Mit der Verwaltung des Datensicherheitsstatus (Data Security Posture Management, DSPM) können Sie nachvollziehen, welche Daten Sie haben, wo Ihre Daten gespeichert sind und ob sie in einer Weise verwendet werden, die Ihren Sicherheits- und Compliance-Anforderungen entspricht. Mit DSPM können Sie die folgenden Aufgaben ausführen:
Sie können Datenressourcen in Ihrer Google Cloud Umgebung mithilfe von Filtern wie Ressourcentyp, Standort und Projekt-ID ermitteln.
Bewerten Sie Ihre aktuelle Datensicherheit anhand der von Google empfohlenen Best Practices, um potenzielle Sicherheits- und Compliance-Probleme zu erkennen und zu beheben.
Ordnen Sie Ihre Anforderungen an Datensicherheit und Compliance den Cloud-Kontrollen für Datensicherheit zu.
Cloud-Kontrollen für Datensicherheit mithilfe von Frameworks anwenden
Sie können überwachen, wie gut Ihre Arbeitslasten mit den angewendeten Datensicherheitsframeworks übereinstimmen, alle Verstöße beheben und Nachweise für Audits generieren.
DSPM funktioniert mit Schutz sensibler Daten. Mit Sensitive Data Protection werden die sensiblen Daten in Ihrer Organisation gefunden. Mit DSPM können Sie Cloud-Steuerelemente für die Datensicherheit für die sensiblen Daten bereitstellen, um Ihre Sicherheits- und Compliance-Anforderungen zu erfüllen.
DCPM-Komponenten
In den folgenden Abschnitten werden die Komponenten von DSPM beschrieben.
Dashboard zur Datensicherheit
Im Dashboard für Datensicherheit in derGoogle Cloud -Konsole können Sie sehen, wie die Daten Ihrer Organisation mit Ihren Anforderungen an Datensicherheit und Compliance übereinstimmen.
Im Data Map Explorer im Dashboard zur Datensicherheit sehen Sie die geografischen Standorte, an denen Ihre Daten gespeichert sind. Sie können Informationen zu Ihren Daten nach geografischem Standort, Sensibilität der Daten, zugehörigem Projekt und denGoogle Cloud -Diensten filtern, in denen die Daten gespeichert sind. Die Kreise auf der Datenkarte stellen die relative Anzahl von Datenressourcen und Datenressourcen mit Benachrichtigungen in der Region dar.
Sie können Ergebnisse zur Datensicherheit ansehen, die auftreten, wenn eine Datenressource gegen eine Cloud-Kontrolle zur Datensicherheit verstößt. Für Datensicherheitsergebnisse wird die Ergebniskategorie DATA_SECURITY verwendet. Wenn ein neues Ergebnis generiert wird, kann es bis zu zwei Stunden dauern, bis es im Data Map Explorer angezeigt wird.
Sie können sich auch Informationen zu den eingesetzten Datensicherheits-Frameworks, die Anzahl der offenen Ergebnisse, die mit jedem Framework verknüpft sind, und den Prozentsatz der Ressourcen in Ihrer Umgebung ansehen, die von mindestens einem Framework abgedeckt werden.
Frameworks zur Datensicherheit
Sie verwenden Frameworks, um Ihre Anforderungen an Datensicherheit und Compliance zu definieren und auf Ihre Google Cloud Umgebung anzuwenden. Dazu gehört das Framework für die Grundlagen von Datensicherheit und Datenschutz, in dem empfohlene grundlegende Kontrollen für Datensicherheit und Compliance definiert sind. Wenn Sie DSPM aktivieren, wird dieses Framework automatisch auf dieGoogle Cloud -Organisation im Erkennungsmodus angewendet. Sie können die generierten Ergebnisse verwenden, um Ihre Datensicherheit zu verbessern.
Bei Bedarf können Sie Kopien des Frameworks erstellen, um benutzerdefinierte Frameworks für Datensicherheit zu erstellen. Sie können Ihren benutzerdefinierten Frameworks die erweiterten Cloud-Steuerelemente für die Datensicherheit hinzufügen und die benutzerdefinierten Frameworks auf die Organisation, Ordner oder Projekte anwenden. Sie können beispielsweise benutzerdefinierte Frameworks erstellen, mit denen Sie bestimmte Ordner mit Gerichtsbarkeitskontrollen versehen, um sicherzustellen, dass Daten in diesen Ordnern in einer bestimmten geografischen Region verbleiben.
