Ativar a descoberta de dados sensíveis no nível Enterprise

Nesta página, descrevemos como ativar a descoberta de dados sensíveis usando as configurações padrão se você tiver uma assinatura do nível Enterprise e ativar a proteção de dados sensíveis, um produto com preço separado. É possível personalizar as configurações a qualquer momento depois de ativar a descoberta.

Quando você ativa a descoberta, a proteção de dados sensíveis gera descobertas do Security Command Center que mostram os níveis de confidencialidade e risco de dados em toda a organização.

Para informações sobre como ativar a descoberta de dados sensíveis, independentemente do nível de serviço do Security Command Center, consulte as seguintes páginas na documentação da proteção de dados sensíveis:

• Publicar perfis de dados no Security Command Center
• Relatar secrets em variáveis de ambiente para o Security Command Center

Como funciona

O serviço de descoberta de proteção de dados sensíveis ajuda você a proteger os dados em toda a organização identificando onde estão os dados sensíveis e de alto risco. Na proteção de dados sensíveis, o serviço gera perfis de dados, que fornece métricas e insights sobre os dados em vários níveis de detalhamento. No Security Command Center, o serviço faz o seguinte:

• Gerar descobertas de observação no Security Command Center que mostrem os níveis calculados de sensibilidade e risco de dados do BigQuery e do Cloud SQL. Use essas descobertas para informar sua resposta quando encontrar ameaças e vulnerabilidades relacionadas aos seus recursos de dados. Para conferir uma lista de tipos de descoberta gerados, consulte Descobertas de observação do serviço de descoberta.

  Essas descobertas podem informar a designação automática de recursos de alto valor com base na confidencialidade dos dados. Para mais informações, consulte Usar insights de descoberta para identificar recursos de alto valor nesta página.

• Gere descobertas de vulnerabilidade no Security Command Center quando a proteção de dados sensíveis detectar a presença de secrets nas variáveis de ambiente do Cloud Functions. Armazenar secrets, como senhas, em variáveis de ambiente não é uma prática segura, porque as variáveis de ambiente não são criptografadas. Para ver uma lista completa de tipos de secrets detectados pela Proteção de Dados Sensíveis, consulte Credenciais e secrets. Para uma lista de tipos de descoberta gerados, consulte Descobertas de vulnerabilidade do serviço de descoberta de proteção de dados sensíveis.

Para ativar a descoberta de dados confidenciais na organização, crie uma configuração de verificação de descoberta para cada recurso compatível a ser verificado.

Preços

A descoberta de dados confidenciais é cobrada separadamente do Security Command Center, independentemente do nível de serviço. Se você não comprar uma assinatura para descoberta, a cobrança será feita com base no consumo (bytes verificados). Para mais informações, consulte Preços de descoberta na documentação da Proteção de Dados Sensíveis.

Antes de começar

Conclua estas tarefas antes de finalizar as restantes nesta página.

Ativar o nível Security Command Center Enterprise

Conclua as etapas 1 e 2 do guia de configuração para ativar o nível Security Command Center Enterprise. Para mais informações, consulte Ativar o Security Command Center Enterprise Center.

Ativar a proteção de dados sensíveis como um serviço integrado

Se a proteção de dados sensíveis ainda não estiver ativada como um serviço integrado, ative-a. Para mais informações, consulte Adicionar um serviço integrado do Google Cloud.

Configurar permissões

Para receber as permissões necessárias para configurar a descoberta de dados confidenciais, peça ao administrador para conceder a você os seguintes papéis do IAM na organização:

Finalidade	Papel predefinido	Permissões relevantes
Criar uma configuração de verificação de descoberta e conferir perfis de dados	Administrador do DLP (roles/dlp.admin)	dlp.inspectTemplates.create dlp.jobs.create dlp.jobTriggers.create dlp.columnDataProfiles.list dlp.jobs.list dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crie um projeto para ser usado como o contêiner do agente de serviço1	roles/resourcemanager.projectCreatorCriador do projeto	resourcemanager.organizations.get resourcemanager.projects.create
Conceder acesso de descoberta2	Uma das seguintes opções: Administrador da organização (roles/resourcemanager.organizationAdmin) Administrador de segurança (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se você não tiver o papel Criador de projetos (roles/resourcemanager.projectCreator), ainda poderá criar uma configuração de verificação, mas o contêiner do agente de serviço usado precisará ser um projeto existente.

² Se você não tiver o papel de Administrador da organização (roles/resourcemanager.organizationAdmin) ou Administrador de segurança (roles/iam.securityAdmin), ainda poderá criar uma configuração de verificação. Depois de criar a configuração da verificação, alguém na organização que tenha um desses papéis precisa conceder acesso de descoberta ao agente de serviço.

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Ativar descoberta com configurações padrão

Para ativar a descoberta, crie uma configuração de descoberta para cada fonte de dados a ser verificada. Esse procedimento permite criar essas configurações de descoberta automaticamente usando as configurações padrão. É possível personalizar as configurações a qualquer momento depois de realizar este procedimento.

