Trabajos híbridos y activadores de trabajos

Los trabajos híbridos y activadores de trabajos son un conjunto de métodos de API asíncronos que te permiten analizar cargas útiles de datos enviados desde prácticamente cualquier fuente en busca de información sensible y, luego, almacenar los hallazgos en Google Cloud. Los trabajos híbridos te permiten escribir tus propios rastreadores de datos que se comportan y entregan datos similares a los de los métodos de inspección de almacenamiento de Sensitive Data Protection.

Mediante los trabajos híbridos, puedes transmitir datos desde cualquier fuente a Sensitive Data Protection. La Protección de datos sensibles inspecciona los datos en busca de información sensible o PII y, luego, guarda los resultados del análisis de inspección en un recurso de trabajo de Protección de datos sensibles. Puedes examinar los resultados del análisis en la IU o la API de la consola de Sensitive Data Protection, o bien especificar las acciones posteriores al análisis que se ejecutarán, como guardar los datos de los resultados de la inspección en una tabla de BigQuery o emitir un notificación de Pub/Sub.

El flujo de los trabajos híbridos se resume en el siguiente diagrama:

En este tema conceptual, se describen los trabajos híbridos y los activadores de trabajos, y cómo funcionan. Si deseas obtener información para implementar trabajos híbridos y activadores de trabajos, consulta Cómo inspeccionar datos externos con trabajos híbridos.

Acerca de los entornos híbridos

Los entornos "híbridos" son comunes en las organizaciones. Muchas organizaciones almacenan y procesan datos sensibles con alguna combinación de las siguientes opciones:

• Otros proveedores de servicios en la nube
• Servidores locales o algún otro repositorio de datos
• Sistemas de almacenamiento no nativos, como los que se ejecutan dentro de una máquina virtual
• Apps web y para dispositivos móviles
• Soluciones basadas en Google Cloud

Con los trabajos híbridos, Sensitive Data Protection puede inspeccionar los datos que se le envían desde cualquiera de estas fuentes. A continuación, se incluyen algunas situaciones de ejemplo:

• Inspecciona los datos almacenados en Amazon Relational Database Service (RDS), MySQL que se ejecuta dentro de una máquina virtual o en una base de datos local.
• Inspecciona y asigna tokens a los datos a medida que migras de las instalaciones locales a la nube o entre la producción, el desarrollo y el análisis.
• Inspecciona y oculta las transacciones desde una aplicación web o para dispositivos móviles antes de almacenar los datos inactivos.

Opciones de inspección

Como se describe con más detalle en Tipos de métodos, cuando quieres inspeccionar contenido en datos sensibles, Sensitive Data Protection proporciona tres opciones predeterminadas:

• Inspección de métodos de contenido: Cuando usas la inspección de contenido, transmites pequeñas cargas útiles de datos a la Protección de datos sensibles junto con instrucciones sobre qué inspeccionar. Luego, la Protección de datos sensibles inspecciona los datos en busca de contenido sensible y PII, y, luego, te muestra los resultados de su análisis.
• Inspección de métodos de almacenamiento: Con la inspección de almacenamiento, la Protección de datos sensibles inspecciona un repositorio de almacenamiento basado en Google Cloud, como una base de datos de BigQuery, un bucket de Cloud Storage o un tipo de Datastore. Puedes indicarle a Sensitive Data Protection qué inspeccionar y el motivo para hacerlo, y Sensitive Data Protection ejecutar un trabajo que analizará el repositorio. Una vez que se completa el análisis, la Protección de datos sensibles guarda un resumen de los resultados en el trabajo. Además, puedes especificar que los resultados se envíen a otro producto de Google Cloud para su análisis, como otra tabla de BigQuery.
• Inspección de trabajos híbridos: Los trabajos híbridos ofrecen los beneficios de los dos métodos anteriores. Te permiten transmitir datos como lo harías con los métodos de contenido y, a su vez, obtener el almacenamiento, la visualización y las acciones de los trabajos de inspección de almacenamiento. Toda la configuración de inspección se administra dentro de Sensitive Data Protection, y no se requiere ninguna configuración adicional del cliente. Los trabajos híbridos pueden ser útiles para analizar sistemas de almacenamiento no nativos, como una base de datos local, que se ejecuta en una máquina virtual (VM) o en otra nube. Los métodos híbridos también pueden ser útiles para inspeccionar sistemas de procesamiento, como cargas de trabajo de migración, o incluso para usar un proxy en la comunicación de servicio a servicio. Si bien los métodos de contenido también pueden hacer esto, los métodos híbridos te proporcionan el backend de almacenamiento de hallazgos que puede ordenar tus datos en varias llamadas a la API para que no tengas que hacerlo por tu cuenta.

