Usar o gerenciamento da postura de segurança de dados

Este documento descreve como ativar e usar o gerenciamento da postura de segurança de dados (DSPM).

Ativar DSPM

Conclua as etapas a seguir para ativar o DSPM no nível da organização:

  1. Para receber as permissões necessárias para ativar o DSPM, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:

    Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

  2. Ative a DSPM usando um dos seguintes métodos:
  3. Ative a descoberta dos recursos que você quer proteger com o DSPM.

Quando você ativa a DSPM, os seguintes serviços também são ativados:

  • Gerenciador de compliance para criar, aplicar e gerenciar estruturas de segurança de dados e controles de nuvem.
  • Proteção de dados sensíveis para usar indicadores de sensibilidade de dados na avaliação de risco de dados padrão.
  • Event Threat Detection (parte do Security Command Center) no nível da organização para usar o controle de acesso a dados e o controle de governança de fluxo de dados na nuvem
  • Proteção de IA para ajudar a proteger o ciclo de vida das suas cargas de trabalho de IA.

O agente de serviço da DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) é criado quando você ativa a DSPM.

Para informações sobre os papéis do gerenciamento de identidade e acesso da DSPM, consulte Identity and Access Management para ativações no nível da organização.

Usar o painel do DSPM

Siga estas etapas para usar o painel e analisar sua postura de segurança de dados.

  1. Para receber as permissões necessárias para usar o painel do DSPM, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:

    Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

  2. Use o painel do DSPM para descoberta de dados e análise de riscos. Ao ativar o DSPM, você pode avaliar imediatamente como seu ambiente se alinha ao framework de princípios básicos de segurança e privacidade de dados.

    No console, clique na guia Segurança de dados e compliance em Proteção de dados.

    Acessar o painel de segurança de dados

    As seguintes informações estão disponíveis:

    • Explorador de mapa de dados
    • Descobertas de segurança de dados
    • Insights sobre controles e estruturas de segurança de dados aplicados

    Use essas informações para revisar e corrigir os resultados, de modo que seu ambiente se alinhe melhor aos requisitos de segurança e compliance.

    O explorador do mapa de dados pode levar até 24 horas após a ativação do Security Command Center para preencher todos os dados do Security Command Center e do Inventário de recursos do Cloud.

Criar frameworks personalizados de segurança de dados

Se necessário, copie a estrutura de princípios básicos de segurança e privacidade de dados e personalize para atender aos seus requisitos de segurança e conformidade de dados. Para instruções, consulte Aplicar um framework.

Implantar controles avançados de segurança de dados na nuvem

Se necessário, adicione os controles avançados de segurança de dados na nuvem em frameworks personalizados. Esses controles exigem configuração adicional. Para instruções sobre como implantar controles e frameworks de nuvem, consulte Aplicar um framework.

Considere o seguinte:

  • Analise as informações de cada controle avançado de segurança de dados na nuvem para conhecer as limitações.

  • Conclua as tarefas de cada regra, conforme descrito na tabela a seguir.

    Regra Configurações avançadas
    Controle de acesso a dados na nuvem
    • Ative os registros de auditoria de acesso a dados para o Cloud Storage e a Vertex AI (quando aplicável no seu ambiente).

      Defina o tipo de permissão de acesso a dados como DATA_READ. Ative os registros de acesso a dados no nível da organização ou do projeto, dependendo de onde você aplica o controle de nuvem de governança de acesso a dados.

      Verifique se apenas os principais autorizados estão isentos da geração de registros de auditoria. As principais isentas do registro de auditoria também são isentas do DSPM.

    • Adicione um ou mais principais permitidos (até um máximo de 200 principais) usando um dos seguintes formatos:
      • Se for um usuário, principal://goog/subject/USER_EMAIL_ADDRESS

        Exemplo: principal://goog/subject/alex@example.com

      • Para um grupo, principalSet://goog/group/GROUP_EMAIL_ADDRESS

        Exemplo: principalSet://goog/group/my-group@example.com
    Controle de governança de fluxo de dados na nuvem

    • Ative os registros de auditoria de acesso a dados para o Cloud Storage e a Vertex AI(quando aplicável no seu ambiente).

      Defina o tipo de permissão de acesso a dados como DATA_READ. Ative os registros de acesso a dados no nível da organização ou do projeto, dependendo de onde você aplica o controle de nuvem de governança de acesso a dados.

      Verifique se apenas os principais autorizados estão isentos da geração de registros de auditoria. As principais isentas do registro de auditoria também são isentas da DSPM.

    • Especifique os países permitidos usando os códigos definidos no Unicode Common Locale Data Repository (CLDR).
    Controle de proteção de dados e governança de chaves na nuvem Ative a CMEK no BigQuery e na Vertex AI.
    Controles de exclusão de dados na nuvem Defina os períodos de retenção. Por exemplo, para definir um período de retenção de 90 dias em segundos, defina o período de armazenamento como 777600.

A seguir