작업

Cloud Data Loss Prevention 작업은 작업이 성공적으로 완료된 후 또는 이메일의 경우 오류 시에 발생하는 작업입니다. 예를 들어 결과를 BigQuery 테이블에 저장하거나, Pub/Sub 주제에 알림을 게시하거나, 작업이 성공적으로 완료되거나 오류로 중지되면 이메일을 보낼 수 있습니다.

사용 가능한 작업

Cloud Data Loss Prevention 작업을 실행할 때 결과 요약은 기본적으로 Cloud DLP 내에 저장됩니다. Google Cloud Console의 Cloud DLP를 사용하여 이 요약을 볼 수 있습니다. 작업의 경우 projects.dlpJobs.get 메서드를 사용하여 DLP API에서 요약 정보를 검색할 수도 있습니다.

Cloud DLP는 실행 중인 작업 유형에 따라 다른 유형의 작업을 지원합니다. 지원되는 작업은 다음과 같습니다.

BigQuery에 발견 항목 저장

DLP 작업 결과를 BigQuery 테이블에 저장합니다. 결과를 보거나 분석하기 전에 먼저 작업이 완료되었는지 확인합니다.

스캔이 실행될 때마다 Cloud DLP는 스캔 발견 항목을 지정된 BigQuery 테이블에 저장합니다. 테이블 ID를 지정하지 않으면 스캔이 처음 실행될 때 BigQuery가 새 테이블에 기본 이름을 할당합니다. 기존 테이블을 지정하면 Cloud DLP가 스캔 발견 항목을 테이블에 추가합니다.

BigQuery에 발견 항목을 저장하지 않으면 발견 항목의 개수 및 infoType에 대한 통계만 스캔 결과에 포함됩니다.

Pub/Sub에 게시

DLP 작업 이름이 속성으로 포함된 알림을 Pub/Sub 채널에 게시합니다. 알림 메시지를 전송할 주제를 지정할 수 있습니다. 스캔 작업을 실행하는 Cloud DLP 서비스 계정에 주제에 대한 게시 액세스가 있는지 확인합니다.

Security Command Center에 게시

Security Command Center에 작업 결과 요약을 게시합니다. 자세한 내용은 Cloud DLP 스캔 결과를 Security Command Center로 보내기를 참조하세요.

Data Catalog에 게시

작업 결과를 Google Cloud의 메타데이터 관리 서비스인 Data Catalog로 보냅니다.

이메일로 알림

작업이 완료되면 프로젝트 소유자 및 편집자에게 이메일을 보냅니다.

Cloud Monitoring에 게시

Google Cloud 운영 제품군의 Cloud Monitoring에 검사 결과를 전송합니다.

발견 항목 익명화

검사 중 감지된 발견 항목을 익명화합니다. 자세한 내용은 스토리지의 민감한 정보 익명화를 참조하세요.

지원되는 작업

다음 표에서는 Cloud DLP 작업과 각 작업을 사용할 수 있는 위치를 보여줍니다.

작업 BigQuery 검사 Cloud Storage 검사 Datastore 검사 하이브리드 검사 위험 분석 데이터 프로파일링
BigQuery에 발견 항목 저장
Pub/Sub에 게시
Security Command Center에 게시
Data Catalog에 게시
이메일로 알림
Cloud Monitoring에 게시
발견 항목 익명화

작업 지정

Cloud DLP를 구성할 때 하나 이상의 작업을 지정할 수 있습니다.

  • Console에서 Cloud DLP를 사용하여 새 검사 또는 위험 분석 작업을 만드는 경우 작업 생성 워크플로의 작업 추가 섹션에 작업을 지정합니다.
  • DLP API로 전송할 새 작업 요청을 구성할 때는 Action 객체에 작업을 지정합니다.

자세한 내용과 여러 언어의 샘플 코드를 보려면 다음을 참조하세요.

액션 시나리오 예

Cloud DLP 액션을 사용하여 Cloud DLP 스캔 결과를 기준으로 프로세스를 자동화할 수 있습니다. 외부 파트너와 공유한 BigQuery 테이블이 있다고 가정해 보겠습니다. 이 테이블에 미국 사회보장번호(infoType US_SOCIAL_SECURITY_NUMBER)와 같은 민감한 식별자가 포함되지 않았으며, 그러한 정보를 발견하는 경우 파트너의 액세스 권한이 취소되도록 하려고 합니다. 액션을 사용하는 대략적인 워크플로는 다음과 같습니다.

  1. Cloud DLP 작업 트리거를 생성하여 24시간마다 BigQuery 테이블 검사 스캔을 실행합니다.
  2. 'projects/foo/scan_notifications' 주제에 Pub/Sub 알림을 게시하도록 이러한 작업의 액션을 설정합니다.
  3. 'projects/foo/scan_notifications'에서 받은 메시지를 리슨하는 Cloud 함수를 만듭니다. 이 Cloud 함수는 24시간마다 DLP 작업의 이름을 수신하고 Cloud DLP를 호출하여 이 작업의 요약 결과를 가져옵니다. 그리고 주민등록번호를 찾은 경우 BigQuery 또는 ID 및 액세스 관리(IAM)에서 설정을 변경하여 테이블에 대한 액세스를 제한할 수 있습니다.

다음 단계