Vertraulichen Datenschutz zum Scannen von BigQuery-Daten verwenden

Um sicherzustellen, dass Ihre vertraulichen Daten gut gesichert und verwaltet werden, sollten Sie zuallererst ihren Speicherort kennen. Damit lässt sich möglicherweise das Risiko verringern, dass sensible Daten wie Kreditkartennummern, Gesundheitsdaten, Sozialversicherungsnummern, Führerscheinnummern, Adressen, vollständige Namen und Unternehmensgeheimnisse preisgegeben werden. Regelmäßige Scans Ihrer Daten können auch dazu beitragen, Complianceanforderungen zu erfüllen und dafür zu sorgen, dass auch bei steigenden Datenmengen und nach Nutzungsänderungen weiterhin Best Practices befolgt werden. Mit Compliance-Schutz können Sie Ihre BigQuery-Tabellen prüfen, sensible Daten schützen und die Complianceanforderungen erfüllen.

Es gibt zwei Möglichkeiten, Ihre BigQuery-Daten zu scannen:

  • Profilerstellung für sensible Daten. Der Schutz sensibler Daten kann Profile für BigQuery-Daten generieren, die organisations-, ordner- oder projektübergreifend sind. Datenprofile enthalten Messwerte und Metadaten zu Ihren Tabellen und können ermitteln, wo sich sensible und risikoreiche Daten befinden. Der Schutz sensibler Daten meldet diese Messwerte auf Projekt-, Tabellen- und Spaltenebene. Weitere Informationen finden Sie unter Datenprofile für BigQuery-Daten.

  • On-Demand-Prüfung Der Schutz sensibler Daten kann eine detaillierte Prüfung einer einzelnen Tabelle oder einer Teilmenge von Spalten bis auf Zellebene durchführen und die Ergebnisse melden. Diese Art der Prüfungkann Ihnen helfen, einzelne Instanzen bestimmter Datentypen zu identifizieren, z. B. die genaue Position einer Kreditkartennummer in einer Tabellenzelle. Sie können eine On-Demand-Prüfung über die „Schutz sensibler Daten“ Seite in der Google Cloud Console, die BigQuery Seite in der Google Cloud Console oder programmatisch über die DLP API machen.

Auf dieser Seite wird beschrieben, wie Sie in der Google Cloud Console eine On-Demand-Prüfung über die Seite BigQuery machen.

Der Schutz sensibler Daten ist ein vollständig verwalteter Dienst, mit dem Google Cloud-Kunden sensible Daten in großem Umfang identifizieren und schützen können. Der Schutz sensibler Daten enthält mehr als 150 vordefinierte Detektoren für die Erkennung von Mustern, Formaten und Prüfsummen. Der Schutz sensibler Daten bietet eine Reihe von Tools zur De-Identifikation Ihrer Daten, u. a. durch Maskierung, Tokenisierung, Pseudonymisierung, Datumsverschiebung und weitere, ohne dass Kundendaten repliziert werden müssen.

Weitere Informationen zum Schutz sensibler Daten finden Sie in der Dokumentation zum Schutz sensibler Daten.

Hinweise

  1. Machen Sie sich mit den Preisen für den Schutz sensibler Daten vertraut und informieren Sie sich darüber, wie Sie die Kosten für den Schutz sensibler Daten steuern können.

  2. Aktivieren Sie die DLP API.

    API aktivieren

  3. Stellen Sie sicher, dass der Nutzer, der Ihre Jobs zum Schutz sensibler Daten erstellt, über eine geeignete vordefinierte IAM-Rolle zum Schutz sensibler Daten oder ausreichende Berechtigungen zur Ausführung von Jobs zum Schutz sensibler Daten verfügt.

BigQuery-Daten mit der Google Cloud Console scannen

Zum Scannen von BigQuery-Daten erstellen Sie einen Job zum Schutz sensibler Daten, der eine Tabelle analysiert. Sie können eine BigQuery-Tabelle in der BigQuery Google Cloud Console schnell scannen, wenn Sie die Option Mit Schutz sensibler Daten scannen verwenden.

So scannen Sie eine BigQuery-Tabelle mit dem Schutz sensibler Daten:

  1. Rufen Sie in der Google Cloud Console die Seite „BigQuery“ auf.

    BigQuery aufrufen

  2. Maximieren Sie im Bereich Explorer Ihr Projekt und das Dataset und wählen Sie dann die Tabelle aus.

  3. Klicken Sie auf Exportieren > Mit Schutz sensibler Daten scannen. Die Seite zum Erstellen von Jobs zum Schutz sensibler Daten wird in einem neuen Tab geöffnet.

