Membuat profil data Amazon S3

Halaman ini menjelaskan cara mengonfigurasi penemuan Perlindungan Data Sensitif untuk Amazon S3.

Untuk informasi selengkapnya tentang layanan penemuan, lihat Profil data.

Fitur ini hanya tersedia untuk pelanggan yang telah mengaktifkan Security Command Center di paket Enterprise.

Sebelum memulai

  1. Di Security Command Center, buat konektor untuk Amazon Web Services (AWS). Jangan hapus kotak centang Berikan izin untuk penemuan Perlindungan Data Sensitif. Perlindungan Data Sensitif memerlukan izin tersebut untuk membuat profil data Amazon S3 Anda.

    Jika Anda sudah memiliki konektor yang tidak memiliki Berikan izin untuk penemuan Perlindungan Data Sensitif yang dipilih, lihat Memberikan izin penemuan data sensitif ke konektor AWS yang ada.

  2. Pastikan Anda memiliki izin IAM yang diperlukan untuk mengonfigurasi profil data di tingkat organisasi.

    Jika tidak memiliki peran Administrator Organisasi (roles/resourcemanager.organizationAdmin) atau Security Admin (roles/iam.securityAdmin), Anda tetap dapat membuat konfigurasi pemindaian. Namun, setelah Anda membuat konfigurasi pemindaian, seseorang dengan salah satu peran tersebut harus memberikan akses pembuatan profil data ke agen layanan Anda.

  3. Pastikan Anda memiliki template pemeriksaan di region global atau region tempat Anda berencana menyimpan konfigurasi pemindaian penemuan dan semua profil data yang dihasilkan.

    Tugas ini memungkinkan Anda membuat template inspeksi secara otomatis hanya di region global. Jika kebijakan organisasi mencegah Anda membuat template pemeriksaan di region global, sebelum melakukan tugas ini, Anda harus membuat template pemeriksaan di region tempat Anda berencana menyimpan konfigurasi pemindaian penemuan.

  4. Untuk mengirim notifikasi Pub/Sub ke topik saat peristiwa tertentu terjadi, seperti saat Perlindungan Data Sensitif membuat profil bucket baru, buat topik Pub/Sub sebelum melakukan tugas ini.

Untuk membuat profil data, Anda memerlukan penampung agen layanan dan agen layanan di dalamnya. Tugas ini memungkinkan Anda membuatnya secara otomatis.

Membuat konfigurasi pemindaian

  1. Buka halaman Create scan configuration.

    Buka Buat konfigurasi pemindaian

  2. Buka organisasi Anda. Di toolbar, klik pemilih project, lalu pilih organisasi Anda.

Bagian berikut memberikan informasi selengkapnya tentang langkah-langkah di halaman Buat konfigurasi pemindaian. Di akhir setiap bagian, klik Lanjutkan.

Pilih jenis penemuan

Pilih Amazon S3.

Pilih cakupan

Lakukan salah satu hal berikut:

  • Untuk memindai semua data S3 yang dapat diakses oleh konektor AWS Anda, pilih Pindai semua akun AWS yang tersedia melalui konektor Anda.
  • Untuk memindai data S3 di satu akun AWS, pilih Pindai akun yang dipilih. Kemudian, masukkan ID akun AWS.
  • Untuk memindai satu bucket S3, pilih Pindai satu bucket. Masukkan ID akun AWS yang berisi bucket, dan masukkan nama bucket.

Mengelola jadwal

Jika frekuensi pembuatan profil default sesuai dengan kebutuhan Anda, Anda dapat melewati bagian ini di halaman Buat konfigurasi pemindaian.

Konfigurasikan bagian ini karena alasan berikut:

  • Untuk membuat penyesuaian terperinci pada frekuensi pembuatan profil semua data atau subkumpulan data tertentu.
  • Untuk menentukan bucket yang tidak ingin Anda buat profilnya.
  • Untuk menentukan bucket yang tidak ingin Anda buat profilnya lebih dari sekali.

