Abilita il rilevamento di dati sensibili nel livello Enterprise

In questa pagina viene descritto come attivare il rilevamento dei dati sensibili utilizzando le impostazioni predefinite se hai sottoscritto un abbonamento al livello Enterprise e attivi Sensitive Data Protection, un prodotto con prezzo separato. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver attivato il rilevamento.

Quando abiliti il rilevamento, Sensitive Data Protection genera risultati di Security Command Center che mostrano i livelli di sensibilità e rischio dei dati in tutta l'organizzazione.

Per informazioni su come abilitare il rilevamento dei dati sensibili indipendentemente dal livello di servizio di Security Command Center, consulta le seguenti pagine nella documentazione di Sensitive Data Protection:

• Pubblicare profili di dati in Security Command Center
• Segnala i secret nelle variabili di ambiente a Security Command Center

Come funziona

Il servizio di rilevamento di Sensitive Data Protection ti aiuta a proteggere i dati nella tua organizzazione identificando la posizione in cui si trovano i dati sensibili e ad alto rischio. In Sensitive Data Protection, il servizio genera profili di dati che forniscono metriche e insight sui dati a vari livelli di dettaglio. In Security Command Center, il servizio esegue queste operazioni:

• Genera risultati di osservazione in Security Command Center che mostrano la sensibilità calcolata e i livelli di rischio dei dati di BigQuery e Cloud SQL. Puoi utilizzare questi risultati per definire la tua risposta in caso di minacce e vulnerabilità correlate ai tuoi asset di dati. Per un elenco dei tipi di risultati generati, consulta Risultati di osservazione dal servizio di rilevamento.

  Questi risultati possono indicare la designazione automatica di risorse di alto valore in base alla sensibilità dei dati. Per saperne di più, consulta Utilizzare gli insight sul rilevamento per identificare risorse di alto valore in questa pagina.

• Genera risultati di vulnerabilità in Security Command Center quando Sensitive Data Protection rileva la presenza di secret nelle variabili di ambiente di Cloud Functions. L'archiviazione di secret, come le password, nelle variabili di ambiente non è una pratica sicura perché le variabili di ambiente non sono criptate. Per un elenco completo dei tipi di secret rilevati da Sensitive Data Protection, consulta Credenziali e segreti. Per un elenco dei tipi di risultati generati, consulta Risultati di vulnerabilità dal servizio di rilevamento di Sensitive Data Protection.

Per attivare il rilevamento dei dati sensibili per la tua organizzazione, devi creare una configurazione di scansione del rilevamento per ogni risorsa supportata che vuoi analizzare.

Prezzi

Il rilevamento dei dati sensibili viene addebitato separatamente da Security Command Center, indipendentemente dal livello di servizio. Se non acquisti un abbonamento per il rilevamento, l'addebito avviene in base al consumo (byte scansionati). Per ulteriori informazioni, consulta i prezzi del rilevamento nella documentazione di Sensitive Data Protection.

Prima di iniziare

Completa queste attività prima di completare quelle rimanenti in questa pagina.

Attiva il livello Security Command Center Enterprise

Completa i passaggi 1 e 2 della guida alla configurazione per attivare il livello Security Command Center Enterprise. Per maggiori informazioni, consulta Attivare il livello Security Command Center Enterprise.

Abilita Sensitive Data Protection come servizio integrato

Se Sensitive Data Protection non è già abilitato come servizio integrato, abilitalo. Per ulteriori informazioni, consulta Aggiungere un servizio integrato di Google Cloud.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per configurare il rilevamento dei dati sensibili, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:

Finalità	Ruolo predefinito	Autorizzazioni pertinenti
Crea una configurazione di scansione del rilevamento e visualizza i profili di dati	Amministratore DLP (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un progetto da utilizzare come container dell'agente di servizio1	Autore progetto (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
Concedi l'accesso al rilevamento2	Uno dei seguenti valori: Amministratore organizzazione (roles/resourcemanager.organizationAdmin) Amministratore sicurezza (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se non hai il ruolo Autore progetto (roles/resourcemanager.projectCreator), puoi comunque creare una configurazione di scansione, ma il container dell'agente di servizio che utilizzi deve essere un progetto esistente.

² Se non hai il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), puoi comunque creare una configurazione di scansione. Dopo aver creato la configurazione della scansione, un utente della tua organizzazione con uno di questi ruoli deve concedere l'accesso al rilevamento all'agente di servizio.

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Abilita il rilevamento con le impostazioni predefinite

Per abilitare il rilevamento, devi creare una configurazione di rilevamento per ogni origine dati da analizzare. Questa procedura consente di creare automaticamente queste configurazioni di rilevamento utilizzando le impostazioni predefinite. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver eseguito questa procedura.

Se vuoi personalizzare le impostazioni dall'inizio, consulta le seguenti pagine:

• Profilare i dati di BigQuery in un'organizzazione o in una cartella
• Profilare i dati di Cloud SQL in un'organizzazione o in una cartella
• Segnala i secret nelle variabili di ambiente a Security Command Center

Per attivare il rilevamento con le impostazioni predefinite:

1. Nella console Google Cloud, vai alla pagina Abilita rilevamento di Sensitive Data Protection.

   Vai ad Abilita rilevamento

2. Verifica di visualizzare l'organizzazione in cui hai attivato Security Command Center.

3. Nel campo Container dell'agente di servizio, imposta il progetto da utilizzare come container dell'agente di servizio. All'interno di questo progetto, il sistema crea un agente di servizio a cui concede automaticamente le autorizzazioni di rilevamento richieste.

