Pengelolaan Postur Keamanan Data (DSPM) membantu Anda memahami data yang Anda miliki, tempat data Anda disimpan, dan apakah data tersebut digunakan dengan cara yang sesuai dengan persyaratan keamanan dan kepatuhan Anda. DSPM memungkinkan Anda menyelesaikan tugas berikut:
Temukan resource data dalam lingkungan Google Cloud Anda menggunakan filter seperti jenis resource, lokasi, project ID.
Evaluasi postur keamanan data Anda saat ini berdasarkan praktik terbaik yang direkomendasikan Google sehingga Anda dapat mengidentifikasi dan memperbaiki potensi masalah keamanan dan kepatuhan.
Petakan persyaratan keamanan dan kepatuhan data Anda ke kontrol cloud keamanan data.
Terapkan kontrol cloud keamanan data menggunakan framework.
Pantau seberapa baik keselarasan workload Anda dengan framework keamanan data yang diterapkan, perbaiki pelanggaran apa pun, dan buat bukti untuk audit.
DSPM berfungsi dengan Sensitive Data Protection. Sensitive Data Protection menemukan data sensitif di organisasi Anda, dan DSPM memungkinkan Anda men-deploy kontrol cloud keamanan data pada data sensitif untuk memenuhi persyaratan keamanan dan kepatuhan Anda.
Komponen DSPM
Bagian berikut menjelaskan komponen DSPM.
Dasbor keamanan data
Dasbor keamanan data di konsol Google Cloud memungkinkan Anda melihat kesesuaian data organisasi Anda dengan persyaratan keamanan dan kepatuhan data Anda.
Penjelajah peta data di dasbor keamanan data menampilkan lokasi geografis tempat data Anda disimpan dan memungkinkan Anda memfilter informasi tentang data Anda menurut lokasi geografis, tingkat sensitivitas data, project terkait, dan layanan yang menyimpan data.Google Cloud Lingkaran pada peta data mewakili jumlah relatif resource data dan resource data dengan pemberitahuan di wilayah.
Anda dapat melihat temuan keamanan data, yang terjadi saat resource data melanggar kontrol cloud keamanan data. Temuan keamanan data menggunakan kategori temuan DATA_SECURITY. Saat temuan baru dibuat, mungkin perlu waktu hingga dua jam
agar temuan tersebut muncul di penjelajah peta data.
Anda juga dapat meninjau informasi tentang framework keamanan data yang di-deploy, jumlah temuan terbuka yang terkait dengan setiap framework, dan persentase resource di lingkungan Anda yang tercakup oleh setidaknya satu framework.
Kerangka kerja keamanan data
Anda menggunakan framework untuk menentukan persyaratan keamanan dan kepatuhan data Anda serta menerapkan persyaratan tersebut ke lingkungan Google Cloud Anda. DSPM mencakup Framework dasar keamanan dan privasi data, yang menentukan kontrol dasar yang direkomendasikan untuk keamanan dan kepatuhan data. Jika Anda mengaktifkan DSPM, framework ini akan otomatis diterapkan ke organisasiGoogle Cloud dalam mode detektif. Anda dapat menggunakan temuan yang dihasilkan untuk memperkuat postur data Anda.
Jika diperlukan, Anda dapat membuat salinan framework untuk membuat framework keamanan data kustom. Anda dapat menambahkan kontrol cloud keamanan data lanjutan ke framework kustom dan menerapkan framework kustom ke organisasi, folder, atau project. Misalnya, Anda dapat membuat framework kustom yang menerapkan kontrol yurisdiksi ke folder tertentu untuk memastikan bahwa data dalam folder tersebut tetap berada di wilayah geografis tertentu.
Framework dasar privasi dan keamanan data
Kontrol cloud berikut adalah bagian dari framework Dasar-dasar keamanan dan privasi data.
| Kontrol cloud | Deskripsi |
|---|---|
TABEL BIGQUERY DATA SENSITIF DENGAN CMEK DINONAKTIFKAN |
Mendeteksi saat CMEK tidak digunakan untuk tabel BigQuery yang menyertakan data sensitif. |
SET DATA SENSITIF DENGAN CMEK DINONAKTIFKAN |
Mendeteksi saat CMEK tidak digunakan untuk set data BigQuery yang menyertakan data sensitif. |
SET DATA PUBLIK BERISI DATA SENSITIF |
Mendeteksi data sensitif dalam set data BigQuery yang dapat diakses secara publik. |
INSTANCE SQL PUBLIK BERISI DATA SENSITIF |
Mendeteksi data sensitif dalam database SQL yang dapat diakses secara publik. |
CMEK SQL DATA SENSITIF DINONAKTIFKAN |
Mendeteksi saat CMEK tidak digunakan untuk database SQL yang menyertakan data sensitif. |
Kontrol cloud keamanan data lanjutan
DSPM mencakup kontrol cloud keamanan data lanjutan untuk membantu Anda memenuhi persyaratan keamanan data tambahan. Kontrol cloud keamanan data tingkat lanjut ini mencakup hal berikut:
- Tata kelola akses data: Mendeteksi apakah akun utama selain yang Anda tentukan mengakses data sensitif.
- Tata kelola alur data: Mendeteksi apakah klien yang berada di luar lokasi geografis (negara) tertentu mengakses data sensitif.
- Perlindungan data dan tata kelola kunci: Mendeteksi apakah data sensitif sedang dibuat tanpa enkripsi kunci enkripsi yang dikelola pelanggan (CMEK).
- Penghapusan data: Mendeteksi pelanggaran terhadap kebijakan periode retensi maksimum untuk data sensitif.
