监控数据安全状况

本文档介绍了数据安全信息中心,以及如何使用该信息中心来监控和分析数据安全状况。

如果您使用的是 Security Command Center 标准方案,则可以使用有限的 DSPM 功能

通过Google Cloud 控制台中的数据安全信息中心,您可以了解组织的数据对数据安全和合规性要求的符合程度。

数据安全信息中心内的 Data Map Explorer 会显示数据的存储地理位置,并允许您按地理位置、数据敏感程度、关联项目以及存储数据的Google Cloud 服务来过滤数据相关信息。数据地图上的圆圈表示相应区域内数据资源和存在提醒的数据资源的相对数量。

您可以查看数据安全发现结果,这些结果会在数据资源违反数据安全云控制时出现。生成新的发现结果后,该结果最多可能需要两小时才会显示在数据地图浏览器中。

您还可以查看有关已部署的数据安全框架的信息、与每个框架关联的未解决的发现结果数量,以及您的环境中至少受一个框架覆盖的资源百分比。

预览版)该信息中心还会显示数据安全洞见,您可以利用这些洞见主动识别潜在的数据风险。这些洞见仅适用于包含高度敏感数据的资源。这些资源必须经过 Sensitive Data Protection 扫描,并且扫描必须配置为将结果发布到 Security Command Center。

信息中心会显示以下内容:

  • 最常访问高度敏感数据的用户。此表会突出显示哪些用户和服务账号最常访问敏感数据。它提供以 AI 为中心的视图,可让您过滤 AI 智能体。默认情况下,此表仅显示 AI 智能体活动(如果有)。否则,此表会显示所有正文。您可以切换过滤条件以查看所有访问权限。显示的数据仅限于 Cloud Storage 存储分区、BigQuery 表和 Gemini Enterprise Agent Platform 资源。
  • 跨境访问的实例(仅限于 Cloud Storage 存储分区、BigQuery 表和 Gemini Enterprise Agent Platform 资源)。
  • 特定国家/地区的敏感数据存储在其关联区域之外的情况(适用于所有 Google Cloud资源)。

信息中心不包含以下方面的安全分析洞见:

使用 DSPM 信息中心

信息中心内容和功能取决于 Security Command Center 层级。如果您使用的是标准层级,请参阅标准层级中的数据安全状况管理概览,了解您可以在信息中心中使用哪些功能。

如需详细了解 Security Command Center 高级方案和企业方案中的信息中心,请参阅“所有风险”信息中心

完成以下操作,即可使用信息中心分析数据安全状况。

  1. 如需获得使用 DSPM 信息中心所需的权限,请让管理员为您授予对您所在组织的以下 IAM 角色:

    如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

    您也可以通过自定义角色或其他预定义角色来获取所需的权限。

  2. 使用 DSPM 信息中心进行数据发现和风险分析。启用 DSPM 后,您可以立即评估您的环境与数据安全和隐私权基本框架的契合度。

    在 Google Cloud 控制台中,前往数据安全与合规性页面,然后选择您的 Google Cloud 组织。选择组织后,系统会将您重定向到风险概览信息中心内的数据标签页。

    前往“风险概览”信息中心

    您可以根据这些信息查看和修正发现结果,以便您的环境更好地符合安全性和合规性要求。

    当您从组织级查看信息中心,并在针对应用管理配置的文件夹中部署应用时,可以选择一个应用来过滤信息中心,以仅显示适用于该应用的发现结果和数据洞见。查看数据时,请考虑以下扫描延迟时间

    • “重要发现”面板可能会显示过时的资源配置数据。例如,某项发现的主要资源可能与过时的应用相关联。

    • 应用选择器可能不会显示在过去 24 小时内创建的应用和资源注册。

    激活 Security Command Center 后,数据地图浏览器可能需要 24 小时才能填充来自 Security Command Center 和 Cloud Asset Inventory 的所有数据。

后续步骤