Untuk melakukan penyesuaian terperinci pada frekuensi pembuatan profil, ikuti langkah-langkah berikut:

  1. Klik Tambahkan jadwal.

  2. Di bagian Filters, tentukan satu atau beberapa filter yang menentukan bucket mana yang ada dalam cakupan jadwal.

    Tentukan setidaknya salah satu dari hal berikut:

    • ID akun atau ekspresi reguler yang menentukan satu atau beberapa ID akun
    • Nama bucket atau ekspresi reguler yang menentukan satu atau beberapa bucket

    Ekspresi reguler harus mengikuti sintaksis RE2.

    Misalnya, jika Anda ingin semua bucket di akun disertakan dalam filter, masukkan ID akun di kolom ID Akun.

    Untuk menambahkan filter lainnya, klik Tambahkan filter, lalu ulangi langkah ini.

  3. Klik Frekuensi.

  4. Di bagian Frequency, tentukan apakah akan membuat profil bucket yang Anda pilih, dan jika ya, seberapa sering:

    • Jika Anda tidak ingin bucket dibuat profilnya, nonaktifkan Buat profil data ini.

    • Jika Anda ingin bucket dibuat profilnya setidaknya sekali, biarkan Buat profil data ini aktif.

      Tentukan apakah akan membuat profil ulang data Anda dan peristiwa apa yang akan memicu operasi pembuatan profil ulang. Untuk mengetahui informasi selengkapnya, lihat Frekuensi pembuatan profil data.

      1. Untuk Berdasarkan jadwal, tentukan seberapa sering Anda ingin bucket dibuat ulang profilnya. Bucket akan diprofilkan ulang, terlepas dari apakah bucket tersebut mengalami perubahan atau tidak.
      2. Untuk Saat template inspeksi berubah, tentukan apakah Anda ingin data Anda dibuat ulang profilnya saat template inspeksi terkait diperbarui, dan jika ya, seberapa sering.

        Perubahan template inspeksi terdeteksi saat salah satu hal berikut terjadi:

        • Nama template pemeriksaan berubah dalam konfigurasi pemindaian Anda.
        • updateTime template inspeksi berubah.

  5. Opsional: Klik Kondisi.

    Di bagian Conditions, tentukan kondisi apa pun yang harus dipenuhi oleh bucket—yang ditentukan dalam filter Anda—sebelum Perlindungan Data Sensitif membuat profilnya.

    Jika perlu, tetapkan hal berikut:

    • Kondisi minimum: Jika Anda ingin menunda pembuatan profil bucket hingga mencapai usia tertentu, aktifkan opsi ini. Kemudian, masukkan durasi minimum.

    • Kondisi class penyimpanan objek: Secara default, Sensitive Data Protection memindai semua objek dalam bucket. Jika Anda hanya ingin memindai objek yang memiliki atribut tertentu, pilih atribut tersebut.

    Contoh kondisi

    Misalkan Anda memiliki konfigurasi berikut:

    • Kondisi minimum

      • Durasi minimum: 24 jam
    • Kondisi kelas penyimpanan objek

      • Memindai objek dengan class penyimpanan objek S3 Standard
      • Memindai objek dengan class penyimpanan Pengambilan Instan S3 Glacier

    Dalam hal ini, Perlindungan Data Sensitif hanya mempertimbangkan bucket yang sudah ada setidaknya 24 jam. Dalam bucket tersebut, Perlindungan Data Sensitif hanya membuat profil objek yang berada di kelas penyimpanan Amazon S3 Standar atau Amazon S3 Glacier Instant Retrieval.

  6. Klik Done.

  7. Jika Anda ingin menambahkan jadwal lainnya, klik Tambahkan jadwal dan ulangi langkah-langkah sebelumnya.

  8. Untuk menentukan prioritas antar-jadwal, urutkan ulang menggunakan panah atas dan panah bawah .

    Urutan jadwal menentukan cara menyelesaikan konflik antara jadwal. Jika bucket cocok dengan filter dari dua jadwal yang berbeda, jadwal yang lebih tinggi dalam daftar jadwal akan menentukan frekuensi pembuatan profil untuk bucket tersebut.

