O gerenciamento da postura de segurança de dados (DSPM) ajuda você a entender quais dados tem, onde eles estão armazenados e se são usados de maneira alinhada aos seus requisitos de segurança e compliance. Com a DSPM, você pode concluir as seguintes tarefas:
Descubra recursos de dados no seu ambiente Google Cloud usando filtros como tipo de recurso, local e ID do projeto.
Avalie sua postura atual de segurança de dados em relação às práticas recomendadas do Google para identificar e corrigir possíveis problemas de segurança e conformidade.
Mapeie seus requisitos de segurança e compliance de dados para controles de segurança de dados na nuvem.
Aplique controles de segurança de dados na nuvem usando frameworks.
Monitore o alinhamento das suas cargas de trabalho com as estruturas de segurança de dados aplicadas, corrija violações e gere evidências para auditoria.
O DSPM funciona com a Proteção de Dados Sensíveis. A Proteção de Dados Sensíveis encontra os dados sensíveis na sua organização, e a DSPM permite implantar controles de segurança de dados na nuvem nos dados sensíveis para atender aos requisitos de segurança e compliance.
Componentes da DSPM
As seções a seguir descrevem os componentes da DSPM.
Painel de segurança de dados
O painel de segurança de dados no consoleGoogle Cloud mostra como os dados da sua organização se alinham aos requisitos de segurança e compliance de dados.
O explorador do mapa de dados no painel de segurança de dados mostra os locais geográficos onde seus dados são armazenados e permite filtrar informações sobre eles por local geográfico, sensibilidade, projeto associado e quais serviços do Google armazenam os dados.Google Cloud Os círculos no mapa de dados representam a contagem relativa de recursos de dados e recursos de dados com alertas na região.
É possível ver descobertas de segurança de dados, que ocorrem quando um recurso de dados viola um controle de segurança de dados na nuvem. As descobertas de segurança de dados usam a categoria DATA_SECURITY. Quando um novo alerta é gerado, ele pode levar até duas horas para aparecer no Explorador do mapa de dados.
Você também pode analisar informações sobre as estruturas de segurança de dados implantadas, o número de descobertas abertas associadas a cada estrutura e a porcentagem de recursos no seu ambiente coberta por pelo menos uma estrutura.
Frameworks de segurança de dados
Você usa estruturas para definir seus requisitos de segurança e conformidade de dados e aplica esses requisitos ao seu ambiente Google Cloud . O DSPM inclui a estrutura de conceitos básicos de segurança e privacidade de dados, que define controles básicos recomendados para segurança e compliance de dados. Quando você ativa a DSPM, esse framework é aplicado automaticamente à organizaçãoGoogle Cloud no modo de detecção. Você pode usar as descobertas geradas para reforçar sua postura de dados.
Se necessário, faça cópias do framework para criar estruturas personalizadas de segurança de dados. É possível adicionar os controles avançados de segurança de dados na nuvem aos seus frameworks personalizados e aplicá-los à organização, pastas ou projetos. Por exemplo, é possível criar estruturas personalizadas que aplicam controles jurisdicionais a pastas específicas para garantir que os dados nelas permaneçam em uma região geográfica específica.
Estrutura de princípios básicos de privacidade e segurança de dados
Os controles de nuvem a seguir fazem parte da estrutura de Fundamentos de segurança e privacidade de dados.
| Controle de nuvem | Descrição |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
Detectar quando a CMEK não é usada em tabelas do BigQuery que incluem dados sensíveis. |
CMEK DO CONJUNTO DE DADOS DE DADOS SENSÍVEIS DESATIVADA |
Detectar quando a CMEK não é usada em conjuntos de dados do BigQuery que incluem dados sensíveis. |
CONJUNTO DE DADOS PÚBLICOS COM DADOS SENSÍVEIS |
Detectar dados sensíveis em conjuntos de dados do BigQuery acessíveis publicamente. |
INSTÂNCIA SQL PÚBLICA COM DADOS SENSÍVEIS |
Detectar dados sensíveis em bancos de dados SQL acessíveis publicamente. |
CMEK DO SQL DE DADOS SENSÍVEIS DESATIVADA |
Detecta quando a CMEK não é usada em bancos de dados SQL que incluem dados sensíveis. |
Controles avançados de segurança de dados na nuvem
O DSPM inclui controles avançados de segurança de dados na nuvem para ajudar você a atender a outros requisitos de segurança de dados. Esses controles avançados de segurança de dados na nuvem incluem o seguinte:
- Governança de acesso a dados:detecta se principais diferentes dos especificados estão acessando dados sensíveis.
- Governança do fluxo de dados:detecta se clientes fora de um local geográfico (país) específico estão acessando dados sensíveis.
- Proteção de dados e governança de chaves:detecta se dados sensíveis estão sendo criados sem criptografia de chaves de criptografia gerenciadas pelo cliente (CMEKs).
- Exclusão de dados:detecta violações das políticas de período máximo de retenção para dados sensíveis.
Esses controles são compatíveis apenas com o modo de detecção. Para mais informações sobre como implantar esses controles, consulte Usar DSPM.
Controles de segurança de dados na nuvem
As seções a seguir descrevem os controles avançados de segurança de dados na nuvem.
