Cloud DLP mit Cloud Data Fusion verwenden

In dieser Anleitung wird die Verwendung von Cloud Data Loss Prevention (DLP) (Schutz vor Datenverlust in der Cloud) in Verbindung mit Cloud Data Fusion erläutert.

Cloud Data Fusion bietet ein Cloud DLP-Plug-in, das drei Transformationen bietet, mit denen Sie Ihre sensiblen Daten filtern, entfernen oder entschlüsseln können:

  • Mit der Transformation "personenidentifizierbarer Filter" können Sie sensible Datensätze aus einem Eingabestream filtern.

  • Mit der Redact-Transformation können Sie sensible Daten transformieren und sie etwa maskieren oder verschlüsseln.

  • Mit der Decrypt-Transformation können Sie sensible Daten entschlüsseln, die zuvor mit der Redact-Transformation verschlüsselt wurden.

Kosten

In dieser Anleitung werden kostenpflichtige Komponenten von Google Cloud verwendet, darunter:

Sie können mithilfe des Preisrechners die Kosten für Ihre voraussichtliche Nutzung kalkulieren. Neuen Google Cloud-Nutzern steht möglicherweise eine kostenlose Testversion zur Verfügung.

Hinweis

  1. Wählen Sie in der Cloud Console auf der Projektauswahlseite ein Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  2. Aktivieren Sie die Cloud Data Fusion API für Ihr Projekt.

    Aktivieren Sie die Cloud Data Fusion API.

  3. Aktivieren Sie die Cloud DLP API für Ihr Projekt.

    Aktivieren Sie die Cloud DLP API.

  4. Erstellen Sie eine Cloud Data Fusion-Instanz.

Cloud DLP-Berechtigungen abrufen

  1. Öffnen Sie die Seite "IAM" in der Cloud Console.

  2. Suchen Sie in der Berechtigungstabelle in der Spalte Mitglied das Dienstkonto mit dem Format service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com.

  3. Klicken Sie auf das Stiftsymbol rechts neben dem Dienstkonto.

  4. Klicken Sie auf Weitere Rolle hinzufügen.

  5. Klicken Sie auf das Drop-down-Menü, das daraufhin angezeigt wird.

  6. Wählen Sie mithilfe der Suchleiste DLP-Administrator aus.

  7. Klicken Sie auf Speichern. Prüfen Sie, ob der DLP-Administrator in der Spalte Rolle angezeigt wird.

Cloud DLP-Plug-in bereitstellen

  1. Öffnen Sie in der Cloud Console die Seite Instanzen.

    Zur Seite "Instanzen"

  2. Klicken Sie in der Spalte Aktion auf den Link Instanz aufrufen. Wenn Sie auf den Link klicken, wird die Cloud Data Fusion-Web-UI in einem neuen Browsertab geöffnet.

  3. Klicken Sie in der Cloud Data Fusion-Web-UI rechts oben auf Hub.

  4. Klicken Sie auf das Plug-in Schutz vor Datenverlust.

  5. Klicken Sie auf Deploy.

  6. Klicken Sie auf Beenden.

  7. Klicken Sie auf Pipeline erstellen.

PII-Filter-Transformation verwenden

Diese Transformation trennt vertrauliche Datensätze von nicht vertraulichen Einträgen. Ein Datensatz gilt als vertraulich, wenn er mit Kriterien übereinstimmt, die Sie in einer Cloud DLP-Vorlage definieren. Beispielsweise können Sie beim Erstellen einer Vorlage sensible Daten als Kreditkartendaten oder Sozialversicherungsnummern definieren.

  1. Erstellen Sie eine Cloud DLP-Inspektionsvorlage.

  2. Klicken Sie auf der Seite Studio der Cloud Data Fusion-Web-UI auf das Menü Transformieren, um es zu maximieren.

  3. Klicken Sie auf die PII-Filter-Transformation.

  4. Halten Sie den Mauszeiger auf den Knoten PII-Filter und klicken Sie auf Attribute.

  5. Wählen Sie unter Filtern nach aus, ob Sie nach Datensätze oder Felder filtern möchten.

    Unter Einhaltung der Cloud DLP-Limits schlägt die Pipeline von Cloud Data Fusion fehl, wenn ein Eintrag 0,5 MB überschreitet. Um einen solchen Fehler zu vermeiden, filtern Sie nicht nach Eintrag, sondern nach Feld.

