La gestión de la posición de seguridad de los datos (DSPM) te ayuda a saber qué datos tienes, dónde se almacenan y si se usan de forma que se ajusten a tus requisitos de seguridad y cumplimiento. DSPM te permite completar las siguientes tareas:
Descubre recursos de datos en tu Google Cloud entorno mediante filtros como el tipo de recurso, la ubicación o el ID de proyecto.
Evalúa tu postura de seguridad de datos actual en comparación con las prácticas recomendadas de Google para identificar y solucionar posibles problemas de seguridad y cumplimiento.
Asigna tus requisitos de seguridad y cumplimiento de datos a los controles de seguridad de datos en la nube.
Aplica controles de seguridad de datos en la nube mediante frameworks.
Monitoriza el grado de cumplimiento de tus cargas de trabajo con los marcos de seguridad de datos aplicados, corrige las infracciones y genera pruebas para auditorías.
DSPM funciona con Protección de Datos Sensibles. Protección de Datos Sensibles encuentra los datos sensibles de tu organización, y DSPM te permite implementar controles de seguridad de datos en la nube en los datos sensibles para cumplir tus requisitos de seguridad y cumplimiento.
Componentes de DSPM
En las siguientes secciones se describen los componentes de DSPM.
Panel de control de seguridad de los datos
El panel de seguridad de datos de la consola deGoogle Cloud te permite ver cómo se ajustan los datos de tu organización a tus requisitos de seguridad y cumplimiento de datos.
El explorador del mapa de datos del panel de control de seguridad de los datos muestra las ubicaciones geográficas en las que se almacenan tus datos y te permite filtrar información sobre ellos por ubicación geográfica, nivel de sensibilidad, proyecto asociado yGoogle Cloud servicios que almacenan los datos. Los círculos del mapa de datos representan el número relativo de recursos de datos y de recursos de datos con alertas de la región.
Puedes ver los resultados de seguridad de los datos, que se producen cuando un recurso de datos infringe un control de seguridad de datos en la nube. Los resultados de seguridad de los datos usan la DATA_SECURITY
categoría de resultado. Cuando se genera un nuevo resultado, puede tardar hasta dos horas en aparecer en el explorador del mapa de datos.
También puede consultar información sobre los marcos de seguridad de datos que se han implementado, el número de resultados abiertos asociados a cada marco y el porcentaje de recursos de su entorno cubiertos por al menos un marco.
Frameworks de seguridad de los datos
Utilizas marcos para definir tus requisitos de seguridad de los datos y cumplimiento, y aplicarlos a tu entorno de Google Cloud . La DSPM incluye el marco de los aspectos esenciales de la seguridad y la privacidad de los datos, que define los controles básicos recomendados para la seguridad y el cumplimiento de los datos. Cuando habilitas DSPM, este marco se aplica automáticamente a laGoogle Cloud organización en modo de detección. Puedes usar las detecciones generadas para reforzar tu postura de datos.
Si es necesario, puede hacer copias del marco para crear marcos de seguridad de datos personalizados. Puedes añadir los controles de seguridad de datos avanzada en la nube a tus marcos personalizados y aplicarlos a la organización, las carpetas o los proyectos. Por ejemplo, puedes crear marcos personalizados que apliquen controles jurisdiccionales a carpetas específicas para asegurarte de que los datos de esas carpetas permanezcan en una región geográfica concreta.
Marco de los aspectos básicos de la seguridad y la privacidad de los datos
Los siguientes controles en la nube forman parte del marco de trabajo de los aspectos básicos de la seguridad y la privacidad de los datos.
| Control de la nube | Descripción |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
Detecta cuándo no se usa CMEK en las tablas de BigQuery que incluyen datos sensibles. |
CMEK INHABILITADA EN EL CONJUNTO DE DATOS SENSIBLES |
Detecta cuándo no se usa CMEK en conjuntos de datos de BigQuery que incluyen datos sensibles. |
CONJUNTO DE DATOS PÚBLICO CON DATOS SENSIBLES |
Detecta datos sensibles en conjuntos de datos de BigQuery de acceso público. |
INSTANCIA DE SQL PÚBLICA CON DATOS SENSIBLES |
Detecta datos sensibles en bases de datos SQL de acceso público. |
SENSITIVE DATA SQL CMEK DISABLED |
Detecta cuándo no se usa CMEK en bases de datos SQL que incluyen datos sensibles. |
Controles avanzados de seguridad de datos en la nube
La DSPM incluye controles de seguridad de datos en la nube avanzados para ayudarte a cumplir requisitos de seguridad de datos adicionales. Estos controles de seguridad de datos avanzados en la nube incluyen lo siguiente:
- Gobernanza del acceso a los datos: detecta si las entidades distintas de las que especifiques acceden a datos sensibles.
- Gobernanza del flujo de datos: detecta si los clientes que se encuentran fuera de las ubicaciones geográficas (países) especificadas acceden a datos sensibles.
- Protección de datos y gobernanza de claves: detecta si se están creando datos sensibles sin el cifrado de claves de cifrado gestionadas por el cliente (CMEKs).
- Eliminación de datos: detecta infracciones de las políticas de periodo de conservación máximo de datos sensibles.
Estos controles solo admiten el modo de detección. Para obtener más información sobre cómo implementar estos controles, consulta Usar DSPM.
Controles de seguridad de datos en la nube
En las siguientes secciones se describen los controles avanzados de seguridad de datos en la nube.
