数据安全状况管理 (DSPM) 可帮助您了解自己拥有哪些数据、数据存储在何处,以及数据的使用方式是否符合您的安全和合规性要求。借助 DSPM,您可以完成以下任务:
使用资源类型、位置、项目 ID 等过滤条件,在 Google Cloud 环境中发现数据资源。
根据 Google 建议的最佳实践评估您当前的数据安全状况,以便发现并解决潜在的安全和合规性问题。
将您的数据安全和合规性要求与数据安全云控制措施相关联。
使用框架应用数据安全云控制措施。
监控工作负载与应用的数据安全框架的契合度,修正任何违规行为,并生成审核证据。
DSPM 可与 Sensitive Data Protection 搭配使用。 Sensitive Data Protection 可查找组织中的敏感数据,而 DSPM 可让您在敏感数据上部署数据安全云控制措施,以满足您的安全和合规性要求。
DSPM 组件
以下部分介绍了 DSPM 的组成部分。
数据安全信息中心
借助Google Cloud 控制台中的数据安全信息中心,您可以了解组织的数据是否符合数据安全和合规性要求。
数据安全信息中心内的数据地图浏览器会显示数据的存储地理位置,并允许您按地理位置、数据敏感程度、关联项目以及存储数据的Google Cloud 服务来过滤数据相关信息。数据地图上的圆圈表示相应区域内数据资源和存在提醒的数据资源的相对数量。
您可以查看数据安全发现结果,这些结果会在数据资源违反数据安全云控制时出现。数据安全发现结果使用DATA_SECURITY发现结果类别。生成新的发现结果后,该结果最多可能需要两小时才会显示在数据地图探索器中。
您还可以查看有关已部署的数据安全框架、与每个框架关联的未解决的发现结果数量,以及环境中至少受一个框架覆盖的资源百分比等信息。
数据安全框架
您可以使用框架来定义数据安全性和合规性要求,并将这些要求应用于您的 Google Cloud 环境。DSPM 包含数据安全和隐私保护基本框架,该框架定义了数据安全和合规性的建议基准控制措施。启用 DSPM 后,系统会自动以检测模式将此框架应用于Google Cloud 组织。您可以根据生成的发现结果来加强数据安全态势。
如有需要,您可以复制该框架,以创建自定义数据安全框架。您可以将高级数据安全云控制措施添加到自定义框架,并将自定义框架应用于组织、文件夹或项目。例如,您可以创建自定义框架,将管辖区控制措施应用于特定文件夹,以确保这些文件夹中的数据保留在特定地理区域内。
数据安全与隐私权基本框架
以下云控制措施是“数据安全和隐私权基本知识”框架的一部分。
| 云控制措施 | 说明 |
|---|---|
敏感数据 BIGQUERY 表 CMEK 已停用 |
检测未对包含敏感数据的 BigQuery 表使用 CMEK 的情况。 |
敏感数据数据集 CMEK 已停用 |
检测未对包含敏感数据的 BigQuery 数据集使用 CMEK 的情况。 |
敏感数据公共数据集 |
检测可公开访问的 BigQuery 数据集中的敏感数据。 |
敏感数据公共 SQL 实例 |
检测可公开访问的 SQL 数据库中的敏感数据。 |
敏感数据 SQL CMEK 已停用 |
检测未对包含敏感数据的 SQL 数据库使用 CMEK 的情况。 |
高级数据安全云控制
DSPM 包含高级数据安全云控制措施,可帮助您满足额外的数据安全要求。这些高级数据安全云控制措施包括:
- 数据访问治理:检测指定正文以外的正文是否正在访问敏感数据。
- 数据流治理:检测指定地理位置(国家/地区)以外的客户端是否正在访问敏感数据。
- 数据保护和密钥治理:检测是否在未采用客户管理的加密密钥 (CMEK) 加密的情况下创建敏感数据。
- 数据删除:检测是否违反了敏感数据的最长保留期限政策。
这些控制措施仅支持检测模式。如需详细了解如何部署这些控制措施,请参阅使用 DSPM。
数据安全云控制
以下部分介绍了高级数据安全云控制。
数据访问权限治理云控制
此控制措施可将对敏感数据的访问权限限制为指定的主账号集。 当有不合规的访问尝试(由允许的主账号以外的主账号访问数据资源)时,系统会创建一项发现。支持的主账号类型为用户账号或群组。如需了解要使用哪种格式,请参阅支持的主账号格式表格。
