Panoramica della gestione della security posture dei dati

Data Security Posture Management (DSPM) ti aiuta a capire quali dati hai, dove sono archiviati e se vengono utilizzati in modo conforme ai tuoi requisiti di sicurezza e conformità. DSPM ti consente di completare le seguenti attività:

  • Scopri le risorse di dati all'interno del tuo Google Cloud ambiente utilizzando filtri come tipo di risorsa, località, ID progetto.

  • Valuta la tua attuale strategia di sicurezza dei dati in base alle best practice consigliate da Google per identificare e risolvere potenziali problemi di sicurezza e conformità.

  • Mappa i tuoi requisiti di sicurezza e conformità dei dati con i controlli cloud di sicurezza dei dati.

  • Applica i controlli cloud di sicurezza dei dati utilizzando i framework.

  • Monitora il livello di allineamento dei tuoi carichi di lavoro ai framework di sicurezza dei dati applicati, correggi eventuali violazioni e genera prove per l'audit.

DSPM funziona con Sensitive Data Protection. Sensitive Data Protection individua i dati sensibili nella tua organizzazione e DSPM ti consente di implementare controlli cloud per la sicurezza dei dati sui dati sensibili per soddisfare i tuoi requisiti di sicurezza e conformità.

Componenti DSPM

Le sezioni seguenti descrivono i componenti di DSPM.

Dashboard per la sicurezza dei dati

La dashboard per la sicurezza dei dati nella console Google Cloud ti consente di vedere in che modo i dati della tua organizzazione sono in linea con i requisiti di sicurezza e conformità dei dati.

L'esploratore della mappa dei dati nella dashboard per la sicurezza dei dati mostra le posizioni geografiche in cui sono archiviati i tuoi dati e ti consente di filtrare le informazioni sui tuoi dati in base alla posizione geografica, alla sensibilità dei dati, al progetto associato e ai serviziGoogle Cloud che archiviano i dati. I cerchi sulla mappa dei dati rappresentano il conteggio relativo delle risorse di dati e delle risorse di dati con avvisi nella regione.

Puoi visualizzare i risultati sulla sicurezza dei dati, che si verificano quando una risorsa di dati viola un controllo cloud di sicurezza dei dati. I risultati relativi alla sicurezza dei dati utilizzano la categoria di risultati DATA_SECURITY. Quando viene generato un nuovo risultato, potrebbero essere necessarie fino a due ore prima che venga visualizzato nell'explorer della mappa dei dati.

Puoi anche esaminare le informazioni sui framework di sicurezza dei dati implementati, il numero di risultati aperti associati a ciascun framework e la percentuale di risorse nel tuo ambiente coperte da almeno un framework.

Framework per la sicurezza dei dati

Utilizzi i framework per definire i requisiti di sicurezza e conformità dei dati e applicarli al tuo ambiente Google Cloud . DSPM include il framework Essentials per la sicurezza e la privacy dei dati, che definisce i controlli di base consigliati per la sicurezza e la conformità dei dati. Quando attivi DSPM, questo framework viene applicato automaticamente all'organizzazione Google Cloud in modalità di rilevamento. Puoi utilizzare i risultati generati per rafforzare la tua postura di sicurezza dati.

Se necessario, puoi creare copie del framework per creare framework personalizzati per la sicurezza dei dati. Puoi aggiungere i controlli cloud avanzati per la sicurezza dei dati ai tuoi framework personalizzati e applicarli all'organizzazione, alle cartelle o ai progetti. Ad esempio, puoi creare framework personalizzati che applicano controlli giurisdizionali a cartelle specifiche per garantire che i dati all'interno di queste cartelle rimangano in una determinata regione geografica.

Framework per le nozioni di base di sicurezza e privacy dei dati

I seguenti controlli cloud fanno parte del framework Data security and privacy essentials.

Controllo cloud Descrizione

SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED

Rileva quando CMEK non viene utilizzata per le tabelle BigQuery che includono dati sensibili.

CMEK PER IL SET DI DATI SENSIBILI DISATTIVATA

Rileva quando CMEK non viene utilizzata per i set di dati BigQuery che includono dati sensibili.

SET DI DATI PUBBLICI CON DATI SENSIBILI

Rileva i dati sensibili all'interno dei set di dati BigQuery accessibili pubblicamente.

ISTANZA SQL PUBBLICA CON DATI SENSIBILI

Rileva i dati sensibili all'interno dei database SQL accessibili pubblicamente.

SENSITIVE DATA SQL CMEK DISABLED

Rileva quando CMEK non viene utilizzato per i database SQL che includono dati sensibili.

Controlli cloud avanzati per la sicurezza dei dati

La DSPM include controlli cloud avanzati per la sicurezza dei dati per aiutarti a soddisfare ulteriori requisiti di sicurezza dei dati. Questi controlli cloud avanzati per la sicurezza dei dati includono quanto segue:

  • Governance dell'accesso ai dati:rileva se i principal diversi da quelli specificati accedono a dati sensibili.
  • Governance del flusso di dati:rileva se i client che si trovano al di fuori di una posizione geografica (paese) specificata accedono a dati sensibili.
  • Protezione dei dati e gestione delle chiavi:rileva se vengono creati dati sensibili senza la crittografia con chiavi di crittografia gestite dal cliente (CMEK).
  • Eliminazione dei dati:rileva le violazioni delle norme relative al periodo di conservazione massimo per i dati sensibili.

Questi controlli supportano solo la modalità di rilevamento. Per saperne di più sull'implementazione di questi controlli, vedi Utilizzare DSPM.

