Cette page explique comment configurer la découverte Sensitive Data Protection pour Azure Blob Storage. Cette fonctionnalité n'est disponible que pour les clients qui ont activé Security Command Center au niveau Enterprise.
La découverte de la protection des données sensibles vous aide à en savoir plus sur les types de données que vous stockez dans Blob Storage et sur les niveaux de sensibilité de vos données. Lorsque vous profilez vos données Blob Storage, vous générez des profils de données de magasin de fichiers, qui fournissent des insights et des métadonnées sur vos conteneurs Blob Storage. Pour chaque conteneur Blob Storage, un profil de données de fichier inclut les informations suivantes :
- Types de fichiers que vous stockez dans le conteneur, classés dans des clusters de fichiers
- Niveau de sensibilité des données dans le conteneur
- Un récapitulatif de chaque cluster de fichiers détecté, y compris les types d'informations sensibles trouvées
Pour obtenir la liste complète des insights et des métadonnées dans chaque profil de données du magasin de fichiers, consultez Profils de données du magasin de fichiers.
Pour en savoir plus sur le service de découverte, consultez Profils de données.
Workflow
Voici le workflow général pour profiler les données Azure Blob Storage :
Dans Security Command Center, créez un connecteur pour Microsoft Azure. Assurez-vous de sélectionner Accorder des autorisations pour la découverte Sensitive Data Protection.
Créez un modèle d'inspection dans la région
global
ou dans la région où vous prévoyez de stocker la configuration d'analyse de découverte et tous les profils de données générés.Créez une configuration d'analyse de découverte pour Azure Blob Storage.
La protection des données sensibles profile vos données selon la programmation que vous spécifiez.
Points à prendre en compte concernant la résidence des données
Tenez compte des points suivants lorsque vous prévoyez de profiler des données provenant d'autres fournisseurs de services cloud :
- Les profils de données sont stockés avec la configuration de l'analyse de découverte. En revanche, lorsque vous profilez des données Google Cloud , les profils sont stockés dans la même région que les données à profiler.
- Si vous stockez votre modèle d'inspection dans la région
global
, une copie en mémoire de ce modèle est lue dans la région où vous stockez la configuration d'analyse de découverte. - Vos données ne sont pas modifiées. Une copie en mémoire de vos données est lue dans la région où vous stockez la configuration de l'analyse de découverte. Toutefois, Sensitive Data Protection ne fournit aucune garantie concernant le chemin emprunté par les données une fois qu'elles ont atteint l'Internet public. Les données sont chiffrées avec SSL.
Fichiers et conteneurs vides
La découverte n'analyse pas les fichiers et conteneurs Blob Storage vides, et ne les prend pas en compte lors de la liste des extensions de fichiers détectées. Un conteneur qui ne contient que des fichiers vides est également considéré comme vide.
Avant de commencer
Dans Security Command Center, créez un connecteur pour Microsoft Azure. Pour en savoir plus, consultez Se connecter à Microsoft Azure pour la configuration et la collecte de données sur les ressources dans la documentation Security Command Center.
Confirmez que vous disposez des autorisations IAM requises pour configurer des profils de données au niveau de l'organisation.
Si vous ne disposez pas du rôle Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin
) ni du rôle Administrateur de sécurité (roles/iam.securityAdmin
), vous pouvez quand même créer une configuration d'analyse. Toutefois, une fois la configuration d'analyse créée, une personne disposant de l'un de ces rôles doit accorder l'accès au profilage des données à votre agent de service.Vérifiez que vous disposez d'un modèle d'inspection dans la région
global
ou dans la région où vous prévoyez de stocker la configuration de l'analyse de détection et tous les profils de données générés.Cette tâche vous permet de créer automatiquement un modèle d'inspection dans la région
global
uniquement. Si des règles d'administration vous empêchent de créer un modèle d'inspection dans la régionglobal
, vous devez créer un modèle d'inspection dans la région où vous prévoyez de stocker la configuration de l'analyse de détection avant d'effectuer cette tâche.Pour envoyer des notifications Pub/Sub à un sujet lorsque certains événements se produisent (par exemple, lorsqu'un nouveau conteneur est profilé par la protection des données sensibles), créez un sujet Pub/Sub avant d'effectuer cette tâche.
