Auf dieser Seite wird beschrieben, wie Sie die Suche nach vertraulichen Daten für Amazon S3 konfigurieren.
Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile.
Diese Funktion ist nur für Kunden verfügbar, die Security Command Center in der Enterprise-Stufe aktiviert haben.
Hinweise
Erstellen Sie in Security Command Center einen Connector für Amazon Web Services (AWS). Entfernen Sie das Häkchen nicht bei Berechtigungen für die Sensitive Data Protection-Erkennung gewähren. Der Schutz sensibler Daten benötigt diese Berechtigungen, um Ihre Amazon S3-Daten zu profilieren.
Wenn Sie bereits einen Connector haben, für den Berechtigungen für die Sensitive Data Protection-Erkennung gewähren nicht ausgewählt ist, lesen Sie den Hilfeartikel Berechtigungen für die Erkennung sensibler Daten für einen vorhandenen AWS-Connector gewähren.
Prüfen Sie, ob Sie die IAM-Berechtigungen haben, die zum Konfigurieren von Datenprofilen auf Organisationsebene erforderlich sind.
Auch wenn Sie nicht die Rolle „Organisationsadministrator“ (
roles/resourcemanager.organizationAdmin
) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin
) haben, können Sie eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss eine Person mit einer dieser Rollen Ihrem Dienst-Agent Zugriff auf die Datenprofilerstellung gewähren.Prüfen Sie, ob Sie eine Inspektionsvorlage in der Region
global
oder in der Region haben, in der Sie die Konfiguration des Erkennungsscans und alle generierten Datenprofile speichern möchten.Mit dieser Aufgabe können Sie eine Inspektionsvorlage nur in der Region
global
automatisch erstellen. Wenn Sie aufgrund von organisatorischen Richtlinien keine Inspektionsvorlage in der Regionglobal
erstellen können, müssen Sie vor dem Ausführen dieser Aufgabe eine Inspektionsvorlage in der Region erstellen, in der Sie die Konfiguration des Erkennungsscans speichern möchten.Wenn Sie Pub/Sub-Benachrichtigungen an ein Thema senden möchten, wenn bestimmte Ereignisse auftreten, z. B. wenn der Schutz sensibler Daten ein neues Bucket erstellt, erstellen Sie ein Pub/Sub-Thema, bevor Sie diese Aufgabe ausführen.
Zum Generieren von Datenprofilen benötigen Sie einen Dienst-Agent-Container und einen Dienst-Agent. Mit dieser Aufgabe können Sie sie automatisch erstellen.
Scankonfiguration erstellen
Rufen Sie die Seite Scankonfiguration erstellen auf.
Rufen Sie Ihre Organisation auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihre Organisation aus.
In den folgenden Abschnitten finden Sie weitere Informationen zu den Schritten auf der Seite Scankonfiguration erstellen. Klicken Sie am Ende jedes Abschnitts auf Weiter.
Erkennungstyp auswählen
Wählen Sie Amazon S3 aus.
Bereich auswählen
Führen Sie einen der folgenden Schritte aus:
- Wenn Sie alle S3-Daten scannen möchten, auf die Ihr AWS-Connector Zugriff hat, wählen Sie Alle über Ihren Connector verfügbaren AWS-Konten scannen aus.
- Wenn Sie die S3-Daten in einem einzelnen AWS-Konto scannen möchten, wählen Sie Ausgewähltes Konto scannen aus. Geben Sie dann die AWS-Konto-ID ein.
- Wenn Sie einen einzelnen S3-Bucket scannen möchten, wählen Sie einen Bucket scannen aus. Geben Sie die ID des AWS-Kontos ein, das den Bucket enthält, und den Namen des Buckets.
Pläne verwalten
Wenn die Standardprofilierungshäufigkeit Ihren Anforderungen entspricht, können Sie diesen Abschnitt der Seite Scankonfiguration erstellen überspringen.
Konfigurieren Sie diesen Abschnitt aus folgenden Gründen:
- Sie können die Häufigkeit der Profilerstellung für alle Ihre Daten oder bestimmte Teilmengen Ihrer Daten feinanpassen.
- Hier können Sie die Bucket festlegen, die nicht profiliert werden sollen.
- Hier können Sie die Buckets angeben, die nicht mehrmals profiliert werden sollen.
