Utilizzare la gestione della security posture dei dati

Questo documento descrive come attivare e utilizzare la gestione della security posture dei dati (DSPM).

Abilita DSPM

Per attivare DSPM a livello di organizzazione:

  1. Per ottenere le autorizzazioni necessarie per abilitare DSPM, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:

    Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

  2. Attiva DSPM utilizzando uno dei seguenti metodi:
  3. Abilita il rilevamento delle risorse che vuoi proteggere con DSPM.

Quando abiliti DSPM, vengono abilitati anche i seguenti servizi:

  • Compliance Manager per creare, applicare e gestire framework di sicurezza dei dati e controlli cloud.
  • Sensitive Data Protection per utilizzare gli indicatori di sensibilità dei dati per la valutazione predefinita del rischio dei dati.
  • Event Threat Detection (parte di Security Command Center) a livello di organizzazione per utilizzare il controllo cloud di governance dell'accesso ai dati e il controllo cloud di governance del flusso di dati
  • AI Protection per proteggere il ciclo di vita dei tuoi workload di AI.

L'agente di servizio DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) viene creato quando abiliti DSPM.

Per informazioni sui ruoli Identity and Access Management di DSPM, consulta Identity and Access Management per le attivazioni a livello di organizzazione.

Utilizzare la dashboard DSPM

Completa le seguenti azioni per utilizzare la dashboard per analizzare la tua postura di sicurezza dei dati.

  1. Per ottenere le autorizzazioni necessarie per utilizzare la dashboard DSPM, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:

    Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

  2. Utilizza la dashboard DSPM per l'individuazione dei dati e l'analisi dei rischi. Quando abiliti DSPM, puoi valutare immediatamente in che modo il tuo ambiente è in linea con il framework Data security and privacy essentials.

    Nella console, fai clic sulla scheda Sicurezza e conformità dei dati nella sezione Protezione dei dati.

    Vai alla dashboard Sicurezza dei dati

    Sono disponibili le seguenti informazioni:

    • Explorer mappa dati
    • Risultati relativi alla sicurezza dei dati
    • Approfondimenti sui controlli e sui framework di sicurezza dei dati applicati

    Utilizza queste informazioni per esaminare e correggere i risultati in modo che il tuo ambiente sia più in linea con i tuoi requisiti di sicurezza e conformità.

    L'esploratore della mappa dei dati potrebbe richiedere 24 ore dopo l'attivazione di Security Command Center per popolare tutti i dati di Security Command Center e Cloud Asset Inventory.

Crea framework personalizzati per la sicurezza dei dati

Se necessario, copia il framework elementi essenziali di sicurezza e privacy dei dati e personalizzalo in base ai tuoi requisiti di sicurezza e conformità dei dati. Per le istruzioni, vedi Applicare un framework.

Esegui il deployment dei controlli cloud avanzati per la sicurezza dei dati

Se necessario, aggiungi i controlli cloud avanzati per la sicurezza dei dati nei framework personalizzati. Questi controlli richiedono una configurazione aggiuntiva. Per istruzioni sul deployment di controlli e framework cloud, consulta Applicare un framework.

Considera quanto segue:

  • Esamina le informazioni per ogni controllo avanzato per la sicurezza dei dati nel cloud per i limiti.

  • Completa le attività per ogni regola, come descritto nella tabella seguente.

    Regola Configurazione aggiuntiva
    Controllo del cloud di governance dell'accesso ai dati
    • Abilita gli audit log di accesso ai dati per Cloud Storage e Vertex AI (se applicabile nel tuo ambiente).

      Imposta il tipo di autorizzazione di accesso ai dati su DATA_READ. Attiva i log degli accessi ai dati a livello di organizzazione o di progetto, a seconda di dove applichi il controllo cloud per la governance degli accessi ai dati.

      Verifica che solo le entità autorizzate siano esenti dalla registrazione degli audit log. Le entità esenti dalla registrazione degli audit log sono esenti anche da DSPM.

    • Aggiungi una o più entità consentite (fino a un massimo di 200 entità) utilizzando uno dei seguenti formati:
      • Per un utente, principal://goog/subject/USER_EMAIL_ADDRESS

        Esempio: principal://goog/subject/alex@example.com

      • Per un gruppo, principalSet://goog/group/GROUP_EMAIL_ADDRESS

        Esempio: principalSet://goog/group/my-group@example.com
    Controllo del cloud di governance del flusso di dati

    • Abilita gli audit log di accesso ai dati per Cloud Storage e Vertex AI(se applicabile nel tuo ambiente).

      Imposta il tipo di autorizzazione di accesso ai dati su DATA_READ. Attiva i log degli accessi ai dati a livello di organizzazione o di progetto, a seconda di dove applichi il controllo cloud per la governance degli accessi ai dati.

      Verifica che solo le entità autorizzate siano esenti dalla registrazione degli audit log. Le entità esenti dalla registrazione degli audit log sono esenti anche da DSPM.

    • Specifica i paesi consentiti utilizzando i codici paese definiti in Unicode Common Locale Data Repository (CLDR).
    Protezione dei dati e controllo del cloud di governance delle chiavi Attiva CMEK in BigQuery e Vertex AI.
    Controlli cloud per l'eliminazione dei dati Imposta i periodi di conservazione. Ad esempio, per impostare un periodo di conservazione di 90 giorni in secondi, imposta il periodo di conservazione su 777600.

Passaggi successivi