Questo documento illustra come utilizzare Sensitive Data Protection per creare una pipeline di trasformazione dei dati automatizzata al fine di anonimizzare i dati sensibili come le informazioni che consentono l'identificazione personale (PII). Le tecniche di anonimizzazione come la tokenizzazione (pseudonimizzazione) ti consentono di preservare l'utilità dei tuoi dati per l'unione o l'analisi, riducendo al contempo il rischio di gestione dei dati offuscando gli identificatori sensibili non elaborati. Per ridurre al minimo il rischio di gestire grandi volumi di dati sensibili, puoi utilizzare una pipeline di trasformazione dei dati automatizzata per creare repliche anonimizzate. Sensitive Data Protection consente trasformazioni come l'oscuramento, il mascheramento, la tokenizzazione, il bucketing e altri metodi di anonimizzazione. Se un set di dati non è stato caratterizzato, Sensitive Data Protection può anche ispezionare i dati per individuare informazioni sensibili utilizzando più di 100 classificatori integrati.
Questo documento è destinato a un pubblico tecnico le cui responsabilità includono la sicurezza dei dati, il trattamento o l'analisi dei dati. Questa guida presuppone che tu abbia familiarità con il trattamento e la privacy dei dati, senza dover essere un esperto.
Architettura di riferimento
Il seguente diagramma mostra un'architettura di riferimento per l'utilizzo dei prodotti Google Cloud al fine di aggiungere un livello di sicurezza ai set di dati sensibili utilizzando tecniche di anonimizzazione.
L'architettura è composta dai seguenti elementi:
Pipeline di flusso per l'anonimizzazione dei dati: anonimizza i dati sensibili nel testo utilizzando Dataflow. Puoi riutilizzare la pipeline per più trasformazioni e casi d'uso.
Gestione della configurazione (modello e chiave di Sensitive Data Protection): una configurazione di anonimizzazione gestita accessibile solo a un piccolo gruppo di persone, ad esempio gli amministratori della sicurezza, per evitare di esporre metodi di anonimizzazione e chiavi di crittografia.
Pipeline di convalida e reidentificazione dei dati: convalida le copie dei dati anonimizzati e utilizza una pipeline Dataflow per reidentificare i dati su larga scala.
Contribuire a proteggere i dati sensibili
Una delle attività principali di qualsiasi azienda è contribuire a garantire la sicurezza dei dati dei propri utenti e dipendenti. Google Cloud fornisce misure di sicurezza integrate per facilitare la sicurezza dei dati, tra cui la crittografia dei dati archiviati e la crittografia dei dati in transito.
Crittografia at-rest: Cloud Storage
Mantenere la sicurezza dei dati è fondamentale per la maggior parte delle organizzazioni. L'accesso non autorizzato a dati anche moderatamente sensibili può danneggiare la fiducia, le relazioni e la reputazione che hai con i tuoi clienti. Google cripta i dati archiviati inattivi per impostazione predefinita. Per impostazione predefinita, qualsiasi oggetto caricato in un bucket Cloud Storage viene criptato utilizzando una chiave di proprietà di Google e gestita da Google. Se il set di dati utilizza un metodo di crittografia preesistente e richiede un'opzione non predefinita prima del caricamento, esistono altre opzioni di crittografia fornite da Cloud Storage. Per maggiori informazioni, consulta Opzioni di crittografia dei dati.
Crittografia dei dati in transito: Dataflow
Quando i dati sono in transito, la crittografia at-rest non è attiva. I dati in transito sono protetti da protocolli di rete sicuri denominati crittografia in transito. Per impostazione predefinita, Dataflow utilizza chiavi di proprietà e gestite da Google. I tutorial associati a questo documento utilizzano una pipeline automatizzata che utilizza le chiavi predefinite di proprietà di Google e gestite da Google.
Trasformazioni dei dati di Sensitive Data Protection
Sensitive Data Protection esegue due tipi principali di trasformazioni:
Entrambi i metodi recordTransformations e infoTypeTransformations possono anonimizzare e criptare le informazioni sensibili nei tuoi dati. Ad esempio, puoi trasformare i valori nella colonna US_SOCIAL_SECURITY_NUMBER in modo che siano identificabili o utilizzare la tokenizzazione per oscurarli, mantenendo al contempo l'integrità referenziale.
Il metodo infoTypeTransformations consente di individuare dati sensibili e trasformare il risultato. Ad esempio, se disponi di dati non strutturati o in testo libero, il metodo infoTypeTransformations può aiutarti a identificare un SSN all'interno di una frase e a criptare il valore SSN lasciando intatto il resto del testo. Puoi anche definire metodi infoTypes personalizzati.