用户账号包括以下内容:
- 用户在 google.com 上注册的个人 Google 账号,例如 Gmail.com 账号
- 面向企业的受管理的 Google 账号
- Google Workspace 教育版账号
用户账号不包括机器人账号、服务账号、仅限委托的品牌账号、资源账号和设备账号。
支持的素材资源类型包括:
- BigQuery 数据集和表
- Cloud Storage 存储桶
- Vertex AI 模型、数据集、特征库和元数据存储区
每当用户账号读取受支持的资源类型时,DSPM 都会评估是否符合此控制措施。
此云控制措施要求您为 Cloud Storage 和 Vertex AI 启用数据访问审核日志。
限制包括:
- 仅支持读取操作。
- 服务账号的访问权限(包括服务账号模拟)不受此控制措施的限制。作为缓解措施,请确保只有可信的服务账号才能访问敏感的 Cloud Storage、BigQuery 和 Vertex AI 资源。此外,请勿向不应具有访问权限的用户授予 Service Account Token Creator (
roles/iam.serviceAccountTokenCreator) 角色。 - 此控制措施不会阻止用户通过服务账号操作(例如 Storage Transfer Service 和 BigQuery Data Transfer Service 所做的操作)访问所创建的副本。用户可以访问未启用此控制功能的副本数据。
- 不支持关联的数据集。关联数据集会创建一个只读 BigQuery 数据集,用作源数据集的符号链接。关联的数据集不会生成数据访问审核日志,可能会让未经授权的用户读取数据,而不会被标记为违规。例如,用户可以将数据集关联到合规性边界之外的数据集,从而绕过访问控制,然后查询新数据集,而不会针对源数据集生成日志。为缓解此问题,请勿向不应访问敏感 BigQuery 资源的用户授予 BigQuery Admin (
roles/bigquery.admin)、BigQuery Data Owner (roles/bigquery.dataOwner) 或 BigQuery Studio Admin (roles/bigquery.studioAdmin) 角色。 - 数据集级层支持通配符表查询,但表集级层不支持。借助此功能,您可以使用通配符表达式同时查询多个 BigQuery 表。DSPM 处理通配符查询的方式与您访问父 BigQuery 数据集(而非数据集中的各个表)的方式相同。
- 不支持公开访问 Cloud Storage 对象。公开访问权限可让所有用户访问,而无需进行任何政策检查。
- 不支持使用经过身份验证的浏览器会话访问或下载 Cloud Storage 对象。
数据流治理云控制措施
借助此控件,您可以指定允许哪些国家/地区访问数据。云控制的工作原理如下:
如果读取请求来自互联网,则系统会根据读取请求的 IP 地址确定国家/地区。如果使用代理发送读取请求,系统会根据代理的位置发送提醒。
如果读取请求来自 Compute Engine 虚拟机,则国家/地区由请求来源的云区域确定。
支持的素材资源类型包括:
- BigQuery 数据集和表
- Cloud Storage 存储桶
- Vertex AI 模型、数据集、特征库和元数据存储区
限制包括:
- 仅支持读取操作。
- 对于 Vertex AI,仅支持来自互联网的请求。
- 不支持公开访问 Cloud Storage 对象。
- 不支持使用经过身份验证的浏览器会话访问或下载 Cloud Storage 对象。
数据保护和密钥治理云控制
此控制措施要求您使用 CMEK 加密特定资源。
支持的素材资源类型包括:
- BigQuery 数据集和表
- Vertex AI 模型、数据集、特征存储区和元数据存储区
数据删除云控制措施
此控制措施用于管理敏感数据的保留期限。您可以选择资源(例如 BigQuery 表),然后应用数据删除云控制功能,以检测是否有任何资源违反了最长保留期限限制。
支持的素材资源类型包括:
- BigQuery 数据集和表
- Vertex AI 模型、数据集、特征库和元数据存储区