Schutz sensibler Daten mit Cloud Data Fusion verwenden

In dieser Anleitung wird die Verwendung von Schutz sensibler Daten in Verbindung mit Cloud Data Fusion erläutert.

Cloud Data Fusion bietet ein Plug-in zum Schutz sensibler Daten mit drei Transformationen zum Filtern, Entfernen oder Entschlüsseln sensibler Daten:

• Mit der PII-Filter-Transformation können Sie vertrauliche Datensätze aus einem Eingabedatenstrom herausfiltern.

• Mit der Redact-Transformation können Sie vertrauliche Daten transformieren, z. B. durch Maskieren oder Verschlüsseln.

• Mit der Decrypt-Transformation können Sie vertrauliche Daten entschlüsseln, die zuvor mit der Redact-Transformation verschlüsselt wurden.

Kosten

In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Google Cloud:

• Cloud Data Fusion
• Sensitive Data Protection

Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen.

Hinweise

1. Rufen Sie in der Google Cloud Console die Seite für die Projektauswahl auf und wählen Sie ein Projekt aus oder erstellen Sie eines.

   Zur Projektauswahl

2. Aktivieren Sie die Cloud Data Fusion API für Ihr Projekt.

   Aktivieren Sie die Cloud Data Fusion API.

3. Aktivieren Sie die DLP API (Teil des Schutzes sensibler Daten) für Ihr Projekt.

   DLP API aktivieren

4. Erstellen Sie eine Cloud Data Fusion-Instanz.

Berechtigungen für Sensitive Data Protection gewähren

1. Rufen Sie in der Google Cloud Console die IAM-Seite auf.

   IAM aufrufen

2. Wählen Sie in der Berechtigungstabelle in der Spalte Hauptkonto eines der folgenden Dienstkonten aus:

   1. Wenn Sie Berechtigungen für Ressourcen zur Laufzeit benötigen, wählen Sie das Dienstkonto aus, das von Ihrem Dataproc-Cluster verwendet wird. Standardmäßig wird das Compute Engine-Dienstkonto verwendet, was aus Sicherheitsgründen nicht empfohlen wird.

   2. Wenn Sie Berechtigungen für Ressourcen benötigen, wenn Sie Wrangler oder die Vorschaufunktion in Cloud Data Fusion verwenden (nicht zur Laufzeit), wählen Sie stattdessen das Dienstkonto aus, das dem Format service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com entspricht.

   

3. Klicken Sie auf das Stiftsymbol rechts neben dem Dienstkonto.

4. Klicken Sie auf Weitere Rolle hinzufügen.

5. Klicken Sie auf das Drop-down-Menü, das daraufhin angezeigt wird.

6. Wählen Sie mithilfe der Suchleiste DLP-Administrator aus.

   

7. Klicken Sie auf Speichern. Prüfen Sie, ob der DLP-Administrator in der Spalte Rolle angezeigt wird.

   

Plug-in für Schutz sensibler Daten bereitstellen

1. Rufen Sie Ihre Instanz auf:

   1. Rufen Sie in der Google Cloud Console die Seite „Cloud Data Fusion“ auf.

   2. Wenn Sie die Instanz in Cloud Data Fusion Studio öffnen möchten, klicken Sie auf Instanzen und dann auf Instanz anzeigen.

      Zur Seite „VM-Instanzen“

2. Klicken Sie in der Cloud Data Fusion-Web-UI rechts oben auf Hub.

3. Klicken Sie auf das Plug-in Schutz vor Datenverlust.

4. Klicken Sie auf Deploy.

5. Klicken Sie auf Beenden.

6. Klicken Sie auf Pipeline erstellen.

   

PII-Filter-Transformation verwenden

Diese Transformation trennt vertrauliche Datensätze von nicht vertraulichen Einträgen. Ein Datensatz gilt als vertraulich, wenn er mit Kriterien übereinstimmt, die Sie in einer Vorlage für den Schutz sensibler Daten definieren. Beispielsweise können Sie beim Erstellen einer Vorlage sensible Daten als Kreditkartendaten oder Sozialversicherungsnummern definieren.

1. Inspektionsvorlage für den Schutz sensibler Daten erstellen

2. Öffnen Sie Ihre Pipeline in Cloud Data Fusion und klicken Sie auf Studio > Transformieren.

   

3. Klicken Sie auf die PII-Filter-Transformation.

4. Halten Sie den Mauszeiger auf den Knoten PII-Filter und klicken Sie auf Attribute.

5. Wählen Sie unter Filtern nach aus, ob Sie nach Datensätze oder Felder filtern möchten.

   Unter Einhaltung der Sensitive Data Protection-Limits schlägt die Pipeline von Cloud Data Fusion fehl, wenn ein Eintrag 0, 5 MB überschreitet. Um einen solchen Fehler zu vermeiden, filtern Sie nicht nach Eintrag, sondern nach Feld.

