Questo documento illustra come utilizzare Sensitive Data Protection per creare una pipeline di trasformazione dei dati automatizzata per anonimizzare i dati sensibili come le informazioni che consentono l'identificazione personale (PII). Le tecniche di anonimizzazione come la tokenizzazione (assegnazione di pseudonimi) ti consentono di preservare l'utilità dei tuoi dati per le unioni o le analisi, riducendo al contempo il rischio di manipolare i dati offuscando gli identificatori di dati sensibili non elaborati. Per ridurre al minimo il rischio di gestire grandi volumi di dati sensibili, puoi utilizzare una pipeline di trasformazione dei dati automatizzata per creare repliche anonimizzate. Sensitive Data Protection consente trasformazioni come oscuramento, mascheramento, tokenizzazione, bucketing e altri metodi di anonimizzazione. Quando un set di dati non è stato caratterizzato, Sensitive Data Protection può anche ispezionare i dati per rilevare informazioni sensibili utilizzando più di 100 classificatori integrati.
Questo documento è rivolto a un pubblico tecnico le cui responsabilità includono la sicurezza dei dati, l'elaborazione dei dati o l'analisi dei dati. Questa guida presuppone che tu abbia familiarità con il trattamento dei dati e la privacy dei dati, senza dover essere un esperto.
Architettura di riferimento
Il seguente diagramma mostra un'architettura di riferimento per l'utilizzo dei prodotti Google Cloud per aggiungere un livello di sicurezza ai set di dati sensibili utilizzando tecniche di anonimizzazione.
L'architettura è costituita da quanto segue:
Pipeline di streaming di anonimizzazione dei dati: anonimizza i dati sensibili nel testo utilizzando Dataflow. Puoi riutilizzare la pipeline per più trasformazioni e casi d'uso.
Gestione della configurazione (modello e chiave per la protezione dei dati sensibili): una configurazione di anonimizzazione gestita accessibile solo a un piccolo gruppo di persone, ad esempio gli amministratori della sicurezza, per evitare di esporre metodi di anonimizzazione e chiavi di crittografia.
Pipeline di convalida e reidentificazione dei dati: convalida le copie degli annunci anonimizzati e utilizza una pipeline Dataflow per reidentificare i dati su larga scala.
Contribuire a proteggere i dati sensibili
Una delle attività chiave di qualsiasi azienda è contribuire a garantire la sicurezza dei dati degli utenti e dei dipendenti. Google Cloud fornisce misure di sicurezza integrate per semplificare la sicurezza dei dati, inclusa la crittografia dei dati archiviati e la crittografia dei dati in transito.
Crittografia dei dati inattivi: Cloud Storage
Mantenere la sicurezza dei dati è fondamentale per la maggior parte delle organizzazioni. L'accesso non autorizzato a dati anche moderatamente sensibili può danneggiare la fiducia, le relazioni e la reputazione che hai con i tuoi clienti. Google cripta i dati archiviati at-rest per impostazione predefinita. Per impostazione predefinita, qualsiasi oggetto caricato in un bucket Cloud Storage viene criptato utilizzando una chiave di proprietà di Google e gestita da Google. Se il tuo set di dati utilizza un metodo di crittografia preesistente e richiede un'opzione diversa da quella predefinita prima del caricamento, esistono altre opzioni di crittografia fornite da Cloud Storage. Per ulteriori informazioni, consulta Opzioni di crittografia dei dati.
Crittografia dei dati in transito: Dataflow
Quando i dati sono in transito, la crittografia at-rest non è attiva. I dati in transito sono protetti da protocolli di rete sicuri denominati crittografia in transito. Per impostazione predefinita, Dataflow utilizza chiavi di proprietà di Google e gestite da Google. I tutorial associati a questo documento utilizzano una pipeline automatica che utilizza le chiavi predefinite di proprietà di Google e gestite da Google.
Trasformazioni dei dati di Sensitive Data Protection
Esistono due tipi principali di trasformazioni eseguite da Sensitive Data Protection:
Entrambi i metodi recordTransformations e infoTypeTransformations possono
anonimizzare e criptare le informazioni sensibili nei dati. Ad esempio, puoi trasformare i valori nella colonna US_SOCIAL_SECURITY_NUMBER in modo che non siano identificabili o utilizzare la tokenizzazione per oscurarli mantenendo l'integrità referenziale.
Il metodo infoTypeTransformations ti consente di verificare la presenza di dati sensibili
e di trasformare il risultato. Ad esempio, se hai dati non strutturati o di testo libero, il metodo infoTypeTransformations può aiutarti a identificare un SSN all'interno di una frase e criptare il valore SSN lasciando invariato il resto del testo. Puoi anche definire metodi infoTypes personalizzati.
Il metodo recordTransformations ti consente di applicare una configurazione di trasformazione per campo quando utilizzi dati strutturati o tabulari. Con il metodo recordTransformations, puoi applicare la stessa trasformazione a ogni valore del campo, ad esempio l'hashing o la tokenizzazione di ogni valore di una colonna con la colonna recordTransformations come nome del campo o dell'intestazione.SSN
Con il metodo recordTransformations , puoi anche combinare il metodo infoTypeTransformations che si applica solo ai valori nei campi specificati. Ad esempio, puoi utilizzare un metodo infoTypeTransformations all'interno di un metodo recordTransformations per il campo denominato comments per oscurare eventuali risultati relativi a US_SOCIAL_SECURITY_NUMBER trovati all'interno del testo nel campo.
In ordine crescente di complessità, i processi di anonimizzazione sono i seguenti:
- Oscuramento: rimuovi i contenuti sensibili senza sostituirli.
- Mascheramento: sostituisci i contenuti sensibili con caratteri fissi.
- Crittografia: sostituisci i contenuti sensibili con stringhe criptate, possibilmente in modo reversibile.
Lavorare con dati delimitati
Spesso i dati sono costituiti da record delimitati da un carattere selezionato, con tipi fissi in ogni colonna, ad esempio un file CSV. Per questa classe di dati, puoi applicare direttamente le trasformazioni di spersonalizzazione (recordTransformations) senza ispezionare i dati. Ad esempio, puoi prevedere che una colonna etichettata come SSN contenga solo dati del SSN. Non è necessario ispezionare i dati per sapere che il rilevatoreinfoType è US_SOCIAL_SECURITY_NUMBER. Tuttavia, le colonne di tipo libero contrassegnate come Additional Details possono contenere informazioni sensibili, ma la classe infoType non è nota in anticipo. Per una colonna in formato libero, devi esaminare il rilevatore infoTypes (infoTypeTransformations) prima di applicare le trasformazioni di anonimizzazione. Sensitive Data Protection consente a entrambi questi tipi di trasformazione di coesistere in un unico modello di anonimizzazione.
Sensitive Data Protection include
più di 100 infoTypesrivelatori integrati.
Puoi anche creare tipi personalizzati o modificare i rilevatori infoTypes integrati per trovare dati sensibili specifici della tua organizzazione.
Determinazione del tipo di trasformazione
La scelta del momento in cui utilizzare il metodo recordTransformations o infoTypeTransformations dipende dal caso d'uso. Poiché l'utilizzo del metodo infoTypeTransformations richiede più risorse ed è quindi più costoso, consigliamo di utilizzare questo metodo solo per le situazioni in cui il tipo di dati è sconosciuto. Puoi valutare i costi di esecuzione della Protezione dei dati sensibili utilizzando il Calcolatore prezzi di Google Cloud.
Per esempi di trasformazione, questo documento fa riferimento a un set di dati contenente file CSV con colonne fisse, come mostrato nella tabella seguente.
| Nome colonna | Ispezione infoType (personalizzata o integrata) |
Tipo di trasformazione di Sensitive Data Protection |
|---|---|---|
Card Number
|
Non applicabile | Crittografia deterministica (DE) |
Card Holder's Name
|
Non applicabile | Crittografia deterministica (DE) |
Card PIN
|
Non applicabile | Hashing crypto |
SSN (Social Security Number)
|
Non applicabile | Mascheramento |
Age
|
Non applicabile | Bucketing |
Job Title
|
Non applicabile | Bucketing |
Additional Details
|
Integrato:IBAN_CODE, EMAIL_ADDRESS,
PHONE_NUMBER
Personalizzato:
ONLINE_USER_ID
|
Sostituzione |
Questa tabella elenca i nomi delle colonne e descrive il tipo di trasformazione necessario per ciascuna colonna. Ad esempio, la colonna Card Number contiene numeri di carte di credito che devono essere criptati; tuttavia, non è necessario esaminarli perché il tipo di dati (infoType) è noto.
L'unica colonna in cui è consigliata una trasformazione di ispezione è la colonna
Additional Details. Questa colonna è di tipo libero e potrebbe contenere PII,
che, ai fini di questo esempio, devono essere rilevate e anonimizzate.
Gli esempi in questa tabella presentano cinque diverse trasformazioni di anonimizzazione:
Tokenizzazione bidirezionale: sostituisce i dati originali con un token deterministico, preservando l'integrità referenziale. Puoi utilizzare il token per unire i dati o nell'analisi aggregata. Puoi invertire o detokenizzare i dati utilizzando la stessa chiave utilizzata per creare il token. Esistono due metodi per la tokenizzazione bidirezionale:
- Crittografia deterministica (DE): sostituisce i dati originali con un valore criptato codificato in base64 e non conserva il set di caratteri o la lunghezza originali.
- Crittografia con protezione del formato con FFX (FPE-FFX): sostituisce i dati originali con un token generato utilizzando la crittografia con protezione del formato in modalità FFX. Per impostazione predefinita, FPE-FFX conserva la lunghezza e il set di caratteri del testo inserito. Manca l'autenticazione e un vettore di inizializzazione, il che può causare un aumento della lunghezza nel token di output. Altri metodi, come la DE, offrono una maggiore sicurezza e sono consigliati per i casi d'uso di tokenizzazione, a meno che la lunghezza e la conservazione dei set di caratteri non siano requisiti rigidi, come la compatibilità con i sistemi di dati legacy.
Tokenizzazione unidirezionale mediante hashing criptato: sostituisce il valore originale con un valore sottoposto ad hashing, preservando l'integrità referenziale. Tuttavia, a differenza della tokenizzazione bidirezionale, un metodo unidirezionale non è reversibile. Il valore hash viene generato utilizzando un codice di autenticazione dei messaggi basato su SHA-256 (HMAC-SHA-256) sul valore di input.
Mascheramento: sostituisce i dati originali con un carattere specificato, parzialmente o completamente.
Bucketing: sostituisce un valore più identificabile con un valore meno distintivo.
Sostituisci: sostituisce i dati originali con un token o il nome del
infoTypese rilevato.
Selezione del metodo
La scelta del metodo di anonimizzazione migliore può variare in base al caso d'uso. Ad esempio, se un'app precedente elabora i record anonimizzati, la conservazione del formato potrebbe essere importante. Se hai a che fare con numeri di 10 cifre con formattazione rigorosa, la funzionalità FPE conserva la lunghezza (10 cifre) e il set di caratteri (numerico) di un input per il supporto dei sistemi precedenti.
Tuttavia, se la formattazione rigorosa non è richiesta per la compatibilità con le versioni precedenti, come accade per i valori nella colonna Card Holder's Name, DE è la scelta migliore perché ha un metodo di autenticazione più efficace. Sia la crittografia lato client sia la decrittografia consentono di annullare o decodificare i token. Se non hai bisogno della detokenizzazione, l'hashing crittografico garantisce l'integrità, ma i token non possono essere annullati.
Altri metodi, come il mascheramento, il bucketing, lo spostamento della data e la sostituzione, sono adatti per i valori che non devono mantenere la piena integrità. Ad esempio, è ancora possibile analizzare un valore di età (ad es. 27 anni) raggruppandolo in un intervallo di età (20-30 anni) riducendo al contempo l'unicità che potrebbe portare all'identificazione di un individuo.
Chiavi di crittografia dei token
Per le trasformazioni di anonimizzazione crittografica, è necessaria una chiave di crittografia, nota anche come chiave di crittografia del token. La chiave di crittografia del token utilizzata per la crittografia di anonimizzazione viene utilizzata anche per reidentificare il valore originale. La creazione e la gestione sicura delle chiavi di crittografia dei token non rientrano nell'ambito di questo documento. Tuttavia, ci sono alcuni principi importanti da considerare che verranno utilizzati in seguito nei tutorial associati:
- Evita di utilizzare chiavi in testo normale nel modello. Utilizza invece Cloud KMS per creare una chiave con wrapping.
- Utilizza chiavi di crittografia dei token separate per ogni elemento di dati per ridurre il rischio di compromissione delle chiavi.
- Ruota le chiavi di crittografia dei token. Sebbene tu possa ruotare la chiave con wrapping, la rotazione della chiave di crittografia del token ne compromette l'integrità. Quando la chiave viene ruotata, devi eseguire nuovamente la tokenizzazione dell'intero set di dati.
Modelli di Sensitive Data Protection
Per i deployment su larga scala, utilizza i modelli di Sensitive Data Protection per:
- Attiva il controllo della sicurezza con Identity and Access Management (IAM).
- Scollega le informazioni di configurazione e la modalità di anonimizzazione di queste informazioni dall'implementazione delle tue richieste.
- Riutilizzare un insieme di trasformazioni. Puoi utilizzare i modelli di anonimizzazione e reidentificazione su più set di dati.
BigQuery
Il componente finale dell'architettura di riferimento è la visualizzazione e l'utilizzo degli annunci anonimizzati in BigQuery. BigQuery è lo strumento di data warehouse di Google che include l'infrastruttura serverless, BigQuery ML e la possibilità di eseguire la Protezione dei dati sensibili come strumento nativo. Nell'esempio di architettura di riferimento, BigQuery funge da data warehouse per i dati anonimizzati e da backend per una pipeline di dati di reidentificazione automatica che può condividere i dati tramite Pub/Sub.
Passaggi successivi
- Scopri come utilizzare Sensitive Data Protection per controllare lo spazio di archiviazione e i database alla ricerca di dati sensibili.
- Scopri altre soluzioni di riconoscimento di pattern.
- Per altre architetture di riferimento, diagrammi e best practice, visita il Cloud Architecture Center.