Data Security Posture Management (DSPM) 提供以資料為中心的 Google Cloud 安全性檢視畫面。DSPM 可協助您瞭解擁有哪些機密資料、這些資料在Google Cloud中的儲存位置,以及資料使用方式是否符合安全性與法規遵循規定,進而持續找出並降低資料風險。
DSPM 功能取決於Security Command Center 服務層級。如要進一步瞭解 Standard 層級提供的 Data Security Posture Management 功能,請參閱「Standard 層級的 Data Security Posture Management 功能簡介」。
在 Premium 和 Enterprise 方案中,DSPM 可協助團隊完成下列資料安全性工作:
資料探索和分類:自動探索及分類 Google Cloud 環境中的機密資料資源,包括 BigQuery 和 Cloud Storage。
資料控管:根據 Google 的最佳做法和法規遵循架構,評估目前的資料安全防護機制,找出並修正潛在的安全問題。
控管執行:將安全需求對應至特定的資料治理雲端控管機制,例如資料存取權管理和資料流程治理。
法規遵循監控:根據適用的資料安全性架構監控工作負載,證明符合規定、修正違規事項,並產生稽核證據。
DSPM 的核心元件
以下各節說明 DSPM 的元件。
使用 DSPM 資訊主頁監控資料安全性態勢
您可以在 Google Cloud 控制台的資料安全性資訊主頁中,查看貴機構的資料是否符合資料安全性及法規遵循規定。這個資訊主頁提供資料地圖探索工具,可顯示資料位置,並依機密程度和專案等屬性篩選。此外,資訊主頁還會顯示政策違規的安全性發現項目、安全框架部署和涵蓋範圍的詳細資料等。
如要進一步瞭解如何使用資訊主頁,請參閱「監控資料安全性態勢」。
DSPM 資料安全性架構和法規遵循
您可以使用框架定義資料安全性與法規遵循規定,並將這些規定套用至 Google Cloud 環境。DSPM 包含資料安全性與隱私權基本框架,可定義資料安全性與法規遵循的建議基準控制項。啟用 DSPM 後,系統會自動以偵測模式將這個框架套用至Google Cloud 機構。您可以根據產生的發現項目,強化資料狀態。
如有需要,您可以複製架構,建立自訂資料安全架構。您可以將進階資料安全性雲端控制項新增至自訂架構,並將自訂架構套用至已設定應用程式管理功能的資料夾中的機構、資料夾、專案和 App Hub 應用程式。舉例來說,您可以建立自訂架構,對特定資料夾套用管轄區控管措施,確保這些資料夾中的資料留在特定地理區域。
資料安全與隱私權基本架構 (基準控制項)
下列雲端控制項屬於資料安全與隱私權基本架構。
| CloudControl | 說明 |
|---|---|
偵測未對含有機密資料的 BigQuery 資料表使用 CMEK。 |
|
偵測包含機密資料的 BigQuery 資料集是否未使用 CMEK。 |
|
偵測可公開存取的 BigQuery 資料集中的私密資料。 |
|
偵測可公開存取的 SQL 資料庫中的私密資料。 |
|
偵測包含私密資料的 SQL 資料庫是否未使用 CMEK。 |
進階資料管理與安全雲端控管機制
DSPM 包含進階資料安全性功能,可協助您滿足額外的資料安全性需求。這些進階資料安全性雲端控制項會依下列方式分組:
- 監控使用者權限:偵測指定主體以外的主體是否正在存取私密資料。這項控管措施的名稱為「Restrict Access to Sensitive Data to Permitted Users」(僅允許特定使用者存取私密資料)。
- 防範資料竊取:偵測指定地理位置 (國家/地區) 以外的用戶端是否存取機密資料。控管名稱為「Restrict Flow of Sensitive Data Across Geographic Jurisdictions」(限制機密資料在地理管轄區間流動)。
- 強制執行 CMEK 加密:偵測是否在沒有客戶自行管理的加密金鑰 (CMEK) 加密的情況下建立機密資料。多項控制項可協助對不同 Google Cloud服務強制執行 CMEK。
- 管理資料刪除作業:偵測是否違反機密資料的保留期限上限政策。控制項名稱為「管理機密資料的保留期限上限」。
- 管理資料保留:(預先發布) 為 Cloud Storage 物件強制設定最短保留期限 (以秒為單位),確保物件至少會保留一段時間。這項控制項的名稱為「Govern the minimum retention period for Cloud Storage objects」(控管 Cloud Storage 物件的最短保留期限)。您必須註冊才能使用這項控制項。
- 管理資料加密: (預覽版) 規定 Cloud Storage 值區中的物件必須加密。控管名稱為「Require Customer-Managed Encryption for Cloud Storage Objects」(規定 Cloud Storage 物件必須使用客戶自行管理的加密金鑰)。您必須註冊才能使用這項控管措施。