So nehmen Sie detaillierte Anpassungen an der Profilierungshäufigkeit vor:
Klicken Sie auf Zeitplan hinzufügen.
Definieren Sie im Abschnitt Filter einen oder mehrere Filter, mit denen Sie angeben, welche Bucket in den Geltungsbereich des Zeitplans fallen.
Geben Sie mindestens eine der folgenden Angaben an:
- Eine Konto-ID oder ein regulärer Ausdruck, der eine oder mehrere Konto-IDs angibt
- Bucket-Name oder regulärer Ausdruck, der einen oder mehrere Buckets angibt
Reguläre Ausdrücke müssen der RE2-Syntax folgen.
Wenn Sie beispielsweise alle Buckets in einem Konto in den Filter aufnehmen möchten, geben Sie die Konto-ID in das Feld Konto-ID ein.
Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Schritt.
Klicken Sie auf Häufigkeit.
Legen Sie im Bereich Häufigkeit fest, ob die ausgewählten Bucketprofile erstellt werden sollen und falls ja, wie oft:
Wenn die Buckets nie profiliert werden sollen, deaktivieren Sie Diese Daten profilieren.
Wenn die Bucket mindestens einmal profiliert werden sollen, lassen Sie Diese Daten profilieren aktiviert.
Legen Sie fest, ob Ihre Daten neu profiliert werden sollen und welche Ereignisse einen Neuprofilierungsvorgang auslösen sollen. Weitere Informationen finden Sie unter Häufigkeit der Generierung von Datenprofilen.
- Geben Sie unter Nach Zeitplan an, wie oft die Bucket neu profiliert werden sollen. Die Bucket werden unabhängig davon neu profiliert, ob sie sich geändert haben.
- Geben Sie unter Wenn sich die Prüfungsvorlage ändert an, ob ein neues Profil für Ihre Daten erstellt werden soll, wenn die zugehörige Prüfungsvorlage aktualisiert wird, und falls ja, wie oft.
Eine Änderung an der Inspektionsvorlage wird erkannt, wenn eines der folgenden Ereignisse eintritt:
- Der Name einer Inspektionsvorlage ändert sich in Ihrer Scankonfiguration.
- Die
updateTime
einer Inspektionsvorlage ändert sich.
Optional: Klicken Sie auf Bedingungen.
Geben Sie im Abschnitt Bedingungen alle Bedingungen an, die die in Ihren Filtern definierten Bucket erfüllen müssen, bevor sie vom Schutz sensibler Daten profiliert werden.
Legen Sie bei Bedarf Folgendes fest:
Mindestbedingungen: Wenn die Profilerstellung für einen Bucket bis zu einem bestimmten Alter verzögert werden soll, aktivieren Sie diese Option. Geben Sie dann die Mindestdauer ein.
Bedingungen für Objektspeicherklassen: Standardmäßig werden beim Schutz sensibler Daten alle Objekte in einem Bucket gescannt. Wenn Sie nur Objekte mit bestimmten Attributen scannen möchten, wählen Sie diese Attribute aus.
Beispielbedingungen
Angenommen, Sie haben folgende Konfiguration:
Mindestbedingungen
- Mindestdauer: 24 Stunden
Bedingungen für Objektspeicherklassen
- Objekte mit der Objektspeicherklasse „S3 Standard“ scannen
- Objekte mit der Speicherklasse „S3 Glacier Instant Retrieval“ scannen
In diesem Fall werden beim Schutz sensibler Daten nur die Bucket berücksichtigt, die mindestens 24 Stunden alt sind. Innerhalb dieser Bucket werden nur die Objekte der Speicherklasse „Amazon S3 Standard“ oder „Amazon S3 Glacier Instant Retrieval“ für den Schutz sensibler Daten erfasst.
Klicken Sie auf Fertig.
Wenn Sie weitere Zeitpläne hinzufügen möchten, klicken Sie auf Zeitplan hinzufügen und wiederholen Sie die vorherigen Schritte.
Wenn Sie die Priorität zwischen den Zeitplänen festlegen möchten, ordnen Sie sie mit den Pfeilen nach oben
und nach unten neu an.Die Reihenfolge der Zeitpläne gibt an, wie Konflikte zwischen Zeitplänen gelöst werden. Wenn ein Bucket mit den Filtern zweier verschiedener Zeitpläne übereinstimmt, wird die Profiling-Häufigkeit für diesen Bucket durch den Zeitplan bestimmt, der in der Liste der Zeitpläne weiter oben steht.
