Cloud Data Loss Prevention utilizza tipi di informazioni, o infoType, per definire gli elementi che cerca. Un infoType è un tipo di dati sensibili, ad esempio nome, indirizzo email, numero di telefono, numero di identificazione, numero di carta di credito e così via.
Ogni infoType definito in Cloud DLP ha un rilevatore corrispondente. Cloud DLP utilizza i rilevatori di infoType nella configurazione delle sue analisi per determinare cosa esaminare e come trasformare i risultati. I nomi InfoType vengono utilizzati anche quando si visualizzano o si segnalano i risultati della scansione.
Questo argomento descrive in dettaglio i rilevatori di infoType e infoType e fornisce indicazioni su come utilizzare i rilevatori infoType durante la scansione di contenuti per l'individuazione di dati sensibili utilizzando Cloud DLP.
Specificare i rilevatori di infoType
Quando configuri Cloud DLP per la scansione dei tuoi contenuti, includi i rilevatori infoType da utilizzare nella configurazione della scansione.
Ad esempio, il seguente JSON mostra una semplice richiesta di scansione all'API DLP. Tieni presente che il rilevatore PHONE_NUMBER è specificato in
inspectConfig,
che indica a Cloud DLP di cercare un numero di telefono
nella stringa specificata.
POST https://dlp.googleapis.com/v2/projects/[PROJECT_ID]/content:inspect?key={YOUR_API_KEY}
{
"item":{
"value":"My phone number is (415) 555-0890"
},
"inspectConfig":{
"includeQuote":true,
"minLikelihood":"POSSIBLE",
"infoTypes":{
"name":"PHONE_NUMBER"
}
}
}
La richiesta precedente restituisce quanto segue:
{
"result":{
"findings":[
{
"quote":"(415) 555-0890",
"infoType":{
"name":"PHONE_NUMBER"
},
"likelihood":"VERY_LIKELY",
"location":{
"byteRange":{
"start":"19",
"end":"33"
},
"codepointRange":{
"start":"19",
"end":"33"
}
},
"createTime":"2018-10-29T23:46:34.535Z"
}
]
}
}
Specifica sempre infoType nella configurazione di scansione. Se non specifichi alcun infoType, Cloud DLP utilizza un elenco infoType predefinito. A seconda della quantità di contenuti da analizzare, la ricerca di infoType predefiniti può essere dispendiosa in termini di tempo o di denaro.
Per ulteriori informazioni su come utilizzare i rilevatori di infoType per eseguire la scansione dei contenuti, consulta uno degli argomenti didattici relativi all'ispezione, all'oscuramento o all'anonimizzazione.
Tipi di rilevatori di infoType
I rilevatori del tipo di informazioni (o "infoType") sono i meccanismi utilizzati da Cloud DLP per trovare i dati sensibili.
Cloud DLP include diversi tipi di rilevatori di infoType, tutti riepilogati di seguito:
- I rilevatori infoType integrati sono integrati in Cloud DLP. Includono rilevatori per tipi di dati sensibili specifici per paese o area geografica e tipi di dati applicabili a livello globale.
- I rilevatori infoType personalizzati sono rilevatori creati da te. Esistono tre tipi di rilevatori di infoType personalizzati:
- I rilevatori di dizionario personalizzati regolari sono semplici elenchi di parole in base ai quali Cloud DLP trova corrispondenze. Utilizza normali rilevatori del dizionario personalizzato se hai un elenco di decine di migliaia di parole o frasi. È preferibile utilizzare i regolari rilevatori di dizionari personalizzati se non prevedi un cambiamento significativo nell'elenco di parole.
- I rilevatori di dizionari personalizzati memorizzati vengono generati da Cloud DLP utilizzando elenchi di parole o frasi di grandi dimensioni archiviati in Cloud Storage o BigQuery. Utilizza i rilevatori di dizionamenti personalizzati memorizzati quando hai un lungo elenco di parole o frasi, fino a decine di milioni.
- I rilevatori di espressioni regolari (regex) consentono a Cloud DLP di rilevare corrispondenze in base a un pattern di espressioni regolari.
Inoltre, Cloud DLP include il concetto di regole di ispezione, che consentono di ottimizzare i risultati della scansione utilizzando quanto segue:
- Le regole di esclusione consentono di ridurre il numero di risultati restituiti aggiungendo regole a un rilevatore di infoType integrato o personalizzato.