Controle de nuvem da governança de acesso aos dados
Esse controle restringe o acesso a dados sensíveis a conjuntos principais especificados. Quando há uma tentativa de acesso não conforme (acesso por principais diferentes dos permitidos) a recursos de dados, um alerta é criado. Os tipos de principais compatíveis são contas de usuário ou grupos. Para informações sobre qual formato usar, consulte a tabela de formatos de principais aceitos.
As contas de usuário incluem o seguinte:
- Contas do Google pessoais que os usuários criam no google.com, como contas do Gmail.com
- Contas do Google gerenciadas para empresas
- Contas do Google Workspace for Education
As contas de usuário não incluem contas de robô, contas de serviço, contas da marca somente para delegação, contas de recursos e contas de dispositivo.
Os tipos de recursos compatíveis incluem:
- Conjuntos de dados e tabelas do BigQuery
- Buckets do Cloud Storage
- Modelos, conjuntos de dados, Feature Store e repositórios de metadados da Vertex AI
O DSPM avalia a conformidade com esse controle sempre que uma conta de usuário lê um tipo de recurso compatível.
Esse controle de nuvem exige que você ative os registros de auditoria de acesso a dados para o Cloud Storage e a Vertex AI.
As limitações incluem:
- Apenas operações de leitura são compatíveis.
- O acesso por contas de serviço, incluindo a representação de conta de serviço, está isento desse controle. Como mitigação, verifique se apenas contas de serviço confiáveis têm acesso a recursos sensíveis do Cloud Storage, do BigQuery e da Vertex AI. Além disso, não conceda o papel
Criador de token da conta de serviço (
roles/iam.serviceAccountTokenCreator) a usuários que não devem ter acesso. - Esse controle não impede o acesso dos usuários a cópias feitas por operações de conta de serviço, como as realizadas pelo Serviço de transferência do Cloud Storage e pelo Serviço de transferência de dados do BigQuery. Os usuários podem acessar cópias de dados que não têm esse controle ativado.
- Conjuntos de dados vinculados
não são compatíveis. Os conjuntos de dados vinculados criam um conjunto de dados somente leitura do BigQuery que funciona como um link simbólico para um conjunto de dados de origem. Os conjuntos de dados vinculados não geram registros de auditoria de acesso a dados e podem permitir que um usuário não autorizado leia dados sem que isso seja sinalizado. Por exemplo, um usuário pode burlar o controle de acesso vinculando um conjunto de dados a outro fora do limite de compliance. Depois, ele pode consultar o novo conjunto sem gerar registros no conjunto de dados de origem. Como mitigação, não conceda os papéis Administrador do BigQuery
(
roles/bigquery.admin), Proprietário de dados do BigQuery (roles/bigquery.dataOwner) ou Administrador do BigQuery Studio (roles/bigquery.studioAdmin) a usuários que não devem ter acesso a recursos sensíveis do BigQuery. - As consultas de tabelas curinga são compatíveis no nível do conjunto de dados, mas não no nível do conjunto de tabelas. Com esse recurso, é possível consultar várias tabelas do BigQuery ao mesmo tempo usando expressões curinga. A DSPM processa consultas curinga como se você estivesse acessando o conjunto de dados principal do BigQuery, e não tabelas individuais dentro dele.
- Não há suporte para acesso público a objetos do Cloud Storage. O acesso público concede acesso a todos os usuários sem verificações de política.
- O acesso ou os downloads de objetos do Cloud Storage usando sessões autenticadas do navegador não são compatíveis.
Controle de nuvem de governança de fluxo de dados
Com esse controle, é possível especificar os países permitidos de onde os dados podem ser acessados. O controle de nuvem funciona da seguinte maneira:
Se uma solicitação de leitura vier da Internet, o país será determinado com base no endereço IP da solicitação. Se um proxy for usado para enviar a solicitação de leitura, os alertas serão enviados com base na localização do proxy.
Se a solicitação de leitura vier de uma VM do Compute Engine, o país será determinado pela zona de nuvem de origem da solicitação.
Os tipos de recursos compatíveis incluem:
- Conjuntos de dados e tabelas do BigQuery
- Buckets do Cloud Storage
- Modelos, conjuntos de dados, repositórios de recursos e repositórios de metadados da Vertex AI
As limitações incluem:
- Apenas operações de leitura são compatíveis.
- Na Vertex AI, apenas solicitações da Internet são aceitas.
- Não há suporte para acesso público a objetos do Cloud Storage.
- O acesso ou os downloads de objetos do Cloud Storage usando sessões autenticadas do navegador não são compatíveis.
Controle de nuvem de governança de chaves e proteção de dados
Esse controle exige que você criptografe recursos específicos usando CMEKs.
Os tipos de recursos compatíveis incluem:
- Conjuntos de dados e tabelas do BigQuery
- Modelos, conjuntos de dados, repositórios de recursos e repositórios de metadados da Vertex AI
Controle de nuvem de exclusão de dados
Esse controle rege o período de armazenamento de dados sensíveis. É possível selecionar recursos (por exemplo, tabelas do BigQuery) e aplicar um controle de exclusão de dados na nuvem que detecta se algum dos recursos viola os limites máximos de retenção por idade.
Os tipos de recursos compatíveis incluem:
- Conjuntos de dados e tabelas do BigQuery
- Modelos, conjuntos de dados, Feature Store e repositórios de metadados da Vertex AI