    Jadwal terakhir dalam daftar selalu berlabel Jadwal default. Jadwal default ini mencakup bucket dalam cakupan yang Anda pilih yang tidak cocok dengan jadwal apa pun yang Anda buat. Jadwal default ini mengikuti frekuensi pembuatan profil default sistem.

  9. Jika Anda ingin menyesuaikan jadwal default, klik Edit jadwal, lalu sesuaikan setelan sesuai kebutuhan.

Memilih template pemeriksaan

Bergantung pada cara Anda ingin memberikan konfigurasi inspeksi, pilih salah satu opsi berikut. Apa pun opsi yang Anda pilih, Perlindungan Data Sensitif akan memindai data Anda di region tempat data tersebut disimpan. Artinya, data Anda tidak keluar dari wilayah asalnya.

Opsi 1: Membuat template inspeksi

Pilih opsi ini jika Anda ingin membuat template inspeksi baru di wilayah global.

  1. Klik Buat template inspeksi baru.
  2. Opsional: Untuk mengubah pilihan default infoTypes, klik Manage infoTypes.

    Untuk informasi selengkapnya tentang cara mengelola infoTypes bawaan dan kustom, lihat Mengelola infoTypes melalui konsol Google Cloud.

    Anda harus memilih minimal satu infoType untuk melanjutkan.

  3. Opsional: Konfigurasikan template inspeksi lebih lanjut dengan menambahkan kumpulan aturan dan menetapkan nilai minimum keyakinan. Untuk informasi selengkapnya, lihat Mengonfigurasi deteksi.

Saat membuat konfigurasi pemindaian, Sensitive Data Protection akan menyimpan template pemeriksaan baru ini di region global.

Opsi 2: Menggunakan template inspeksi yang ada

Pilih opsi ini jika Anda memiliki template inspeksi yang ada dan ingin menggunakannya.

  1. Klik Pilih template inspeksi yang ada.
  2. Masukkan nama resource lengkap template pemeriksaan yang ingin Anda gunakan. Kolom Region akan otomatis diisi dengan nama region tempat template inspeksi Anda disimpan.

    Template pemeriksaan yang Anda masukkan harus berada di region yang sama dengan tempat Anda berencana menyimpan konfigurasi pemindaian penemuan ini dan semua profil data yang dihasilkan.

    Untuk menghormati residensi data, Perlindungan Data Sensitif tidak menggunakan template pemeriksaan di luar wilayah tempat template tersebut disimpan.

    Untuk menemukan nama resource lengkap template pemeriksaan, ikuti langkah-langkah berikut:

    1. Buka daftar template inspeksi Anda. Halaman ini akan terbuka di tab terpisah.

      Buka template inspeksi

    2. Beralihlah ke project yang berisi template inspeksi yang ingin Anda gunakan.
    3. Di tab Templates, klik ID template dari template yang ingin Anda gunakan.
    4. Pada halaman yang terbuka, salin nama resource lengkap template. Nama resource lengkap mengikuti format ini:
      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. Di halaman Create scan configuration, di kolom Template name, tempelkan nama resource lengkap template.

Tambah tindakan

Di bagian berikut, Anda akan menentukan tindakan yang ingin dilakukan Perlindungan Data Sensitif setelah membuat profil data.

Untuk mengetahui informasi tentang cara layanan Google Cloud lainnya menagih Anda untuk mengonfigurasi tindakan, lihat Harga untuk mengekspor profil data.

Publikasikan ke Google Security Operations

Metrik yang dikumpulkan dari profil data dapat menambahkan konteks ke operasi keamanan Anda. Konteks yang ditambahkan dapat membantu Anda menentukan masalah keamanan yang paling penting untuk ditangani.

Misalnya, jika menyelidiki agen layanan tertentu, Anda dapat menentukan resource yang diakses agen layanan tersebut dan apakah ada resource yang memiliki data dengan sensitivitas tinggi.