Pour générer des profils de données, vous avez besoin d'un conteneur d'agent de service et d'un agent de service à l'intérieur. Cette tâche vous permet de les créer automatiquement.
Créer une configuration d'analyse
Accédez à la page Créer une configuration d'analyse.
Accédez à votre organisation. Dans la barre d'outils, cliquez sur le sélecteur de projet, puis sélectionnez votre organisation.
Les sections suivantes fournissent plus d'informations sur les étapes de la page Créer une configuration d'analyse. À la fin de chaque section, cliquez sur Continuer.
Sélectionner un type de détection
Sélectionnez Azure Blob Storage.
Sélectionner un niveau d'accès
Effectuez l'une des opérations suivantes :
- Pour analyser tous les éléments Blob Storage auxquels votre connecteur Azure a accès, sélectionnez Analyser tous les éléments Azure disponibles via votre connecteur.
- Pour analyser les données Blob Storage dans un seul abonnement Azure, sélectionnez Analyser un abonnement Azure. Saisissez l'ID de l'abonnement.
- Pour analyser un seul conteneur Blob Storage, sélectionnez Analyser un conteneur Azure Blob Storage. Saisissez les informations du conteneur que vous souhaitez analyser.
Gérer les planifications
Si la fréquence de profilage par défaut répond à vos besoins, vous pouvez ignorer cette section de la page Créer une configuration d'analyse.
Configurez cette section pour les raisons suivantes :
- Pour ajuster précisément la fréquence de profilage de toutes vos données ou de certains sous-ensembles de données.
- Pour spécifier les conteneurs que vous ne souhaitez pas profiler.
- Pour spécifier les conteneurs que vous ne souhaitez pas profiler plusieurs fois.
Pour ajuster précisément la fréquence de profilage, procédez comme suit :
Cliquez sur Ajouter une programmation.
Dans la section Filtres, définissez un ou plusieurs filtres qui spécifient les conteneurs inclus dans le champ d'application du programme. Un conteneur est considéré comme faisant partie du champ d'application de la programmation s'il correspond à au moins l'un des filtres définis.
Pour configurer un filtre, spécifiez au moins l'un des éléments suivants :
- ID d'abonnement ou expression régulière spécifiant un ou plusieurs ID d'abonnement
- Nom de conteneur ou expression régulière spécifiant un ou plusieurs conteneurs
Les expressions régulières doivent suivre la syntaxe RE2.
Par exemple, si vous souhaitez que tous les conteneurs d'un compte soient inclus dans le filtre, saisissez l'ID de l'abonnement dans le champ ID de l'abonnement.
Pour correspondre à un filtre, un conteneur doit répondre à toutes les expressions régulières spécifiées dans ce filtre.
Pour ajouter d'autres filtres, cliquez sur Ajouter un filtre et répétez cette étape.
Cliquez sur Fréquence.
Dans la section Fréquence, indiquez si vous souhaitez profiler les conteneurs que vous avez sélectionnés et, le cas échéant, à quelle fréquence :
Si vous ne souhaitez jamais que les conteneurs soient profilés, désactivez l'option Profiler ces données.
Si vous souhaitez que les conteneurs soient profilés au moins une fois, laissez l'option Profiler ces données activée.
Indiquez si vous souhaitez reprofiler vos données et quels événements doivent déclencher une opération de reprofilage. Pour en savoir plus, consultez Fréquence de génération des profils de données.
- Pour Selon une programmation, spécifiez la fréquence à laquelle vous souhaitez que les conteneurs soient reprofilés. Les conteneurs sont reprofilés, qu'ils aient été modifiés ou non.
- Pour Fréquence d'inspection des modifications apportées au modèle, indiquez si vous souhaitez que vos données soient reprofilées lorsque le modèle d'inspection associé est mis à jour et, le cas échéant, à quelle fréquence.
