使用 Data Security Posture Management

本文档介绍了如何启用和使用 Data Security Posture Management (DSPM)

启用 DSPM

您可以在激活 Security Command Center 期间或之后启用 DSPM。

完成以下步骤,在组织级层启用 DSPM:

  1. 如需获取启用 DSPM 所需的权限,请让管理员为您授予对您所在组织的以下 IAM 角色:

    如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

    您也可以通过自定义角色或其他预定义角色来获取所需的权限。

  2. 您可以使用以下方法之一启用 DSPM:
    场景 说明
    您尚未激活 Security Command Center,或者使用的是 Security Command Center 标准方案,但想使用 Security Command Center 高级方案。 通过为组织激活 Security Command Center Premium 来启用 DSPM。
    您尚未激活 Security Command Center,但想使用 Security Command Center 企业方案。 通过激活 Security Command Center 企业方案来启用 DSPM。
    您之前已激活 Security Command Center 高级方案,现在想要启用 DSPM。 使用设置页面启用 DSPM。

    转到“设置”页面
    您之前已激活 Security Command Center 企业方案,现在想要启用 DSPM。 使用启用 DSPM 页面启用 DSPM。

    前往“启用 DSPM”

    如需详细了解 Security Command Center 层级,请参阅 Security Command Center 服务层级

  3. 启用要使用 DSPM 保护的资源的发现功能。

启用 DSPM 后,系统还会启用以下服务:

  • 合规性管理器:用于创建、应用和管理数据安全框架和云控制措施。
  • Sensitive Data Protection:用于使用数据敏感度信号进行默认数据风险评估。
  • 组织级 Event Threat Detection(Security Command Center 的一部分):用于使用数据访问权限治理云控制措施和数据流治理云控制措施。
  • AI Protection:用于帮助保护 AI 工作负载的整个生命周期(仅限 Security Command Center 企业方案)。

系统会自动将数据安全和隐私保护基本要素框架应用于组织。

启用 DSPM 时,系统会创建 DSPM 服务代理 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)。

如需了解 DSPM Identity and Access Management 角色,请参阅组织级层激活的 Identity and Access Management

DSPM 对 VPC Service Controls 边界的支持

在包含 VPC Service Controls 边界的组织中启用 DSPM 时,请注意以下事项:

  • 查看 Security Command Center 的限制

  • 您无法使用服务边界来帮助保护 DSPM 资源,因为所有资源都位于组织级别。如需管理 DSPM 权限,请使用 IAM

  • 由于 DSPM 是在组织级层启用的,因此无法检测服务边界内的数据风险和违规行为。如需允许访问,请完成以下操作:

    1. 确保您拥有在组织级配置 VPC Service Controls 所需的角色

    2. 配置以下入站规则:

    - ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"

    DSPM_SA_EMAIL_ADDRESS 替换为 DSPM 服务代理 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) 的邮箱。

    启用 DSPM 时,系统会授予服务代理所需的 IAM 角色,而这些角色决定了服务代理可以执行哪些操作。

    如需详细了解入站规则,请参阅配置入站和出站政策

使用 DSPM 信息中心

完成以下操作,即可使用信息中心分析数据安全状况。

  1. 如需获得使用 DSPM 信息中心所需的权限,请让管理员为您授予对您所在组织的以下 IAM 角色:

    如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

    您也可以通过自定义角色或其他预定义角色来获取所需的权限。

  2. 使用 DSPM 信息中心进行数据发现和风险分析。启用 DSPM 后,您可以立即评估您的环境与数据安全和隐私权基本框架的契合度。

    在控制台中,点击数据安全与合规性下的数据保护标签页。

    前往“数据安全信息中心”

    以下信息可供查看:

    • Data Map Explorer
    • 数据安全发现结果
    • 有关已应用的数据安全控制措施和框架的分析洞见

    您可以根据这些信息查看和修正发现结果,以便您的环境更好地符合安全性和合规性要求。

    当您从组织级层查看信息中心,并在已启用应用的文件夹中部署应用时,可以选择一个应用来过滤信息中心,以仅显示适用于该应用的发现结果和数据洞见。查看数据时,请考虑以下扫描延迟时间

    • “重要发现”面板可能会显示过时的资源配置数据。例如,某项发现的主要资源可能与过时的应用相关联。

    • 应用选择器可能不会显示在过去 24 小时内创建的应用和资源注册。

    激活 Security Command Center 后,数据地图浏览器可能需要 24 小时才能填充来自 Security Command Center 和 Cloud Asset Inventory 的所有数据。

创建自定义数据安全框架

如果需要,请复制数据安全和隐私权保护基本框架,并根据您的数据安全和合规性要求进行自定义。如需查看相关说明,请参阅应用框架

部署高级数据安全云控制

如果需要,请在自定义框架中添加高级数据安全云控制措施。您需要先对这些控制措施进行额外配置,然后才能部署它们。如需了解如何部署云控制措施和框架,请参阅应用框架

您可以将包含高级数据安全云控制的框架部署到 App Hub 中已启用应用的文件夹内的组织、文件夹、项目和应用。如需针对应用部署高级数据安全云控制措施,框架只能包含这些控制措施。您必须选择已启用应用的文件夹以及您希望云控制措施监控的应用。不支持宿主项目中的应用。

请考虑以下事项:

  • 查看每项高级数据安全云控制措施的相关信息,了解其限制。

  • 按照下表中的说明完成每条规则的任务。

    规则 其他配置
    数据访问权限治理云控制
    • 为 Cloud Storage 和 Vertex AI(如果您的环境适用)启用数据访问审核日志

      将数据访问权限类型设置为 DATA_READ。在组织级层或项目级层启用数据访问日志,具体取决于您在哪个层级应用数据访问权限治理云控制措施。

      验证只有已获授权的主账号才能免于接受审核日志记录。获得审核日志记录豁免的主账号也会获得 DSPM 豁免。

    • 使用以下某种格式添加一个或多个允许的主账号(最多 200 个主账号):
      • 对于用户:principal://goog/subject/USER_EMAIL_ADDRESS

        示例:principal://goog/subject/alex@example.com

      • 对于群组:principalSet://goog/group/GROUP_EMAIL_ADDRESS

        示例:principalSet://goog/group/my-group@example.com
    数据流治理云控制

    • 为 Cloud Storage 和 Vertex AI(如果您的环境适用)启用数据访问审核日志

      将数据访问权限类型设置为 DATA_READ。在组织级层或项目级层启用数据访问日志,具体取决于您在哪个层级应用数据访问权限治理云控制措施。

      验证只有已获授权的主账号才能免于接受审核日志记录。获得审核日志记录豁免的主账号也会获得 DSPM 豁免。

    • 使用 Unicode 通用语言区域数据代码库 (CLDR) 中定义的国家/地区代码指定允许的国家/地区。
    数据保护和密钥治理云控制措施 BigQueryVertex AI 中启用 CMEK。
    数据删除云端控制 设置保留期限。例如,如需将保留期限设置为 90 天(以秒为单位),请将保留期限设置为 777600

后续步骤