Descripción general de la administración de la postura de seguridad de los datos

La administración de la postura de seguridad de los datos (DSPM) te ayuda a comprender qué datos tienes, dónde se almacenan y si se usan de una manera que se alinea con tus requisitos de seguridad y cumplimiento. La DSPM te permite completar las siguientes tareas:

  • Descubre recursos de datos en tu entorno de Google Cloud con filtros como el tipo de recurso, la ubicación y el ID del proyecto.

  • Evalúa tu postura actual de seguridad de los datos en comparación con las prácticas recomendadas de Google para identificar y corregir posibles problemas de seguridad y cumplimiento.

  • Asigna tus requisitos de seguridad y cumplimiento de datos a los controles de seguridad de los datos en la nube.

  • Aplica controles de seguridad de los datos en la nube con marcos de trabajo.

  • Supervisa qué tan bien se alinean tus cargas de trabajo con los marcos de trabajo de seguridad de los datos aplicados, corrige los incumplimientos y genera evidencia para la auditoría.

La DSPM funciona con Sensitive Data Protection. Sensitive Data Protection encuentra los datos sensibles en tu organización, y DSPM te permite implementar controles de seguridad de los datos en la nube en los datos sensibles para cumplir con tus requisitos de seguridad y cumplimiento.

Componentes de DSPM

En las siguientes secciones, se describen los componentes de la DSPM.

Panel de seguridad de los datos

El panel de seguridad de los datos de la consola deGoogle Cloud te permite ver cómo se alinean los datos de tu organización con tus requisitos de seguridad y cumplimiento de datos.

El explorador del mapa de datos en el panel de seguridad de los datos muestra las ubicaciones geográficas en las que se almacenan tus datos y te permite filtrar información sobre ellos por ubicación geográfica, el nivel de sensibilidad de los datos, el proyecto asociado y losGoogle Cloud servicios que almacenan los datos. Los círculos del mapa de datos representan el recuento relativo de los recursos de datos y los recursos de datos con alertas en la región.

Puedes ver los hallazgos de seguridad de los datos, que se producen cuando un recurso de datos incumple un control de seguridad de datos en la nube. Los hallazgos sobre la seguridad de los datos usan la categoría de hallazgo DATA_SECURITY. Cuando se genera un resultado nuevo, puede tardar hasta dos horas en aparecer en el Explorador del mapa de datos.

También puedes revisar información sobre los marcos de seguridad de los datos implementados, la cantidad de hallazgos abiertos asociados con cada marco y el porcentaje de recursos de tu entorno cubiertos por al menos un marco.

Marcos de trabajo de seguridad de los datos

Usas marcos de trabajo para definir tus requisitos de seguridad y cumplimiento de datos, y aplicar esos requisitos a tu entorno de Google Cloud . La DSPM incluye el marco de trabajo de aspectos básicos de la seguridad y la privacidad de los datos, que define los controles de referencia recomendados para la seguridad y el cumplimiento de los datos. Cuando habilitas la DSPM, este framework se aplica automáticamente a la organización deGoogle Cloud en modo de detección. Puedes usar los resultados generados para fortalecer tu postura de datos.

Si es necesario, puedes crear copias del framework para crear frameworks personalizados de seguridad de los datos. Puedes agregar los controles avanzados de seguridad de los datos en la nube a tus marcos personalizados y aplicarlos a la organización, las carpetas o los proyectos. Por ejemplo, puedes crear marcos personalizados que apliquen controles jurisdiccionales a carpetas específicas para garantizar que los datos dentro de esas carpetas permanezcan en una región geográfica en particular.

Marco de trabajo de conceptos básicos sobre seguridad y privacidad de los datos

Los siguientes controles de la nube forman parte del marco de trabajo de aspectos básicos de la seguridad y la privacidad de los datos.

Control de nube Descripción

SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED

Detecta cuándo no se usa la CMEK para las tablas de BigQuery que incluyen datos sensibles.

CMEK DEL CONJUNTO DE DATOS DE DATOS SENSIBLES INHABILITADA

Detecta cuando no se usa la CMEK para los conjuntos de datos de BigQuery que incluyen datos sensibles.

DATASET PÚBLICO DE DATOS SENSIBLES

Detectar datos sensibles en conjuntos de datos de BigQuery accesibles de forma pública

INSTANCIA DE SQL PÚBLICA CON DATOS SENSIBLES

Detectar datos sensibles en bases de datos SQL de acceso público

DATOS SENSIBLES: CMEK DE SQL INHABILITADA

Detectar cuándo no se usa la CMEK para las bases de datos SQL que incluyen datos sensibles

Controles de seguridad avanzados de la nube para los datos

La DSPM incluye controles avanzados de seguridad de datos en la nube para ayudarte a cumplir con requisitos adicionales de seguridad de los datos. Estos controles avanzados de seguridad de los datos en la nube incluyen lo siguiente:

  • Administración del acceso a los datos: Detecta si las entidades principales que no especificaste acceden a datos sensibles.
  • Administración del flujo de datos: Detecta si los clientes que se encuentran fuera de las ubicaciones geográficas (países) especificadas acceden a datos sensibles.
  • Protección de datos y administración de claves: Detecta si se están creando datos sensibles sin la encriptación de claves de encriptación administradas por el cliente (CMEK).
  • Borrado de datos: Detecta incumplimientos de las políticas sobre el período máximo de retención de datos sensibles.

Estos controles solo admiten el modo de detección. Para obtener más información sobre la implementación de estos controles, consulta Usa DSPM.

Controles de seguridad de los datos en la nube

En las siguientes secciones, se describen los controles avanzados de seguridad de los datos en la nube.