- 管理資料的公開存取權: (預先發布版) 限制 Cloud Storage bucket 中物件的公開存取權,避免資料暴露風險。這項控制項的名稱為「限制 Cloud Storage 物件的公開存取權」。您必須註冊才能使用這項控制項。
這些控制項僅支援偵測模式。如要進一步瞭解如何部署這些控制項,請參閱「使用 DSPM」。
監控使用者權限
「僅允許特定使用者存取機密資料」控制項會限制特定主體集存取機密資料。如果有人嘗試以不符規定的方式存取資料資源 (也就是由允許主體以外的主體存取),系統就會建立發現項目。支援的主體類型為使用者帳戶或群組。如要瞭解應使用的格式,請參閱支援的主體格式表格。
使用者帳戶包括:
- 使用者在 google.com 註冊的 Google 個人帳戶,例如 Gmail.com 帳戶
- 企業專用的受管理 Google 帳戶
- Google Workspace for Education 帳戶
使用者帳戶不包括機器人帳戶、服務帳戶、僅供委派的品牌帳戶、資源帳戶和裝置帳戶。
支援的資產類型包括:
- BigQuery 資料集和資料表
- Cloud Storage 值區
- Gemini Enterprise Agent Platform 模型、資料集、特徵儲存庫和中繼資料儲存庫
每當使用者帳戶讀取支援的資源類型時,DSPM 就會評估是否符合這項控制措施。
這項雲端控管機制需要為 Cloud Storage 和 Agent Platform 啟用資料存取稽核記錄。
限制包括:
- 僅支援讀取作業。
- 服務帳戶 (包括服務帳戶模擬) 的存取權不受這項控管措施限制。為減輕影響,請確保只有受信任的服務帳戶可以存取機密 Cloud Storage、BigQuery 和 Agent Platform 資源。此外,請勿將服務帳戶憑證建立者 (
roles/iam.serviceAccountTokenCreator) 角色授予不應具備存取權的使用者。 - 這項控管措施無法禁止使用者存取透過服務帳戶作業建立的副本,例如透過 Storage 移轉服務和 BigQuery 資料移轉服務建立的副本。使用者可以存取未啟用這項控制選項的資料副本。
- 不支援連結的資料集。連結的資料集會建立唯讀 BigQuery 資料集,做為來源資料集的符號連結。連結的資料集不會產生資料存取稽核記錄,且可能允許未經授權的使用者讀取資料,而不會標示為違規。舉例來說,使用者可將資料集連結至法規遵循範圍外的資料集,藉此規避存取控制,然後查詢新資料集,而不會針對來源資料集產生記錄。為減輕這類風險,請勿將 BigQuery 管理員 (
roles/bigquery.admin)、BigQuery 資料擁有者 (roles/bigquery.dataOwner) 或 BigQuery Studio 管理員 (roles/bigquery.studioAdmin) 角色授予不應存取機密 BigQuery 資源的使用者。 - Wildcard 資料表查詢支援資料集層級,但不支援資料表集層級。這項功能可讓您使用萬用字元運算式,同時查詢多個 BigQuery 資料表。DSPM 會將萬用字元查詢視為存取父項 BigQuery 資料集,而非資料集內的個別資料表。
- 系統不支援公開存取 Cloud Storage 物件。公開存取權會授予所有使用者存取權,且不會進行任何政策檢查。
- 系統不支援使用已驗證的瀏覽器工作階段存取或下載 Cloud Storage 物件。
- 部署至 App Hub 應用程式時,系統不支援 BigQuery 資料表和資料集。
防範資料竊取
限制機密資料跨地理管轄區流動控制項可讓您指定允許存取資料的國家/地區。雲端控制項的運作方式如下:
如果讀取要求來自網際網路,系統會根據讀取要求的 IP 位址判斷國家/地區。如果使用 Proxy 傳送讀取要求,系統會根據 Proxy 的位置傳送快訊。
如果讀取要求來自 Compute Engine VM,系統會根據要求來源的雲端區域判斷國家/地區。
支援的資產類型包括:
- BigQuery 資料集和資料表
- Cloud Storage 值區
- Agent Platform 模型、資料集、特徵儲存庫和中繼資料儲存庫
限制包括:
- 僅支援讀取作業。
- 如果是 Agent Platform,則僅支援來自網際網路的要求。
- 不支援公開存取 Cloud Storage 物件。
- 系統不支援使用已驗證的瀏覽器工作階段存取或下載 Cloud Storage 物件。
- 如果部署至為應用程式管理設定的資料夾中的 App Hub 應用程式,則不支援 BigQuery 表格和資料集。
- 如果主體在 24 小時內從不符規定的位置多次存取資源,系統只會針對第一次存取記錄違規事項。
強制執行 CMEK 加密
這些控制項要求您使用 CMEK 加密特定資源,包括:
- 為 Gemini Enterprise Agent Platform 資料集啟用 CMEK
- 為 Gemini Enterprise Agent Platform 中繼資料儲存庫啟用 CMEK
