En este documento se describe cómo puede habilitar y usar la gestión de la posición de seguridad de los datos (DSPM).
Habilitar DSPM
Para habilitar DSPM a nivel de organización, sigue estos pasos:
-
Para obtener los permisos que necesitas para habilitar DSPM, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:
-
Administrador de la organización (
roles/resourcemanager.organizationAdmin) -
Administrador del Centro de Seguridad (
roles/securitycenter.admin)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
-
Administrador de la organización (
- Habilita DSPM con uno de estos métodos:
- Si no has activado Security Command Center en tu organización, activa Security Command Center Enterprise.
- Si ya has activado el nivel de servicio Enterprise de Security Command Center, añade DSPM en la página Activar DSPM.
- Habilita el descubrimiento de los recursos que quieras proteger con DSPM.
Cuando habilitas DSPM, también se habilitan los siguientes servicios:
- Gestor de cumplimiento para crear, aplicar y gestionar marcos de seguridad de datos y controles en la nube.
- Protección de Datos Sensibles para usar señales de sensibilidad de los datos en la evaluación de riesgos de los datos predeterminada.
- Event Threat Detection (parte de Security Command Center) a nivel de organización para usar el control en la nube de gestión del acceso a datos y el control en la nube de gestión del flujo de datos
- AI Protection para proteger el ciclo de vida de tus cargas de trabajo de IA.
El agente del servicio DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) se crea cuando habilitas DSPM.
Para obtener información sobre los roles de gestión de identidades y accesos de DSPM, consulta Gestión de identidades y accesos para activaciones a nivel de organización.
Usar el panel de control de DSPM
Sigue estos pasos para usar el panel de control y analizar tu postura de seguridad de datos.
-
Para obtener los permisos que necesitas para usar el panel de control de DSPM, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:
-
Administrador de gestión de la postura de seguridad de los datos (
roles/dspm.admin) -
Administrador del Centro de Seguridad (
roles/securitycenter.admin) -
Para obtener acceso de solo lectura, haz lo siguiente:
-
Lector de gestión de la postura de seguridad de los datos (
roles/dspm.viewer) -
Lector de administración del centro de seguridad (
roles/securitycenter.adminViewer)
-
Lector de gestión de la postura de seguridad de los datos (
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
-
Administrador de gestión de la postura de seguridad de los datos (
- Usa el panel de control de DSPM para descubrir datos y analizar riesgos. Cuando habilitas la DSPM, puedes evaluar inmediatamente cómo se alinea tu entorno con el marco de los aspectos esenciales de la seguridad y la privacidad de los datos.
En la consola, haga clic en la pestaña Seguridad y cumplimiento de datos, en Protección de datos.
Ir al panel de seguridad de los datos
La siguiente información está disponible:
- Explorador de mapas de datos
- Resultados de seguridad de los datos
- Estadísticas sobre los controles y los marcos de seguridad de datos aplicados
Usa esta información para revisar y corregir los resultados, de forma que tu entorno se ajuste mejor a tus requisitos de seguridad y cumplimiento.
El explorador del mapa de datos puede tardar 24 horas en rellenar todos los datos de Security Command Center y Cloud Asset Inventory después de que actives Security Command Center.
Crear marcos de seguridad de datos personalizados
Si es necesario, copia el marco de trabajo de los aspectos esenciales de la privacidad y la seguridad de los datos y personalízalo para que se ajuste a tus requisitos de seguridad y cumplimiento de los datos. Para ver las instrucciones, consulta Aplicar un framework.
Implementar controles de seguridad de datos avanzados en la nube
Si es necesario, añade los controles de nube de seguridad de datos avanzada en marcos personalizados. Estos controles requieren una configuración adicional. Para obtener instrucciones sobre cómo desplegar controles y marcos de trabajo en la nube, consulta el artículo Aplicar un marco de trabajo.
Ten en cuenta lo siguiente:
Consulta la información de cada control de seguridad de datos avanzado en la nube para ver las limitaciones.
Completa las tareas de cada regla, tal como se describe en la siguiente tabla.
Regla Configuración adicional Control de la nube de gobierno de acceso a datos - Habilita los registros de auditoría de acceso a datos de Cloud Storage y Vertex AI (si procede en tu entorno).
Asigna el valor
DATA_READal tipo de permiso de acceso a los datos. Habilita los registros de acceso a datos a nivel de organización o de proyecto, en función de dónde apliques el control en la nube de gobernanza de acceso a datos.Verifica que solo los principales autorizados estén exentos del registro de auditoría. Los principales exentos del registro de auditoría también están exentos de DSPM.
- Añade uno o varios principales permitidos (hasta un máximo de 200) con uno de los siguientes formatos:
- Para un usuario,
principal://goog/subject/USER_EMAIL_ADDRESSEjemplo:
principal://goog/subject/alex@example.com - En el caso de un grupo,
principalSet://goog/group/GROUP_EMAIL_ADDRESSEjemplo:
principalSet://goog/group/my-group@example.com
- Para un usuario,
Control de la nube de gobierno del flujo de datos Habilita los registros de auditoría de acceso a datos de Cloud Storage y Vertex AI(si procede en tu entorno).
Asigna el valor
DATA_READal tipo de permiso de acceso a los datos. Habilita los registros de acceso a datos a nivel de organización o de proyecto, en función de dónde apliques el control en la nube de gobernanza de acceso a datos.Verifica que solo los principales autorizados estén exentos del registro de auditoría. Los principales exentos del registro de auditoría también están exentos de DSPM.
- Especifique los países permitidos mediante los códigos de país definidos en el repositorio de datos de configuración regional común de Unicode (CLDR).
Control de protección de datos y gestión de claves en la nube Habilita CMEK en BigQuery y Vertex AI. Controles de eliminación de datos en la nube Define los periodos de conservación. Por ejemplo, para definir un periodo de conservación de 90 días en segundos, defina el periodo de conservación en 777600.- Habilita los registros de auditoría de acceso a datos de Cloud Storage y Vertex AI (si procede en tu entorno).