Questa pagina descrive come configurare Sensitive Data Protection per generare risultati che mostrano i livelli di sensibilità e rischio dei dati degli asset di dati nella tua organizzazione. Questa procedura descrive come abilitare il rilevamento dei dati sensibili se hai un abbonamento al livello Enterprise di Security Command Center. Per informazioni su come abilitare il rilevamento di dati sensibili indipendentemente dal livello di servizio di Security Command Center, consulta le seguenti pagine nella documentazione di Sensitive Data Protection:
- Pubblicare profili di dati su Security Command Center
- Segnala i secret nelle variabili di ambiente a Security Command Center
Come funziona
Il servizio di rilevamento di Sensitive Data Protection ti aiuta a proteggere i dati nella tua organizzazione identificando dove si trovano i dati sensibili e ad alto rischio. In Sensitive Data Protection, il servizio genera profili di dati che forniscono metriche e approfondimenti sui tuoi dati a vari livelli di dettaglio. In Security Command Center, il servizio svolge le seguenti operazioni:
Genera in Security Command Center risultati di osservazione che mostrano la sensibilità calcolata e i livelli di rischio dei dati di BigQuery e Cloud SQL. Puoi utilizzare questi risultati per informare la tua risposta in caso di minacce e vulnerabilità correlate ai tuoi asset di dati. Per un elenco dei tipi di risultati generati, vedi Risultati dell'osservazione del servizio di rilevamento.
Questi risultati possono fornire informazioni sulla designazione automatica delle risorse di alto valore in base alla sensibilità dei dati. Per maggiori informazioni, consulta Utilizzare gli insight sul rilevamento per identificare le risorse di alto valore in questa pagina.
Genera risultati di vulnerabilità in Security Command Center quando Sensitive Data Protection rileva la presenza di secret nelle variabili di ambiente di Cloud Functions. L'archiviazione dei secret, come le password, nelle variabili di ambiente non è una pratica sicura perché le variabili di ambiente non sono criptate. Per un elenco completo dei tipi di secret rilevati da Sensitive Data Protection, consulta Credenziali e segreti. Per un elenco dei tipi di risultati generati, consulta Risultati relativi alle vulnerabilità del servizio di rilevamento di Sensitive Data Protection.
Per abilitare il rilevamento dei dati sensibili per la tua organizzazione, devi creare una configurazione di scansione del rilevamento per ogni risorsa supportata da analizzare.
Prezzi
I costi per il rilevamento dei dati sensibili vengono addebitati separatamente da Security Command Center indipendentemente dal livello di servizio. Se non acquisti un abbonamento per il rilevamento, l'addebito viene effettuato in base al consumo (byte scansionati). Per ulteriori informazioni, consulta i prezzi di rilevamento nella documentazione sulla protezione dei dati sensibili.
Prima di iniziare
Completa queste attività prima di quelle rimanenti su questa pagina.
Attiva il livello Security Command Center Enterprise
Completa il passaggio 1 e il passaggio 2 della guida alla configurazione per attivare il livello Security Command Center Enterprise. Per maggiori informazioni, consulta Attivare il livello di Security Command Center Enterprise.
Attiva Sensitive Data Protection come servizio integrato
Se Sensitive Data Protection non è già abilitato come servizio integrato, abilitalo. Per ulteriori informazioni, consulta Aggiungere un servizio integrato di Google Cloud.
Configurare le autorizzazioni
Per ottenere le autorizzazioni necessarie per configurare il rilevamento di dati sensibili, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:
| Finalità | Ruolo predefinito | Autorizzazioni pertinenti |
|---|---|---|
| Crea una configurazione della scansione di rilevamento e visualizza i profili di dati | Amministratore DLP (roles/dlp.admin)
|
|
| Crea un progetto da utilizzare come container dell'agente di servizio1 | Autore progetto (roles/resourcemanager.projectCreator) |
|
| Concedi l'accesso per il rilevamento2 | Il valore sarà uno dei seguenti:
|
|
1 Se non hai il ruolo Autore progetto (roles/resourcemanager.projectCreator), puoi comunque creare una configurazione di scansione, ma il container dell'agente di servizio che utilizzi deve essere un progetto esistente.
2 Se non hai il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), puoi comunque creare una configurazione di scansione. Dopo aver creato la configurazione della scansione, un utente della tua organizzazione che dispone di uno di questi ruoli deve concedere l'accesso di rilevamento all'agente di servizio.
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestione dell'accesso.
Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Abilita rilevamento
Per abilitare il rilevamento, crea una configurazione di scansione per ogni tipo di rilevamento che vuoi abilitare.
Nella console Google Cloud, vai alla pagina di configurazione.
Verifica di visualizzare l'organizzazione per cui hai attivato il livello Security Command Center Enterprise.
Fai clic su Configura la protezione dei dati sensibili. Viene visualizzata la dashboard di rilevamento in Sensitive Data Protection. La sezione Copertura prodotto della dashboard mostra lo stato di ogni tipo di rilevamento.
In corrispondenza di un tipo di rilevamento che vuoi attivare, fai clic su Attiva. Ad esempio, se vuoi eseguire la scansione delle tabelle BigQuery nella tua organizzazione, nella scheda BigQuery fai clic su Abilita.
Viene visualizzata la pagina Crea configurazione di scansione.
Configurare il rilevamento a livello di organizzazione. Per saperne di più, consulta una delle seguenti pagine, a seconda del tipo di rilevamento che vuoi attivare:
Ripeti questi passaggi per creare configurazioni di scansione per i tipi di rilevamento rimanenti.
Dal momento in cui Sensitive Data Protection genera i profili di dati, potrebbero essere necessarie fino a sei ore prima che i risultati Data sensitivity e Data risk associati vengano visualizzati in Security Command Center.
Dall'attivazione del rilevamento dei secret in Sensitive Data Protection, il completamento dell'analisi iniziale delle variabili di ambiente può richiedere fino a 12 ore e la visualizzazione di eventuali risultati di Secrets in environment variables in Security Command Center. Dopodiché, Sensitive Data Protection analizza le variabili di ambiente ogni 24 ore. In pratica, le scansioni possono essere eseguite con maggiore frequenza.
Per visualizzare i risultati generati da Sensitive Data Protection, consulta Esaminare i risultati di Sensitive Data Protection nella console Google Cloud.
Utilizza gli insight sul rilevamento per identificare le risorse di alto valore
Puoi fare in modo che Security Command Center designi automaticamente qualsiasi set di dati BigQuery contenente dati ad alta sensibilità o media come risorsa di alto valore attivando l'opzione insight di rilevamento di Sensitive Data Protection quando crei una configurazione dei valori delle risorse per la funzionalità di simulazione dei percorsi di attacco.
Per le risorse di alto valore, Security Command Center fornisce punteggi di esposizione agli attacchi e visualizzazioni dei percorsi di attacco che puoi utilizzare per dare priorità alla sicurezza delle tue risorse che contengono dati sensibili.
Le simulazioni del percorso di attacco possono impostare automaticamente valori di priorità in base alle classificazioni della sensibilità ai dati di Sensitive Data Protection solo per il tipo di risorsa dati bigquery.googleapis.com/Dataset.