Une modification de modèle d'inspection est détectée lorsque l'un des événements suivants se produit :
- Le nom d'un modèle d'inspection change dans votre configuration d'analyse.
- Le
updateTime
d'un modèle d'inspection change.
Par exemple, si vous définissez un modèle d'inspection pour la région
us-west1
et que vous le mettez à jour, seules les données de la régionus-west1
seront reprofilées.
Facultatif : Cliquez sur Conditions.
Dans la section Conditions, vous spécifiez les conditions que les conteneurs définis dans vos filtres doivent remplir pour que Sensitive Data Protection les profile.
Par défaut, la protection des données sensibles analyse tous les objets d'un conteneur. Si vous souhaitez n'analyser que les objets d'un niveau d'accès aux blobs spécifique, sélectionnez ces niveaux. Pour inclure les blobs qui n'ont pas de niveau d'accès, sélectionnez Non applicable.
Cliquez sur OK.
Facultatif : Pour ajouter d'autres programmations, cliquez sur Ajouter une programmation et répétez les étapes précédentes.
Pour spécifier la priorité entre les planifications, réorganisez-les à l'aide des flèches vers le haut
et vers le bas .L'ordre des plannings indique comment les conflits entre eux sont résolus. Si un conteneur correspond aux filtres de deux plannings différents, c'est le planning qui apparaît le plus haut dans la liste qui détermine la fréquence de profilage pour ce conteneur.
Facultatif : Modifiez ou désactivez la programmation globale.
Le dernier programme de la liste est le programme général. Cette programmation couvre les conteneurs de votre champ d'application sélectionné qui ne correspondent à aucune des programmations que vous avez créées. La programmation globale suit la fréquence de profilage par défaut du système.
- Pour ajuster la programmation par défaut, cliquez sur Modifier la programmation, puis ajustez les paramètres si nécessaire.
- Pour empêcher Sensitive Data Protection de profiler les ressources couvertes par la programmation globale, désactivez l'option Profiler les ressources qui ne correspondent à aucune programmation personnalisée.
Sélectionner un modèle d'inspection
Selon la façon dont vous souhaitez fournir une configuration d'inspection, choisissez l'une des options suivantes. Quelle que soit l'option choisie, Sensitive Data Protection analyse vos données dans la région où elles sont stockées. Autrement dit, vos données ne quittent pas leur région d'origine.
Option 1 : Créer un modèle d'inspection
Choisissez cette option si vous souhaitez créer un modèle d'inspection dans la région global
.
- Cliquez sur Créer un modèle d'inspection.
Facultatif : Pour modifier la sélection par défaut des infoTypes, cliquez sur Gérer les infoTypes.
Pour savoir comment gérer les infoTypes intégrés et personnalisés, consultez Gérer les infoTypes dans la consoleGoogle Cloud .
Vous devez sélectionner au moins un infoType pour continuer.
Facultatif : poursuivez la configuration du modèle d'inspection en ajoutant des ensembles de règles et en définissant un seuil de confiance. Pour en savoir plus, consultez la section Configurer la détection.
Lorsque Sensitive Data Protection crée la configuration d'analyse, il stocke ce nouveau modèle d'inspection dans la région global
.
Option 2 : Utiliser un modèle d'inspection existant
Choisissez cette option si vous disposez de modèles d'inspection existants que vous souhaitez utiliser.
- Cliquez sur Sélectionner un modèle d'inspection existant.
- Saisissez le nom complet de la ressource du modèle d'inspection que vous souhaitez utiliser.
Le champ Région est automatiquement renseigné avec le nom de la région dans laquelle votre modèle d'inspection est stocké.
Le modèle d'inspection que vous saisissez doit se trouver dans la même région où vous prévoyez de stocker cette configuration d'analyse de détection et tous les profils de données générés.
Pour respecter la résidence des données, Sensitive Data Protection n'utilise pas de modèle d'inspection en dehors de la région où il est stocké.
Pour trouver le nom complet de ressource d'un modèle d'inspection, procédez comme suit :
- Accédez à la liste de vos modèles d'inspection. Cette page s'ouvre dans un nouvel onglet.