Acerca de los trabajos híbridos y los activadores de trabajos

Un trabajo híbrido es una combinación de métodos de contenido y métodos de almacenamiento. El flujo de trabajo básico para los trabajos híbridos y activadores de trabajos es el siguiente:

1. Escribe una secuencia de comandos o crea un flujo de trabajo que envíe datos a Sensitive Data Protection para su inspección junto con algunos metadatos.
2. Configura y crea un recurso o activador de trabajo híbrido y habilítalo para que se active cuando reciba datos.
3. Tu secuencia de comandos o flujo de trabajo se ejecuta en el cliente y envía datos a Sensitive Data Protection en forma de una solicitud hybridInspect. Los datos incluyen un mensaje de activación y el identificador del trabajo o activador de trabajo, lo que activa la inspección.
4. Sensitive Data Protection inspecciona los datos según los criterios que estableciste en el trabajo híbrido o el activador.
5. La Protección de datos sensibles guarda los resultados del análisis en el recurso de trabajo híbrido, además de los metadatos que proporcionaste. Puedes examinar los resultados con la IU de Sensitive Data Protection en la consola de Google Cloud.
6. De manera opcional, Sensitive Data Protection puede ejecutar acciones posteriores al análisis, como guardar datos de los resultados de la inspección en una tabla de BigQuery o notificarte por correo electrónico o Pub/Sub.

Un activador de trabajo híbrido te permite crear, activar y detener trabajos para que puedas activar acciones cuando sea necesario. Cuando te aseguras de que tu secuencia de comandos o código envía datos que incluyen el identificador del activador del trabajo híbrido, no necesitas actualizar la secuencia de comandos ni el código cada vez que se inicia un trabajo nuevo.

Situaciones típicas de trabajos híbridos

Los trabajos híbridos son adecuados para objetivos como los siguientes:

• Ejecutar un análisis único de una base de datos fuera de Google Cloud como parte de una verificación de datos trimestral
• Supervisar todo el contenido nuevo que se agrega a diario en una base de datos que Sensitive Data Protection no admite de forma nativa
• Analiza los datos que ingresan a una base de datos y, al mismo tiempo, controla cómo se particionan los datos.
• Supervisa el tráfico en una red con el filtro de Protección de datos sensibles para Envoy (un filtro HTTP WebAssembly para proxies de sidecar de Envoy) para identificar el movimiento de datos sensibles problemáticos.

Para obtener información sobre cómo abordar estas situaciones, consulta Situaciones típicas de inspección híbrida.

Tipos de metadatos que puedes proporcionar

En esta sección, se describen los tipos de metadatos que puedes adjuntar a los datos externos que deseas inspeccionar o a los hallazgos.

Puedes configurar los metadatos en los siguientes niveles:

• El trabajo híbrido o el activador de trabajo híbrido
• La solicitud hybridInspect

Metadatos en un trabajo híbrido o activador de trabajo híbrido

En esta sección, se describen los tipos de metadatos que puedes adjuntar a un trabajo o activador de trabajo híbrido.

Etiquetas necesarias

En el trabajo híbrido o el activador de trabajo híbrido, puedes especificar una lista de etiquetas obligatorias que se deben incluir en todas las solicitudes de inspección híbrida que envíes. Se rechazarán todas las solicitudes de ese trabajo híbrido o activador de trabajo híbrido que no incluyan estas etiquetas obligatorias. Para obtener más información, consulta Cómo exigir etiquetas de las solicitudes hybridInspect.

Etiquetas opcionales

Puedes especificar pares clave-valor que se adjuntarán a todos los resultados de un trabajo híbrido o un activador de trabajo híbrido. Por ejemplo, si deseas que todos los resultados de un trabajo híbrido tengan la etiqueta "env"="prod", especifica este par clave-valor cuando crees el trabajo híbrido.

Opciones de datos tabulares

Puedes especificar cualquier columna que sea un identificador de fila (clave primaria) para los objetos de tabla en tus datos. Si las columnas especificadas existen en la tabla, los valores de las columnas dadas se incluyen junto con cada hallazgo para que puedas rastrearlo hasta la fila de la que proviene. Estas opciones tabulares solo se aplican a las solicitudes que envían datos tabulares, como un formato item.table o byteItem, como CSV.

Si conoces las claves principales con anticipación, puedes configurarlas como campos de identificación cuando crees el trabajo híbrido o el activador de trabajo híbrido. Puedes enumerar hasta tres nombres de columnas en el campo hybridOptions.tableOptions.identifyingFields.

Metadatos en una solicitud hybridInspect

En esta sección, se describen los tipos de metadatos que puedes adjuntar a una solicitud de hybridInspect. Los metadatos que envías en una solicitud hybridInspect solo se aplican a esa solicitud.