Control en la nube de la gobernanza de acceso a datos
Este control restringe el acceso a datos sensibles a conjuntos de principales especificados. Cuando se intenta acceder a recursos de datos de forma no conforme (acceso por parte de principales distintos de los permitidos), se crea un resultado. Los tipos de entidades principales admitidos son cuentas de usuario o grupos. Para obtener información sobre el formato que debes usar, consulta la tabla de formatos de principales admitidos.
Las cuentas de usuario incluyen lo siguiente:
- Cuentas de consumidor de Google que los usuarios registran en google.com, como las cuentas de Gmail.com
- Cuentas de Google gestionadas para empresas
- Cuentas de Google Workspace for Education
Las cuentas de usuario no incluyen cuentas de robots, cuentas de servicio, cuentas de marca de solo delegación, cuentas de recursos ni cuentas de dispositivo.
Entre los tipos de recursos admitidos se incluyen los siguientes:
- Conjuntos de datos y tablas de BigQuery
- Segmentos de Cloud Storage
- Modelos, conjuntos de datos, almacenes de características y almacenes de metadatos de Vertex AI
DSPM evalúa el cumplimiento de este control cada vez que una cuenta de usuario lee un tipo de recurso admitido.
Este control en la nube requiere que habilite los registros de auditoría de acceso a datos de Cloud Storage y Vertex AI.
Entre las limitaciones se incluyen las siguientes:
- Solo se admiten operaciones de lectura.
- Las cuentas de servicio, incluida la suplantación de identidad de cuentas de servicio, están exentas de este control. Como medida de mitigación, asegúrate de que solo las cuentas de servicio de confianza tengan acceso a los recursos sensibles de Cloud Storage, BigQuery y Vertex AI. Además, no concedas el rol Creador de tokens de cuenta de servicio (
roles/iam.serviceAccountTokenCreator) a los usuarios que no deban tener acceso. - Este control no impide que los usuarios accedan a las copias que se hacen mediante operaciones de cuentas de servicio, como las que realizan Storage Transfer Service y BigQuery Data Transfer Service. Los usuarios podrían acceder a copias de datos en las que no se haya habilitado este control.
- No se admiten conjuntos de datos vinculados. Los conjuntos de datos vinculados crean un conjunto de datos de BigQuery de solo lectura que actúa como un enlace simbólico a un conjunto de datos de origen. Los conjuntos de datos vinculados no generan registros de auditoría de acceso a datos y pueden permitir que un usuario no autorizado lea datos sin que se detecte. Por ejemplo, un usuario podría eludir el control de acceso vinculando un conjunto de datos a otro que esté fuera de su límite de cumplimiento y, a continuación, podría consultar el nuevo conjunto de datos sin generar registros en el conjunto de datos de origen. Como medida de mitigación, no concedas los roles Administrador de BigQuery
(
roles/bigquery.admin), Propietario de datos de BigQuery (roles/bigquery.dataOwner) o Administrador de BigQuery Studio (roles/bigquery.studioAdmin) a los usuarios que no deban tener acceso a recursos sensibles de BigQuery. - Las consultas de tablas comodín se admiten a nivel de conjunto de datos, pero no a nivel de conjunto de tablas. Esta función te permite consultar varias tablas de BigQuery al mismo tiempo mediante expresiones con comodines. Gestión de datos sensibles procesa las consultas con comodines como si accedieras al conjunto de datos de BigQuery superior, no a tablas concretas del conjunto de datos.
- No se admite el acceso público a objetos de Cloud Storage. Public access concede acceso a todos los usuarios sin comprobar ninguna política.
- No se admite el acceso ni la descarga de objetos de Cloud Storage mediante sesiones de navegador autenticadas.
Control de la nube de gobernanza de flujo de datos
Este control le permite especificar los países desde los que se puede acceder a los datos. El control de la nube funciona de la siguiente manera:
Si una solicitud de lectura procede de Internet, el país se determina en función de la dirección IP de la solicitud de lectura. Si se usa un proxy para enviar la solicitud de lectura, las alertas se envían en función de la ubicación del proxy.
Si la solicitud de lectura procede de una máquina virtual de Compute Engine, el país se determina en función de la zona de nube desde la que se origina la solicitud.
Entre los tipos de recursos admitidos se incluyen los siguientes:
- Conjuntos de datos y tablas de BigQuery
- Segmentos de Cloud Storage
- Modelos, conjuntos de datos, almacenes de características y almacenes de metadatos de Vertex AI
Entre las limitaciones se incluyen las siguientes:
- Solo se admiten operaciones de lectura.
- En Vertex AI, solo se admiten solicitudes de Internet.
- No se admite el acceso público a objetos de Cloud Storage.
- No se admite el acceso ni la descarga de objetos de Cloud Storage mediante sesiones de navegador autenticadas.
Control en la nube de la protección de datos y la gobernanza de claves
Este control requiere que cifres recursos específicos con CMEKs.
Entre los tipos de recursos admitidos se incluyen los siguientes:
- Conjuntos de datos y tablas de BigQuery
- Modelos, conjuntos de datos, almacenes de características y almacenes de metadatos de Vertex AI
Control de eliminación de datos en la nube
Este control rige el periodo de conservación de los datos sensibles. Puede seleccionar recursos (por ejemplo, tablas de BigQuery) y aplicar un control en la nube de eliminación de datos que detecte si alguno de los recursos infringe los límites de conservación de antigüedad máxima.
Entre los tipos de recursos admitidos se incluyen los siguientes:
- Conjuntos de datos y tablas de BigQuery
- Modelos, conjuntos de datos, almacenes de características y almacenes de metadatos de Vertex AI