Kontrol ini hanya mendukung mode detektif. Untuk mengetahui informasi selengkapnya tentang men-deploy kontrol ini, lihat Menggunakan DSPM.
Kontrol cloud keamanan data
Bagian berikut menjelaskan kontrol cloud keamanan data lanjutan.
Kontrol cloud tata kelola akses data
Kontrol ini membatasi akses ke data sensitif untuk set utama tertentu. Jika ada upaya akses yang tidak sesuai (akses oleh akun utama selain akun utama yang diizinkan) ke resource data, temuan akan dibuat. Jenis akun utama yang didukung adalah akun pengguna atau grup. Untuk mengetahui informasi tentang format yang akan digunakan, lihat tabel format utama yang didukung.
Akun pengguna mencakup hal berikut:
- Akun Google konsumen yang didaftarkan pengguna di google.com, seperti akun Gmail.com
- Akun Google terkelola untuk bisnis
- Akun Google Workspace for Education
Akun pengguna tidak mencakup akun robot, akun layanan, akun merek khusus delegasi, akun resource, dan akun perangkat.
Jenis aset yang didukung meliputi:
- Set data dan tabel BigQuery
- Bucket Cloud Storage
- Model, set data, feature store, dan penyimpanan metadata Vertex AI
DSPM mengevaluasi kesesuaian dengan kontrol ini setiap kali akun pengguna membaca jenis resource yang didukung.
Kontrol cloud ini mengharuskan Anda mengaktifkan log audit Akses Data untuk Cloud Storage dan Vertex AI.
Batasan mencakup hal berikut:
- Hanya operasi baca yang didukung.
- Akses oleh akun layanan, termasuk peniruan akun layanan, dikecualikan dari kontrol ini. Sebagai mitigasi, pastikan hanya akun layanan tepercaya yang memiliki akses ke resource Cloud Storage, BigQuery, dan Vertex AI yang sensitif. Selain itu, jangan berikan peran
Pembuat Token Akun Layanan (
roles/iam.serviceAccountTokenCreator) kepada pengguna yang seharusnya tidak memiliki akses. - Kontrol ini tidak mencegah akses oleh pengguna ke salinan yang dibuat melalui operasi akun layanan seperti yang dibuat oleh Storage Transfer Service dan BigQuery Data Transfer Service. Pengguna dapat mengakses salinan data yang tidak mengaktifkan kontrol ini.
- Set data tertaut
tidak didukung. Set data tertaut membuat set data BigQuery
hanya baca yang berfungsi sebagai link simbolis ke set data sumber. Set data tertaut tidak menghasilkan log audit akses data dan dapat memungkinkan pengguna yang tidak sah membaca data tanpa ditandai. Misalnya, pengguna dapat melewati kontrol akses dengan menautkan set data ke set data di luar batas kepatuhan Anda, lalu membuat kueri set data baru tanpa membuat log terhadap set data sumber. Sebagai mitigasi, jangan berikan peran Admin BigQuery
(
roles/bigquery.admin), Pemilik Data BigQuery (roles/bigquery.dataOwner) atau Admin BigQuery Studio (roles/bigquery.studioAdmin) kepada pengguna yang tidak boleh memiliki akses ke resource BigQuery yang sensitif. - Kueri tabel karakter pengganti didukung di tingkat set data, tetapi tidak di tingkat set tabel. Fitur ini memungkinkan Anda membuat kueri beberapa tabel BigQuery secara bersamaan menggunakan ekspresi karakter pengganti. DSPM memproses kueri wildcard seolah-olah Anda mengakses set data BigQuery induk, bukan tabel individual dalam set data.
- Akses publik ke objek Cloud Storage tidak didukung. Akses publik memberikan akses kepada semua pengguna tanpa pemeriksaan kebijakan apa pun.
- Akses atau download objek Cloud Storage menggunakan sesi browser terautentikasi tidak didukung.
Kontrol cloud tata kelola aliran data
Kontrol ini memungkinkan Anda menentukan negara yang diizinkan untuk mengakses data. Kontrol cloud berfungsi sebagai berikut:
Jika permintaan baca berasal dari internet, negara ditentukan berdasarkan alamat IP permintaan baca. Jika proxy digunakan untuk mengirim permintaan baca, pemberitahuan akan dikirim berdasarkan lokasi proxy.
Jika permintaan baca berasal dari VM Compute Engine, negara ditentukan oleh zona cloud tempat permintaan berasal.
Jenis aset yang didukung meliputi:
- Set data dan tabel BigQuery
- Bucket Cloud Storage
- Model, set data, feature store, dan penyimpanan metadata Vertex AI
Batasan mencakup hal berikut:
- Hanya operasi baca yang didukung.
- Untuk Vertex AI, hanya permintaan dari internet yang didukung.
- Akses publik ke objek Cloud Storage tidak didukung.
- Akses atau download objek Cloud Storage menggunakan sesi browser terautentikasi tidak didukung.
Kontrol cloud tata kelola kunci dan perlindungan data
Kontrol ini mengharuskan Anda mengenkripsi resource tertentu menggunakan CMEK.
Jenis aset yang didukung meliputi:
- Set data dan tabel BigQuery
- Model, set data, feature store, dan metadata store Vertex AI
Kontrol cloud penghapusan data
Kontrol ini mengatur periode retensi untuk data sensitif. Anda dapat memilih resource (misalnya, tabel BigQuery) dan menerapkan kontrol cloud penghapusan data yang mendeteksi apakah ada resource yang melanggar batas retensi usia maksimum.
Jenis aset yang didukung meliputi:
- Set data dan tabel BigQuery
- Model, set data, feature store, dan penyimpanan metadata Vertex AI