6. Geben Sie unter Vorlagen-ID die Vorlagen-ID der von Ihnen erstellten Sensitive Data Protection-Vorlage ein.

7. Legen Sie unter Fehlerbehandlung fest, wie der Vorgang fortgesetzt werden soll, wenn in der Pipeline vertrauliche Daten gefunden werden. Wählen Sie eine der folgenden Optionen zur Fehlerbehandlung:

   • Pipeline anhalten: stoppt die Pipeline, sobald ein Fehler auftritt.
   • Überspringen: Überspringen Sie den Eintrag, der den Fehler verursacht hat. Die Pipeline wird weiterhin ausgeführt und es wird kein Fehler gemeldet.
   • An Fehler senden: Fehler an den Fehlerport senden. Die Pipeline wird weiterhin ausgeführt.

8. Klicken Sie auf die Schaltfläche X.

Redact-Transformation verwenden

Diese Transformation identifiziert vertrauliche Einträge im Eingabestream und wendet Transformationen an, die Sie für diese Einträge definieren. Ein Datensatz gilt als vertraulich, wenn er mit vordefinierten Filtern für den Schutz sensibler Daten oder einer von Ihnen definierten benutzerdefinierten Vorlage übereinstimmt.

1. Klicken Sie auf der Seite Studio der Cloud Data Fusion-Web-UI auf das Menü Transformieren, um es zu maximieren.

   

2. Klicken Sie auf die Transformation Redact (entfernen).

3. Halten Sie den Mauszeiger über den Knoten Redact und klicken Sie auf Attribute.

4. Wählen Sie aus, ob Sie Transformationen auf vordefinierte Filter anwenden möchten oder ob Sie eigene Filter erstellen möchten.

   Diese beiden Optionen können nicht kombiniert werden. Sie können entweder vordefinierte Filter verwenden oder eine benutzerdefinierte Vorlage erstellen.

   Vordefinierte Filter

   Wenn Sie Transformationen auf vordefinierte Filter anwenden möchten, lassen Sie die benutzerdefinierte Vorlage auf Nein gesetzt und definieren Sie unter Übereinstimmung eine Regel:

   1. Nachdem Sie auf Anwenden geklickt haben, wählen Sie im Drop-down-Menü eine Transformation aus. Weitere Informationen zu den verfügbaren Transformationen erhalten Sie im Tab Dokumentation des Plug-ins unter Beschreibung.

   2. Klicken Sie nach on auf das Drop-down-Menü und wählen Sie eine Kategorie aus. Dabei handelt es sich um eine Reihe vordefinierter Filter für den Schutz sensibler Daten, die nach Typ gruppiert sind. Eine vollständige Liste der bereitgestellten Kategorien und der darin enthaltenen Filter finden Sie im Tab Dokumentation des Plug-ins unter DLP-Filterzuordnung.

   Klicken Sie auf +, um mehrere Abgleichsregeln festzulegen.

   

   Benutzerdefinierte Vorlage

   Wenn Sie Transformationen gemäß einer benutzerdefinierten Vorlage anwenden möchten, setzen Sie die Benutzerdefinierte Vorlage auf Ja.

   1. Benutzerdefinierte Vorlage für den Schutz sensibler Daten erstellen

   2. Zurück in der Cloud Data Fusion-Web-UI geben Sie im Redact-Attributmenü unter Vorlagen-ID die Vorlagen-ID der von Ihnen erstellten benutzerdefinierten Vorlage ein.

   

5. Klicken Sie auf die Schaltfläche X.

Decrypt-Transformation verwenden

Diese Transformation identifiziert Datensätze, die mit Sensitive Data Protection im Eingabestream verschlüsselt wurden, und wendet die Entschlüsselung an. Nur Datensätze, die mit einem umkehrbaren Algorithmus wie Formaterhaltende Verschlüsselung oder Deterministische Verschlüsselung verschlüsselt wurden, können entschlüsselt werden.

1. Klicken Sie auf der Seite Studio der Cloud Data Fusion-Web-UI auf das Menü Transformieren, um es zu maximieren.

   

2. Klicken Sie auf die Transformation Decrypt.

3. Halten Sie den Mauszeiger über den Knoten Decrypt und klicken Sie auf Attribute.

4. Geben Sie dieselben Werte ein, die auch zum Konfigurieren des Redact-Plug-ins verwendet wurden, mit dem diese Daten verschlüsselt wurden. Die Attribute dieses Plug-ins sind mit dem Redact-Plug-in identisch.

   

5. Klicken Sie auf die Schaltfläche X.

Nächste Schritte

• Anleitung zum Entfernen vertraulicher Nutzerdaten
• Weitere Informationen zum Schutz sensibler Daten