如果您订阅的是企业版层级并启用 Sensitive Data Protection(一项单独定价的产品),本页面介绍了如何使用默认设置启用敏感数据发现。启用发现功能后,您可以随时自定义这些设置。
启用发现功能后,Sensitive Data Protection 会生成 Security Command Center 发现结果,以显示整个组织中数据的敏感度和数据风险级别。
如需了解如何在不考虑 Security Command Center 服务层级的情况下启用敏感数据发现,请参阅 Sensitive Data Protection 文档中的以下页面:
工作原理
Sensitive Data Protection 发现服务通过识别敏感数据和高风险数据所在的位置,帮助您保护整个组织中的数据。在 Sensitive Data Protection 中,该服务会生成数据配置文件,这些配置文件以各种详细程度提供有关您数据的指标和数据分析。在 Security Command Center 中,该服务将执行以下操作:
在 Security Command Center 中生成观察发现结果,以显示计算出的 BigQuery 和 Cloud SQL 数据的敏感度和数据风险级别。当您遇到与数据资产相关的威胁和漏洞时,可以根据这些发现结果来做出响应。如需查看生成的发现结果类型的列表,请参阅发现服务中的观察发现结果。
这些发现结果可以为根据数据敏感度自动标识高价值资源提供参考。如需了解详情,请参阅本页面中的使用 Discovery Insights 识别高价值资源。
当 Sensitive Data Protection 检测到您的 Cloud Functions 环境变量中存在 Secret 时,在 Security Command Center 中生成漏洞发现结果。将口令(如密码)存储在环境变量中并不安全,因为环境变量未加密。如需查看敏感数据保护功能检测到的密钥类型的完整列表,请参阅凭据和密钥。如需查看生成的发现结果类型的列表,请参阅敏感数据保护发现服务的漏洞发现结果。
如需为您的组织启用敏感数据发现,请为您要扫描的每个受支持的资源创建一个发现扫描配置。
价格
无论您的服务层级如何,敏感数据发现服务都将与 Security Command Center 分开计费。如果您没有为发现购买订阅,我们会根据您的使用量(扫描的字节数)向您收费。如需了解详情,请参阅 Sensitive Data Protection 文档中的发现价格。
准备工作
请先完成这些任务,然后再完成此页面上的其余任务。
激活 Security Command Center Enterprise 层级
完成设置指南的第 1 步和第 2 步,以激活 Security Command Center Enterprise 层级。如需了解详情,请参阅激活 Security Command Center Enterprise 层级。
将敏感数据保护作为集成服务启用
如果 Sensitive Data Protection 尚未作为集成服务启用,请将其启用。如需了解详情,请参阅添加 Google Cloud 集成服务。
设置权限
如需获取配置敏感数据发现所需的权限,请让管理员向您授予组织的以下 IAM 角色:
| Purpose | 预定义角色 | 相关权限 |
|---|---|---|
| 创建发现扫描配置并查看数据分析文件 | DLP Administrator (roles/dlp.admin)
|
|
| 创建用作服务代理容器的项目1 | Project Creator (roles/resourcemanager.projectCreator) |
|
| 授予发现权限2 | 下列其中一项:
|
|
1 如果您没有 Project Creator (roles/resourcemanager.projectCreator) 角色,仍然可以创建扫描配置,但您使用的服务代理容器必须是现有项目。
2 如果您没有 Organization Administrator (roles/resourcemanager.organizationAdmin) 或 Security Admin (roles/iam.securityAdmin) 角色,仍然可以创建扫描配置。创建扫描配置后,组织中拥有其中某一角色的人员必须向服务代理授予发现权限。
如需详细了解如何授予角色,请参阅管理访问权限。
使用默认设置启用发现功能
如需启用发现功能,请为要扫描的每个数据源创建发现配置。此过程可让您使用默认设置自动创建这些发现配置。在执行此过程后,您可以随时自定义设置。
