Ativar a descoberta de dados sensíveis no nível Enterprise

Esta página descreve como ativar a descoberta de dados sensíveis usando as configurações padrão se você tiver uma assinatura do nível Enterprise e ativar a Proteção de Dados Sensíveis, um produto com preço separado. É possível personalizar configurações a qualquer momento depois de ativar a descoberta.

Quando você ativa a descoberta, a Proteção de dados sensíveis gera descobertas do Security Command Center que mostram os níveis de confidencialidade e risco de dados em toda a organização.

Para saber como ativar a descoberta de dados sensíveis, independentemente nível de serviço do Security Command Center, consulte as páginas a seguir na Documentação da Proteção de Dados Sensíveis:

• Publicar perfis de dados no Security Command Center
• Denunciar segredos em variáveis de ambiente ao Security Command Center

Como funciona

O serviço de descoberta da proteção de dados sensíveis ajuda você a proteger os dados em toda a organização, identificando onde os dados sensíveis e de alto risco residir. Na Proteção de Dados Sensíveis, o serviço gera dados de perfis, que apresentam métricas e insights sobre seus dados em vários níveis de detalhes. No Security Command Center, o serviço faz o seguinte:

• Gerar descobertas de observação no Security Command Center que mostrem os confidencialidade e os níveis de risco dos dados. Você pode usar essas descobertas para informar sua resposta quando encontrar ameaças e vulnerabilidades relacionadas aos recursos de dados. Para conferir uma lista de tipos de descobertas geradas, consulte Descobertas de observação do serviço de descoberta.

  Essas descobertas podem informar a designação automática de recursos de alto valor com base na confidencialidade dos dados. Para mais informações, consulte Usar insights de descoberta para identificar recursos de alto valor nesta página.

• Gere descobertas de vulnerabilidade no Security Command Center quando a Proteção de dados sensíveis detectar a presença de dados altamente sensíveis que não estão protegidos. Para uma lista dos tipos de descoberta gerados, consulte Descobertas de vulnerabilidades da descoberta da Proteção de Dados Sensíveis serviço.

Para ativar a descoberta de dados sensíveis na sua organização, crie uma configuração de verificação de descoberta para cada recurso com suporte que você quer verificar.

Preços

A descoberta de dados sensíveis é cobrada separadamente do Security Command Center, independente do nível do serviço. Se você não adquirir uma assinatura para descoberta, vai receber cobranças com base no seu consumo (bytes verificados). Para mais informações, consulte Preços de descoberta na documentação da Proteção de dados sensíveis.

Antes de começar

Conclua essas tarefas antes de concluir as tarefas restantes nesta página.

Ativar o nível Security Command Center Enterprise

Conclua as etapas 1 e 2 do guia de configuração para ativar o nível Security Command Center Enterprise. Para mais informações, consulte Ativar o Security Command Center Enterprise nível 2.

Ativar a proteção de dados sensíveis como um serviço integrado

Se a proteção de dados sensíveis ainda não estiver ativada como um serviço integrado, ativá-la. Para mais informações, consulte Adicionar um serviço integrado do Google Cloud.

Configurar permissões

Para receber as permissões necessárias para configurar a descoberta de dados sensíveis, peça que o administrador conceda a você os seguintes papéis do IAM na organização:

Motivo	Papel predefinido	Permissões relevantes
Criar uma configuração de verificação de descoberta e ver perfis de dados	Administrador do DLP (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Criar um projeto para ser usado como o contêiner do agente de serviço1	roles/resourcemanager.projectCreatorCriador do projeto	resourcemanager.organizations.get resourcemanager.projects.create
Conceder acesso de descoberta2	Uma das seguintes opções: Administrador da organização (roles/resourcemanager.organizationAdmin) Administrador de segurança (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se você não tiver a função de criador de projeto (roles/resourcemanager.projectCreator), ainda poderá criar uma configuração de verificação, mas o contêiner do agente de serviço que você usar precisa ser um projeto existente.

² Se você não tiver a organização Administrador (roles/resourcemanager.organizationAdmin) ou Administrador de segurança (roles/iam.securityAdmin), ainda será possível criar uma configuração de verificação. Depois de criar a configuração de verificação, alguém em sua organização que tenha um desses papéis deverá conceder acesso de descoberta ao agente de serviço.

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível receber as permissões necessárias por meio de configurações de ou outras funções predefinidas papéis.

Ativar a descoberta com as configurações padrão

Para ativar a descoberta, crie uma configuração de descoberta para cada fonte de dados que você quer verificar. Esse procedimento permite criar essas descobertas automaticamente usando as definições padrão. É possível personalizar configurações a qualquer momento depois de realizar esse procedimento.

Se você quiser personalizar as configurações desde o início, consulte as páginas a seguir como alternativa:

• Criar perfil de dados do BigQuery em uma organização ou pasta
• Criar perfis de dados do Cloud SQL em uma organização ou pasta
• Criar perfil de dados do Cloud Storage em uma organização ou pasta
• Descoberta de dados sensíveis para o Amazon S3
• Informe secrets em variáveis de ambiente para o Security Command Center

Para ativar a descoberta com as configurações padrão, siga estas etapas:

1. No console do Google Cloud, acesse "Proteção de dados sensíveis" Ativar descoberta.

   Acessar "Ativar descoberta"

2. Verifique se você está visualizando a organização ativada. Security Command Center ativado.

3. No campo Contêiner do agente de serviço, defina o projeto a ser usado como um agente de serviço contêiner do Docker. Nesse projeto, o sistema cria um agente de serviço e concede automaticamente as permissões de descoberta necessárias a ele.

