Use a Proteção de dados confidenciais com o Cloud Data Fusion

Este guia explica como usar a proteção de dados confidenciais com o Cloud Data Fusion.

O Cloud Data Fusion fornece um plug-in de proteção de dados confidenciais que oferece três transformações que podem filtrar, ocultar ou desencriptar os seus dados confidenciais:

• A transformação do filtro de PII permite-lhe filtrar registos confidenciais de um fluxo de dados de entrada.

• A transformação Ocultar permite transformar dados confidenciais, como máscara de dados ou encriptação.

• A transformação Decifrar permite decifrar dados confidenciais que foram encriptados anteriormente com a transformação Ocultar.

Custos

Neste documento, usa os seguintes componentes faturáveis do Google Cloud:

• Cloud Data Fusion
• Sensitive Data Protection

Para gerar uma estimativa de custos com base na sua utilização projetada, use a calculadora de preços.

Antes de começar

1. Na Google Cloud consola, aceda à página do seletor de projetos e selecione ou crie um projeto.

   Aceda ao seletor de projetos

2. Ative a API Cloud Data Fusion para o seu projeto.

   Ative a API Cloud Data Fusion

3. Ative a API DLP (parte da proteção de dados confidenciais) para o seu projeto.

   Ative a API DLP

4. Crie uma instância do Cloud Data Fusion.

Conceda autorizações da Proteção de dados confidenciais

1. Na Google Cloud consola, aceda à página IAM.

   Aceda ao IAM

2. Na tabela de autorizações, selecione uma das seguintes contas de serviço na coluna Principal:

   1. Para autorização a recursos no tempo de execução, selecione a conta de serviço que o cluster do Dataproc usa. A predefinição é a conta de serviço do Compute Engine, que não é recomendada por motivos de segurança

   2. Para autorização de recursos quando usar o Wrangler ou a Pré-visualização no Cloud Data Fusion (não em tempo de execução), selecione a conta de serviço que corresponde ao formato: service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com.

   

3. Clique no ícone de lápis à direita da conta de serviço.

4. Clique em Adicionar outra função.

5. Clique no menu pendente apresentado.

6. Use a barra de pesquisa para pesquisar e, em seguida, selecione Administrador da DLP.

   

7. Clique em Guardar. Verifique se Administrador da DLP aparece na coluna Função.

   

Implemente o plug-in Proteção de dados confidenciais

1. Aceda à sua instância:

   1. Na Google Cloud consola, aceda à página do Cloud Data Fusion.

   2. Para abrir a instância no Cloud Data Fusion Studio, clique em Instâncias e, de seguida, em Ver instância.

      Aceda a Instâncias

2. Na IU Web do Cloud Data Fusion, clique em Hub na parte superior direita.

3. Clique no plug-in Prevenção contra a perda de dados.

4. Clique em Implementar.

5. Clique em Concluir.

6. Clique em Criar um pipeline.

   

Use a transformação de filtro de PII

Esta transformação separa os registos confidenciais dos registos não confidenciais. Um registo é considerado confidencial se corresponder aos critérios que definir num modelo de proteção de dados confidenciais. Por exemplo, quando cria o modelo, pode definir dados confidenciais como informações de cartões de crédito ou números de segurança social.

1. Crie um modelo de inspeção da proteção de dados confidenciais.

2. Abra o pipeline no Cloud Data Fusion e clique em Studio > Transformar.

   

3. Clique na transformação Filtro de PII.

4. Mantenha o ponteiro sobre o nó PII Filter e clique em Properties.

5. Em Filtrar por, escolha se quer filtrar registos ou campos.

   Em conformidade com os limites de proteção de dados confidenciais, se um registo exceder 0,5 MB, o pipeline do Cloud Data Fusion falha. Para evitar essa falha, filtre por campo em vez de por registo.

6. Em ID do modelo, introduza o ID do modelo de proteção de dados confidenciais que criou.

7. Em Processamento de erros, defina como proceder quando o pipeline encontrar dados confidenciais. Escolha uma das seguintes opções de processamento de erros:

   • Parar pipeline: para o pipeline assim que for encontrado um erro.
   • Ignorar registo: ignora o registo que causou o erro. O pipeline continua a ser executado e não é comunicado nenhum erro.
   • Enviar para erro: envia erros para a porta de erro. O pipeline continua a ser executado.

8. Clique no botão X.

Use a transformação Ocultar

Esta transformação identifica registos confidenciais na stream de entrada e aplica transformações que define a esses registos. Um registo é considerado confidencial se corresponder aos filtros de proteção de dados confidenciais predefinidos que escolheu ou a um modelo personalizado que definiu.

1. Na página Studio da IU Web do Cloud Data Fusion, clique para expandir o menu Transform.

   

2. Clique na transformação Redact.

3. Mantenha o ponteiro sobre o nó Ocultar e clique em Propriedades.

4. Escolha se quer aplicar transformações a filtros predefinidos ou se quer criar os seus próprios filtros.

   Não pode combinar estas duas opções. Pode usar filtros predefinidos OU criar um modelo personalizado.

   Filtros predefinidos

   Para aplicar transformações a filtros predefinidos, deixe o Modelo personalizado definido como Não e, em Correspondência, defina uma regra:

   1. Após clicar em Aplicar, clique no menu pendente e escolha uma transformação. Saiba mais acerca das transformações disponíveis na secção Descrição do separador Documentação do plug-in.

   2. Após ativar, clique no menu pendente e escolha uma categoria, que é um conjunto de filtros de proteção de dados confidenciais predefinidos agrupados por tipo. Para ver a lista completa de categorias fornecidas e os filtros que contêm, consulte a secção Mapeamento de filtros de DLP no separador Documentação do plug-in.

   Para definir várias regras de correspondência, clique no botão +.

   

   Modelo personalizado

   Para aplicar transformações de acordo com um modelo personalizado, defina Custom Template como Yes.

   1. Crie um modelo de proteção de dados confidenciais personalizado.

   2. Na IU Web do Cloud Data Fusion, no menu Redact properties (Ocultar propriedades), em Template ID (ID do modelo), introduza o ID do modelo personalizado que criou.

   

5. Clique no botão X.

Use a transformação Decrypt

Esta transformação identifica os registos que foram encriptados com a proteção de dados confidenciais no fluxo de entrada e aplica a desencriptação. Só é possível desencriptar registos que foram encriptados com um algoritmo reversível, como a encriptação de preservação do formato ou a encriptação determinística.

1. Na página Studio da IU Web do Cloud Data Fusion, clique para expandir o menu Transform.

   

2. Clique na transformação Desencriptar.

3. Passe o cursor do rato sobre o nó Desencriptar e clique em Propriedades.

4. Introduza os mesmos valores que foram usados para configurar o plug-in Redact que encriptou estes dados. As propriedades deste plug-in são idênticas às do plug-in Redact.

   

5. Clique no botão X.

O que se segue?

• Siga um tutorial para ocultar dados do utilizador confidenciais.
• Leia mais sobre a proteção de dados confidenciais.