  6. Geben Sie unter Vorlagen-ID die Vorlagen-ID der von Ihnen erstellten Cloud DLP-Vorlage ein.

  7. Legen Sie unter Fehlerbehandlung fest, wie der Vorgang fortgesetzt werden soll, wenn in der Pipeline vertrauliche Daten gefunden werden. Wählen Sie eine der folgenden Optionen zur Fehlerbehandlung:

    • Pipeline anhalten: stoppt die Pipeline, sobald ein Fehler auftritt.
    • Überspringen: Überspringen Sie den Eintrag, der den Fehler verursacht hat. Die Pipeline wird weiterhin ausgeführt und es wird kein Fehler gemeldet.
    • An Fehler senden: Fehler an den Fehlerport senden. Die Pipeline wird weiterhin ausgeführt.
  8. Klicken Sie auf die Schaltfläche X.

Redact-Transformation verwenden

Diese Transformation identifiziert vertrauliche Einträge im Eingabestream und wendet Transformationen an, die Sie für diese Einträge definieren. Ein Eintrag wird als vertraulich eingestuft, wenn er mit vordefinierten Cloud DLP-Filtern oder einer von Ihnen definierten Vorlage übereinstimmt.

  1. Klicken Sie auf der Seite Studio der Cloud Data Fusion-Web-UI auf das Menü Transformieren, um es zu maximieren.

  2. Klicken Sie auf die Transformation Redact (entfernen).

  3. Halten Sie den Mauszeiger über den Knoten Redact und klicken Sie auf Attribute.

  4. Wählen Sie aus, ob Sie Transformationen auf vordefinierte Filter anwenden möchten oder ob Sie eigene Filter erstellen möchten.

    Diese beiden Optionen können nicht kombiniert werden. Sie können entweder vordefinierte Filter verwenden oder eine benutzerdefinierte Vorlage erstellen.

    Vordefinierte Filter

    Wenn Sie Transformationen auf vordefinierte Filter anwenden möchten, lassen Sie die benutzerdefinierte Vorlage auf Nein gesetzt und definieren Sie unter Übereinstimmung eine Regel:

    1. Nachdem Sie auf Anwenden geklickt haben, wählen Sie im Drop-down-Menü eine Transformation aus. Weitere Informationen zu den verfügbaren Transformationen erhalten Sie im Tab Dokumentation des Plug-ins unter Beschreibung.

    2. Nachdem Sie auf an geklickt haben, wählen Sie im Drop-down-Menü eine Kategorie aus. Hierbei handelt es sich um eine Reihe vordefinierter Cloud DLP-Filter, die nach Typ gruppiert sind. Eine vollständige Liste der bereitgestellten Kategorien und der darin enthaltenen Filter finden Sie im Tab Dokumentation des Plug-ins unter DLP-Filterzuordnung.

    Klicken Sie auf +, um mehrere Abgleichsregeln festzulegen.

    Benutzerdefinierte Vorlage

    Wenn Sie Transformationen gemäß einer benutzerdefinierten Vorlage anwenden möchten, setzen Sie die Benutzerdefinierte Vorlage auf Ja.

    1. Benutzerdefinierte Cloud DLP-Vorlage erstellen.

    2. Zurück in der Cloud Data Fusion-Web-UI geben Sie im Redact-Attributmenü unter Vorlagen-ID die Vorlagen-ID der von Ihnen erstellten benutzerdefinierten Vorlage ein.

  5. Klicken Sie auf die Schaltfläche X.

Entschlüsselung verwenden

Diese Transformation identifiziert Datensätze, die mit Cloud DLP im Eingabestream verschlüsselt wurden, und wendet die Entschlüsselung an. Nur Datensätze, die mit einem reversierbaren Algorithmus wie Format Preserving Encryption oder Deterministische Verschlüsselung verschlüsselt wurden, können entschlüsselt werden.

  1. Klicken Sie auf der Seite Studio der Cloud Data Fusion-Web-UI auf das Menü Transformieren, um es zu maximieren.

  2. Klicken Sie auf die Transformation Decrypt.

  3. Halten Sie den Mauszeiger über den Knoten Decrypt und klicken Sie auf Attribute.

  4. Geben Sie dieselben Werte ein, mit denen das Redact-Plug-in konfiguriert wurde, das diese Daten verschlüsselt hat. Die Attribute für dieses Plug-in sind mit dem Plug-in Redact identisch.

  5. Klicken Sie auf die Schaltfläche X.

Nächste Schritte