Framework für Datensicherheit und Datenschutz
Die folgenden Cloud-Kontrollen sind Teil des Frameworks „Datensicherheit und Datenschutz – Grundlagen“.
| Cloud-Kontrolle | Beschreibung |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
Erkennen, wenn CMEK nicht für BigQuery-Tabellen mit sensiblen Daten verwendet wird. |
CMEK FÜR DATASET MIT SENSIBLEN DATEN DEAKTIVIERT |
Erkennen, wenn CMEK nicht für BigQuery-Datasets mit sensiblen Daten verwendet wird. |
ÖFFENTLICHES DATASET MIT SENSIBLEN DATEN |
Sensible Daten in öffentlich zugänglichen BigQuery-Datasets erkennen |
SENSITIVE DATA PUBLIC SQL INSTANCE |
Sensible Daten in öffentlich zugänglichen SQL-Datenbanken erkennen. |
SENSITIVE DATA SQL CMEK DISABLED |
Erkennen, wenn CMEK nicht für SQL-Datenbanken mit sensiblen Daten verwendet wird. |
Erweiterte Cloud-Einstellungen für Datensicherheit
DSPM umfasst erweiterte Cloud-Steuerelemente für Datensicherheit, mit denen Sie zusätzliche Anforderungen an die Datensicherheit erfüllen können. Zu diesen erweiterten Cloud-Einstellungen für die Datensicherheit gehören:
- Governance für den Datenzugriff:Erkennt, ob andere Hauptkonten als die von Ihnen angegebenen auf sensible Daten zugreifen.
- Governance für Datenflüsse:Erkennt, ob Clients, die sich außerhalb eines angegebenen geografischen Standorts (Land) befinden, auf vertrauliche Daten zugreifen.
- Datenschutz und Schlüsselverwaltung:Erkennt, ob vertrauliche Daten ohne vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) erstellt werden.
- Datenlöschung:Erkennt Verstöße gegen Richtlinien zum maximalen Aufbewahrungszeitraum für sensible Daten.
Diese Einstellungen unterstützen nur den Erkennungsmodus. Weitere Informationen zum Bereitstellen dieser Steuerelemente finden Sie unter DSPM verwenden.
Cloud-Einstellungen zur Datensicherheit
In den folgenden Abschnitten werden die erweiterten Cloud-Kontrollen für Datensicherheit beschrieben.
Cloud-Steuerelement für die Verwaltung des Datenzugriffs
Mit dieser Steuerung wird der Zugriff auf vertrauliche Daten auf bestimmte Gruppen von Identitäten beschränkt. Wenn ein nicht konformer Zugriffsversuch (Zugriff durch andere als die zulässigen Hauptkonten) auf Datenressourcen erfolgt, wird ein Ergebnis erstellt. Unterstützte Hauptkontotypen sind Nutzerkonten oder Gruppen. Informationen zum zu verwendenden Format finden Sie in der Tabelle mit unterstützten Hauptkontenformaten.
Nutzerkonten umfassen Folgendes:
- Private Google-Konten, für die sich Nutzer auf google.com registrieren, z. B. Gmail.com-Konten
- Verwaltete Google-Konten für Unternehmen
- Google Workspace for Education-Konten
Nutzerkonten umfassen keine Robot-Konten, Dienstkonten, Markenkonten, die nur für die Delegation verwendet werden, Ressourcenkonten und Gerätekonten.
Die folgenden Asset-Typen werden unterstützt:
- BigQuery-Datasets und -Tabellen
- Cloud Storage-Buckets
- Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher
DSPM prüft die Einhaltung dieser Kontrolle immer dann, wenn ein Nutzerkonto einen unterstützten Ressourcentyp liest.
Für dieses Cloud-Steuerelement müssen Sie Audit-Logs zum Datenzugriff für Cloud Storage und Vertex AI aktivieren.
Es gelten unter anderem die folgenden Einschränkungen:
- Es werden nur Lesevorgänge unterstützt.
- Der Zugriff über Dienstkonten, einschließlich des Identitätswechsels für Dienstkonten, ist von dieser Steuerung ausgenommen. Als Gegenmaßnahme sollten Sie dafür sorgen, dass nur vertrauenswürdige Dienstkonten Zugriff auf vertrauliche Cloud Storage-, BigQuery- und Vertex AI-Ressourcen haben. Weisen Sie außerdem Nutzern, die keinen Zugriff haben sollen, nicht die Rolle „Ersteller von Dienstkonto-Tokens“ (
roles/iam.serviceAccountTokenCreator) zu. - Diese Steuerung verhindert nicht den Zugriff von Nutzern auf Kopien, die durch Dienstkontovorgänge wie die des Storage Transfer Service und des BigQuery Data Transfer Service erstellt werden. Nutzer konnten auf Kopien von Daten zugreifen, für die diese Funktion nicht aktiviert war.