- Basculez vers le projet contenant le modèle d'inspection que vous souhaitez utiliser.
- Dans l'onglet Modèles, cliquez sur l'ID du modèle que vous souhaitez utiliser.
- Sur la page qui s'affiche, copiez le nom complet de la ressource du modèle. Il a le format suivant :
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
- Sur la page Créer une configuration d'analyse, dans le champ Nom du modèle, collez le nom complet de la ressource du modèle.
- Accédez à la liste de vos modèles d'inspection. Cette page s'ouvre dans un nouvel onglet.
Ajouter des actions
Cette section explique comment spécifier les actions que la protection des données sensibles doit effectuer après le profilage d'un conteneur. Ces actions sont utiles si vous souhaitez envoyer des insights recueillis à partir de profils de données à d'autres servicesGoogle Cloud .
Publier dans Google Security Operations
Les métriques collectées à partir des profils de données peuvent ajouter du contexte à vos résultats Google Security Operations. Le contexte supplémentaire peut vous aider à identifier les problèmes de sécurité les plus importants à résoudre.
Par exemple, si vous examinez un agent de service spécifique, Google Security Operations peut déterminer les ressources auxquelles l'agent de service a accédé et si l'une de ces ressources contient des données à sensibilité élevée.
Pour envoyer vos profils de données à votre instance Google Security Operations, activez l'option Publier dans Google Security Operations.
Si vous n'avez pas activé d'instance Google Security Operations pour votre organisation (via le produit autonome ou Security Command Center Enterprise), l'activation de cette option n'aura aucun effet.
Publier dans Security Command Center
Les résultats des profils de données fournissent du contexte lorsque vous triez et élaborez des plans de réponse pour vos résultats sur les failles et les menaces dans Security Command Center.
Pour envoyer les résultats de vos profils de données à Security Command Center, assurez-vous que l'option Publier dans Security Command Center est activée.
Pour en savoir plus, consultez Publier des profils de données dans Security Command Center.
Enregistrer des copies des profils de données dans BigQuery
Sensitive Data Protection enregistre une copie de chaque profil de données généré dans une table BigQuery. Si vous ne fournissez pas les détails de la table de votre choix, Sensitive Data Protection crée un ensemble de données et une table dans le conteneur de l'agent de service.
Par défaut, l'ensemble de données est nommé sensitive_data_protection_discovery
et la table est nommée discovery_profiles
.
Cette action vous permet de conserver un historique de tous vos profils générés. Cet historique peut être utile pour créer des rapports d'audit et visualiser les profils de données. Vous pouvez également charger ces informations dans d'autres systèmes.
Cette option vous permet également de regrouper tous vos profils de données dans une même vue, quelle que soit la région dans laquelle se trouvent vos données. Vous pouvez également afficher les profils de données dans la consoleGoogle Cloud , mais celle-ci n'affiche les profils que dans une seule région à la fois.
Lorsque Sensitive Data Protection ne parvient pas à profiler un conteneur, il relance régulièrement l'opération. Pour réduire le bruit dans les données exportées, la protection des données sensibles n'exporte que les profils générés vers BigQuery.
Sensitive Data Protection commence à exporter les profils à partir du moment où vous activez cette option. Les profils générés avant l'activation de l'exportation ne sont pas enregistrés dans BigQuery.
Pour obtenir des exemples de requêtes que vous pouvez utiliser lorsque vous analysez des profils de données, consultez Analyser des profils de données.
Enregistrer un échantillon des résultats de la découverte dans BigQuery
La protection des données sensibles peut ajouter des exemples de résultats à une table BigQuery de votre choix. Les exemples de résultats représentent un sous-ensemble de tous les résultats et peuvent ne pas représenter tous les infoTypes découverts. En règle générale, le système génère environ 10 exemples de résultats par conteneur, mais ce nombre peut varier pour chaque exécution de découverte.
Chaque résultat inclut la chaîne réelle (également appelée citation) qui a été détectée et son emplacement exact.