Il metodo recordTransformations consente di applicare una configurazione della trasformazione per campo quando utilizzi dati strutturati o tabulari. Con il
metodo recordTransformations, puoi applicare la stessa trasformazione a
ogni valore nel campo, ad esempio eseguendo l'hashing o la tokenizzazione di ogni valore in una colonna
con la colonna SSN come nome del campo o dell'intestazione.
Con il metodo recordTransformations , puoi anche combinare il metodo infoTypeTransformations che si applica solo ai valori nei campi specificati. Ad esempio, puoi utilizzare un metodo infoTypeTransformations all'interno di un
metodo recordTransformations per il campo denominato comments in modo da oscurare
i risultati relativi a US_SOCIAL_SECURITY_NUMBER che si trovano all'interno del testo
nel campo.
Con un ordine di complessità crescente, i processi di anonimizzazione sono i seguenti:
- Oscuramento: rimuovi i contenuti sensibili senza sostituire quelli.
- Mascheramento: sostituisci i contenuti sensibili con caratteri fissi.
- Crittografia: sostituisci i contenuti sensibili con stringhe criptate, possibilmente reversibilmente.
Utilizzo dei dati delimitati
Spesso, i dati sono costituiti da record delimitati da un carattere selezionato, con tipi fissi in ogni colonna, come un file CSV. Per questa classe di dati, puoi applicare
trasformazioni di anonimizzazione (recordTransformations) direttamente, senza
esaminare i dati. Ad esempio, una colonna con l'etichetta SSN potrebbe
contenere solo dati SSN. Non è necessario ispezionare i dati per sapere che il rilevatore infoType è US_SOCIAL_SECURITY_NUMBER. Tuttavia, le colonne in formato libero etichettate Additional Details possono contenere informazioni sensibili, ma la classe infoType è sconosciuta in anticipo. Per una colonna in formato libero, devi ispezionare il rilevatore infoTypes (infoTypeTransformations) prima di applicare le trasformazioni di anonimizzazione. Sensitive Data Protection consente a entrambi questi tipi di trasformazione di coesistere in un unico modello di anonimizzazione.
Sensitive Data Protection include
più di 100 rilevatori infoTypes integrati.
Puoi anche creare tipi personalizzati o modificare i rilevatori infoTypes integrati per
trovare dati sensibili unici per la tua organizzazione.
Determinazione del tipo di trasformazione
Per determinare quando utilizzare il metodo recordTransformations o infoTypeTransformations
dipende dal caso d'uso specifico. Poiché l'utilizzo del metodo infoTypeTransformations richiede più risorse e, di conseguenza, è più costoso, ti consigliamo di utilizzare questo metodo solo nelle situazioni in cui il tipo di dati è sconosciuto. Puoi valutare i costi di esecuzione di Sensitive Data Protection utilizzando il Calcolatore prezzi di Google Cloud.
Per esempi di trasformazione, questo documento fa riferimento a un set di dati contenente file CSV con colonne fisse, come mostrato nella tabella seguente.
| Nome colonna | Ispezione infoType (personalizzata o integrata) |
Tipo di trasformazione di Sensitive Data Protection |
|---|---|---|
Card Number
|
Non applicabile | Crittografia deterministica (DE) |
Card Holder's Name
|
Non applicabile | Crittografia deterministica (DE) |
Card PIN
|
Non applicabile | Crypto hashing |
SSN (Social Security Number)
|
Non applicabile | Mascheramento |
Age
|
Non applicabile | Bucketing |
Job Title
|
Non applicabile | Bucketing |
Additional Details
|
Integrati:IBAN_CODE, EMAIL_ADDRESS,
PHONE_NUMBER
Personalizzato:
ONLINE_USER_ID
|
Sostituzione |
Questa tabella elenca i nomi delle colonne e descrive il tipo di trasformazione necessario per ogni colonna. Ad esempio, la colonna Card Number contiene numeri di carta di credito che devono essere criptati; tuttavia, non è necessario ispezionarli, perché il tipo di dati (infoType) è noto.
L'unica colonna in cui è consigliata una trasformazione di ispezione è la
colonna Additional Details. Questa colonna è in formato libero e potrebbe contenere PII che, ai fini di questo esempio, devono essere rilevate e anonimizzate.
Gli esempi in questa tabella presentano cinque diverse trasformazioni di anonimizzazione:
Tokenizzazione bidirezionale: sostituisce i dati originali con un token deterministico, che preserva l'integrità referenziale. Puoi utilizzare il token per unire i dati o utilizzarlo nell'analisi aggregata. Puoi invertire o annullare la tokenizzazione dei dati utilizzando la stessa chiave che hai utilizzato per creare il token. Esistono due metodi per la tokenizzazione bidirezionale:
- Crittografia deterministica (DE): sostituisce i dati originali con un valore criptato con codifica Base64 e non conserva il set di caratteri o la lunghezza originali.