- Verknüpfte Datasets werden nicht unterstützt. Mit verknüpften Datasets wird ein schreibgeschütztes BigQuery-Dataset erstellt, das als symbolischer Link zu einem Quelldataset dient. Für verknüpfte Datasets werden keine Audit-Logs zum Datenzugriff erstellt. Ein nicht autorisierter Nutzer kann möglicherweise Daten lesen, ohne dass dies gemeldet wird. Ein Nutzer könnte beispielsweise die Zugriffssteuerung umgehen, indem er ein Dataset mit einem Dataset außerhalb Ihrer Compliance-Grenze verknüpft und dann das neue Dataset abfragt, ohne Protokolle für das Quelldataset zu generieren. Als Gegenmaßnahme sollten Sie Nutzern, die keinen Zugriff auf vertrauliche BigQuery-Ressourcen haben sollten, nicht die Rollen BigQuery-Administrator (
roles/bigquery.admin), BigQuery-Dateninhaber (roles/bigquery.dataOwner) oder BigQuery Studio-Administrator (roles/bigquery.studioAdmin) zuweisen. - Abfragen für Platzhaltertabellen werden auf Dataset-Ebene, aber nicht auf Tableset-Ebene unterstützt. Mit dieser Funktion können Sie mehrere BigQuery-Tabellen gleichzeitig mit Platzhaltern abfragen. DSPM verarbeitet Platzhalterabfragen so, als würden Sie auf das übergeordnete BigQuery-Dataset zugreifen und nicht auf einzelne Tabellen im Dataset.
- Der öffentliche Zugriff auf Cloud Storage-Objekte wird nicht unterstützt. Öffentlicher Zugriff gewährt allen Nutzern Zugriff ohne Richtlinienprüfungen.
- Der Zugriff auf oder das Herunterladen von Cloud Storage-Objekten über authentifizierte Browsersitzungen wird nicht unterstützt.
Cloud-Kontrolle für die Datenflussverwaltung
Mit dieser Einstellung können Sie die zulässigen Länder angeben, aus denen auf Daten zugegriffen werden kann. Die Cloud-Steuerung funktioniert so:
Wenn eine Leseanfrage aus dem Internet kommt, wird das Land anhand der IP-Adresse der Leseanfrage bestimmt. Wenn ein Proxy zum Senden der Leseanfrage verwendet wird, werden Benachrichtigungen basierend auf dem Standort des Proxys gesendet.
Wenn die Leseanfrage von einer Compute Engine-VM stammt, wird das Land anhand der Cloud-Zone bestimmt, aus der die Anfrage stammt.
Die folgenden Asset-Typen werden unterstützt:
- BigQuery-Datasets und -Tabellen
- Cloud Storage-Buckets
- Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher
Es gelten unter anderem die folgenden Einschränkungen:
- Es werden nur Lesevorgänge unterstützt.
- Für Vertex AI werden nur Anfragen aus dem Internet unterstützt.
- Der öffentliche Zugriff auf Cloud Storage-Objekte wird nicht unterstützt.
- Der Zugriff auf oder das Herunterladen von Cloud Storage-Objekten über authentifizierte Browsersitzungen wird nicht unterstützt.
Cloud-Kontrolle für Datenschutz und Schlüssel-Governance
Bei dieser Kontrolle müssen Sie bestimmte Ressourcen mit CMEKs verschlüsseln.
Die folgenden Asset-Typen werden unterstützt:
- BigQuery-Datasets und -Tabellen
- Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher
Cloud-Kontrolle für die Datenlöschung
Mit dieser Einstellung wird der Aufbewahrungszeitraum für vertrauliche Daten festgelegt. Sie können Ressourcen (z. B. BigQuery-Tabellen) auswählen und eine Cloud-Kontrolle zum Löschen von Daten anwenden, die erkennt, ob eine der Ressourcen die Aufbewahrungslimits für das maximale Alter überschreitet.
Die folgenden Asset-Typen werden unterstützt:
- BigQuery-Datasets und -Tabellen
- Vertex AI-Modelle, ‑Datasets, ‑Feature Stores und ‑Metadatenspeicher