Usando etiquetas de Google con la API de Protección de Datos

Este artículo explica cómo agregar etiquetas de Google como un tipo de Datos en un Perfil de contenido DLP que puede ser utilizado con la API de Protección de Datos.

Resumen

Las etiquetas de Google son metadatos que ayudan a organizar, encontrar y aplicar política a archivos en Google Drive. Para simplificar la gestión de control de datos, puedes aprovechar las etiquetas de Google existentes como un tipo de datos para identificar datos con la API de Protección de Datos. Esto te permite alinear la aplicación de DLP con tu estrategia de clasificación de Google Workspace existente sin redefinir etiquetas o reglas. El motor DLP escanea las etiquetas definidas en los metadatos del archivo y no en el contenido real, lo que ayuda a reducir los resultados falsos positivos y mejora el rendimiento de la evaluación de políticas.

Las etiquetas de Google solo pueden aplicarse a archivos almacenados en Google Drive y solo son compatibles con tráfico fuera de banda.

Requisitos

Licencia de Google Cloud Enterprise requerida

Agregar etiquetas de Google a la API de Protección de Datos

Para agregar etiquetas de Google a tu API de Protección de Datos, necesitas:

Configurar la integración con Google Drive en el Google Cloud Console y la Aplicación de Gestión de Cato (CMA)
Agregar las etiquetas a Perfiles de Contenido
Crear reglas DLP para gestionar el acceso a contenido basado en etiquetas

Paso 1: Configurar la Integración con Google Drive

Para configurar la integración con Google Drive, primero necesitas crear una clave en la Consola de Nube y luego agregar la integración en la Aplicación de Gestión de Cato CMA.

Configuración de la Integración en el Google Cloud Console

En la Consola de Google Cloud, crea una clave privada de cuenta de servicio para ingresar en la CMA.

Para configurar la integración de Google Drive y Workspace:

En tu Google Cloud Console, haz clic en Seleccionar un Proyecto.
Haz clic en Nuevo proyecto.
Elige un Nombre y Ubicación y haz clic en Crear.
Navega a APIs & Servicios > Biblioteca.
Busca Admin SDK.
Haz clic en Admin SDK API y luego en Habilitar.
Navega a IAM & Admin > Cuentas de Servicio.
Selecciona el proyecto que creaste en el paso dos, y haz clic en Crear cuenta de servicio.
Añade un ID de cuenta de servicio y haz clic en Crear y continuar.
En el menú desplegable Seleccionar un rol, elige Administrador de Auditoría (puedes buscar este rol).
Haga clic en Hecho.
Haz clic en la cuenta de servicio que creaste y navega a la pestaña Claves,
Haz clic en Añadir clave > Crear nueva clave.
Elige el tipo de clave JSON y haz clic en Crear.

Se descarga un archivo JSON que contiene la clave privada.
Copia y guarda la clave privada para que se pueda añadir a la CMA.
En la Google Admin console, navega a Seguridad > Control de Acceso y Datos > Control de API.
Bajo Delegación amplia de dominio, selecciona Gestionar Delegación Amplia de Dominio.
Haz clic en Añadir nuevo.
Añade el ID del Cliente de la Cuenta de Servicio. Puedes encontrar esto en la página de la Cuenta de Servicio.
Añade estos alcances:
1. https://www.googleapis.com/auth/drive.labels.readonly
Haz clic en Autorizar.
Navega a https://console.cloud.google.com/projectselector2/apis/api/drivelabels.googleapis.com/overview
Haz clic en Seleccionar un proyecto y haz clic en el Proyecto que creaste.
En la página del API de Etiquetas del Disco, haz clic en Habilitar.

Configuración de la integración en la Aplicación de Gestión de Cato

Una vez que has creado la Clave Privada, agrega los detalles en la CMA.

Para crear el conector API en el CMA:

Desde el menú de navegación, haz clic en Recursos > Integraciones.
Haz clic en la pestaña de Integraciones Configuradas.
Haz clic en Nuevo.

Se abre el panel Nueva Integración.
Selecciona la Aplicación SaaS que deseas agregar.

Nota: Introduce la Clave Privada en formato JSON.
En el menú desplegable Capacidad selecciona Etiquetas de Sensibilidad.
Agrega los detalles creados durante el paso uno.
Haz clic en Guardar.
La aplicación es visible en la tabla Aplicaciones Integradas con un estado Conectado.

Paso 2: Agregar las Etiquetas a los Perfiles de Contenido

Después de haber creado la integración, puedes agregar las Etiquetas a un Perfil de contenido. Para más información, ve a Creación de Perfiles de Contenido de DLP.

Para agregar Etiquetas a los Perfiles de Contenido:

Desde el menú de navegación, selecciona Seguridad > Tipos de Datos & Perfiles, y selecciona la pestaña Tipos de Datos.
En Etiquetas de Sensibilidad, haz clic en Nuevo. Se abre el panel Agregar Etiqueta de Sensibilidad.
Selecciona la opción Recuperar Etiquetas.
En el menú desplegable Elegir Conector, selecciona el conector de Google.
En el menú desplegable Nombre de Etiqueta Importada, elige la etiqueta que deseas agregar a un Perfil de contenido.
(Opcional) Haz clic en Validar Etiqueta de Sensibilidad para subir y escanear un archivo de prueba para validar la etiqueta.
Haz clic en Aplicar.
En la pestaña Perfiles DLP, haz clic en Nuevo.

Se abre el panel Agregar Perfil de Contenido.
Agrega un Nombre para el Perfil.
En la sección Tipos de Datos, haz clic en Agregar y elige Etiquetas de Google.
Elige la Etiqueta para agregar al Perfil.
Haz clic en Aplicar y luego en Aplicar.

Paso 3: Crear reglas de DLP para gestionar el acceso al contenido basado en etiquetas

Después de haber creado Perfiles de Contenido con Etiquetas de Google, puedes agregarlos a Reglas de Protección de Datos

Para crear reglas de DLP:

Desde el menú de navegación, haz clic en Seguridad > App & Data API.
En la pestaña Protección de Datos, haz clic en Nuevo.

Se abre el panel Nueva Regla.
En el menú desplegable Conector de Aplicación, elige Google Drive.
Configura la regla según sea necesario. En la sección Perfiles de Contenido, elige el perfil que creaste en el paso 2.
Haz clic en Guardar.