- Le regole hotword consentono di aumentare la quantità o modificare il valore di probabilità dei risultati restituiti aggiungendo regole a un rilevatore infoType integrato o personalizzato.
Rilevatori di infoType integrati
I rilevatori di infoType integrati sono integrati in Cloud DLP e includono rilevatori per tipi di dati sensibili specifici per paese o area geografica, come Numéro d'Inscription au Répertoire (NIR) (FRANCE_NIR), numero di patente di guida britannica (UK_DRIVERS_LICENSE_NUMBER).
L'elenco di rilevatori di infoType integrati è sempre in fase di aggiornamento. Per un elenco completo dei rilevatori di infoType integrati attualmente supportati, consulta Riferimento rilevatore di TypeType.
Puoi anche visualizzare un elenco completo di tutti i rilevatori infoType integrati chiamando il metodo Cloud DLP.infoTypes.list
I rilevatori di infoType integrati non rappresentano un metodo di rilevamento preciso al 100%. Ad esempio, non possono garantire la conformità ai requisiti normativi. Devi decidere quali sono i dati sensibili e le modalità per proteggerli al meglio. Google consiglia di testare le impostazioni per verificare che la configurazione soddisfi i requisiti.
Rilevatori di infoType personalizzati
Esistono tre tipi di rilevatori di infoType personalizzati:
- Rilevatori di dizionari personalizzati regolari
- Rilevatori di dizionari personalizzati memorizzati
- Espressioni regolari (regex)
Inoltre, Cloud DLP include regole di ispezione, che ti consentono di ottimizzare i risultati della scansione aggiungendo quanto segue ai rilevatori esistenti:
- Exclusion rules (Regole di esclusione)
- Regole per hotword
Rilevatori di dizionari personalizzati regolari
Utilizza i rilevatori di dizionario personalizzati regolari per trovare una corrispondenza con un breve elenco (fino a diverse decine di migliaia) di parole o frasi. Un normale dizionario personalizzato può fungere da rilevatore univoco.
I rilevatori del dizionario personalizzati sono utili quando vuoi cercare un elenco di parole o frasi non facilmente abbinati da un'espressione regolare o un rilevatore integrato. Ad esempio, supponiamo che tu voglia cercare sale conferenze comunemente chiamate in base ai nomi delle sale che gli sono stati assegnati anziché nei numeri delle stanze, come nomi di stati o aree geografiche, punti di riferimento, personaggi di fantasia e così via. Puoi creare un normale rilevatore del dizionario personalizzato che contiene un elenco di questi nomi delle stanze. Cloud DLP può analizzare i tuoi contenuti per ognuno dei nomi delle stanze virtuali e restituire una corrispondenza quando ne rileva uno nel contesto. Scopri di più su come Cloud DLP abbina le parole e le frasi del dizionario nella sezione "specifiche di corrispondenza dei dizionario " sezione di creazione di un rilevatore dizionario personalizzato regolare.
Per ulteriori dettagli sul funzionamento dei rilevatori di infoType personalizzati del dizionario, nonché di esempi in azione, vedi Creare un rilevatore di dizionari personalizzati standard.
Rilevatori di dizionari personalizzati memorizzati
Utilizza i rilevatori di dizionario personalizzati memorizzati quando hai a disposizione più di poche parole o frasi da cercare o se il tuo elenco di parole o frasi cambia di frequente. I rilevatori del dizionario personalizzati possono corrispondere a decine di milioni di parole o frasi.
I rilevatori di dizionari personalizzati memorizzati, per loro natura, come rilevatori personalizzati di grandi dimensioni, vengono creati in modo diverso sia dai rilevatori personalizzati delle espressioni regolari sia dai normali rilevatori del dizionario personalizzati. Ogni dizionario personalizzato archiviato ha due componenti:
- Un elenco di frasi create e definite da te. L'elenco viene archiviato come file di testo all'interno di Cloud Storage o come colonna in una tabella BigQuery.
- I file di dizionario generati, creati da Cloud DLP in base al tuo elenco di frasi. I file del dizionario vengono archiviati in Cloud Storage e sono costituiti da una copia dei dati della frase di origine, oltre a filtri bloom, che facilitano le ricerche e le corrispondenze. Non puoi modificare direttamente questi file.
