En este documento, se describe cómo puedes habilitar y usar la Administración de la postura de seguridad de los datos (DSPM).
Habilita DSPM
Para habilitar DSPM a nivel de la organización, completa los siguientes pasos:
-
Para obtener los permisos que necesitas para habilitar la DSPM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
-
Administrador de la organización (
roles/resourcemanager.organizationAdmin) -
Administrador del centro de seguridad (
roles/securitycenter.admin)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
-
Administrador de la organización (
- Habilita DSPM con uno de los siguientes métodos:
- Si no activaste Security Command Center en tu organización, activa Security Command Center Enterprise.
- Si ya activaste el nivel de servicio Enterprise de Security Command Center, agrega la DSPM en la página Activar DSPM.
- Habilita el descubrimiento de los recursos que deseas proteger con DSPM.
Cuando habilitas la DSPM, también se habilitan los siguientes servicios:
- Administrador de cumplimiento para crear, aplicar y administrar marcos de seguridad de los datos y controles de la nube
- Sensitive Data Protection para usar indicadores de sensibilidad de los datos en la evaluación predeterminada del riesgo de los datos
- Detección de eventos de amenazas (parte de Security Command Center) a nivel de la organización para usar el control de nube de administración del acceso a los datos y el control de nube de administración del flujo de datos
- AI Protection para ayudar a proteger el ciclo de vida de tus cargas de trabajo de IA
El agente de servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) se crea cuando habilitas DSPM.
Para obtener información sobre los roles de Identity and Access Management de DSPM, consulta Identity and Access Management para activaciones a nivel de la organización.
Usa el panel de DSPM
Completa las siguientes acciones para usar el panel y analizar tu postura de seguridad de los datos.
-
Para obtener los permisos que necesitas para usar el panel de DSPM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
-
Administrador de Data Security Posture Management (
roles/dspm.admin) -
Administrador del centro de seguridad (
roles/securitycenter.admin) -
Para el acceso de solo lectura, haz lo siguiente:
-
Visualizador de administración de la postura de seguridad de los datos (
roles/dspm.viewer) -
Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer)
-
Visualizador de administración de la postura de seguridad de los datos (
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
-
Administrador de Data Security Posture Management (
- Usa el panel de DSPM para el descubrimiento de datos y el análisis de riesgos. Cuando habilitas la DSPM, puedes evaluar de inmediato cómo se alinea tu entorno con el marco de trabajo de aspectos básicos de la seguridad y la privacidad de los datos.
En la consola, haz clic en la pestaña Seguridad y cumplimiento de los datos en Protección de datos.
Ir al panel de seguridad de los datos
La siguiente información está disponible:
- Explorador del mapa de datos
- Hallazgos de seguridad de los datos
- Estadísticas sobre los controles y marcos de seguridad de los datos aplicados
Usa esta información para revisar y corregir los resultados, de modo que tu entorno se alinee mejor con tus requisitos de seguridad y cumplimiento.
Es posible que el Explorador del mapa de datos tarde 24 horas después de que actives Security Command Center en completar todos los datos de Security Command Center y Cloud Asset Inventory.
Crea marcos de trabajo personalizados para la seguridad de los datos
Si es necesario, copia el marco de trabajo de los aspectos básicos de seguridad y privacidad de los datos y personalízalo para que cumpla con tus requisitos de seguridad y cumplimiento de datos. Para obtener instrucciones, consulta Cómo aplicar un marco de trabajo.
Implementa controles avanzados de seguridad de los datos en la nube
Si es necesario, agrega los controles de seguridad de los datos avanzados en marcos personalizados. Estos controles requieren configuración adicional. Si deseas obtener instrucciones para implementar controles y marcos de trabajo en la nube, consulta Cómo aplicar un marco de trabajo.
Ten en cuenta lo siguiente:
Revisa la información de cada control avanzado de seguridad de los datos en la nube para conocer las limitaciones.
Completa las tareas para cada regla, como se describe en la siguiente tabla.
Regla Configuración adicional Control de acceso a los datos en la nube - Habilita los registros de auditoría de acceso a los datos para Cloud Storage y Vertex AI (cuando corresponda en tu entorno).
Establece el tipo de permiso de acceso a los datos en
DATA_READ. Habilita los registros de acceso a los datos a nivel de la organización o del proyecto, según dónde apliques el control de nube de administración de acceso a los datos.Verifica que solo los principales autorizados estén exentos del registro de auditoría. Las principales exentas del registro de auditoría también están exentas de la DSPM.
- Agrega una o más principales permitidas (hasta un máximo de 200) con uno de los siguientes formatos:
- Para un usuario,
principal://goog/subject/USER_EMAIL_ADDRESSEjemplo:
principal://goog/subject/alex@example.com - Para un grupo,
principalSet://goog/group/GROUP_EMAIL_ADDRESSEjemplo:
principalSet://goog/group/my-group@example.com
- Para un usuario,
Control de la nube de administración del flujo de datos Habilita los registros de auditoría de acceso a los datos para Cloud Storage y Vertex AI(cuando corresponda en tu entorno).
Establece el tipo de permiso de acceso a los datos en
DATA_READ. Habilita los registros de acceso a los datos a nivel de la organización o del proyecto, según dónde apliques el control de nube de administración de acceso a los datos.Verifica que solo los principales autorizados estén exentos del registro de auditoría. Las principales exentas del registro de auditoría también están exentas de la DSPM.
- Especifica los países permitidos con los códigos de país definidos en el repositorio de datos de configuración regional común (CLDR) de Unicode.
Control de administración de claves y protección de datos en la nube Habilita la CMEK en BigQuery y Vertex AI. Controles de eliminación de datos en la nube Establece los períodos de retención. Por ejemplo, para establecer un período de retención de 90 días en segundos, configura el período de retención en 777600.- Habilita los registros de auditoría de acceso a los datos para Cloud Storage y Vertex AI (cuando corresponda en tu entorno).