Untuk mengirim profil data Anda ke komponen Google Security Operations di Security Command Center Enterprise, aktifkan Publikasikan ke Chronicle.

Publikasikan ke Security Command Center

Temuan dari profil data memberikan konteks saat Anda melakukan triage dan mengembangkan rencana respons untuk temuan kerentanan dan ancaman di Security Command Center.

Untuk mengirim hasil profil data Anda ke Security Command Center, pastikan opsi Publikasikan ke Security Command Center diaktifkan.

Untuk informasi selengkapnya, lihat Memublikasikan profil data ke Security Command Center.

Simpan salinan profil data ke BigQuery

Dengan mengaktifkan Simpan salinan profil data ke BigQuery, Anda dapat menyimpan salinan atau histori tersimpan dari semua profil yang dihasilkan. Tindakan ini dapat berguna untuk membuat laporan audit dan memvisualisasi profil data. Anda juga dapat memuat informasi ini ke sistem lain.

Selain itu, opsi ini memungkinkan Anda melihat semua profil data dalam satu tampilan, terlepas dari region tempat data Anda berada. Jika menonaktifkan opsi ini, Anda masih dapat melihat profil data di konsol Google Cloud. Namun, di konsol Google Cloud, Anda memilih satu region pada satu waktu, dan hanya melihat profil data untuk region tersebut.

Untuk mengekspor salinan profil data ke tabel BigQuery, ikuti langkah-langkah berikut:

  1. Aktifkan Simpan salinan profil data ke BigQuery.

  2. Masukkan detail tabel BigQuery tempat Anda ingin menyimpan profil data:

    • Untuk Project ID, masukkan ID project yang ada tempat Anda ingin profil data diekspor.

    • Untuk Dataset ID, masukkan nama set data yang ada dalam project tempat Anda ingin mengekspor profil data.

    • Untuk Table ID, masukkan nama untuk tabel BigQuery tempat profil data akan diekspor. Jika Anda belum membuat tabel ini, Perlindungan Data Sensitif akan otomatis membuatnya untuk Anda menggunakan nama yang Anda berikan.

Perlindungan Data Sensitif mulai mengekspor profil sejak Anda mengaktifkan opsi ini. Profil yang dibuat sebelum Anda mengaktifkan ekspor tidak disimpan ke BigQuery.

Publikasikan ke Pub/Sub

Dengan mengaktifkan Publikasikan ke Pub/Sub, Anda dapat mengambil tindakan terprogram berdasarkan hasil pembuatan profil. Anda dapat menggunakan notifikasi Pub/Sub untuk mengembangkan alur kerja guna mendeteksi dan memperbaiki temuan dengan risiko atau sensitivitas data yang signifikan.

Untuk mengirim notifikasi ke topik Pub/Sub, ikuti langkah-langkah berikut:

  1. Aktifkan Publikasikan ke Pub/Sub.

    Daftar opsi akan muncul. Setiap opsi menjelaskan peristiwa yang menyebabkan Perlindungan Data Sensitif mengirim notifikasi ke Pub/Sub.

  2. Pilih peristiwa yang akan memicu notifikasi Pub/Sub.

    Jika Anda memilih Kirim notifikasi Pub/Sub setiap kali profil diperbarui, Perlindungan Data Sensitif akan mengirimkan notifikasi saat ada perubahan pada tingkat sensitivitas, tingkat risiko data, infoTypes yang terdeteksi, akses publik, dan metrik penting lainnya di profil.

  3. Untuk setiap peristiwa yang Anda pilih, ikuti langkah-langkah berikut:

    1. Masukkan nama topik. Nama harus dalam format berikut:

      projects/PROJECT_ID/topics/TOPIC_ID
      

      Ganti kode berikut:

      • PROJECT_ID: ID project yang terkait dengan topik Pub/Sub.
      • TOPIC_ID: ID topik Pub/Sub.
    2. Tentukan apakah akan menyertakan profil bucket lengkap dalam notifikasi, atau hanya nama resource lengkap bucket yang dibuat profilnya.