Se você quiser personalizar as configurações desde o início, consulte estas páginas:

• Criar perfil de dados do BigQuery em uma organização ou pasta
• Criar perfil de dados do Cloud SQL em uma organização ou pasta
• Relatar secrets em variáveis de ambiente para o Security Command Center

Para ativar a descoberta com as configurações padrão, siga estas etapas:

1. No console do Google Cloud, acesse a página Ativar descoberta da proteção de dados sensíveis.

   Acessar "Ativar descoberta"

2. Verifique se você está visualizando a organização em que ativou o Security Command Center.

3. No campo Contêiner do agente de serviço, defina o projeto a ser usado como um contêiner do agente de serviço. Nesse projeto, o sistema cria um agente de serviço e concede automaticamente as permissões de descoberta necessárias.

   Se você já usou o serviço de descoberta na sua organização, talvez já tenha um projeto de contêiner do agente de serviço que pode ser reutilizado.

   • Para criar automaticamente um projeto para usar como contêiner do agente de serviço, revise o ID do projeto sugerido e edite-o conforme necessário. Em seguida, clique em Criar. Pode levar alguns minutos para que as permissões sejam concedidas ao agente de serviço do novo projeto.
   • Para selecionar um projeto atual, clique no campo Contêiner do agente de serviço e selecione o projeto.

4. Para revisar as configurações padrão, clique no ícone de expansão expand_more.

5. Na seção Ativar descoberta, para cada tipo de descoberta que você quer ativar, clique em Ativar. A ativação de um tipo de descoberta:

   • BigQuery: cria uma configuração de descoberta para criar o perfil de tabelas do BigQuery em toda a organização. A proteção de dados sensíveis começa a criar o perfil dos seus dados do BigQuery e os envia ao Security Command Center.
   • Cloud SQL: cria uma configuração de descoberta para criar perfis de tabelas do Cloud SQL em toda a organização. A proteção de dados sensíveis começa a criar conexões padrão para cada uma das instâncias do Cloud SQL. Esse processo pode levar algumas horas. Quando as conexões padrão estiverem prontas, você precisará conceder acesso à proteção de dados sensíveis às suas instâncias do Cloud SQL. Para isso, atualize cada conexão com as credenciais adequadas do usuário do banco de dados.
   • Vulnerabilidades de secrets/credenciais: cria uma configuração de descoberta para detectar e relatar secrets não criptografados nas variáveis de ambiente do Cloud Functions. A Proteção de Dados Sensíveis começa a verificar suas variáveis de ambiente.

6. Para ver as configurações de descoberta recém-criadas, clique em Go to discovery configuration.

   Se você ativou a descoberta do Cloud SQL, a configuração da descoberta será criada no modo pausado com erros indicando a ausência de credenciais. Consulte Gerenciar conexões para uso com a descoberta para conceder os papéis do IAM necessários ao seu agente de serviço e fornecer credenciais de usuário do banco de dados para cada instância do Cloud SQL.

7. Fechar painel.

Quando a proteção de dados confidenciais gera os perfis de dados, pode levar até seis horas para que as descobertas de Data sensitivity e Data risk associadas apareçam no Security Command Center.

Quando você ativa a descoberta de secrets na proteção de dados sensíveis, pode levar até 12 horas para que a verificação inicial das variáveis de ambiente seja concluída e para que qualquer descoberta Secrets in environment variables apareça no Security Command Center. Em seguida, a proteção de dados sensíveis verifica as variáveis de ambiente a cada 24 horas. Na prática, as verificações podem ser executadas com mais frequência do que isso.

Para ver as descobertas geradas pela proteção de dados sensíveis, consulte Analisar as descobertas da proteção de dados sensíveis no console do Google Cloud.

Use insights de descoberta para identificar recursos de alto valor

O Security Command Center designa automaticamente qualquer conjunto de dados do BigQuery que contenha dados de alta ou média sensibilidade como um recurso de alto valor ativando a opção de insights de descoberta da proteção de dados sensíveis ao criar uma configuração de valor de recurso para o recurso de simulação do caminho de ataque.

Para recursos de alto valor, o Security Command Center oferece pontuações de exposição a ataques e visualizações de caminho de ataque, que podem ser usadas para priorizar a segurança dos recursos que contêm dados confidenciais.

As simulações de caminho de ataque podem definir automaticamente valores de prioridade com base nas classificações de sensibilidade de dados da Proteção de Dados Sensíveis apenas para os seguintes tipos de recursos de dados:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Personalizar as configurações de verificação

Depois de criar as configurações de verificação, você pode personalizá-las. Por exemplo, é possível fazer o seguinte:

• Ajuste as frequências de busca.
• Especifique filtros para recursos de dados que você não quer gerar um novo perfil.
• Mude o modelo de inspeção, que define os tipos de informações que a Proteção de Dados Sensíveis verifica.
• Publicar os perfis de dados gerados em outros serviços do Google Cloud.
• Alterar o contêiner do agente de serviço.

Para personalizar uma configuração de verificação, siga estas etapas:

1. Abra a configuração da verificação para edição.

2. Atualize as configurações conforme necessário. Para mais informações sobre as opções na página Editar configuração da verificação, consulte as seguintes páginas:

   • Criar perfil de dados do BigQuery em uma organização ou pasta
   • Criar perfil de dados do Cloud SQL em uma organização ou pasta
   • Relatar secrets em variáveis de ambiente para o Security Command Center

A seguir

• Confira as descobertas da proteção de dados sensíveis