Модуль контроля данных (DSPM)
Модуль контроля данных
Доступно два режима работы DSPM: непрерывное сканирование изменений на основе анализа данных и регулярное сканирование. Для управления каждым режимом в консоли управления используется отдельный интерфейс.
Анализ данных
Примечание
Доступно в интерфейсе v2.0.
Первый этап работы DSPM — анализ данных. Основная задача анализа — автоматически находить, идентифицировать и каталогизировать ресурсы, в которых потенциально могут находиться чувствительные данные, в пределах выбранного окружения.
Анализ запускается автоматически после активации модуля контроля данных при создании или редактировании окружения.
Результаты анализа предоставляют полную картину расположения данных в вашем облаке. Исходя из этой информации, вы можете точно определить и добавить ключевые области сканирования для постоянного контроля.
Результаты анализа данных вы можете сохранить в локальный файл или бакет Yandex Object Storage.
Непрерывное сканирование изменений
Примечание
Доступно в интерфейсе v2.0.
Для начала сканирования нужно создать область сканирования. Область сканирования может содержать сразу несколько групп ресурсов. Для каждой группы можно выбрать все ресурсы окружения или только нужные:
При необходимости можно настроить фильтры для файлов в каждой группе:
- выбрать форматы;
- ограничить минимальный и максимальный размер;
- задать регулярное выражение для пути.
Дополнительно можно указать категории данных для поиска отдельно в тексте и на изображениях.
После создания области сканирования DSPM будет непрерывно отслеживать эти области на предмет появления или изменения чувствительных данных, обеспечивая их постоянную защиту.
При первом запуске модуль выполняет полное сканирование всех данных в бакетах окружения. Этот процесс может занять некоторое время, так как обрабатывается весь объем данных.
Дальше модуль работает эффективнее: сканируются только измененные или новые файлы. Это ускоряет процесс и снижает нагрузку на ресурсы.
Регулярное сканирование
Примечание
Доступно в интерфейсе v1.0.
DSPM находит чувствительную информацию в бакетах и на дисках с помощью сканирования источников данных. Сканирование можно выполнять как однократно, так и по заданному расписанию.
Сканирование на наличие чувствительной информации выполняется от имени сервисного аккаунта.
Чтобы создать сканирование, пользователь должен обладать ролью dspm.editor на каталог, заданный в настройках Security Deck в качестве хранилища по умолчанию, а также ролью iam.serviceAccounts.user на сервисный аккаунт, от имени которого будет выполняться сканирование.
Важно
Для выполнения сканирования сервисному аккаунту должна быть назначена роль dspm.worker на все сканируемые бакеты. Если бакеты зашифрованы, сервисному аккаунту также необходима роль kms.keys.decrypter на соответствующие ключи шифрования Yandex Key Management Service.
Прежде чем начать сканирование, необходимо выбрать источник данных и задать категории данных для поиска.
Источник данных
Источник данных содержит настройки и информацию о ресурсах, в которых будет выполняться сканирование:
- бакетах Object Storage;
- каталогах Yandex Cloud;
- облаках Yandex Cloud;
- общих дисках
Яндекс 360; - общих папках
Яндекс 360.
При добавлении в источник данных каталогов и облаков в сканирование попадут бакеты выбранных типов, имеющиеся в выбранных облаках и/или каталогах. При этом будут сканироваться не только те бакеты, которые существуют в выбранных облаках и каталогах в момент создания источника данных, но и бакеты, которые в них могут появиться позднее — к моменту выполнения сканирования.
Для источника данных вы можете задать следующие области сканирования:
-
Все файлы— чтобы при сканировании проверялись все файлы, сохраненные в бакетах. -
DOC / TXT— чтобы при сканировании проверялись текстовые файлы с расширениями.doc,.docxи.txt. -
XLS / CSV— чтобы при сканировании проверялись табличные файлы с расширениями.xls,.xlsxи.csv. -
PPT— чтобы при сканировании проверялись файлы презентаций с расширениями.pptи.pptx. -
PDF— чтобы при сканировании проверялись документы с расширением.pdf. -
HTML / XML— чтобы при сканировании проверялись файлы с расширениями.htmlи.xml. -
Изображения— чтобы при сканировании проверялись изображения с расширениями.jpg,.jpeg,.png,.gif,.webpи.svg. -
Свой фильтр— чтобы при сканировании проверялись файлы, имена которых соответствуют или не соответствуют заданным шаблонам:- Имя файла содержит — задайте шаблон, которому должны соответствовать имена файлов, проверяемые при сканировании.
- Имя файла не содержит — задайте шаблон, которому должны соответствовать имена файлов, игнорируемые при сканировании.
Шаблоны задаются в форме регулярных выражений
с использованием синтаксиса RE2 . Вы можете задать шаблоны в обоих полях, в этом случае выборка файлов при сканировании будет осуществляться с логикойИ.
Вы можете выбрать одновременно несколько фильтров, при этом фильтры будут применяться с логикой ИЛИ.
Вы можете добавить в один источник данных одновременно несколько бакетов, каталогов и/или облаков, а также создать в источнике данных одновременно несколько групп ресурсов с разными настройками области сканирования. Вы также можете добавить один бакет одновременно в несколько источников данных с разными настройками области сканирования.
Категории данных
При создании нового сканирования вы можете указать категории данных для поиска отдельно в тексте и на изображениях.
Вы можете выбрать как все доступные категории одновременно, так и любую их комбинацию.
Доступные категории данных для сканирования:
- В тексте:
Персональные данные— ФИО, адреса электронной почты, номера телефонов, СНИЛС.Финансовые данные— данные банковских карт.Секреты— облачные ключи доступа, пароли, токены, SSH-ключи и т. п.
- На изображениях:
Персональные данные— ФИО, адреса электронной почты, номера телефонов, СНИЛС.Финансовые данные— данные банковских карт.Медицинские данные— данные медицинских документов и снимков.Прочее— данные личных документов: военных билетов, пенсионных удостоверений, документов об образовании и т.п.
Для того чтобы создавать источники данных, создавать и запускать сканирования, а также просматривать результаты сканирования, пользователю должны быть назначены соответствующие роли.
Пользовательские словари
Примечание
Функциональность доступна только при выборе подписки с фиксированным объемом сканирования.
Вы можете запросить добавление собственных ключевых слов и шаблонов для поиска. Это позволяет обнаруживать специфичные данные, такие как:
- внутренняя документация и корпоративная тайна;
- уникальные идентификаторы продуктов или проектов;
- специфичные шаблоны конфиденциальных данных, не входящие в стандартные классификаторы.
Чтобы подключить пользовательский словарь, оставьте заявку при создании сканирования для Object Storage или через форму