本文档介绍了如何启用和使用数据安全状况管理 (DSPM)。
启用 DSPM
完成以下步骤,在组织级层启用 DSPM:
-
如需获得启用 DSPM 所需的权限,请让管理员向您授予组织的以下 IAM 角色:
-
Organization Administrator (
roles/resourcemanager.organizationAdmin) -
Security Center Admin (
roles/securitycenter.admin)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
-
Organization Administrator (
- 您可以使用以下方法之一启用 DSPM:
- 如果您尚未在组织中激活 Security Command Center,请激活 Security Command Center Enterprise。
- 如果您已激活 Security Command Center 的 Enterprise 服务层级,请使用激活 DSPM 页面来添加 DSPM。
- 启用要使用 DSPM 保护的资源的发现功能。
启用 DSPM 后,系统还会启用以下服务:
- 合规性管理器 来创建、应用和管理数据安全框架和云控制措施。
- Sensitive Data Protection,以使用数据敏感度信号进行默认数据风险评估。
- 组织级 Event Threat Detection(Security Command Center 的一部分),以便使用数据访问治理云控制和数据流治理云控制
- AI 保护,可帮助保护 AI 工作负载的整个生命周期。
启用 DSPM 时,系统会创建 DSPM 服务代理 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)。
如需了解 DSPM Identity and Access Management 角色,请参阅组织级层激活的 Identity and Access Management。
使用 DSPM 信息中心
完成以下操作,即可使用信息中心分析数据安全状况。
-
如需获得使用 DSPM 信息中心所需的权限,请让管理员向您授予组织的以下 IAM 角色:
-
Data Security Posture Management Admin (
roles/dspm.admin) -
Security Center Admin (
roles/securitycenter.admin) -
对于只读访问权限:
-
Data Security Posture Management Viewer (
roles/dspm.viewer) -
Security Center Admin Viewer (
roles/securitycenter.adminViewer)
-
Data Security Posture Management Viewer (
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
-
Data Security Posture Management Admin (
- 使用 DSPM 信息中心进行数据发现和风险分析。启用 DSPM 后,您可以立即评估您的环境与数据安全和隐私权基本框架的契合度。
在控制台中,点击数据保护下的数据安全与合规性标签页。
以下信息可供查看:
- Data Map Explorer
- 数据安全发现结果
- 有关已应用的数据安全控制措施和框架的分析洞见
您可以根据这些信息查看和修正检测结果,以便您的环境更好地符合安全性和合规性要求。
激活 Security Command Center 后,数据地图浏览器可能需要 24 小时才能填充来自 Security Command Center 和 Cloud Asset Inventory 的所有数据。
创建自定义数据安全框架
如果需要,请复制数据安全和隐私权保护基本框架,并根据您的数据安全和合规性要求进行自定义。如需查看相关说明,请参阅应用框架。
部署高级数据安全云控制
如果需要,请在自定义框架中添加高级数据安全云控制措施。这些控制措施需要额外配置。如需了解如何部署云控制措施和框架,请参阅应用框架。
请考虑以下事项:
查看每项高级数据安全云控制的相关信息,了解其限制。
按照下表中的说明完成每条规则的任务。
规则 其他配置 数据访问权限治理云控制 - 为 Cloud Storage 和 Vertex AI(如果您的环境适用)启用数据访问审核日志。
将数据访问权限类型设置为
DATA_READ。在组织级层或项目级层启用数据访问日志,具体取决于您在哪个级层应用数据访问权限治理云控制措施。验证只有已获授权的主账号才能免于接受审核日志记录。获得审核日志记录豁免的主账号也会获得 DSPM 豁免。
- 使用以下某种格式添加一个或多个允许的主账号(最多 200 个主账号):
- 对于用户,
principal://goog/subject/USER_EMAIL_ADDRESS示例:
principal://goog/subject/alex@example.com - 对于群组,
principalSet://goog/group/GROUP_EMAIL_ADDRESS示例:
principalSet://goog/group/my-group@example.com
- 对于用户,
数据流治理云控制 为 Cloud Storage 和 Vertex AI(如果您的环境适用)启用数据访问审核日志。
将数据访问权限类型设置为
DATA_READ。在组织级层或项目级层启用数据访问日志,具体取决于您在哪个级层应用数据访问权限治理云控制措施。验证只有已获授权的主账号才能免于接受审核日志记录。获得审核日志记录豁免的主账号也会获得 DSPM 豁免。
- 使用 Unicode 通用语言区域数据代码库 (CLDR)中定义的国家/地区代码指定允许的国家/地区。
数据保护和密钥治理云控制 在 BigQuery 和 Vertex AI 中启用 CMEK。 数据删除云端控制 设置保留期限。例如,如需将保留期限设置为 90 天(以秒为单位),请将保留期限设置为 777600。- 为 Cloud Storage 和 Vertex AI(如果您的环境适用)启用数据访问审核日志。
后续步骤
- 查看与数据安全相关的发现结果。