Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Verwaltung des Datensicherheitsstatus verwenden

In diesem Dokument wird beschrieben, wie Sie die Verwaltung des Datensicherheitsstatus (Data Security Posture Management, DSPM) aktivieren und verwenden können .

Wenn Sie die Dienststufe „Security Command Center Standard“ verwenden, sind nur eingeschränkte DSPM-Funktionen verfügbar.

DSPM aktivieren

Sie können DSPM während oder nach der Aktivierung von Security Command Center aktivieren.

So aktivieren Sie DSPM auf Organisationsebene:

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aktivieren von DSPM benötigen:
- Administrator der Organisation (roles/resourcemanager.organizationAdmin)
- Sicherheitscenter-Administrator (roles/securitycenter.admin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Aktivieren Sie DSPM mit einer der folgenden Methoden:

Szenario	Anleitung
Sie sind neu bei Security Command Center oder migrieren zur Dienststufe „Standard“.	Aktivieren Sie DSPM, indem Sie Security Command Center Standard für eine Organisation aktivieren.
Sie haben Security Command Center noch nicht aktiviert und möchten die Dienststufe „Premium“ von Security Command Center verwenden.	Aktivieren Sie DSPM, indem Sie Security Command Center Premium für eine Organisation aktivieren.
Sie haben Security Command Center noch nicht aktiviert und möchten die Dienststufe Security Command Center Enterprise verwenden.	Aktivieren Sie DSPM, indem Sie Security Command Center Enterprise aktivieren.
Sie haben Security Command Center Premium bereits aktiviert und möchten DSPM aktivieren.	Aktivieren Sie DSPM auf der Seite Einstellungen. Zur Seite „Einstellungen“
Sie haben die Dienststufe Security Command Center Enterprise bereits aktiviert und möchten DSPM aktivieren.	Aktivieren Sie DSPM auf der Seite DSPM aktivieren. Zu „DSPM aktivieren“

Weitere Informationen zu den Dienststufen von Security Command Center finden Sie unter Security Command Center-Dienststufen.

Aktivieren Sie die Erkennung der Ressourcen, die Sie mit DSPM schützen möchten (nur Dienststufen „Premium“ und „Enterprise“).

Wenn Sie DSPM aktivieren, werden auch die folgenden Dienste aktiviert (nur Dienststufen „Premium“ und „Enterprise“):

Compliance Manager zum Erstellen, Anwenden und Verwalten von Datensicherheits-Frameworks und Cloud-Kontrollen.
Sensitive Data Protection zum Verwenden von Signalen zur Datensensibilität für die standardmäßige Bewertung des Datenrisikos.
Event Threat Detection (Teil von Security Command Center) auf Organisationsebene, um die Cloud-Kontrolle für die Datenzugriffs-Governance und die Cloud-Kontrolle für die Datenfluss-Governance zu verwenden.
AI Protection zum Schutz des Lebenszyklus Ihrer KI-Arbeitslasten (nur Dienststufe „Security Command Center Enterprise).

Das Data Security and Privacy Essentials framework wird automatisch auf die Organisation angewendet (nur Dienststufen „Premium“ und „Enterprise“).

(Nur Dienststufen „Premium“ und „Enterprise“) Der DSPM-Dienst Agent (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) wird erstellt, wenn Sie DSPM aktivieren.

Informationen zu den IAM-Rollen für DSPM finden Sie unter Identity and Access Management für Aktivierungen auf Organisationsebene.

Downgrade von der Dienststufe „Premium“ oder „Enterprise“ auf die Dienststufe „Standard“

Wenn Sie ein Downgrade von der Dienststufe „Premium“ oder „Enterprise“ auf die Standard Dienststufe durchführen, hat dies folgende Auswirkungen auf Ihre DSPM-Funktionen:

Frameworks entfernt:Bereitgestellte DSPM-Frameworks, die von Premium- oder Enterprise-Funktionen abhängen, werden entfernt.
Funktionszugriff verloren: Sie verlieren den Zugriff auf erweiterte Datensicherheitskontrollen und benutzerdefinierte Daten-Frameworks.
Zurück zu „Basic“:DSPM verwendet die grundlegenden Datensicherheitsprüfungen, die im Framework „Security Essentials“ enthalten sind.
Ergebnisse werden inaktiv:Alle Ergebnisse, die zuvor von Frameworks der Dienststufe „Premium“ oder „Enterprise“ generiert wurden, werden inaktiv. Die einzigen Ergebnisse, die weiterhin verfügbar sind, stammen aus dem Framework „Security Essentials“.

Wenn Sie nach einem Downgrade auf die Dienststufe „Standard“ wieder ein Upgrade auf die Dienststufe „Premium“ oder „Enterprise“ durchführen, können Framework-Bereitstellungen, die während des Downgrades entfernt wurden, nicht automatisch wiederhergestellt werden. Sie müssen diese Frameworks manuell neu bereitstellen und die zugehörigen Konfigurationen neu erstellen.