  4. Geben Sie für Schritt 1: Eingabedaten auswählen eine Job-ID ein. Die Werte im Abschnitt Standort werden automatisch generiert. Außerdem ist der Abschnitt Probenahme automatisch so konfiguriert, dass ein Beispielscan für Ihre Daten ausgeführt wird. Sie können die Einstellungen jedoch nach Bedarf anpassen.

  5. Klicken Sie auf Weiter.

  6. Optional: In Schritt 2: Erkennung konfigurieren können Sie festlegen, nach welchen Datentypen (infoTypes) gesucht werden soll.

    Führen Sie einen der folgenden Schritte aus:

    • Klicken Sie auf infoTypes verwalten, um aus der Liste der vordefinierten infoTypes auszuwählen. Wählen Sie dann die infoTypes aus, nach denen Sie suchen möchten.
    • Geben Sie im Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein, um eine vorhandene Inspektionsvorlage zu verwenden.

    Weitere Informationen zu infoTypes finden Sie unter InfoTypes und InfoType-Detektoren in der Dokumentation zum Schutz sensibler Daten.

  7. Klicken Sie auf Weiter.

  8. Optional: Für Schritt 3: Aktionen hinzufügen aktivieren Sie In BigQuery speichern, um Ihre Ergebnisse zum Schutz sensibler Daten in einer BigQuery-Tabelle zu veröffentlichen. Wenn Sie keine Ergebnisse speichern, enthält der abgeschlossene Job nur Statistiken zur Anzahl der Ergebnisse und deren infoTypes. Durch das Speichern der Ergebnisse in BigQuery werden Details zum genauen Ort und zur Zuverlässigkeit jedes einzelnen Ergebnisses gespeichert.

  9. Optional: Wenn Sie In BigQuery speichern aktiviert haben, geben Sie im Bereich In BigQuery speichern die folgenden Informationen ein:

    • Projekt-ID: die Projekt-ID, unter der die Ergebnisse gespeichert werden.
    • Dataset-ID: der Name des Datasets, in dem die Ergebnisse gespeichert werden.
    • Optional: Tabellen-ID: der Name der Tabelle, in der die Ergebnisse gespeichert werden. Wenn Sie keine Tabellen-ID angeben, wird neuen Tabellen ein Standardname etwa in der Form dlp_googleapis_date_1234567890 zugewiesen. Wenn Sie eine vorhandene Tabelle angeben, werden die Ergebnisse daran angehängt.

    Wenn Sie den erkannten Inhalt einschließen möchten, aktivieren Sie Kontext einschließen.

  10. Klicken Sie auf Weiter.

  11. Optional: Konfigurieren Sie für Schritt 4: Zeitplan eine Zeitspanne oder einen Plan, indem Sie entweder Zeitspanne angeben oder Trigger zum Ausführen des Jobs nach einem regelmäßigen Zeitplan erstellen auswählen.

  12. Klicken Sie auf Weiter.

  13. Optional: Untersuchen Sie auf der Seite Überprüfen die Details Ihres Jobs. Passen Sie bei Bedarf die vorherigen Einstellungen an.

  14. Klicken Sie auf Erstellen.

  15. Nach Abschluss des Jobs zum Schutz sensibler Daten werden Sie zur Seite mit den Jobdetails weitergeleitet und per E-Mail benachrichtigt. Sie können die Ergebnisse des Scans auf der Seite für Jobdetails einsehen oder auf den Link zur Seite „Schutz sensibler Daten“ für Jobdetails in der E-Mail zum Jobabschluss klicken.

  16. Wenn Sie Ergebnisse zum Schutz sensibler Daten in BigQuery veröffentlichen möchten, klicken Sie auf der Seite Jobdetails auf die Option Ergebnisse in BigQuery abrufen, um die Tabelle in der Google Cloud Console zu öffnen. Anschließend können Sie die Tabelle abfragen und Ihre Ergebnisse analysieren. Weitere Informationen zum Abfragen Ihrer Ergebnisse in BigQuery finden Sie unter Ergebnisse zum Schutz sensibler Daten in BigQuery abfragen in der Dokumentation „Schutz sensibler Daten“.

Nächste Schritte

Wenn Sie die vom Schutz sensibler Daten-Scan ermittelten vertraulichen Daten entfernen oder de-identifizieren möchten, finden Sie unter den folgenden Themen entsprechende Informationen: