué cette procédure.

Si vous souhaitez personnaliser les paramètres dès le départ, consultez plutôt les pages suivantes:

Pour activer la découverte avec les paramètres par défaut, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Activer la détection de la protection des données sensibles.

    Accéder à "Activer la découverte"

  2. Vérifiez que vous consultez bien l'organisation pour laquelle vous avez activé Security Command Center.

  3. Dans le champ Conteneur d'agent de service, définissez le projet à utiliser comme conteneur d'agent de service. Dans ce projet, le système crée un agent de service et lui accorde automatiquement les autorisations de découverte requises.

    Si vous avez déjà utilisé le service de découverte pour votre organisation, vous disposez peut-être déjà d'un projet de conteneur d'agent de service que vous pouvez réutiliser.

    • Pour créer automatiquement un projet à utiliser comme conteneur d'agent de service, examinez l'ID de projet suggéré et modifiez-le si nécessaire. Cliquez ensuite sur Créer. L'attribution des autorisations à l'agent de service du nouveau projet peut prendre quelques minutes.
    • Pour sélectionner un projet existant, cliquez sur le champ Conteneur d'agent de service, puis sélectionnez le projet.

  4. Pour vérifier les paramètres par défaut, cliquez sur l'icône de développement .

  5. Dans la section Activer la découverte, cliquez sur Activer pour chaque type de découverte que vous souhaitez activer. L'activation d'un type de découverte a les effets suivants:

    • BigQuery: crée une configuration de découverte pour profiler les tables BigQuery dans l'organisation. La protection des données sensibles commence à profiler vos données BigQuery et les envoie à Security Command Center.
    • Cloud SQL: crée une configuration de découverte pour profiler les tables Cloud SQL dans l'organisation. La protection des données sensibles commence à créer des connexions par défaut pour chacune de vos instances Cloud SQL. Ce processus peut prendre quelques heures. Lorsque les connexions par défaut sont prêtes, vous devez autoriser Sensitive Data Protection à accéder à vos instances Cloud SQL en mettant à jour chaque connexion avec les identifiants utilisateur de base de données appropriés.
    • Failles des secrets/identifiants: crée une configuration de découverte pour détecter et signaler les secrets non chiffrés dans les variables d'environnement Cloud Functions. La protection des données sensibles commence à analyser vos variables d'environnement.

  6. Pour afficher les nouvelles configurations de découverte, cliquez sur Accéder à la configuration de découverte.

    Si vous avez activé la découverte Cloud SQL, la configuration de découverte est créée en mode suspendu avec des erreurs indiquant l'absence d'identifiants. Consultez la section Gérer les connexions à utiliser avec la détection pour attribuer les rôles IAM requis à votre agent de service et fournir les identifiants utilisateur de la base de données pour chaque instance Cloud SQL.

  7. Fermez le volet.

À partir du moment où Sensitive Data Protection génère les profils de données, il peut s'écouler jusqu'à six heures avant que les résultats Data sensitivity et Data risk associés n'apparaissent dans Security Command Center.

À partir du moment où vous activez la découverte de secrets dans Sensitive Data Protection, l'analyse initiale des variables d'environnement peut prendre jusqu'à 12 heures et l'affichage des résultats Secrets in environment variables dans Security Command Center peut prendre jusqu'à 12 heures. Par la suite, la protection des données sensibles analyse les variables d'environnement toutes les 24 heures. En pratique, les analyses peuvent s'exécuter plus fréquemment.

Pour afficher les résultats générés par Sensitive Data Protection, consultez la page Examiner les résultats de Sensitive Data Protection dans la console Google Cloud.

Identifier les ressources à forte valeur à l'aide des insights de la découverte

Vous pouvez faire en sorte que Security Command Center désigne automatiquement comme ressource de forte valeur tout ensemble de données BigQuery contenant des données de sensibilité élevée ou moyenne. Pour ce faire, activez l'option d'insights de découverte Sensitive Data Protection lorsque vous créez une configuration de valeur de ressource pour la fonctionnalité de simulation du chemin d'attaque.

Pour les ressources de forte valeur, Security Command Center fournit des scores d'exposition aux attaques et des visualisations des chemins d'attaque, que vous pouvez utiliser pour prioriser la sécurité des ressources contenant des données sensibles.

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données de Sensitive Data Protection pour les types de ressources de données suivants:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance

Personnaliser les configurations d'analyse

Une fois les configurations d'analyse créées, vous pouvez les personnaliser. Par exemple, vous pouvez effectuer les opérations suivantes:

  • Réglez la fréquence de recherche.
  • Spécifiez des filtres pour les éléments de données que vous ne souhaitez pas reprofiler.
  • Modifiez le modèle d'inspection, qui définit les types d'informations analysés par Sensitive Data Protection.
  • Publiez les profils de données générés dans d'autres services Google Cloud.
  • Modifiez le conteneur de l'agent de service.

Pour personnaliser une configuration d'analyse, procédez comme suit:

  1. Ouvrez la configuration d'analyse pour la modifier.

  2. Mettez à jour les paramètres si nécessaire. Pour en savoir plus sur les options de la page Edit scan configuration (Modifier la configuration de l'analyse), consultez les pages suivantes:

Étapes suivantes