Cette action est utile si vous souhaitez évaluer si votre configuration d'inspection correspond correctement au type d'informations que vous souhaitez signaler comme sensibles. À l'aide des profils de données et des exemples de résultats exportés, vous pouvez exécuter des requêtes pour obtenir plus d'informations sur les éléments spécifiques signalés, les infoTypes auxquels ils correspondent, leur emplacement exact, leur niveau de sensibilité calculé et d'autres détails.
Exemple de requête : Affiche des exemples de résultats liés aux profils de données du magasin de fichiers
Cet exemple nécessite que les options Enregistrer des copies des profils de données dans BigQuery et Enregistrer un échantillon des résultats de la découverte dans BigQuery soient activées.
La requête suivante utilise une opération INNER JOIN
à la fois sur la table des profils de données exportés et sur la table des exemples de résultats exportés. Dans le tableau qui s'affiche, chaque enregistrement indique la citation du résultat, l'infoType auquel il correspond, la ressource qui contient le résultat et le niveau de sensibilité calculé de la ressource.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
Pour enregistrer un échantillon de résultats dans une table BigQuery, procédez comme suit :
Activez l'option Enregistrer un échantillon des résultats de la découverte dans BigQuery.
Saisissez les détails de la table BigQuery dans laquelle vous souhaitez enregistrer les exemples de résultats.
La table que vous spécifiez pour cette action doit être différente de celle utilisée pour l'action Enregistrer les copies des profils de données dans BigQuery.
Pour ID du projet, saisissez l'ID d'un projet existant dans lequel vous souhaitez exporter les résultats.
Pour ID de l'ensemble de données, saisissez le nom d'un ensemble de données existant dans le projet.
Dans le champ ID de table, saisissez le nom de la table BigQuery dans laquelle vous souhaitez enregistrer les résultats. Si cette table n'existe pas, la protection des données sensibles la crée automatiquement pour vous en utilisant le nom que vous fournissez.
Pour en savoir plus sur le contenu de chaque résultat enregistré dans la table BigQuery, consultez DataProfileFinding
.
Publier dans Pub/Sub
L'option Publier sur Pub/Sub vous permet d'effectuer des actions programmatiques en fonction des résultats du profilage. Vous pouvez utiliser les notifications Pub/Sub pour développer un workflow permettant d'identifier et de corriger les résultats présentant un risque ou une sensibilité importants pour les données.
Pour envoyer des notifications à un sujet Pub/Sub, procédez comme suit :
Activez Publier dans Pub/Sub.
Une liste d'options s'affiche. Chaque option décrit un événement qui déclenche l'envoi d'une notification à Pub/Sub par la protection des données sensibles.
Sélectionnez les événements qui doivent déclencher une notification Pub/Sub.
Si vous sélectionnez Envoyer une notification Pub/Sub à chaque mise à jour d'un profil, Sensitive Data Protection envoie une notification en cas de modification du niveau de sensibilité, du niveau de risque lié aux données, des infoTypes détectés, de l'accès public et d'autres métriques importantes dans le profil.
Pour chaque événement que vous sélectionnez, procédez comme suit :
Saisissez le nom du thème. Le nom doit respecter le format suivant :
projects/PROJECT_ID/topics/TOPIC_ID
Remplacez les éléments suivants :
- PROJECT_ID : ID du projet associé au sujet Pub/Sub.
- TOPIC_ID : ID du sujet Pub/Sub.
Indiquez si vous souhaitez inclure le profil complet du conteneur dans la notification ou uniquement le nom complet de la ressource du conteneur profilé.
Définissez les niveaux de sensibilité et de risque liés aux données minimaux qui doivent être atteints pour que Sensitive Data Protection envoie une notification.
Indiquez si une seule ou les deux conditions de risque et de sensibilité des données doivent être remplies. Par exemple, si vous choisissez
AND
, les conditions de risque de données et de sensibilité doivent être remplies pour que Sensitive Data Protection envoie une notification.
Gérer le conteneur et la facturation de l'agent de service
Dans cette section, vous spécifiez le projet à utiliser en tant que conteneur d'agent de service. Vous pouvez demander à la protection des données sensibles de créer automatiquement un projet, ou bien sélectionner un projet existant.
Que vous utilisiez un agent de service nouvellement créé ou que vous en réutilisiez un existant, assurez-vous qu'il dispose d'un accès en lecture aux données à profiler.
Créer automatiquement un projet
Si vous ne disposez pas des autorisations nécessaires pour créer un projet dans l'organisation, vous devez sélectionner un projet existant ou obtenir les autorisations requises. Pour en savoir plus sur les autorisations requises, consultez Rôles requis pour utiliser des profils de données au niveau de l'organisation ou des dossiers.
Pour créer automatiquement un projet à utiliser comme conteneur d'agent de service, procédez comme suit :
- Dans le champ Conteneur de l'agent de service, vérifiez l'ID de projet suggéré et modifiez-le si nécessaire.
- Cliquez sur Créer.
- Facultatif : Modifiez le nom du projet par défaut.
Sélectionnez le compte à facturer pour toutes les opérations facturables associées à ce nouveau projet, y compris les opérations non liées à la découverte.
Cliquez sur Créer.
Sensitive Data Protection crée le projet. L'agent de service de ce projet sera utilisé pour s'authentifier auprès de Sensitive Data Protection et d'autres API.
Sélectionner un projet existant
Pour sélectionner un projet existant comme conteneur d'agent de service, cliquez sur le champ Conteneur d'agent de service et sélectionnez le projet.
Définir l'emplacement de stockage de la configuration
Cliquez sur la liste Emplacement de la ressource, puis sélectionnez la région dans laquelle vous souhaitez stocker la configuration d'analyse. Toutes les configurations d'analyse que vous créerez ultérieurement seront également stockées à cet emplacement.
L'emplacement où vous choisissez de stocker votre configuration d'analyse n'affecte pas les données à analyser. Vos données sont analysées dans la région dans laquelle elles sont stockées. Pour en savoir plus, consultez Considérations relatives à la résidence des données.
Examiner et créer la configuration
- Si vous souhaitez vous assurer que le profilage ne démarre pas automatiquement après la création de la configuration d'analyse, sélectionnez Créer une analyse en mode suspendu.
Cette option est utile dans les cas suivants :
- Votre administrateur Google Cloud doit toujours accorder l'accès au profilage des données à l'agent de service.
- Vous souhaitez créer plusieurs configurations d'analyse et que certaines d'entre elles doivent remplacer d'autres.
- Vous avez choisi d'enregistrer les profils de données dans BigQuery et vous souhaitez vous assurer que l'agent de service dispose d'un accès en écriture à la table BigQuery dans laquelle les copies des profils de données seront enregistrées.
- Vous avez choisi d'enregistrer un échantillon des résultats de la découverte dans BigQuery et vous souhaitez vous assurer que l'agent de service dispose d'un accès en écriture à la table BigQuery dans laquelle les résultats de l'échantillon seront enregistrés.
- Vous avez configuré des notifications Pub/Sub et vous souhaitez accorder un accès à la publication à l'agent de service.
- Vérifiez vos paramètres, puis cliquez sur Créer.
Sensitive Data Protection crée la configuration d'analyse et l'ajoute à la liste des configurations d'analyse de découverte.
Pour afficher ou gérer vos configurations d'analyse, consultez Gérer les configurations d'analyse.
Étapes suivantes
- Si vous ne disposez pas du rôle Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin
) ni du rôle Administrateur de sécurité (roles/iam.securityAdmin
), une personne disposant de l'un de ces rôles doit accorder l'accès au profilage des données à votre agent de service. - Découvrez comment gérer les profils de données.
- Découvrez comment gérer les configurations d'analyse.
- Découvrez comment recevoir et analyser les messages Pub/Sub publiés par le profileur de données.
- Découvrez comment résoudre les problèmes liés aux profils de données.
- Consultez les limites du profilage des données.
- Consultez les clusters de fichiers que la découverte de données sensibles peut analyser.