Detalles del contenedor

Cada solicitud que envíes a un trabajo híbrido o a un activador de trabajo híbrido puede especificar detalles sobre la fuente de datos, incluidos elementos como fullPath, rootPath, relativePath, type, version y otros. Por ejemplo, si escaneas tablas en una base de datos, puedes configurar los campos de la siguiente manera:

{
  "hybridItem": {
    "item": {...},
    "findingDetails": {
      "containerDetails": {
        "fullPath": "10.0.0.20/database1/table1",
        "relativePath": "table1",
        "rootPath": "10.0.0.20/database1",
        "type": "postgres",
        "version": "9.6"
      },
      "labels": {...}
    }
  }
}

No puedes establecer detalles del contenedor a nivel del trabajo híbrido ni del activador de trabajo híbrido.

Etiquetas necesarias

Si estableces etiquetas obligatorias cuando creas un trabajo híbrido o un activador de trabajo híbrido, cualquier solicitud de hybridInspect que envíes a ese trabajo o activador debe incluir esas etiquetas obligatorias. Para obtener más información, consulta Cómo exigir etiquetas de las solicitudes de hybridInspect.

Etiquetas opcionales

En cada solicitud hybridInspect, puedes especificar los pares clave-valor que se adjuntarán a los resultados de esa solicitud. Este método te permite adjuntar diferentes etiquetas con cada solicitud de hybridInspect.

Opciones de datos tabulares

Puedes especificar cualquier columna que sea un identificador de fila (clave primaria) para los objetos de tabla en tus datos. Si las columnas especificadas existen en la tabla, los valores de las columnas dadas se incluyen junto con cada hallazgo para que puedas rastrearlo hasta la fila de la que proviene. Estas opciones tabulares solo se aplican a las solicitudes que envían datos tabulares, como un formato item.table o byteItem, como CSV.

Si no conoces las claves primarias con anticipación, no tienes que configurarlas en el nivel del trabajo híbrido o del activador de trabajo híbrido. Puedes configurarlos en tu solicitud hybridInspect junto con los datos tabulares que se inspeccionarán. Cualquier campo que enumeres en el nivel del trabajo híbrido o del activador de trabajo híbrido se combinará con los que enumeres en la solicitud hybridInspect.

Acciones admitidas

Al igual que otros trabajos de Sensitive Data Protection, los trabajos híbridos admiten acciones. No todas las acciones se aplican a los trabajos híbridos. A continuación, se enumeran las acciones que se admiten en este momento junto con la información sobre su funcionamiento. Ten en cuenta que, con las acciones de Pub/Sub, correo electrónico y Cloud Monitoring, los resultados están disponibles cuando finaliza el trabajo.

• Guardar los resultados en Sensitive Data Protection y Guardar los resultados en BigQuery: Los resultados se guardan en un recurso de Sensitive Data Protection o en una tabla de BigQuery, respectivamente. Estas acciones funcionan con trabajos híbridos de manera similar a cómo funcionan en otros tipos de trabajos, con una diferencia importante: en los trabajos híbridos, los resultados están disponibles mientras se ejecuta el trabajo; en otros tipos de trabajos, los resultados están disponibles cuando finaliza el trabajo

• Enviar Pub/Sub: Cuando finaliza un trabajo, se emite un mensaje de Pub/Sub

• Enviar correo electrónico: Cuando se termina un trabajo, se envía un mensaje de correo electrónico

• Publicar en Cloud Monitoring: Cuando se completa un trabajo, sus resultados se publican en Monitoring

Resumen

Estas son algunas características clave y beneficios de usar trabajos híbridos y activadores de trabajos:

• Los trabajos híbridos te permiten transmitir datos a la Protección de datos sensibles desde prácticamente cualquier fuente, ya sea en la nube o fuera de ella.
• Los activadores de trabajos híbridos se activan cuando Sensitive Data Protection recibe un flujo de datos que incluye un mensaje de activación y el identificador del activador de trabajo.
• Puedes esperar hasta que se complete el análisis de inspección o puedes detener el trabajo de forma manual. Los resultados de la inspección se guardan en Sensitive Data Protection o BigQuery según si permites que el trabajo finalice o se detenga de forma anticipada.
• Los resultados del análisis de inspección de Sensitive Data Protection de un activador de trabajo híbrido se guardan en un recurso de trabajo híbrido dentro de Sensitive Data Protection.
• Puedes examinar los resultados del análisis de inspección en el recurso activador del trabajo en Sensitive Data Protection.
• También puedes indicarle a la Protección de datos sensibles que, mediante una acción, envíe los resultados de trabajos híbridos a una base de datos de BigQuery y que te notifique por correo electrónico o mediante Pub/Sub.

¿Qué sigue?

• Si deseas aprender a usar trabajos híbridos y activadores de trabajos para recibir datos de inspección, consulta Envía datos externos a Sensitive Data Protection mediante trabajos híbridos.