Schutz sensibler Daten mit Cloud Data Fusion verwenden

In dieser Anleitung wird erläutert, wie Sie mit Cloud Data Fusion den Schutz sensibler Daten verwenden.

Cloud Data Fusion bietet ein plugin zum Schutz sensibler Daten mit drei Transformationen, mit denen Sie Ihre sensiblen Daten filtern, entfernen oder entschlüsseln können:

  • Mit der PII-Filter-Transformation können Sie vertrauliche Datensätze aus einem Eingabedatenstrom herausfiltern.

  • Mit der Redact-Transformation können Sie vertrauliche Daten transformieren, z. B. durch Maskieren oder Verschlüsseln.

  • Mit der Decrypt-Transformation können Sie vertrauliche Daten decrypt, die zuvor mit der Redact-Transformation verschlüsselt wurden.

Kosten

In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Google Cloud:

Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen. Neuen Google Cloud-Nutzern steht möglicherweise eine kostenlose Testversion zur Verfügung.

Hinweise

  1. Rufen Sie in der Google Cloud Console die Seite für die Projektauswahl auf und wählen Sie ein Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  2. Aktivieren Sie die Cloud Data Fusion API für Ihr Projekt.

    Aktivieren Sie die Cloud Data Fusion API.

  3. Aktivieren Sie die DLP API (Teil des Schutzes sensibler Daten) für Ihr Projekt.

    DLP API aktivieren

  4. Erstellen Sie eine Cloud Data Fusion-Instanz.

Berechtigungen zum Schutz sensibler Daten gewähren

  1. Öffnen Sie in der Google Cloud Console die Seite "IAM".

    IAM aufrufen

  2. Wählen Sie in der Berechtigungstabelle in der Spalte Hauptkonto eines der folgenden Dienstkonten aus:

    1. Wählen Sie das Dienstkonto aus, das Ihr Dataproc-Cluster verwendet, um Berechtigungen für Ressourcen während der Laufzeit zu erhalten. Die Standardeinstellung ist das Compute Engine-Dienstkonto, das aus Sicherheitsgründen nicht empfohlen wird.

    2. Wenn Sie bei der Verwendung von Wrangler oder der Vorschau in Cloud Data Fusion (nicht zur Laufzeit) die Berechtigung für Ressourcen erhalten möchten, wählen Sie stattdessen das Dienstkonto mit folgendem Format aus: service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com.

  3. Klicken Sie auf das Stiftsymbol rechts neben dem Dienstkonto.

  4. Klicken Sie auf Weitere Rolle hinzufügen.

  5. Klicken Sie auf das Drop-down-Menü, das daraufhin angezeigt wird.

  6. Wählen Sie in der Suchleiste DLP-Administrator aus.

  7. Klicken Sie auf Speichern. Prüfen Sie, ob der DLP-Administrator in der Spalte Rolle angezeigt wird.

Plug-in für den Schutz sensibler Daten bereitstellen

  1. Rufen Sie die Instanz auf:

    1. Rufen Sie in der Google Cloud Console die Seite „Cloud Data Fusion“ auf.

    2. Klicken Sie zum Öffnen der Instanz in der Cloud Data Fusion-Weboberfläche auf Instanzen und dann auf Instanz ansehen.

      Zur Seite „VM-Instanzen“

  2. Klicken Sie in der Cloud Data Fusion-Web-UI rechts oben auf Hub.

  3. Klicken Sie auf das Plug-in Schutz vor Datenverlust.

  4. Klicken Sie auf Bereitstellen.

  5. Klicken Sie auf Beenden.

  6. Klicken Sie auf Pipeline erstellen.

PII-Filter-Transformation verwenden

Diese Transformation trennt vertrauliche Datensätze von nicht vertraulichen Einträgen. Ein Eintrag gilt als sensibel, wenn er den Kriterien entspricht, die Sie in einer Vorlage zum Schutz sensibler Daten definiert haben. Beispielsweise können Sie beim Erstellen einer Vorlage sensible Daten als Kreditkartendaten oder Sozialversicherungsnummern definieren.

  1. Inspektionsvorlage für den Schutz sensibler Daten erstellen

  2. Öffnen Sie Ihre Pipeline in Cloud Data Fusion und klicken Sie auf Studio > Transformieren.

  3. Klicken Sie auf die PII-Filter-Transformation.

  4. Halten Sie den Mauszeiger auf den Knoten PII-Filter und klicken Sie auf Attribute.

  5. Wählen Sie unter Filtern nach aus, ob Sie nach Datensätze oder Felder filtern möchten.

    Gemäß den Limits für den Schutz sensibler Daten schlägt Ihre Cloud Data Fusion-Pipeline fehl, wenn ein Eintrag 0, 5 MB überschreitet. Um einen solchen Fehler zu vermeiden, filtern Sie nicht nach Eintrag, sondern nach Feld.

