Cloud DLP mit Cloud Data Fusion verwenden

In dieser Anleitung wird die Verwendung von Cloud Data Loss Prevention (DLP) (Schutz vor Datenverlust in der Cloud) in Verbindung mit Cloud Data Fusion erläutert.

Cloud Data Fusion bietet ein Cloud DLP-Plug-in mit drei Transformationen zum Filtern, Entfernen oder Entschlüsseln sensibler Daten:

  • Mit der PII-Filter-Transformation können Sie vertrauliche Datensätze aus einem Eingabedatenstrom herausfiltern.

  • Mit der Redact-Transformation können Sie vertrauliche Daten transformieren, z. B. durch Maskieren oder Verschlüsseln.

  • Mit der Decrypt-Transformation können Sie vertrauliche Daten entschlüsseln, die zuvor mit der Redact-Transformation verschlüsselt wurden.

Kosten

In dieser Anleitung werden die folgenden kostenpflichtigen Komponenten von Google Cloud verwendet:

Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen. Neuen Google Cloud-Nutzern steht möglicherweise eine kostenlose Testversion zur Verfügung.

Hinweis

  1. Rufen Sie in der Cloud Console die Seite für die Projektauswahl auf und wählen Sie ein Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  2. Aktivieren Sie die Cloud Data Fusion API für Ihr Projekt.

    Aktivieren Sie die Cloud Data Fusion API.

  3. Aktivieren Sie die Cloud DLP API für Ihr Projekt.

    Aktivieren Sie die Cloud DLP API.

  4. Erstellen Sie eine Cloud Data Fusion-Instanz.

Cloud DLP-Berechtigungen gewähren

  1. Rufen Sie in der Cloud Console die Seite „IAM“ auf.

    IAM aufrufen

  2. Wählen Sie in der Berechtigungstabelle eines der folgenden Dienstkonten in der Spalte Hauptkonto aus:

    1. Wählen Sie für die Laufzeit von Ressourcen das Dienstkonto aus, das Ihr Dataproc-Cluster verwendet. Die Standardeinstellung ist das Compute Engine-Dienstkonto, das aus Sicherheitsgründen nicht empfohlen wird.

    2. Wenn Sie den Zugriff auf Ressourcen zulassen möchten, wenn Sie Wrangler oder Vorschau in Cloud Data Fusion verwenden (nicht zur Laufzeit), wählen Sie stattdessen das Dienstkonto aus, das dem Format entspricht: service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com.

  3. Klicken Sie auf das Stiftsymbol rechts neben dem Dienstkonto.

  4. Klicken Sie auf Weitere Rolle hinzufügen.

  5. Klicken Sie auf das Drop-down-Menü, das daraufhin angezeigt wird.

  6. Wählen Sie über die Suchleiste DLP-Administrator aus.

  7. Klicken Sie auf Speichern. Prüfen Sie, ob der DLP-Administrator in der Spalte Rolle angezeigt wird.

Cloud DLP-Plug-in bereitstellen

  1. Öffnen Sie in der Cloud Console die Seite Instanzen.

    Zur Seite „Instanzen“

  2. Klicken Sie in der Spalte Aktion auf den Link Instanz aufrufen. Wenn Sie auf den Link klicken, wird die Cloud Data Fusion-Web-UI in einem neuen Browsertab geöffnet.

  3. Klicken Sie in der Cloud Data Fusion-Web-UI rechts oben auf Hub.

  4. Klicken Sie auf das Plug-in Schutz vor Datenverlust.

  5. Klicken Sie auf Deploy.

  6. Klicken Sie auf Beenden.

  7. Klicken Sie auf Pipeline erstellen.

PII-Filter-Transformation verwenden

Diese Transformation trennt vertrauliche Datensätze von nicht vertraulichen Einträgen. Ein Datensatz gilt als vertraulich, wenn er mit Kriterien übereinstimmt, die Sie in einer Cloud DLP-Vorlage definieren. Beispielsweise können Sie beim Erstellen einer Vorlage sensible Daten als Kreditkartendaten oder Sozialversicherungsnummern definieren.

  1. Erstellen Sie eine Cloud DLP-Inspektionsvorlage.

  2. Klicken Sie auf der Seite Studio der Cloud Data Fusion-Web-UI auf das Menü Transformieren, um es zu maximieren.

  3. Klicken Sie auf die PII-Filter-Transformation.

  4. Halten Sie den Mauszeiger auf den Knoten PII-Filter und klicken Sie auf Attribute.

  5. Wählen Sie unter Filtern nach aus, ob Sie nach Datensätze oder Felder filtern möchten.

    Unter Einhaltung der Cloud DLP-Limits schlägt die Pipeline von Cloud Data Fusion fehl, wenn ein Eintrag 0,5 MB überschreitet. Um einen solchen Fehler zu vermeiden, filtern Sie nicht nach Eintrag, sondern nach Feld.