Control de administración de acceso a los datos en la nube

Este control restringe el acceso a los datos sensibles a los conjuntos de principales especificados. Cuando se intenta acceder a recursos de datos de forma no conforme (acceso por parte de principales que no son las permitidas), se crea un hallazgo. Los tipos de principales admitidos son cuentas de usuario o grupos. Para obtener información sobre qué formato usar, consulta la tabla de formatos de principales admitidos.

Las cuentas de usuario incluyen lo siguiente:

  • Cuentas de Google personales con las que los usuarios se registran en google.com, como las cuentas de Gmail.com
  • Cuentas de Google administradas para empresas
  • Cuentas de Google Workspace for Education

Las cuentas de usuario no incluyen cuentas de robots, cuentas de servicio, cuentas de marca solo para delegación, cuentas de recursos ni cuentas de dispositivos.

Los tipos de recursos admitidos incluyen los siguientes:

  • Tablas y conjuntos de datos de BigQuery
  • Depósitos de Cloud Storage
  • Modelos, conjuntos de datos, almacenes de atributos y almacenes de metadatos de Vertex AI

La DSPM evalúa el cumplimiento de este control cada vez que una cuenta de usuario lee un tipo de recurso compatible.

Este control de nube requiere que habilites los registros de auditoría de acceso a los datos para Cloud Storage y Vertex AI.

Las limitaciones incluyen lo siguiente:

  • Solo se admiten operaciones de lectura.
  • El acceso por parte de cuentas de servicio, incluida la suplantación de identidad de cuentas de servicio, está exento de este control. Como medida de mitigación, asegúrate de que solo las cuentas de servicio de confianza tengan acceso a los recursos sensibles de Cloud Storage, BigQuery y Vertex AI. Además, no otorgues el rol de creador de tokens de cuenta de servicio (roles/iam.serviceAccountTokenCreator) a los usuarios que no deberían tener acceso.
  • Este control no impide que los usuarios accedan a las copias que se realizan a través de operaciones de cuentas de servicio, como las que realizan el Servicio de transferencia de almacenamiento y el Servicio de transferencia de datos de BigQuery. Los usuarios podrían acceder a copias de datos que no tienen habilitado este control.
  • No se admiten los conjuntos de datos vinculados. Los conjuntos de datos vinculados crean un conjunto de datos de BigQuery de solo lectura que actúa como un vínculo simbólico a un conjunto de datos fuente. Los conjuntos de datos vinculados no generan registros de auditoría de acceso a los datos y pueden permitir que un usuario no autorizado lea datos sin que se marque la acción. Por ejemplo, un usuario podría eludir el control de acceso vinculando un conjunto de datos a otro que se encuentre fuera de tu límite de cumplimiento y, luego, podría consultar el nuevo conjunto de datos sin generar registros en el conjunto de datos de origen. Como medida de mitigación, no otorgues los roles de administrador de BigQuery (roles/bigquery.admin), propietario de datos de BigQuery (roles/bigquery.dataOwner) ni administrador de BigQuery Studio (roles/bigquery.studioAdmin) a los usuarios que no deberían tener acceso a los recursos sensibles de BigQuery.
  • Las consultas de tablas comodín se admiten a nivel del conjunto de datos, pero no a nivel del conjunto de tablas. Esta función te permite consultar varias tablas de BigQuery al mismo tiempo con expresiones comodín. El DSPM procesa las consultas con comodines como si accedieras al conjunto de datos principal de BigQuery, no a las tablas individuales dentro del conjunto de datos.
  • No se admite el acceso público a los objetos de Cloud Storage. El acceso público otorga acceso a todos los usuarios sin ninguna verificación de políticas.
  • No se admiten el acceso ni las descargas de objetos de Cloud Storage con sesiones autenticadas del navegador.

Control de la nube para la administración del flujo de datos

Este control te permite especificar los países permitidos desde los que se puede acceder a los datos. El control de la nube funciona de la siguiente manera:

  • Si una solicitud de lectura proviene de Internet, el país se determina según la dirección IP de la solicitud de lectura. Si se usa un proxy para enviar la solicitud de lectura, las alertas se envían según la ubicación del proxy.

  • Si la solicitud de lectura proviene de una VM de Compute Engine, el país se determina según la zona de nube desde la que se origina la solicitud.

Los tipos de recursos admitidos incluyen los siguientes:

  • Tablas y conjuntos de datos de BigQuery
  • Depósitos de Cloud Storage
  • Modelos, conjuntos de datos, almacenes de atributos y almacenes de metadatos de Vertex AI

Las limitaciones incluyen lo siguiente:

  • Solo se admiten operaciones de lectura.
  • En el caso de Vertex AI, solo se admiten las solicitudes de Internet.
  • No se admite el acceso público a los objetos de Cloud Storage.
  • No se admiten el acceso ni las descargas de objetos de Cloud Storage con sesiones autenticadas del navegador.

Control de la nube de administración de claves y protección de datos

Este control requiere que encriptes recursos específicos con CMEK.

Los tipos de recursos admitidos incluyen los siguientes:

  • Tablas y conjuntos de datos de BigQuery
  • Modelos, conjuntos de datos, almacenes de atributos y almacenes de metadatos de Vertex AI

Control de nube para la eliminación de datos

Este control rige el período de retención de los datos sensibles. Puedes seleccionar recursos (por ejemplo, tablas de BigQuery) y aplicar un control de Cloud de eliminación de datos que detecte si alguno de los recursos incumple los límites máximos de retención por antigüedad.

Los tipos de recursos admitidos incluyen los siguientes:

  • Tablas y conjuntos de datos de BigQuery
  • Modelos, conjuntos de datos, almacenes de atributos y almacenes de metadatos de Vertex AI

¿Qué sigue?