   Se você já usou o serviço de descoberta para sua organização, talvez já tenha um projeto de contêiner de agente de serviço que pode ser reutilizado.

   • Para criar automaticamente um projeto para usar como contêiner do agente de serviço, faça o seguinte: revise o ID do projeto sugerido e edite-o conforme necessário. Em seguida, clique em Criar. Pode levar alguns minutos para que as permissões sejam concedidas a agente de serviço do novo projeto.
   • Para selecionar um projeto, clique no campo Contêiner do agente de serviço e selecione o projeto.

4. Para revisar as configurações padrão, clique no ícone de expansão expand_more.

5. Na seção Ativar descoberta, clique em Ativar para cada tipo de descoberta que você quer ativar. A ativação de um tipo de descoberta faz o seguinte:

   • BigQuery: cria uma configuração de descoberta para criação de perfil Tabelas do BigQuery em toda a organização. A Proteção de dados sensíveis começa a criar o perfil dos seus dados do BigQuery e envia os perfis para o Security Command Center.
   • Cloud SQL: cria uma configuração de descoberta para criação de perfil tabelas do Cloud SQL em toda a organização. A Proteção de Dados Sensíveis começa a criar conexões padrão para cada uma das instâncias do Cloud SQL. Esse processo pode levar alguns horas. Quando as conexões padrão estiverem prontas, dê o acesso à proteção de dados sensíveis instâncias do Cloud SQL atualizando cada conexão com as credenciais do usuário do banco de dados.
   • Vulnerabilidades de secrets/credenciais: cria uma configuração de descoberta. para detectar e relatar secrets não criptografados nas funções do Cloud Run variáveis de ambiente. A Proteção de Dados Sensíveis começa a verificar suas variáveis de ambiente.
   • Cloud Storage: cria uma configuração de descoberta para criação de perfil buckets do Cloud Storage em toda a organização. A Proteção de dados sensíveis começa a criar o perfil dos seus dados do Cloud Storage e envia os perfis para o Security Command Center.

   • Amazon S3: cria uma configuração de descoberta para criação de perfil. dados do Amazon S3 em toda a organização, uma única conta do S3 do Google Cloud.

6. Para conferir as configurações de descoberta recém-criadas, clique em Acessar descoberta do Terraform.

   Se você ativou a descoberta do Cloud SQL, a configuração de descoberta é criada no modo pausado com erros indicando a ausência de credenciais. Consulte Gerenciar conexões para usar com discovery para conceder a os papéis do IAM necessários ao agente de serviço e fornecer credenciais de usuário do banco de dados para cada instância do Cloud SQL.

7. Fechar painel.

Quando a proteção de dados sensíveis gera os perfis de dados, pode levar até seis horas para que as descobertas associadas apareçam no Security Command Center.

A partir do momento em que você ativa a descoberta de secrets na proteção de dados confidenciais, pode levar até 12 horas para a verificação inicial de variáveis de ambiente ser concluída e para que as descobertas de Secrets in environment variables apareçam no Security Command Center. Em seguida, a proteção de dados sensíveis verifica as variáveis de ambiente a cada 24 horas. Na prática, as verificações podem ser executadas com mais frequência do que isso.

Para conferir as descobertas geradas pela proteção de dados sensíveis, consulte Analisar descobertas da proteção de dados sensíveis no console do Google Cloud.

Usar insights de descoberta para identificar recursos de alto valor

É possível fazer com que o Security Command Center designe automaticamente um recurso que contenha dados de alta ou média sensibilidade como um recurso de alto valor, ativando a opção de insights da Proteção de dados sensíveis ao criar uma configuração de valor de recurso para o recurso de simulação de caminho de ataque.

Para recursos de alto valor, o Security Command Center fornece pontuações de exposição a ataques e visualizações de caminho de ataque, que podem ser usadas para priorizar a segurança dos recursos que contêm dados sensíveis.

As simulações de caminho de ataque podem definir automaticamente valores de prioridade com base nas classificações de confidencialidade de dados da detecção de proteção de dados sensíveis apenas para os seguintes tipos de recursos de dados:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Personalizar as configurações de verificação

Depois de criar as configurações de verificação, você pode personalizá-las. Por exemplo: faça o seguinte:

• Ajuste as frequências de verificação.
• Especifique filtros para os recursos de dados que você não quer refazer o perfil.
• Mude o modelo de inspeção, que define os tipos de informações que a Proteção de dados sensíveis verifica.
• Publicar os perfis de dados gerados em outros serviços do Google Cloud.
• Mude o contêiner do agente de serviço.

Para personalizar uma configuração de verificação, siga estas etapas:

1. Abra a configuração de verificação para edição.

2. Atualize as configurações conforme necessário. Para mais informações sobre as opções na página Editar configuração de verificação, consulte as páginas a seguir:

   • Criar perfil de dados do BigQuery em uma organização ou pasta
   • Criar perfis de dados do Cloud SQL em uma organização ou pasta
   • Criar perfis de dados do Cloud Storage em uma organização ou pasta
   • Criar perfil dos dados do Amazon S3
   • Informe secrets em variáveis de ambiente para o Security Command Center

A seguir

• Ver descobertas da proteção de dados sensíveis