Der letzte Zeitplan in der Liste ist immer der mit der Bezeichnung Standardzeitplan. Dieser Standardzeitplan deckt die Bucket im ausgewählten Umfang ab, die keinem der von Ihnen erstellten Zeitpläne entsprechen. Dieser Standardzeitplan folgt der Standardhäufigkeit der Profilerstellung.
Wenn Sie den Standardzeitplan anpassen möchten, klicken Sie auf
Zeitplan bearbeiten und passen Sie die Einstellungen nach Bedarf an.
Inspektionsvorlage auswählen
Wählen Sie je nachdem, wie Sie eine Inspektionskonfiguration bereitstellen möchten, eine der folgenden Optionen aus. Unabhängig von der ausgewählten Option werden Ihre Daten beim Schutz sensibler Daten in der Region gescannt, in der sie gespeichert sind. Das heißt, Ihre Daten verlassen nicht ihre Herkunftsregion.
Option 1: Inspektionsvorlage erstellen
Wählen Sie diese Option aus, wenn Sie eine neue Inspektionsvorlage in der Region global
erstellen möchten.
- Klicken Sie auf Neue Inspektionsvorlage erstellen.
Optional: Klicken Sie auf InfoTypes verwalten, um die Standardauswahl der InfoTypes zu ändern.
Weitere Informationen zum Verwalten integrierter und benutzerdefinierter infoTypes finden Sie unter infoTypes über die Google Cloud Console verwalten.
Sie müssen mindestens einen „infoType“ ausgewählt haben, um fortzufahren.
Optional: Konfigurieren Sie die Inspektionsvorlage weiter, indem Sie Regelsätze hinzufügen und einen Konfidenzschwellenwert festlegen. Weitere Informationen finden Sie unter Erkennung konfigurieren.
Wenn der Schutz sensibler Daten die Scankonfiguration erstellt, wird diese neue Inspektionsvorlage in der Region global
gespeichert.
Option 2: Vorhandene Inspektionsvorlage verwenden
Wählen Sie diese Option aus, wenn Sie vorhandene Inspektionsvorlagen verwenden möchten.
- Klicken Sie auf Vorhandene Inspektionsvorlage wählen.
- Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein, die Sie verwenden möchten.
Das Feld Region wird automatisch mit dem Namen der Region ausgefüllt, in der sich Ihre Inspektionsvorlage befindet.
Die von Ihnen eingegebene Inspektionsvorlage muss sich in derselben Region befinden, in der Sie diese Konfiguration für den Erkennungsscan und alle generierten Datenprofile speichern möchten.
Um den Datenstandort einzuhalten, wird beim Schutz sensibler Daten keine Inspektionsvorlage außerhalb der Region verwendet, in der sie gespeichert ist.
So ermitteln Sie den vollständigen Ressourcennamen einer Inspektionsvorlage:
- Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.
- Wechseln Sie zu dem Projekt, das die zu verwendende Inspektionsvorlage enthält.
- Klicken Sie auf dem Tab Vorlagen auf die Vorlagen-ID der Vorlage, die Sie verwenden möchten.
- Kopieren Sie auf der daraufhin angezeigten Seite den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat folgendes Format:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
- Fügen Sie auf der Seite Scankonfiguration erstellen im Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein.
- Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.
Aktionen hinzufügen
In den folgenden Abschnitten geben Sie Aktionen an, die der Schutz sensibler Daten ausführen soll, nachdem die Datenprofile generiert wurden.
Informationen dazu, wie andere Google Cloud-Dienste die Konfiguration von Aktionen in Rechnung stellen, finden Sie unter Preise für den Export von Datenprofilen.
In Google Security Operations veröffentlichen
Messwerte, die aus Datenprofilen erfasst werden, können Ihren Sicherheitsmaßnahmen Kontext verleihen. Anhand des zusätzlichen Kontexts können Sie die wichtigsten Sicherheitsprobleme ermitteln, die behoben werden müssen.
Wenn Sie beispielsweise einen bestimmten Kundenservicemitarbeiter untersuchen, können Sie ermitteln, auf welche Ressourcen er zugegriffen hat und ob eine dieser Ressourcen Daten mit hoher Vertraulichkeit enthielt.