如果您想从一开始就自定义设置,请参阅以下页面:
如需使用默认设置启用发现功能,请按以下步骤操作:
在 Google Cloud 控制台中,转到 Sensitive Data Protection 的启用发现页面。
验证您是否正在查看已激活 Security Command Center 的组织。
在服务代理容器字段中,设置要用作服务代理容器的项目。在此项目中,系统会创建一个服务代理,并自动向其授予所需的发现权限。
如果您之前为组织使用过发现服务,则您可能已经拥有可以重复使用的服务代理容器项目。
- 如需自动创建用作服务代理容器的项目,请查看建议的项目 ID 并根据需要进行修改。然后,点击创建。权限可能需要几分钟才能授予新项目的服务代理。
- 如需选择现有项目,请点击服务代理容器字段,然后选择相应项目。
如需查看默认设置,请点击 展开图标。
在启用发现部分中,对于要启用的每种发现类型,点击启用。启用发现类型会执行以下操作:
- BigQuery:创建发现配置,用于分析整个组织中的 BigQuery 表。Sensitive Data Protection 开始分析您的 BigQuery 数据,并将配置文件发送到 Security Command Center。
- Cloud SQL:创建发现配置,用于分析整个组织中的 Cloud SQL 表。Sensitive Data Protection 开始为您的每个 Cloud SQL 实例创建默认连接。此过程可能需要几个小时的时间。默认连接准备就绪后,您必须通过使用正确的数据库用户凭据更新每个连接,向 Sensitive Data Protection 实例授予对 Cloud SQL 实例的访问权限。
- Secret/凭据漏洞:创建用于检测和报告 Cloud Functions 环境变量中未加密的 Secret 的发现配置。Sensitive Data Protection 开始扫描您的环境变量。
如需查看新创建的发现配置,请点击前往发现配置。
如果您启用了 Cloud SQL 发现功能,则系统会在暂停模式下创建发现配置,并显示错误指示缺少凭据。如需向服务代理授予所需的 IAM 角色以及为每个 Cloud SQL 实例提供数据库用户凭据,请参阅管理连接以用于发现。
关闭窗格。
从 Sensitive Data Protection 生成数据分析文件之时起,关联的 Data sensitivity 和 Data risk 发现结果最多可能需要六小时才会显示在 Security Command Center 中。
从您在 Sensitive Data Protection 中启用 Secret 发现开始,最长可能需要 12 小时才能完成环境变量的初始扫描,并在 Security Command Center 中显示任何 Secrets in environment variables 发现结果。随后,Sensitive Data Protection 每 24 小时扫描一次环境变量。实际上,扫描的运行频率可能会高于此值。
如需查看 Sensitive Data Protection 生成的发现结果,请参阅在 Google Cloud 控制台中查看敏感数据保护发现结果。
使用发现分析洞见来识别高价值资源
在为攻击路径模拟功能创建资源值配置时,您可以通过启用 Sensitive Data Protection 发现分析洞见选项,让 Security Command Center 自动将包含高敏感度或中敏感度数据的任何 BigQuery 数据集指定为高价值资源。
对于高价值资源,Security Command Center 会提供攻击风险得分和攻击路径可视化结果,您可以用来确定包含敏感数据的资源的优先级。
攻击路径模拟可以根据敏感数据保护中的数据敏感度分类,自动为以下数据资源类型设置优先级值:
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instance
自定义扫描配置
创建扫描配置后,您可以对其进行自定义。例如,您可以执行以下操作:
- 调整扫描频率。
- 指定您不想重新分析的数据资产的过滤条件。
- 更改检查模板,该模板定义了敏感数据保护功能扫描的信息类型。
- 将生成的数据分析文件发布到其他 Google Cloud 服务。
- 更改服务代理容器。
如需自定义扫描配置,请按以下步骤操作:
- 打开扫描配置进行修改。
根据需要更新设置。如需详细了解修改扫描配置页面上的选项,请参阅以下页面: