Usa la protección de datos sensibles con Cloud Data Fusion

En esta guía, se explica cómo usar la Protección de datos sensibles con Cloud Data Fusion.

Cloud Data Fusion proporciona un plugin de protección de datos sensibles que proporciona tres transformaciones que pueden filtrar, ocultar o desencriptar tus datos sensibles:

• La transformación del filtro de PII te permite filtrar registros sensibles de una transmisión de datos de entrada.

• La transformación de ocultamiento te permite transformar datos sensibles, como enmascarar los datos o encriptarlos.

• La transformación de desencriptación te permite decrypt datos sensibles que se encriptaron previamente con la transformación Ocultar.

Costos

En este documento, usarás los siguientes componentes facturables de Google Cloud:

• Cloud Data Fusion
• Sensitive Data Protection

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios. Es posible que los usuarios nuevos de Google Cloud califiquen para obtener una prueba gratuita.

Antes de comenzar

1. En la consola de Google Cloud, ve a la página del selector de proyectos y selecciona o crea un proyecto.

   Ir al selector de proyectos

2. Habilita la API de Cloud Data Fusion para el proyecto.

   Habilitar la API de Cloud Data Fusion

3. Habilita la API de DLP (parte de la Protección de datos sensibles) en tu proyecto.

   Habilitar la API de DLP

4. Crea una instancia de Cloud Data Fusion.

Otorgar permisos de protección de datos sensibles

1. En la consola de Google Cloud, ve a la página IAM.

   Ir a IAM

2. En la tabla de permisos, selecciona una de las siguientes cuentas de servicio en la columna Principal:

   1. Para obtener permiso sobre los recursos en el entorno de ejecución, selecciona la cuenta de servicio que usa tu clúster de Dataproc. El valor predeterminado es la cuenta de servicio de Compute Engine, y no se recomienda por motivos de seguridad

   2. Para obtener permiso para los recursos cuando se usa Wrangler o una vista previa en Cloud Data Fusion (no en el entorno de ejecución), selecciona la cuenta de servicio que coincida con el formato: service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com.

   

3. Haz clic en el ícono de lápiz a la derecha de la cuenta de servicio.

4. Haz clic en Agregar otra función.

5. Haz clic en el menú desplegable que aparece.

6. Usa la barra de búsqueda para buscar y, luego, selecciona Administrador de DLP.

   

7. Haz clic en Guardar. Verifica que el Administrador de DLP aparezca en la columna Función.

   

Implementa el complemento de protección de datos sensibles

1. Ve a tu instancia:

   1. En la consola de Google Cloud, ve a la página de Cloud Data Fusion.

   2. Para abrir la instancia en la interfaz web de Cloud Data Fusion, haga clic en Instancias y, luego, en Ver instancia.

      Ir a Instancias

2. En la IU web de Cloud Data Fusion, haz clic en Centro en la parte superior derecha.

3. Haz clic en el complemento Prevención de pérdida de datos.

4. Haz clic en Implementar.

5. Haz clic en Finalizar.

6. Haga clic en Crear una canalización.

   

Usa la transformación del filtro de PII

Esta transformación separa los registros sensibles de los registros no sensibles. Un registro se considera sensible si coincide con los criterios que defines en una plantilla de protección de datos sensibles. Por ejemplo, cuando creas tu plantilla, puedes definir datos sensibles como información de tarjetas de crédito o números de identificación personal.

1. Crea una plantilla de inspección de la protección de datos sensibles.

2. Abra su canalización en Cloud Data Fusion y haga clic en Studio > Transformar.

   

3. Haz clic en la transformación Filtro de PII.

4. Mantén el puntero sobre el nodo de Filtro de PII y haz clic en Propiedades.

5. En Filtro activado, elige si deseas filtrar registros o campos.

   De conformidad con los límites de la protección de datos sensibles, si un registro supera los 0.5 MB, tu canalización de Cloud Data Fusion fallará. Para evitar este tipo de fallas, filtra por campo en lugar de registro.

6. En ID de plantilla, ingresa el ID de plantilla de la plantilla de protección de datos sensibles que creaste.

7. En Administración de errores, define cómo proceder cuando tu canalización encuentre datos sensibles. Elige una de las siguientes opciones de administración de errores:

   • Detener canalización: detiene la canalización apenas se encuentra un error.
   • Omitir registro: omite el registro que causó el error. La canalización continúa ejecutándose y no se informa ningún error.
   • Enviar al error: envía errores al puerto de error. La canalización continúa ejecutándose.

8. Haz clic en el botón X.

Usa la transformación de ocultamiento

Esta transformación identifica registros sensibles en el flujo de entrada y aplica las transformaciones que defines para esos registros. Un registro se considera sensible si coincide con los filtros predefinidos de protección de datos sensibles que elegiste o una plantilla personalizada que definiste.

1. En la página Estudio de la IU web de Cloud Data Fusion, haz clic para expandir el menú Transformar.

   

2. Haz clic en la transformación Ocultar.

3. Mantén el puntero sobre el nodo Ocultar y haz clic en Propiedades.

4. Elige si deseas aplicar transformaciones a filtros predefinidos o si quieres crear las tuyas.

   No puedes combinar estas dos opciones. Puedes usar filtros predefinidos O crear una plantilla personalizada.

   Filtros predefinidos

   Para aplicar transformaciones a filtros predefinidos, deja la Plantilla personalizada establecida en No y, en Coincidencia, define una regla:

   1. En Aplicar, haz clic en el menú desplegable y elige una transformación. Obtén más información sobre las transformaciones disponibles en la sección Descripción de la pestaña Documentación del complemento.

   2. Luego, activa y haz clic en el menú desplegable y elige una categoría, que es un conjunto de filtros predefinidos de protección de datos sensibles agrupados por tipo. Para ver la lista completa de categorías proporcionadas y los filtros que contienen, consulta la sección Asignación de filtro de DLP en la pestaña Documentación del complemento.

   Para configurar varias reglas coincidentes, haz clic en el botón +.

   

   Plantilla personalizada

   Para aplicar transformaciones según una plantilla personalizada, configura la Plantilla personalizada como Sí.

   1. Crea una plantilla personalizada de protección de datos sensibles.

   2. De regreso en la IU web de Cloud Data Fusion, en el menú de propiedades Ocultar, en ID de plantilla, ingresa el ID de plantilla de la plantilla personalizada que creaste.

   

5. Haz clic en el botón X.

Usa la transformación de desencriptación

Esta transformación identifica los registros que se encriptaron con la protección de datos sensibles en el flujo de entrada y aplica la desencriptación. Solo se pueden desencriptar los registros que se encriptaron mediante un algoritmo reversible, como la encriptación de preservación de formato o la encriptación determinista.

1. En la página Estudio de la IU web de Cloud Data Fusion, haz clic para expandir el menú Transformar.

   

2. Haz clic en la transformación Desencriptar.

3. Mantén el puntero sobre el nodo Desencriptar y haz clic en Propiedades.

4. Ingresa los mismos valores que se usaron para configurar el complemento Redact que encriptaron estos datos. Las propiedades de este complemento son idénticas a las del complemento Redact.

   

5. Haz clic en el botón X.

¿Qué sigue?

• Sigue un instructivo para ocultar datos confidenciales del usuario.
• Obtén más información sobre la Protección de datos sensibles.