Wenn Sie Ihre Datenprofile an die Google Security Operations-Komponente von Security Command Center Enterprise senden möchten, aktivieren Sie In Chronicle veröffentlichen.
In Security Command Center veröffentlichen
Die Ergebnisse aus Datenprofilen liefern Kontext, wenn Sie Sicherheitslücken und Bedrohungen im Security Command Center priorisieren und Reaktionspläne entwickeln.
Damit die Ergebnisse Ihrer Datenprofile an Security Command Center gesendet werden, muss die Option In Security Command Center veröffentlichen aktiviert sein.
Weitere Informationen finden Sie unter Datenprofile im Security Command Center veröffentlichen.
Datenprofilkopien in BigQuery speichern
Wenn Sie Datenprofilkopien in BigQuery speichern aktivieren, können Sie eine gespeicherte Kopie oder einen Verlauf aller generierten Profile aufbewahren. Das kann nützlich sein, um Prüfberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.
Außerdem können Sie mit dieser Option alle Ihre Datenprofile in einer einzigen Ansicht sehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Wenn Sie diese Option deaktivieren, können Sie sich die Datenprofile weiterhin in der Google Cloud Console ansehen. In der Google Cloud Console wählen Sie jedoch jeweils nur eine Region aus und sehen nur die Datenprofile für diese Region.
So exportieren Sie Kopien der Datenprofile in eine BigQuery-Tabelle:
Aktivieren Sie Datenprofilkopien in BigQuery speichern.
Geben Sie die Details der BigQuery-Tabelle ein, in der Sie die Datenprofile speichern möchten:
Geben Sie unter Projekt-ID die ID eines vorhandenen Projekts ein, in das die Datenprofile exportiert werden sollen.
Geben Sie unter Dataset-ID den Namen eines vorhandenen Datasets im Projekt ein, in das die Datenprofile exportiert werden sollen.
Geben Sie unter Table ID (Tabellen-ID) einen Namen für die BigQuery-Tabelle ein, in die die Datenprofile exportiert werden. Wenn Sie diese Tabelle noch nicht erstellt haben, wird sie vom Schutz sensibler Daten automatisch mit dem von Ihnen angegebenen Namen erstellt.
Sobald Sie diese Option aktivieren, beginnt Sensitive Data Protection mit dem Exportieren von Profilen. Profile, die generiert wurden, bevor Sie den Export aktiviert haben, werden nicht in BigQuery gespeichert.
In Pub/Sub veröffentlichen
Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen auf der Grundlage von Profilierungsergebnissen ausführen. Mit Pub/Sub-Benachrichtigungen können Sie einen Workflow entwickeln, um Ergebnisse mit erheblichen Datenrisiken oder sensiblen Daten zu erkennen und zu beheben.
So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:
Aktivieren Sie In Pub/Sub veröffentlichen.
Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, bei dem der Schutz sensibler Daten eine Benachrichtigung an Pub/Sub sendet.
Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.
Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, sendet der Dienst „Sensible Daten schützen“ eine Benachrichtigung, wenn sich die Empfindlichkeitsstufe, die Datenrisikostufe, die erkannten infoTypes, der öffentliche Zugriff und andere wichtige Messwerte im Profil ändern.
Gehen Sie für jedes ausgewählte Ereignis so vor:
Geben Sie den Namen des Themas ein. Der Name muss folgendes Format haben:
projects/PROJECT_ID/topics/TOPIC_ID
Ersetzen Sie Folgendes:
- PROJECT_ID: die ID des Projekts, das mit dem Pub/Sub-Thema verknüpft ist.
- TOPIC_ID: die ID des Pub/Sub-Themas.
Geben Sie an, ob das vollständige Bucket-Profil in der Benachrichtigung enthalten sein soll oder nur der vollständige Ressourcenname des Bucket, für den das Profil erstellt wurde.
Legen Sie die Mindestwerte für Datenrisiko und Vertraulichkeit fest, die erfüllt sein müssen, damit Sensitive Data Protection eine Benachrichtigung sendet.
Geben Sie an, ob nur eine oder beide Bedingungen für Datenrisiken und Datensensibilität erfüllt sein müssen. Wenn Sie beispielsweise
AND
auswählen, müssen sowohl die Bedingungen für das Datenrisiko als auch die Bedingungen für die Datensensibilität erfüllt sein, bevor Sensitive Data Protection eine Benachrichtigung sendet.