Dopo aver creato un elenco di parole e poi utilizzato Cloud DLP per generare un dizionario personalizzato, puoi avviare o pianificare una scansione utilizzando un rilevatore di dizionari personalizzato memorizzato in modo simile agli altri rilevatori di infoType.
Per maggiori dettagli sul funzionamento dei rilevatori del dizionario personalizzati e degli esempi in azione, vedi Creare un rilevatore del dizionario personalizzato memorizzato.
Espressioni regolari
Un rilevatore di infoType personalizzato con espressione regolare (regex) consente di creare rilevatori di infoType personalizzati che consentono a Cloud DLP di rilevare corrispondenze in base a un pattern regex. Ad esempio, supponiamo che tu abbia un numero di cartella clinica nel formato ###-#-#####. Puoi definire un pattern regex come il seguente:
[1-9]{3}-[1-9]{1}-[1-9]{5}
Cloud DLP abbinerà quindi elementi come questo:
123-4-56789
Puoi anche specificare una probabilità da assegnare a ogni corrispondenza personalizzata di infoType. In altre parole, quando Cloud DLP corrisponde alla
sequenza specificata, assegnerà la probabilità che tu abbia indicato.
Ciò è utile perché, se un'espressione regolare personalizzata definisce una sequenza abbastanza comune, potrebbe facilmente corrispondere a un'altra sequenza casuale, ma non è necessario che Cloud DLP etichetti ogni corrispondenza come VERY_LIKELY. Ciò potrebbe compromettere la fiducia nei risultati della scansione e causare l'anonimizzazione delle informazioni errate.
Per ulteriori informazioni sui rilevatori di infoType personalizzati con espressioni regolari e per vederli in azione, consulta la sezione Creare un rilevatore di espressioni regolari personalizzate.
Regole di ispezioni
Puoi utilizzare le regole di ispezione per perfezionare i risultati restituiti dai rilevatori di infoType esistenti, integrati o personalizzati. Le regole di ispezione possono essere utili quando i risultati restituiti da Cloud DLP devono essere in qualche modo aumentati mediante l'aggiunta e l'esclusione dei rilevatori di infoType esistenti.
I due tipi di regole di ispezione sono:
- Regole di esclusione
- Regole per hotword
Per ulteriori informazioni sulle regole di ispezione, consulta la sezione Modificare i rilevatori di infoType per perfezionare i risultati della scansione.
Regole di esclusione
Le regole di esclusione consentono di ridurre la quantità o la precisione dei risultati restituiti aggiungendo regole a un rilevatore di infoType integrato o personalizzato. Le regole di esclusione possono aiutarti a ridurre il rumore o altri risultati indesiderati restituiti da un rilevatore di infoType.
Ad esempio, se esegui la scansione di un database per trovare indirizzi email, puoi aggiungere una regola di esclusione sotto forma di regex personalizzata che indica a Cloud DLP di escludere eventuali risultati che terminano con " "@example.com".
Per ulteriori informazioni sulle regole di esclusione, consulta la sezione Modificare i rilevatori di infoType per perfezionare i risultati della scansione.
Regole per hotword
Le regole hotword ti consentono di aumentare la quantità o la precisione dei risultati restituiti aggiungendo regole a un rilevatore infoType integrato o personalizzato. Le regole per le hotword possono aiutarti a allentare le regole di un infoType esistente.
Ad esempio, supponiamo che tu voglia eseguire la scansione di un database medico per trovare i nomi dei pazienti. Puoi utilizzare il rilevatore infoType PERSON_NAME integrato di Cloud DLP, ma, in questo modo, verrà applicata la corrispondenza a tutti i nomi delle persone e non solo ai nomi dei pazienti. Per risolvere il problema, puoi includere una regola di hotword sotto forma di infoType personalizzato regex che cerca la parola "paziente" entro una determinata distanza di caratteri dal primo carattere delle potenziali corrispondenze. Puoi quindi assegnare risultati che corrispondano a questo modello, una probabilità di "molto probabile" perché corrispondono ai tuoi criteri speciali.
Per ulteriori informazioni sulle regole per hotword, consulta la sezione Modificare i rilevatori di infoType per perfezionare i risultati della scansione.