- 為 Gemini Enterprise Agent Platform 模型啟用 CMEK
- 為 Gemini Enterprise Agent Platform Featurestore 啟用 CMEK
- 為 BigQuery 資料表啟用 CMEK
將這些控制項部署至 App Hub 應用程式時,系統不支援 BigQuery 資料表。
管理最長資料保留政策
「控管機密資料的保留期限上限」控制項可控管機密資料的保留期限。您可以選取資源 (例如 BigQuery 資料表),並套用資料刪除雲端控制項,偵測是否有任何資源違反最長保留期限。
支援的資產類型包括:
將這項控制項部署至 App Hub 應用程式時,系統不支援 BigQuery 資料表和資料集。
管理資料保留
「控管 Cloud Storage 物件的最短保留期限」控制項會強制執行 Cloud Storage 物件的最短保留期限。這項控制項可防止 Cloud Storage 物件遭到刪除或修改,直到最短保留期限 (以秒為單位指定) 屆滿為止。
這項控制項會偵測不符合設定最低資料保留政策的 Cloud Storage 物件。系統會在 Security Command Center 的 bucket 層級產生發現項目。您可以在 Storage Intelligence 資料集 (位於 object_security_findings_view) 中,查詢物件層級的發現項目。物件層級的發現項目具有 findingType:SCC_DSPM_DATA_RETENTION 和 findingReason:MINIMUM_RETENTION_VIOLATION。
支援的資產類型:Cloud Storage 物件
您必須註冊才能使用這項控制項。
管理資料加密設定
針對 Cloud Storage 物件強制使用客戶自行管理的加密金鑰控制項,可協助您針對 Cloud Storage 值區中的物件強制使用 CMEK 加密。這項控制項會偵測未以 CMEK 加密的 Cloud Storage 物件,違反加密政策。
系統會在 Security Command Center 的 bucket 層級產生發現項目。您可以在 Storage Intelligence 資料集 (位於 object_security_findings_view) 中,查詢物件層級的發現項目。物件層級的發現項目具有 findingType:SCC_DSPM_ENCRYPTION_NO_CMEK 和 findingReason:ENCRYPTION_CMEK_VIOLATION。
支援的資產類型:Cloud Storage 物件
您必須註冊才能使用這項控制項。
管理資料的公開存取權
「限制 Cloud Storage 物件的公開存取權」控制項可協助您限制 Cloud Storage bucket 中物件的公開存取權,避免資料暴露風險。這項控制項會偵測違反公開存取政策的公開存取 Cloud Storage 物件。
系統會在 bucket 層級的 Security Command Center 中產生發現項目。您可以在 Storage Intelligence 資料集 (位於 object_security_findings_view) 中查詢詳細的物件層級發現項目。物件層級發現項目具有 findingType:SCC_DSPM_PUBLIC_ACCESS_GOVERNANCE 和 findingReason:PUBLIC_ACCESS_VIOLATION。
物件層級的發現項目中的 sccDspmFinding.securityInsights 欄位會提供公開存取狀態的詳細資料,包括讀取和寫入存取權。
支援的資產類型:Cloud Storage 物件
您必須註冊才能使用這項控制項。
搭配使用 DSPM 和 Sensitive Data Protection
DSPM 會與 Sensitive Data Protection 搭配運作。Sensitive Data Protection 會找出貴機構中的機密資料,而 DSPM 則可讓您在機密資料上部署資料安全性雲端控制項,以符合安全性和法規遵循要求。
下表說明如何使用 Sensitive Data Protection 進行資料探索,以及如何使用 DSPM 執行政策和管理安全狀態。
| 服務 | Sensitive Data Protection |
DSPM |
|---|---|---|
| 資料範圍 | 在儲存空間中尋找及分類機密資料 (例如 PII 或密鑰) Google Cloud。 |
評估分類機密資料周圍的安全性態勢。 |
| 核心動作 | 掃描、剖析及去識別化機密資料。 |
強制執行、監控及驗證政策。 |
| 發現項目重點 | 報告機密資料的位置 (例如 BigQuery 或 Cloud Storage)。 |
報告資料外洩的原因 (例如公開存取、缺少 CMEK 或權限過多)。 |
| 整合 | 提供機密性和分類中繼資料給 DSPM。 |
使用 Sensitive Data Protection 資料套用及監控安全控制項和風險評估。 |