- Crittografia con protezione del formato con FFX (FPE-FFX): sostituisce i dati originali con un token generato utilizzando la crittografia con protezione del formato in modalità FFX. FPE-FFX conserva la lunghezza e il set di caratteri del testo di input. Manca l'autenticazione e un vettore di inizializzazione, che può causare un'espansione della lunghezza nel token di output. Altri metodi, come la Germania, offrono una sicurezza più solida e sono consigliati per i casi d'uso di tokenizzazione, a meno che la lunghezza e la conservazione del set di caratteri non siano requisiti rigorosi, come la compatibilità con le versioni precedenti dei sistemi di dati precedenti.
Tokenizzazione unidirezionale, mediante l'hashing crittografico: sostituisce il valore originale con un valore hash, preservando l'integrità referenziale. Tuttavia, a differenza della tokenizzazione bidirezionale, un metodo unidirezionale non è reversibile. Il valore hash viene generato utilizzando un codice di autenticazione dei messaggi basato su SHA-256 (HMAC-SHA-256) sul valore di input.
Mascheramento: sostituisce i dati originali con un carattere specificato, parzialmente o completamente.
Bucketing: sostituisce un valore più identificabile con un valore meno distintivo.
Sostituzione: sostituisce i dati originali con un token o con il nome di
infoType, se rilevato.
Selezione del metodo
La scelta del metodo di anonimizzazione migliore può variare in base al caso d'uso. Ad esempio, se un'app legacy sta elaborando i record anonimizzati, la conservazione del formato potrebbe essere importante. Se hai a che fare con numeri a 10 cifre rigorosamente formattati, FPE conserva la lunghezza (10 cifre) e il set di caratteri (numerici) di un input per il supporto dei sistemi precedenti.
Tuttavia, se per la compatibilità con versioni precedenti non è necessaria una formattazione rigida, come nel caso dei valori nella colonna Card Holder's Name, DE è la scelta preferita perché dispone di un metodo di autenticazione più sicuro. Sia FPE che DE consentono l'inversione o la de-tokenizzazione dei token. Se non è necessaria la de-tokenizzazione, l'hashing crittografico fornisce l'integrità, ma i token non possono essere annullati.
Altri metodi, come mascheramento, bucketing, date-shifting e sostituzione, sono ideali per i valori che non devono mantenere la piena integrità. Ad esempio, è possibile analizzare in bucket un valore di età (ad esempio 27) in una fascia d'età (20-30) riducendo al contempo l'unicità che potrebbe portare all'identificazione di un individuo.
Chiavi di crittografia dei token
Per le trasformazioni di anonimizzazione crittografica, è necessaria una chiave di crittografia, nota anche come chiave di crittografia del token. La chiave di crittografia del token utilizzata per la crittografia di anonimizzazione viene utilizzata anche per identificare nuovamente il valore originale. La creazione e la gestione sicure delle chiavi di crittografia dei token esulano dall'ambito di questo documento. Tuttavia, è necessario considerare alcuni principi importanti che verranno utilizzati più avanti nei tutorial associati:
- Evita di utilizzare chiavi di testo non crittografato nel modello. Utilizza invece Cloud KMS per creare una chiave con wrapping.
- Utilizza chiavi di crittografia dei token separate per ogni elemento di dati al fine di ridurre il rischio di compromettere le chiavi.
- Ruota le chiavi di crittografia dei token. Sebbene sia possibile ruotare la chiave con wrapping, la rotazione della chiave di crittografia del token interrompe l'integrità della tokenizzazione. Quando la chiave viene ruotata, devi tokenizzare nuovamente l'intero set di dati.
Modelli di Sensitive Data Protection
Per i deployment su larga scala, utilizza i modelli di Sensitive Data Protection per eseguire le seguenti operazioni:
- Abilita il controllo della sicurezza con Identity and Access Management (IAM).
- Disaccoppia le informazioni di configurazione e il modo in cui le anonimizza dall'implementazione delle richieste.
- Riutilizzare un insieme di trasformazioni. Puoi utilizzare i modelli di anonimizzazione e reidentificazione su più set di dati.
BigQuery
Il componente finale dell'architettura di riferimento è la visualizzazione e l'utilizzo dei dati anonimizzati in BigQuery. BigQuery è lo strumento di data warehouse di Google che include un'infrastruttura serverless, BigQuery ML e la possibilità di eseguire Sensitive Data Protection come strumento nativo. Nell'architettura di riferimento di esempio, BigQuery funge da data warehouse per i dati anonimizzati e da backend per una pipeline di dati di reidentificazione automatizzata che può condividere dati tramite Pub/Sub.
Passaggi successivi
- Scopri di più sull'utilizzo di Sensitive Data Protection per controllare lo spazio di archiviazione e i database per la presenza di dati sensibili.
- Scopri altre soluzioni di riconoscimento di pattern.
- Per altre architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.