  6. Geben Sie unter Vorlagen-ID die Vorlagen-ID der von Ihnen erstellten Cloud DLP-Vorlage ein.

  7. Legen Sie unter Fehlerbehandlung fest, wie der Vorgang fortgesetzt werden soll, wenn in der Pipeline vertrauliche Daten gefunden werden. Wählen Sie eine der folgenden Optionen zur Fehlerbehandlung:

    • Pipeline anhalten: stoppt die Pipeline, sobald ein Fehler auftritt.
    • Überspringen: Überspringen Sie den Eintrag, der den Fehler verursacht hat. Die Pipeline wird weiterhin ausgeführt und es wird kein Fehler gemeldet.
    • An Fehler senden: Fehler an den Fehlerport senden. Die Pipeline wird weiterhin ausgeführt.
  8. Klicken Sie auf die Schaltfläche X.

Redact-Transformation verwenden

Diese Transformation identifiziert vertrauliche Einträge im Eingabestream und wendet Transformationen an, die Sie für diese Einträge definieren. Ein Eintrag gilt als vertraulich, wenn er mit vordefinierten Cloud DLP-Filtern oder einer von Ihnen definierten Vorlage übereinstimmt.

  1. Klicken Sie auf der Seite Studio der Cloud Data Fusion-Web-UI auf das Menü Transformieren, um es zu maximieren.

  2. Klicken Sie auf die Transformation Redact (entfernen).

  3. Halten Sie den Mauszeiger über den Knoten Redact und klicken Sie auf Attribute.

  4. Wählen Sie aus, ob Sie Transformationen auf vordefinierte Filter anwenden möchten oder ob Sie eigene erstellen möchten.

    Diese beiden Optionen können nicht kombiniert werden. Sie können entweder vordefinierte Filter verwenden ODER eine benutzerdefinierte Vorlage erstellen.

    Vordefinierte Filter

    Wenn Sie Transformationen auf vordefinierte Filter anwenden möchten, behalten Sie für Benutzerdefinierte Vorlage die Einstellung Nein bei und definieren Sie unter Übereinstimmung eine Regel:

    1. Nachdem Sie auf Anwenden geklickt haben, wählen Sie im Drop-down-Menü eine Transformation aus. Weitere Informationen zu den verfügbaren Transformationen erhalten Sie im Tab Dokumentation des Plug-ins unter Beschreibung.

    2. Klicken Sie nach dem Drop-down-Menü und wählen Sie eine Kategorie aus. Dies sind mehrere vordefinierte Cloud DLP-Filter, die nach Typ gruppiert sind. Eine vollständige Liste der bereitgestellten Kategorien und der darin enthaltenen Filter finden Sie im Tab Dokumentation des Plug-ins unter DLP-Filterzuordnung.

    Klicken Sie auf +, um mehrere Abgleichsregeln festzulegen.

    Benutzerdefinierte Vorlage

    Wenn Sie Transformationen gemäß einer benutzerdefinierten Vorlage anwenden möchten, setzen Sie die Benutzerdefinierte Vorlage auf Ja.

    1. Benutzerdefinierte Cloud DLP-Vorlage erstellen.

    2. Zurück in der Cloud Data Fusion-Web-UI geben Sie im Redact-Attributmenü unter Vorlagen-ID die Vorlagen-ID der von Ihnen erstellten benutzerdefinierten Vorlage ein.

  5. Klicken Sie auf die Schaltfläche X.

Decrypt-Transformation verwenden

Diese Transformation identifiziert die Datensätze, die mit Cloud DLP im Eingabestream verschlüsselt wurden, und entschlüsselt sie. Es können nur Datensätze entschlüsselt werden, die mit einem reversiblen Algorithmus wie Format beibehaltene Verschlüsselung oder deterministische Verschlüsselung verschlüsselt wurden.

  1. Klicken Sie auf der Seite Studio der Cloud Data Fusion-Web-UI auf das Menü Transformieren, um es zu maximieren.

  2. Klicken Sie auf die Transformation Decrypt.

  3. Halten Sie den Mauszeiger über den Knoten Decrypt und klicken Sie auf Attribute.

  4. Geben Sie die gleichen Werte ein, mit denen das Redact-Plug-in für die Verschlüsselung dieser Daten konfiguriert wurde. Die Properties für dieses Plug-in sind identisch mit dem Redact-Plug-in.

  5. Klicken Sie auf die Schaltfläche X.

Weitere Informationen