  6. Geben Sie unter Vorlagen-ID die Vorlagen-ID der von Ihnen erstellten Vorlage für den Schutz sensibler Daten ein.

  7. Legen Sie unter Fehlerbehandlung fest, wie der Vorgang fortgesetzt werden soll, wenn in der Pipeline vertrauliche Daten gefunden werden. Wählen Sie eine der folgenden Optionen zur Fehlerbehandlung:

    • Pipeline anhalten: stoppt die Pipeline, sobald ein Fehler auftritt.
    • Überspringen: Überspringen Sie den Eintrag, der den Fehler verursacht hat. Die Pipeline wird weiterhin ausgeführt und es wird kein Fehler gemeldet.
    • An Fehler senden: Fehler an den Fehlerport senden. Die Pipeline wird weiterhin ausgeführt.

  8. Klicken Sie auf die Schaltfläche X.

Redact-Transformation verwenden

Diese Transformation identifiziert vertrauliche Einträge im Eingabestream und wendet Transformationen an, die Sie für diese Einträge definieren. Ein Eintrag gilt als sensibel, wenn er vordefinierten Filtern für den Schutz sensibler Daten oder einer von Ihnen definierten Vorlage entspricht.

  1. Klicken Sie auf der Seite Studio der Cloud Data Fusion-Web-UI auf das Menü Transformieren, um es zu maximieren.

  2. Klicken Sie auf die Transformation Redact (entfernen).

  3. Halten Sie den Mauszeiger über den Knoten Redact und klicken Sie auf Attribute.

  4. Wählen Sie aus, ob Sie Transformationen auf vordefinierte Filter anwenden oder eigene erstellen möchten.

    Diese beiden Optionen können nicht kombiniert werden. Sie können entweder vordefinierte Filter verwenden ODER eine benutzerdefinierte Vorlage erstellen.

    Vordefinierte Filter

    Wenn Sie Transformationen auf vordefinierte Filter anwenden möchten, behalten Sie für Benutzerdefinierte Vorlage die Einstellung Nein bei und definieren Sie unter Abgleich eine Regel:

    1. Nachdem Sie auf Anwenden geklickt haben, wählen Sie im Drop-down-Menü eine Transformation aus. Weitere Informationen zu den verfügbaren Transformationen erhalten Sie im Tab Dokumentation des Plug-ins unter Beschreibung.

    2. Klicken Sie anschließend auf das Drop-down-Menü und wählen Sie eine Kategorie aus. Das sind vordefinierte Filter für den Schutz sensibler Daten, die nach Typ gruppiert sind. Eine vollständige Liste der bereitgestellten Kategorien und der darin enthaltenen Filter finden Sie im Tab Dokumentation des Plug-ins unter DLP-Filterzuordnung.

    Klicken Sie auf +, um mehrere Abgleichsregeln festzulegen.

    Benutzerdefinierte Vorlage

    Wenn Sie Transformationen gemäß einer benutzerdefinierten Vorlage anwenden möchten, setzen Sie die Benutzerdefinierte Vorlage auf Ja.

    1. Benutzerdefinierte Vorlage für den Schutz sensibler Daten erstellen

    2. Zurück in der Cloud Data Fusion-Web-UI geben Sie im Redact-Attributmenü unter Vorlagen-ID die Vorlagen-ID der von Ihnen erstellten benutzerdefinierten Vorlage ein.

  5. Klicken Sie auf die Schaltfläche X.

Decrypt-Transformation verwenden

Diese Transformation identifiziert Datensätze, die mit dem Schutz sensibler Daten im Eingabestream verschlüsselt wurden, und wendet die Entschlüsselung an. Nur Datensätze, die mit einem umkehrbaren Algorithmus wie formaterhaltende Verschlüsselung oder deterministische Verschlüsselung verschlüsselt wurden, können entschlüsselt werden.

  1. Klicken Sie auf der Seite Studio der Cloud Data Fusion-Web-UI auf das Menü Transformieren, um es zu maximieren.

  2. Klicken Sie auf die Transformation Decrypt.

  3. Halten Sie den Mauszeiger über den Knoten Decrypt und klicken Sie auf Attribute.

  4. Geben Sie die Werte ein, die Sie bei der Konfiguration des Plug-ins Redact verwendet haben, mit dem diese Daten verschlüsselt wurden. Die Attribute dieses Plug-ins sind mit denen des Plug-ins Redact identisch.

  5. Klicken Sie auf die Schaltfläche X.

Nächste Schritte