Publica perfiles de datos en Security Command Center

En esta página, se proporciona una descripción general de alto nivel de las acciones que debes realizar si quieres que los perfiles de datos generen resultados en Security Command Center. En esta página, también se proporcionan consultas de ejemplo que puedes usar para encontrar los resultados generados.

Si eres cliente de Security Command Center Enterprise, consulta Habilita el descubrimiento de datos sensibles en el nivel empresarial en la documentación de Security Command Center.

Acerca de los perfiles de datos

Puedes configurar la protección de datos sensibles para generar automáticamente perfiles sobre los datos en una organización, una carpeta o un proyecto. Los perfiles de datos contienen métricas y metadatos sobre tus datos y te ayudan a determinar dónde residen los datos sensibles y de alto riesgo. La protección de datos sensibles informa estas métricas en varios niveles de detalle. Para obtener información sobre los tipos de datos que puedes perfilar, consulta Recursos compatibles.

Beneficios de publicar perfiles de datos en Security Command Center

Esta función ofrece los siguientes beneficios en Security Command Center:

Hallazgos generados de Security Command Center

Cuando configuras el servicio de descubrimiento para que publique perfiles de datos en Security Command Center, cada perfil de datos de tabla o perfil de datos de almacenamiento de archivos genera los siguientes resultados de Security Command Center.

Hallazgos de vulnerabilidades del servicio de descubrimiento

El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si estás almacenando datos altamente sensibles que no están protegidos.

Categoría Resumen

Public sensitive data

Nombre de categoría en la API:

PUBLIC_SENSITIVE_DATA

Descripción del hallazgo: El recurso especificado tiene datos de alta sensibilidad a los que cualquier persona puede acceder desde Internet.

Recursos admitidos:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3

Remedio:

Para los datos de Google Cloud, quita allUsers y allAuthenticatedUsers de la política de IAM del activo de datos.

Para los datos de Amazon S3, configura la opción de bloquear el acceso público o actualiza la LCA del objeto para denegar el acceso de lectura público.

Estándares de cumplimiento: No asignados

Secrets in environment variables

Nombre de categoría en la API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descripción del hallazgo: Hay secretos, como contraseñas, tokens de autenticación y credenciales de Google Cloud, en las variables de entorno.

Para habilitar este detector, consulta Cómo informar secretos en variables de entorno a Security Command Center en la documentación de Sensitive Data Protection.

Recursos admitidos:

Remedio:

En el caso de las variables de entorno de Cloud Run Functions, quita el secreto de la variable de entorno y almacenalo en Secret Manager.

Para las variables de entorno de la revisión del servicio de Cloud Run, quita todo el tráfico de la revisión y, luego, bórrala.

Estándares de cumplimiento:

  • CIS para GCP Foundation 1.3: 1.18
  • CIS para GCP Foundation 2.0: 1.18

Secrets in storage

Nombre de categoría en la API:

SECRETS_IN_STORAGE

Descripción del hallazgo: Hay secretos, como contraseñas, tokens de autenticación y credenciales de la nube, en el recurso especificado.

Recursos admitidos:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3

Remedio:

  1. En el caso de los datos de Google Cloud, usa Sensitive Data Protection para ejecutar un análisis de inspección profunda del recurso especificado y así identificar todos los recursos afectados. En el caso de los datos de Cloud SQL, exporta esos datos a un archivo CSV o AVRO en un bucket de Cloud Storage y ejecuta un análisis de inspección profunda del bucket.

    Para los datos de Amazon S3, inspecciona manualmente el bucket especificado.

  2. Quita los secretos detectados.
  3. Considera restablecer las credenciales.
  4. En el caso de los datos de Google Cloud, considera almacenar los secretos detectados en Secret Manager.

Estándares de cumplimiento: No asignados

Resultados de la observación del servicio de descubrimiento

Data sensitivity
Es una indicación del nivel de sensibilidad de los datos en un recurso de datos en particular. Los datos son sensibles si contienen PII o algún otro elemento que podría requerir control o administración adicionales. La gravedad del hallazgo es el nivel de sensibilidad que calculó la Protección de datos sensibles cuando generó el perfil de datos.
Data risk
El riesgo asociado con los datos en su estado actual. Cuando se calcula el riesgo de los datos, la Protección de datos sensibles considera el nivel de sensibilidad de los datos en el recurso de datos y la presencia de controles de acceso para protegerlos. La gravedad del hallazgo es el nivel de riesgo de datos que calculó Sensitive Data Protection cuando se generó el perfil de datos.

Cómo encontrar la latencia de generación

Desde el momento en que Sensitive Data Protection genera los perfiles de datos, pueden transcurrir hasta seis horas para que los resultados asociados aparezcan en Security Command Center.

Envía perfiles de datos a Security Command Center

El siguiente es un flujo de trabajo de alto nivel para publicar perfiles de datos en Security Command Center.

  1. Verifica el nivel de activación de Security Command Center para tu organización. Para enviar perfiles de datos a Security Command Center, debes tener Security Command Center activado a nivel de la organización, en cualquier nivel de servicio.

    Si Security Command Center solo está activado a nivel del proyecto, los resultados de la Protección de datos sensibles no aparecerán en Security Command Center.

  2. Si Security Command Center no está activado para tu organización, debes activarlo. Para obtener más información, consulta uno de los siguientes artículos, según el nivel de servicio de Security Command Center que tengas:

  3. Confirma que la Protección de datos sensibles esté habilitada como servicio integrado. Para obtener más información, consulta Agrega un servicio integrado de Google Cloud.

  4. Para habilitar el descubrimiento, crea una configuración de análisis de descubrimiento para cada fuente de datos que desees analizar. En la configuración del análisis, asegúrate de que la opción Publicar en Security Command Center esté habilitada.

    Si tienes una configuración de análisis de descubrimiento existente que no publica perfiles de datos en Security Command Center, consulta Habilita la publicación en Security Command Center en una configuración existente en esta página.

Habilita el descubrimiento con la configuración predeterminada

Para habilitar el descubrimiento, creas una configuración de descubrimiento para cada fuente de datos que deseas analizar. Este procedimiento te permite crear esas configuraciones de descubrimiento automáticamente con la configuración predeterminada. Puedes personalizar la configuración en cualquier momento después de realizar este procedimiento.

Si quieres personalizar la configuración desde el principio, consulta las siguientes páginas:

Para habilitar el descubrimiento con la configuración predeterminada, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Protección de datos sensibles Habilitar descubrimiento.

    Ir a Habilita el descubrimiento

  2. Verifica que estés viendo la organización en la que activaste Security Command Center.

  3. En el campo Service agent container, establece el proyecto que se usará como contenedor de agente de servicio. Dentro de este proyecto, el sistema crea un agente de servicio y le otorga automáticamente los permisos de descubrimiento necesarios.

    Si usaste el servicio de descubrimiento para tu organización, es posible que ya tengas un proyecto de contenedor de agente de servicio que puedas volver a usar.

    • Para crear automáticamente un proyecto que se usará como contenedor de agente de servicio, revisa el ID del proyecto sugerido y edítalo según sea necesario. Luego, haz clic en Crear. Los permisos pueden tardar unos minutos en otorgarse al agente de servicio del proyecto nuevo.
    • Para seleccionar un proyecto existente, haz clic en el campo Service agent container y selecciónalo.
  4. Para revisar la configuración predeterminada, haz clic en el ícono de expansión .

  5. En la sección Habilitar descubrimiento, haz clic en Habilitar para cada tipo de descubrimiento que quieras habilitar. Cuando habilitas un tipo de descubrimiento, sucede lo siguiente:

    • BigQuery: Crea una configuración de descubrimiento para generar perfiles de las tablas de BigQuery en toda la organización. La protección de datos sensibles comienza a generar perfiles de tus data de BigQuery y envía los perfiles a Security Command Center.
    • Cloud SQL: Crea una configuración de descubrimiento para generar perfiles de las tablas de Cloud SQL en toda la organización. Sensitive Data Protection comienza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar algunas horas. Cuando las conexiones predeterminadas estén listas, debes darle a Sensitive Data Protection acceso a tus instancias de Cloud SQL. Para ello, actualiza cada conexión con las credenciales de usuario de la base de datos adecuadas.
    • Vulnerabilidades de secretos o credenciales: Crea una configuración de descubrimiento para detectar y, luego, informar secretos no encriptados en las variables de entorno de Cloud Run. Sensitive Data Protection comienza a analizar tus variables de entorno.
    • Cloud Storage: Crea una configuración de descubrimiento para generar perfiles de buckets de Cloud Storage en toda la organización. La protección de datos sensibles comienza a generar perfiles de tus datos de Cloud Storage y los envía a Security Command Center.
    • Conjuntos de datos de Vertex AI: Crea una configuración de descubrimiento para generar perfiles de conjuntos de datos de Vertex AI en toda la organización. La protección de datos sensibles comienza a generar perfiles de tus conjuntos de datos de Vertex AI y envía los perfiles a Security Command Center.
    • Amazon S3: Crea una configuración de descubrimiento para crear perfiles de datos de Amazon S3 en toda la organización, una sola cuenta de S3 o un solo bucket.

  6. Para ver las configuraciones de descubrimiento creadas recientemente, haz clic en Ir a la configuración de descubrimiento.

    Si habilitaste el descubrimiento de Cloud SQL, la configuración de descubrimiento se crea en modo pausado con errores que indican la ausencia de credenciales. Consulta Cómo administrar las conexiones para usarlas con el descubrimiento para otorgar los roles de IAM necesarios a tu agente de servicio y proporcionar credenciales de usuario de la base de datos para cada instancia de Cloud SQL.

  7. Cerrar el panel

Habilita la publicación en Security Command Center en una configuración existente

Si tienes una configuración de análisis de descubrimiento existente que no está configurada para publicar los resultados de descubrimiento en Security Command Center, sigue estos pasos:

  1. Abre la configuración de análisis para editarla.

  2. En la sección Acciones, habilita Publicar en Security Command Center.

  3. Haz clic en Guardar.

Cómo consultar los hallazgos de Security Command Center relacionados con los perfiles de datos

A continuación, se incluyen ejemplos de consultas que puedes usar para encontrar hallazgos relevantes de Data sensitivity y Data risk en Security Command Center. Puedes ingresar estas consultas en el campo Editor de consultas. Para obtener más información sobre el editor de consultas, consulta Cómo editar una consulta de resultados en el panel de Security Command Center.

Muestra una lista de todos los hallazgos de Data sensitivity y Data risk para una tabla de BigQuery en particular

Esta consulta es útil, por ejemplo, si Security Command Center detecta un evento en el que se guardó una tabla de BigQuery en un proyecto diferente. En este caso, se genera un hallazgo Exfiltration: BigQuery Data Exfiltration que contiene el nombre completo de la tabla que se extrajo. Puedes buscar cualquier resultado de Data sensitivity y Data risk relacionado con la tabla. Consulta los niveles calculados de sensibilidad y riesgo de datos de la tabla y planifica tu respuesta según corresponda.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto que contiene la tabla de BigQuery.
  • DATASET_ID: El ID del conjunto de datos de la tabla
  • TABLE_ID: el ID de la tabla

Cómo enumerar todos los resultados de Data sensitivity y Data risk para una instancia de Cloud SQL en particular

Esta consulta es útil, por ejemplo, si Security Command Center detecta un evento en el que se exportaron datos de instancias de Cloud SQL activas a un bucket de Cloud Storage fuera de la organización. En este caso, se genera un hallazgo Exfiltration: Cloud SQL Data Exfiltration que contiene el nombre de recurso completo de la instancia que se extrajo. Puedes buscar cualquier resultado de Data sensitivity y Data risk relacionado con la instancia. Consulta los niveles calculados de sensibilidad y riesgo de datos de la instancia y planifica tu respuesta según corresponda.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Reemplaza lo siguiente:

  • INSTANCE_NAME: Es una parte del nombre de la instancia de Cloud SQL.

Enumera todos los resultados de Data risk y Data sensitivity con un nivel de gravedad High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

¿Qué sigue?