   Se in precedenza hai utilizzato il servizio di rilevamento per la tua organizzazione, potresti già disporre di un progetto container dell'agente di servizio che puoi riutilizzare.

   • Per creare automaticamente un progetto da utilizzare come container dell'agente di servizio, rivedi l'ID progetto suggerito e modificalo in base alle esigenze. Quindi, fai clic su Crea. La concessione delle autorizzazioni all'agente di servizio del nuovo progetto potrebbe richiedere alcuni minuti.
   • Per selezionare un progetto esistente, fai clic sul campo Container dell'agente di servizio e seleziona il progetto.

4. Per rivedere le impostazioni predefinite, fai clic sull'icona di espansione expand_more.

5. Nella sezione Attiva rilevamento, fai clic su Abilita per ogni tipo di rilevamento che vuoi abilitare. L'attivazione di un tipo di rilevamento comporta quanto segue:

   • BigQuery: crea una configurazione di rilevamento per la profilazione delle tabelle BigQuery in tutta l'organizzazione. Sensitive Data Protection avvia la profilazione dei tuoi dati BigQuery e invia i profili a Security Command Center.
   • Cloud SQL: crea una configurazione di rilevamento per la profilazione delle tabelle Cloud SQL in tutta l'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ognuna delle tue istanze Cloud SQL. Questa procedura può richiedere alcune ore. Quando le connessioni predefinite sono pronte, devi concedere a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database appropriate.
   • Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare secret non criptati nelle variabili di ambiente Cloud Functions. Sensitive Data Protection inizia a scansionare le variabili di ambiente.

6. Per visualizzare le configurazioni del rilevamento appena create, fai clic su Vai alla configurazione del rilevamento.

   Se hai abilitato il rilevamento di Cloud SQL, la configurazione del rilevamento viene creata in modalità in pausa con errori che indicano l'assenza di credenziali. Consulta la pagina Gestire le connessioni da utilizzare con il rilevamento per concedere i ruoli IAM richiesti all'agente di servizio e fornire le credenziali utente del database per ogni istanza Cloud SQL.

7. Chiudi il riquadro.

Dal momento in cui Sensitive Data Protection genera i profili dati, possono essere necessarie fino a sei ore prima che i risultati Data sensitivity e Data risk associati vengano visualizzati in Security Command Center.

Dal momento in cui attivi il rilevamento dei secret in Sensitive Data Protection, possono essere necessarie fino a 12 ore per il completamento dell'analisi iniziale delle variabili di ambiente e per la visualizzazione di eventuali risultati di Secrets in environment variables in Security Command Center. Successivamente, Sensitive Data Protection analizza le variabili di ambiente ogni 24 ore. In pratica, le scansioni possono essere eseguite più spesso.

Per visualizzare i risultati generati da Sensitive Data Protection, consulta Esaminare i risultati di Sensitive Data Protection nella console Google Cloud.

Utilizza gli insight sul rilevamento per identificare risorse di alto valore

Puoi fare in modo che Security Command Center designi automaticamente qualsiasi set di dati BigQuery contenente dati ad alta sensibilità o a sensibilità media come risorsa di alto valore attivando l'opzione degli insight di rilevamento di Sensitive Data Protection quando crei una configurazione del valore delle risorse per la funzionalità di simulazione del percorso di attacco.

Per le risorse di alto valore, Security Command Center fornisce punteggi di esposizione agli attacchi e visualizzazioni dei percorsi di attacco, che puoi utilizzare per dare priorità alla sicurezza delle risorse che contengono dati sensibili.

Le simulazioni del percorso di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità dei dati da Sensitive Data Protection solo per i seguenti tipi di risorse dati:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Personalizza le configurazioni della scansione

Dopo aver creato le configurazioni della scansione, puoi personalizzarle. Ad esempio, puoi effettuare le seguenti operazioni:

• Regola le frequenze di scansione.
• Specifica i filtri per gli asset di dati che non vuoi riprofilare.
• Modifica il modello di ispezione, che definisce i tipi di informazioni che Sensitive Data Protection analizza.
• Pubblicare i profili di dati generati in altri servizi Google Cloud.
• Cambiare il container dell'agente di servizio.

Per personalizzare una configurazione di scansione:

1. Apri la configurazione della scansione per la modifica.

2. Aggiorna le impostazioni in base alle tue esigenze. Per ulteriori informazioni sulle opzioni della pagina Modifica configurazione della scansione, consulta le pagine seguenti:

   • Profilare i dati di BigQuery in un'organizzazione o in una cartella
   • Profilare i dati di Cloud SQL in un'organizzazione o in una cartella
   • Segnala i secret nelle variabili di ambiente a Security Command Center

Passaggi successivi

• Visualizza i risultati di Sensitive Data Protection