Use a gestão da postura de segurança dos dados

Este documento descreve como pode ativar e usar a gestão da postura de segurança de dados (DSPM).

Ative o DSPM

Conclua os passos seguintes para ativar a DSPM ao nível da organização:

  1. Para receber as autorizações de que precisa para ativar a DSPM, peça ao seu administrador que lhe conceda as seguintes funções do IAM na sua organização:

    Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

    Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

  2. Ative o DSPM através de um dos seguintes métodos:
  3. Ative a deteção dos recursos que quer proteger com o DSPM.

Quando ativa a DSPM, os seguintes serviços também são ativados:

  • Gestor de conformidade para criar, aplicar e gerir frameworks de segurança de dados e controlos na nuvem.
  • Proteção de dados confidenciais para usar sinais de sensibilidade dos dados para a avaliação de risco de dados predefinida.
  • Event Threat Detection (parte do Security Command Center) ao nível da organização para usar o controlo na nuvem de governação do acesso aos dados e o controlo na nuvem de governação do fluxo de dados
  • Proteção de IA para ajudar a proteger o ciclo de vida das suas cargas de trabalho de IA.

O agente do serviço DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.) é criado quando ativa o DSPM.

Para ver informações sobre as funções de gestão de identidade e acesso da DSPM, consulte o artigo Gestão de identidade e acesso para ativações ao nível da organização.

Use o painel de controlo da DSPM

Conclua as ações seguintes para usar o painel de controlo para analisar a sua postura de segurança de dados.

  1. Para receber as autorizações de que precisa para usar o painel de controlo da DSPM, peça ao seu administrador que lhe conceda as seguintes funções de IAM na sua organização:

    Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

    Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

  2. Use o painel de controlo da DSPM para a deteção de dados e a análise de riscos. Quando ativa a DSPM, pode avaliar imediatamente a forma como o seu ambiente se alinha com a estrutura de segurança e privacidade de dados essenciais.

    Na consola, clique no separador Segurança e conformidade dos dados em Proteção de dados.

    Aceda ao painel de controlo de segurança dos dados

    Estão disponíveis as seguintes informações:

    • Explorador de mapas de dados
    • Resultados da segurança dos dados
    • Estatísticas sobre os controlos e as estruturas de segurança de dados aplicados

    Use estas informações para rever e corrigir as conclusões, de modo que o seu ambiente se alinhe melhor com os seus requisitos de segurança e conformidade.

    O explorador do mapa de dados pode demorar 24 horas após a ativação do Security Command Center a preencher todos os dados do Security Command Center e do Cloud Asset Inventory.

Crie frameworks de segurança de dados personalizados

Se necessário, copie a estrutura de elementos essenciais de segurança e privacidade de dados e personalize-a para cumprir os seus requisitos de segurança e conformidade de dados. Para ver instruções, consulte o artigo Aplique uma estrutura.

Implemente controlos da nuvem de segurança de dados avançados

Se necessário, adicione os controlos da nuvem de segurança de dados avançada em frameworks personalizados. Estes controlos requerem uma configuração adicional. Para ver instruções sobre a implementação de controlos e frameworks na nuvem, consulte o artigo Aplique um framework.

Considere o seguinte:

  • Reveja as informações de cada controlo de segurança de dados avançado na nuvem para conhecer as limitações.

  • Conclua as tarefas de cada regra, conforme descrito na tabela seguinte.

    Regra Configuração adicional
    Controlo na nuvem da gestão do acesso aos dados
    • Ative os registos de auditoria de acesso a dados para o Cloud Storage e a Vertex AI (quando aplicável no seu ambiente).

      Defina o tipo de autorização de acesso a dados como DATA_READ. Ative os registos de acesso a dados ao nível da organização ou do projeto, consoante o local onde aplica o controlo na nuvem de governação de acesso a dados.

      Verifique se apenas os principais autorizados estão isentos do registo de auditoria. Os principais isentos do registo de auditoria também estão isentos da DSPM.

    • Adicione um ou mais principais permitidos (até um máximo de 200 principais) através de um dos seguintes formatos:
      • Para um utilizador, principal://goog/subject/USER_EMAIL_ADDRESS

        Exemplo: principal://goog/subject/alex@example.com

      • Para um grupo, principalSet://goog/group/GROUP_EMAIL_ADDRESS

        Exemplo: principalSet://goog/group/my-group@example.com
    Controlo de nuvem de gestão do fluxo de dados

    • Ative os registos de auditoria de acesso a dados para o Cloud Storage e a Vertex AI(quando aplicável no seu ambiente).

      Defina o tipo de autorização de acesso a dados como DATA_READ. Ative os registos de acesso a dados ao nível da organização ou do projeto, consoante o local onde aplica o controlo na nuvem de governação de acesso a dados.

      Verifique se apenas os principais autorizados estão isentos do registo de auditoria. Os principais isentos do registo de auditoria também estão isentos da DSPM.

    • Especifique os países permitidos através dos códigos de países definidos no Unicode Common Locale Data Repository (CLDR).
    Proteção de dados e controlo de nuvem de gestão de chaves Ative as CMEK no BigQuery e no Vertex AI.
    Controlos de eliminação de dados na nuvem Defina os períodos de retenção. Por exemplo, para definir um período de retenção de 90 dias em segundos, defina o período de retenção como 777600.

O que se segue?