    3. Tetapkan tingkat sensitivitas dan risiko data minimum yang harus dipenuhi agar Sensitive Data Protection dapat mengirim notifikasi.

    4. Tentukan apakah hanya satu atau kedua kondisi risiko dan sensitivitas data yang harus dipenuhi. Misalnya, jika Anda memilih AND, maka risiko data dan kondisi sensitivitas harus terpenuhi sebelum Perlindungan Data Sensitif mengirim notifikasi.

Mengelola penampung dan penagihan agen layanan

Di bagian ini, Anda akan menentukan project yang akan digunakan sebagai penampung agen layanan. Anda dapat meminta Perlindungan Data Sensitif untuk otomatis membuat project baru, atau memilih project yang ada.

Terlepas dari apakah Anda menggunakan agen layanan yang baru dibuat atau menggunakan kembali agen yang sudah ada, pastikan agen tersebut memiliki akses baca ke data yang akan dibuat profilnya.

Membuat project secara otomatis

Jika tidak memiliki izin yang diperlukan untuk membuat project di organisasi, Anda harus memilih project yang ada atau mendapatkan izin yang diperlukan. Untuk informasi tentang izin yang diperlukan, lihat Peran yang diperlukan untuk menggunakan profil data di tingkat organisasi atau folder.

Untuk membuat project secara otomatis yang akan digunakan sebagai penampung agen layanan, ikuti langkah-langkah berikut:

  1. Di kolom Service agent container, tinjau project ID yang disarankan dan edit sesuai kebutuhan.
  2. Klik Create.
  3. Opsional: Perbarui nama project default.
  4. Pilih akun yang akan ditagih untuk semua operasi yang dapat ditagih yang terkait dengan project baru ini, termasuk operasi yang tidak terkait dengan penemuan.

  5. Klik Create.

Sensitive Data Protection akan membuat project baru. Agen layanan dalam project ini akan digunakan untuk mengautentikasi ke Sensitive Data Protection dan API lainnya.

Pilih project yang ada

Untuk memilih project yang ada sebagai penampung agen layanan, klik kolom Service agent container, lalu pilih project.

Menetapkan lokasi untuk menyimpan konfigurasi

Klik daftar Resource location, lalu pilih region tempat Anda ingin menyimpan konfigurasi pemindaian ini. Semua konfigurasi pemindaian yang nantinya Anda buat juga akan disimpan di lokasi ini.

Tempat Anda memilih untuk menyimpan konfigurasi pemindaian tidak memengaruhi data yang akan dipindai. Data Anda dipindai di region yang sama dengan tempat data tersebut disimpan. Untuk mengetahui informasi selengkapnya, lihat Pertimbangan residensi data.

Meninjau dan membuat konfigurasi

  1. Jika Anda ingin memastikan bahwa pembuatan profil tidak dimulai secara otomatis setelah Anda membuat konfigurasi pemindaian, pilih Buat pemindaian dalam mode dijeda.

    Opsi ini berguna dalam kasus berikut:

    • Administrator Google Cloud Anda masih perlu memberikan akses pembuatan profil data kepada agen layanan.
    • Anda ingin membuat beberapa konfigurasi pemindaian dan ingin beberapa konfigurasi mengganti konfigurasi lainnya.
    • Anda memilih untuk menyimpan profil data ke BigQuery, dan ingin memastikan agen layanan memiliki akses tulis ke tabel output.
    • Anda telah mengonfigurasi notifikasi Pub/Sub dan ingin memberikan akses publikasi ke agen layanan.
  2. Tinjau setelan Anda, lalu klik Buat.

    Perlindungan Data Sensitif membuat konfigurasi pemindaian dan menambahkannya ke daftar konfigurasi pemindaian penemuan.

Untuk melihat atau mengelola konfigurasi pemindaian, lihat Mengelola konfigurasi pemindaian.

Langkah selanjutnya