Controlli di sicurezza dei dati nel cloud

Le sezioni seguenti descrivono i controlli cloud avanzati per la sicurezza dei dati.

Controllo cloud della governance dell'accesso ai dati

Questo controllo limita l'accesso ai dati sensibili ai set di entità specificati. Quando si verifica un tentativo di accesso non conforme (accesso da parte di entità diverse da quelle consentite) alle risorse di dati, viene creato un risultato. I tipi di entità supportati sono account utente o gruppi. Per informazioni sul formato da utilizzare, consulta la tabella dei formati principali supportati.

Gli account utente includono quanto segue:

  • Account Google di tipo consumer a cui gli utenti si registrano su google.com, ad esempio account Gmail.com
  • Account Google gestiti per le aziende
  • Account Google Workspace for Education

Gli account utente non includono account robot, service account, account brand con delega solo, account risorsa e account dispositivo.

I tipi di asset supportati includono:

  • Set di dati e tabelle BigQuery
  • Bucket Cloud Storage
  • Modelli, set di dati, feature store e archivi dei metadati di Vertex AI

DSPM valuta la conformità a questo controllo ogni volta che un account utente legge un tipo di risorsa supportato.

Questo controllo cloud richiede l'abilitazione degli audit log di accesso ai dati per Cloud Storage e Vertex AI.

Le limitazioni includono quanto segue:

  • Sono supportate solo le operazioni di lettura.
  • L'accesso da parte degli account di servizio, inclusa la simulazione dell'identità degli account di servizio, è esente da questo controllo. Come mitigazione, assicurati che solo i service account attendibili abbiano accesso alle risorse sensibili di Cloud Storage, BigQuery e Vertex AI. Inoltre, non concedere il ruolo Creatore token service account (roles/iam.serviceAccountTokenCreator) agli utenti che non devono avere accesso.
  • Questo controllo non impedisce l'accesso degli utenti alle copie create tramite operazioni del account di servizio, ad esempio quelle eseguite da Storage Transfer Service e BigQuery Data Transfer Service. Gli utenti potrebbero accedere a copie dei dati per cui questo controllo non è attivo.
  • I set di dati collegati non sono supportati. I set di dati collegati creano un set di dati BigQuery di sola lettura che funge da link simbolico a un set di dati di origine. I set di dati collegati non generano log di controllo dell'accesso ai dati e potrebbero consentire a un utente non autorizzato di leggere i dati senza che vengano segnalati. Ad esempio, un utente potrebbe aggirare il controllo dell'accesso collegando un set di dati a un set di dati al di fuori del tuo confine di conformità e potrebbe quindi eseguire query sul nuovo set di dati senza generare log sul set di dati di origine. Come mitigazione, non concedere i ruoli BigQuery Admin (roles/bigquery.admin), BigQuery Data Owner (roles/bigquery.dataOwner) o BigQuery Studio Admin (roles/bigquery.studioAdmin) agli utenti che non devono avere accesso a risorse BigQuery sensibili.
  • Le query sulle tabelle con caratteri jolly sono supportate a livello di set di dati, ma non a livello di set di tabelle. Questa funzionalità consente di eseguire query su più tabelle BigQuery contemporaneamente utilizzando espressioni con caratteri jolly. DSPM elabora le query con caratteri jolly come se stessi accedendo al set di dati BigQuery padre, non a singole tabelle all'interno del set di dati.
  • L'accesso pubblico agli oggetti Cloud Storage non è supportato. L'accesso pubblico concede l'accesso a tutti gli utenti senza controlli dei criteri.
  • L'accesso o i download di oggetti Cloud Storage utilizzando sessioni del browser autenticate non sono supportati.

Controllo cloud della governance del flusso di dati

Questo controllo ti consente di specificare i paesi consentiti da cui è possibile accedere ai dati. Il controllo cloud funziona nel seguente modo:

  • Se una richiesta di lettura proviene da internet, il paese viene determinato in base all'indirizzo IP della richiesta di lettura. Se viene utilizzato un proxy per inviare la richiesta di lettura, gli avvisi vengono inviati in base alla posizione del proxy.

  • Se la richiesta di lettura proviene da una VM di Compute Engine, il paese viene determinato dalla zona cloud da cui ha origine la richiesta.

I tipi di asset supportati includono:

  • Set di dati e tabelle BigQuery
  • Bucket Cloud Storage
  • Modelli, set di dati, feature store e archivi di metadati Vertex AI

Le limitazioni includono quanto segue:

  • Sono supportate solo le operazioni di lettura.
  • Per Vertex AI, sono supportate solo le richieste da internet.
  • L'accesso pubblico agli oggetti Cloud Storage non è supportato.
  • L'accesso o i download di oggetti Cloud Storage utilizzando sessioni del browser autenticate non sono supportati.

Controllo cloud della protezione dei dati e della governance delle chiavi

Questo controllo richiede di criptare risorse specifiche utilizzando le chiavi CMEK.

I tipi di asset supportati includono:

  • Set di dati e tabelle BigQuery
  • Modelli, set di dati, feature store e metadatastore Vertex AI

Controllo cloud per l'eliminazione dei dati

Questo controllo regola il periodo di conservazione dei dati sensibili. Puoi selezionare le risorse (ad esempio, le tabelle BigQuery) e applicare un controllo cloud di eliminazione dei dati che rileva se una delle risorse viola i limiti di conservazione dell'età massima.

I tipi di asset supportati includono:

  • Set di dati e tabelle BigQuery
  • Modelli, set di dati, feature store e archivi dei metadati di Vertex AI

Passaggi successivi