Este documento descreve como pode ativar e usar a gestão da postura de segurança de dados (DSPM).
Ative o DSPM
Conclua os passos seguintes para ativar a DSPM ao nível da organização:
-
Para receber as autorizações de que precisa para ativar a DSPM, peça ao seu administrador que lhe conceda as seguintes funções do IAM na sua organização:
-
Administrador da organização (
roles/resourcemanager.organizationAdmin) -
Administrador do centro de segurança (
roles/securitycenter.admin)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
-
Administrador da organização (
- Ative o DSPM através de um dos seguintes métodos:
- Se não ativou o Security Command Center na sua organização, ative o Security Command Center Enterprise.
- Se já ativou o nível de serviço Enterprise do Security Command Center, adicione o DSPM através da página Ativar DSPM.
- Ative a deteção dos recursos que quer proteger com o DSPM.
Quando ativa a DSPM, os seguintes serviços também são ativados:
- Gestor de conformidade para criar, aplicar e gerir frameworks de segurança de dados e controlos na nuvem.
- Proteção de dados confidenciais para usar sinais de sensibilidade dos dados para a avaliação de risco de dados predefinida.
- Event Threat Detection (parte do Security Command Center) ao nível da organização para usar o controlo na nuvem de governação do acesso aos dados e o controlo na nuvem de governação do fluxo de dados
- Proteção de IA para ajudar a proteger o ciclo de vida das suas cargas de trabalho de IA.
O agente do serviço DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) é criado quando ativa o DSPM.
Para ver informações sobre as funções de gestão de identidade e acesso da DSPM, consulte o artigo Gestão de identidade e acesso para ativações ao nível da organização.
Use o painel de controlo da DSPM
Conclua as ações seguintes para usar o painel de controlo para analisar a sua postura de segurança de dados.
-
Para receber as autorizações de que precisa para usar o painel de controlo da DSPM, peça ao seu administrador que lhe conceda as seguintes funções de IAM na sua organização:
-
Administrador da gestão da postura de segurança dos dados (
roles/dspm.admin) -
Administrador do centro de segurança (
roles/securitycenter.admin) -
Para acesso só de leitura:
-
Visualizador de gestão da postura de segurança dos dados (
roles/dspm.viewer) -
Visualizador de administrador do centro de segurança (
roles/securitycenter.adminViewer)
-
Visualizador de gestão da postura de segurança dos dados (
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
-
Administrador da gestão da postura de segurança dos dados (
- Use o painel de controlo da DSPM para a deteção de dados e a análise de riscos. Quando ativa a DSPM, pode avaliar imediatamente
a forma como o seu ambiente se alinha com a estrutura
de segurança e privacidade de dados essenciais.
Na consola, clique no separador Proteção de dados em Segurança e conformidade de dados.
Aceda ao painel de controlo de segurança dos dados
Estão disponíveis as seguintes informações:
- Explorador de mapas de dados
- Resultados da segurança dos dados
- Estatísticas sobre os controlos e as estruturas de segurança de dados aplicados
Use estas informações para rever e corrigir as conclusões, de modo que o seu ambiente se alinhe melhor com os seus requisitos de segurança e conformidade.
Quando vê o painel de controlo ao nível da organização e implementa aplicações numa pasta com apps ativadas, pode selecionar uma aplicação para filtrar o painel de controlo de modo a mostrar apenas as conclusões e as estatísticas que se aplicam à aplicação. Tenha em consideração as seguintes latências de análise quando rever os dados:
- O painel de principais conclusões pode mostrar dados de configuração de recursos desatualizados. Por exemplo, o recurso principal de uma descoberta pode estar associado a uma aplicação desatualizada.
- O seletor de aplicações pode não apresentar as aplicações e os registos de recursos que foram criados nas últimas 24 horas.
O explorador do mapa de dados pode demorar 24 horas após a ativação do Security Command Center a preencher todos os dados do Security Command Center e do Cloud Asset Inventory.
Crie frameworks de segurança de dados personalizados
Se necessário, copie a estrutura de essenciais de segurança e privacidade de dados e personalize-a para cumprir os seus requisitos de segurança e conformidade de dados. Para ver instruções, consulte o artigo Aplique uma estrutura.
Implemente controlos da nuvem de segurança de dados avançados
Se necessário, adicione os controlos na nuvem de segurança de dados avançada a frameworks personalizados. Estes controlos requerem uma configuração adicional antes de os poder implementar. Para ver instruções sobre a implementação de controlos e frameworks na nuvem, consulte o artigo Aplique um framework.
Pode implementar frameworks que incluem controlos de nuvem de segurança de dados avançados na sua organização, pastas, projetos e aplicações em pastas com apps ativadas no App Hub. Para implementar os controlos de nuvem de segurança de dados avançada contra aplicações, a estrutura só pode incluir estes controlos. Tem de selecionar a pasta com a app e a aplicação que quer que os controlos na nuvem monitorizem. As aplicações em projetos anfitriões não são suportadas.
Considere o seguinte:
Reveja as informações de cada controlo de segurança de dados avançado na nuvem para conhecer as limitações.
Conclua as tarefas de cada regra, conforme descrito na tabela seguinte.
Regra Configuração adicional Controlo na nuvem da gestão do acesso aos dados - Ative os registos de auditoria de acesso a dados para o Cloud Storage e a Vertex AI (quando aplicável no seu ambiente).
Defina o tipo de autorização de acesso a dados como
DATA_READ. Ative os registos de acesso a dados ao nível da organização ou do projeto, consoante o local onde aplica o controlo na nuvem de governação de acesso a dados.Verifique se apenas os principais autorizados estão isentos do registo de auditoria. Os diretores isentos do registo de auditoria também estão isentos da DSPM.
- Adicione um ou mais principais permitidos (até um máximo de 200 principais) através de um dos seguintes formatos:
- Para um utilizador,
principal://goog/subject/USER_EMAIL_ADDRESSExemplo:
principal://goog/subject/alex@example.com - Para um grupo,
principalSet://goog/group/GROUP_EMAIL_ADDRESSExemplo:
principalSet://goog/group/my-group@example.com
- Para um utilizador,
Controlo de nuvem de gestão do fluxo de dados Ative os registos de auditoria de acesso a dados para o Cloud Storage e a Vertex AI(quando aplicável no seu ambiente).
Defina o tipo de autorização de acesso a dados como
DATA_READ. Ative os registos de acesso a dados ao nível da organização ou do projeto, consoante o local onde aplica o controlo na nuvem de governação de acesso a dados.Verifique se apenas os principais autorizados estão isentos do registo de auditoria. Os diretores isentos do registo de auditoria também estão isentos da DSPM.
- Especifique os países permitidos através dos códigos de países definidos no Unicode Common Locale Data Repository (CLDR).
Proteção de dados e controlo de nuvem de gestão de chaves Ative as CMEK no BigQuery e no Vertex AI. Controlos de eliminação de dados na nuvem Defina os períodos de retenção. Por exemplo, para definir um período de retenção de 90 dias em segundos, defina o período de retenção como 777600.- Ative os registos de auditoria de acesso a dados para o Cloud Storage e a Vertex AI (quando aplicável no seu ambiente).