Dienst-Agent-Container und Abrechnung verwalten
In diesem Abschnitt geben Sie das Projekt an, das als Dienst-Agent-Container verwendet werden soll. Sie können entweder den Schutz sensibler Daten automatisch ein neues Projekt erstellen lassen oder ein vorhandenes auswählen.
Unabhängig davon, ob Sie einen neu erstellten Dienst-Agenten verwenden oder einen vorhandenen wiederverwenden, muss er Lesezugriff auf die zu profilierenden Daten haben.
Projekt automatisch erstellen
Wenn Sie nicht die erforderlichen Berechtigungen zum Erstellen eines Projekts in der Organisation haben, müssen Sie stattdessen ein vorhandenes Projekt auswählen oder die erforderlichen Berechtigungen erhalten. Informationen zu den erforderlichen Berechtigungen finden Sie unter Rollen, die für die Arbeit mit Datenprofilen auf Organisations- oder Ordnerebene erforderlich sind.
So erstellen Sie automatisch ein Projekt, das als Dienst-Agent-Container verwendet werden soll:
- Prüfen Sie im Feld Container für Servicemitarbeiter die vorgeschlagene Projekt-ID und bearbeiten Sie sie bei Bedarf.
- Klicken Sie auf Erstellen.
- Optional: Aktualisieren Sie den Standardprojektnamen.
Wählen Sie das Konto aus, das für alle abrechenbaren Vorgänge in Rechnung gestellt werden soll, die sich auf dieses neue Projekt beziehen, einschließlich Vorgängen, die nicht mit der Datenerhebung zusammenhängen.
Klicken Sie auf Erstellen.
Das neue Projekt wird mit Sensitive Data Protection erstellt. Der Dienst-Agent in diesem Projekt wird verwendet, um sich beim Sensitive Data Protection-Dienst und bei anderen APIs zu authentifizieren.
Vorhandenes Projekt auswählen
Wenn Sie ein vorhandenes Projekt als Dienst-Agent-Container auswählen möchten, klicken Sie auf das Feld Dienst-Agent-Container und wählen Sie das Projekt aus.
Speicherort für die Konfiguration festlegen
Klicken Sie auf die Liste Ressourcenspeicherort und wählen Sie die Region aus, in der Sie diese Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert.
Der Speicherort, an dem Sie die Scankonfiguration speichern, hat keinen Einfluss auf die zu scannenden Daten. Ihre Daten werden in derselben Region gescannt, in der sie gespeichert sind. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.
Konfiguration prüfen und erstellen
- Wenn Sie verhindern möchten, dass das Profiling automatisch nach dem Erstellen der Scankonfiguration gestartet wird, wählen Sie Scan im pausierten Modus erstellen aus.
Diese Option ist in den folgenden Fällen nützlich:
- Ihr Google Cloud-Administrator muss dem Dienst-Agent noch Zugriff auf die Datenprofilerstellung gewähren.
- Sie möchten mehrere Scankonfigurationen erstellen und manche andere überschreiben lassen.
- Sie haben sich entschieden, Datenprofile in BigQuery zu speichern, und möchten dafür sorgen, dass der Kundenservicemitarbeiter Schreibzugriff auf Ihre Ausgabetabelle hat.
- Sie haben Pub/Sub-Benachrichtigungen konfiguriert und möchten dem Kundenservicemitarbeiter Veröffentlichungszugriff gewähren.
- Prüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.
Sensitive Data Protection erstellt die Scankonfiguration und fügt sie der Liste der Konfigurationen für die Erkennung hinzu.
Informationen zum Aufrufen oder Verwalten Ihrer Scankonfigurationen finden Sie unter Scankonfigurationen verwalten.
Nächste Schritte
- Wenn Sie nicht die Rolle „Organisationsadministrator“ (
roles/resourcemanager.organizationAdmin
) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin
) haben, muss eine Person mit einer dieser Rollen Ihrem Kundenservicemitarbeiter Zugriff zum Erstellen von Datenprofilen gewähren. - Weitere Informationen zum Verwalten von Datenprofilen
- Erfahren Sie, wie Sie Scankonfigurationen verwalten.
- Weitere Informationen zum Empfangen und Parsen von Pub/Sub-Nachrichten, die vom Data Profiler veröffentlicht werden
- Informationen zur Fehlerbehebung bei Datenprofilen