DSPM-Unterstützung für VPC Service Controls-Perimeter

Wenn Sie DSPM in einer Organisation aktivieren, die VPC Service Controls-Perimeter enthält, sollten Sie Folgendes beachten:

Prüfen Sie die Einschränkungen für Security Command Center.
Sie können keinen Perimeter verwenden, um DSPM-Ressourcen zu schützen, da sich alle Ressourcen auf Organisationsebene befinden. Verwenden Sie IAM, um DSPM-Berechtigungen zu verwalten.
Da DSPM auf Organisationsebene aktiviert ist, können keine Datenrisiken und ‑verstöße innerhalb eines Dienstperimeters erkannt werden. So gewähren Sie Zugriff:
1. Prüfen Sie, ob Sie die erforderlichen Rollen zum Konfigurieren von VPC Service Controls auf Organisationsebene haben.
2. Konfigurieren Sie die folgende Regel für eingehenden Traffic:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Ersetzen Sie DSPM_SA_EMAIL_ADDRESS durch die E-Mail-Adresse des DSPM-Dienst-Agents (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

Die erforderlichen IAM-Rollen für den Dienst-Agenten werden gewährt, wenn Sie DSPM aktivieren. Sie bestimmen, welche Vorgänge der Dienst-Agent ausführen kann.

Weitere Informationen zu Regeln für eingehenden Traffic finden Sie unter Richtlinien für ein- und ausgehenden Traffic konfigurieren.

Benutzerdefinierte Datensicherheits-Frameworks erstellen

Kopieren Sie bei Bedarf das Framework „Data Security and Privacy Essentials“ und passen Sie es an Ihre Anforderungen an Datensicherheit und Compliance an. Eine Anleitung finden Sie unter Framework anwenden.

Erweiterte Cloud-Kontrollen für die Datensicherheit bereitstellen

Fügen Sie bei Bedarf die erweiterten Cloud-Kontrollen für die Datensicherheit zu benutzerdefinierten Frameworks hinzu. Für diese Kontrollen ist eine zusätzliche Konfiguration erforderlich, bevor Sie sie bereitstellen können. Eine Anleitung zum Bereitstellen von Cloud-Kontrollen und ‑Frameworks finden Sie unter Framework anwenden.

Sie können Frameworks, die erweiterte Cloud-Kontrollen für die Datensicherheit enthalten, in Ihrer Organisation, in Ordnern, Projekten und App Hub-Anwendungen in Ordnern bereitstellen, die für die Anwendungsverwaltung konfiguriert sind. Wenn Sie die erweiterten Cloud-Kontrollen für die Datensicherheit auf Anwendungen anwenden möchten, darf das Framework nur diese Kontrollen enthalten. Sie müssen den Ordner, für den die Anwendungsverwaltung aktiviert ist, und die Anwendung auswählen, die von den Cloud-Kontrollen überwacht werden soll. Anwendungen in Hostprojekten oder einer Einzelprojektgrenze werden nicht unterstützt.

Berücksichtige Folgendes:

Prüfen Sie die Informationen zu den einzelnen erweiterten Cloud-Kontrollen für die Datensicherheit auf Einschränkungen.

Führen Sie die Aufgaben für jede Regel aus, wie in der folgenden Tabelle beschrieben.

Regel	Zusätzliche Konfiguration
Cloud-Kontrolle für die Datenzugriffs-Governance	Aktivieren Sie Audit-Logs zum Daten zugriff für Cloud Storage und die Agent Platform (falls in Ihrer Umgebung zutreffend). Legen Sie den Berechtigungstyp für den Datenzugriff auf `DATA_READ` fest. Aktivieren Sie die Audit-Logs zum Datenzugriff auf Organisationsebene oder Projektebene, je nachdem, wo Sie die Cloud-Kontrolle für die Datenzugriffs-Governance anwenden. Prüfen Sie, ob nur autorisierte Hauptkonten von der Audit-Protokollierung ausgenommen sind. Hauptkonten, die von der Audit-Protokollierung ausgenommen sind, sind auch von DSPM ausgenommen. Fügen Sie ein oder mehrere zulässige Hauptkonten hinzu (maximal 200 Hauptkonten) und verwenden Sie dabei eines der folgenden Formate: Für einen Nutzer: `principal://goog/subject/USER_EMAIL_ADDRESS` Beispiel: `principal://goog/subject/alex@example.com` Für eine Gruppe: `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Beispiel: `principalSet://goog/group/my-group@example.com`
Cloud-Kontrolle für die Datenfluss-Governance	Aktivieren Sie Audit-Logs zum Daten zugriff für Cloud Storage und die Agent Platform (falls in Ihrer Umgebung zutreffend). Legen Sie den Berechtigungstyp für den Datenzugriff auf `DATA_READ` fest. Aktivieren Sie die Audit-Logs zum Datenzugriff auf Organisationsebene oder Projektebene, je nachdem, wo Sie die Cloud-Kontrolle für die Datenzugriffs-Governance anwenden. Prüfen Sie, ob nur autorisierte Hauptkonten von der Audit-Protokollierung ausgenommen sind. Hauptkonten, die von der Audit-Protokollierung ausgenommen sind, sind auch von DSPM ausgenommen. Geben Sie zulässige Länder mit den Ländercodes an, die im Unicode Common Locale Data Repository (CLDR) definiert sind.
Cloud-Kontrolle für Datenschutz und Schlüsselverwaltung	Aktivieren Sie CMEK in BigQuery und der Agent Platform.
Cloud-Kontrollen für das Löschen von Daten	Legen Sie die Aufbewahrungszeiträume fest. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen in Sekunden festlegen möchten, setzen Sie den Aufbewahrungszeitraum auf `777600`.