Trabajos híbridos y activadores de trabajos

Los trabajos híbridos y los activadores de trabajos abarcan un conjunto de métodos de API asíncronos que te permiten analizar cargas útiles de datos enviados desde prácticamente cualquier fuente para información sensible y, luego, almacenar los resultados en Google Cloud. las rutas "a GCP". Los trabajos híbridos te permiten escribir tus propios rastreadores de datos que se comportan y entregar datos de forma similar a los métodos de inspección de almacenamiento de Cloud Data Loss Prevention (DLP).

Mediante los trabajos híbridos, puedes transmitir datos desde cualquier fuente a Cloud DLP. Cloud DLP inspecciona los datos en busca de información sensible o PII y, luego, guarda los resultados del análisis de inspección en un recurso de trabajo de Cloud DLP. Puedes examinar los resultados del análisis en la IU o la API de la consola de Cloud DLP, o bien especificar las acciones posteriores al análisis que se ejecutarán, como guardar los datos de los resultados de la inspección en una tabla de BigQuery o emitir un notificación de Pub/Sub.

El flujo de los trabajos híbridos se resume en el siguiente diagrama:

Diagrama del flujo de datos de trabajos híbridos, que muestra la aplicación que envía datos de una fuente externa a Cloud DLP, Cloud DLP que inspecciona los datos y, luego, guarda o publica los resultados.

En este tema conceptual, se describen trabajos híbridos y activadores de trabajo y cómo funcionan. Para obtener información sobre cómo implementar trabajos híbridos y activadores de trabajo, consulta Inspecciona datos externos mediante trabajos híbridos.

Acerca de los entornos híbridos

Los entornos "híbridos" son comunes en las organizaciones. Muchas organizaciones almacenan y procesan datos sensibles con algunas de las siguientes opciones:

  • Otros proveedores de servicios en la nube
  • Servidores locales y otros repositorios de datos
  • Sistemas de almacenamiento no nativos, como aquellos que se ejecutan dentro de una máquina virtual
  • Apps web y para dispositivos móviles
  • Soluciones basadas en Google Cloud

Con trabajos híbridos, Cloud DLP puede inspeccionar los datos que se envíen desde cualquiera de estas fuentes. A continuación, se muestran algunas situaciones de ejemplo:

  • Inspecciona los datos almacenados en Amazon Relational Database Service (RDS), MySQL que se ejecuta dentro de una máquina virtual o una base de datos local.
  • Inspecciona y asigna tokens a los datos mientras migras de las instalaciones a la nube, o entre la producción, el desarrollo y las estadísticas.
  • Inspecciona y oculta las transacciones de una aplicación web o para dispositivos móviles antes de almacenar los datos en reposo.

Opciones de inspección

Como se describe con más detalle en Tipos de métodos, cuando quieres inspeccionar contenido en datos sensibles, Cloud DLP proporciona tres opciones predeterminadas:

  • Inspección de métodos de contenido: Cuando usas la inspección de contenido, transmites pequeñas cargas útiles de datos a Cloud DLP junto con instrucciones sobre qué inspeccionar. A continuación, Cloud DLP inspecciona los datos en busca de contenido sensible y PII, y, luego, te muestra los resultados de su análisis.
  • Inspección de métodos de almacenamiento: Con la inspección de almacenamiento, Cloud DLP inspecciona un repositorio de almacenamiento basado en Google Cloud, como una base de datos de BigQuery, un bucket de Cloud Storage o un tipo de Datastore. Puedes indicarle a Cloud DLP qué inspeccionar y el motivo para hacerlo, y Cloud DLP ejecutar un trabajo que analizará el repositorio. Una vez que se completa el análisis, Cloud DLP guarda un resumen de los resultados en el trabajo. Además, puedes especificar que los resultados se envíen a otro producto de Google Cloud para su análisis, como otra tabla de BigQuery.
  • Inspección de trabajos híbridos: Los trabajos híbridos ofrecen los beneficios de los dos métodos anteriores. Te permiten transmitir datos como lo harías con los métodos de contenido y, a su vez, obtener el almacenamiento, la visualización y las acciones de los trabajos de inspección de almacenamiento. Toda la configuración de inspección se administra dentro de Cloud DLP, y no se requiere ninguna configuración adicional del cliente. Los trabajos híbridos pueden ser útiles para analizar sistemas de almacenamiento no nativos, como una base de datos local, que se ejecuta en una máquina virtual (VM) o en otra nube. Los métodos híbridos también pueden ser útiles para inspeccionar sistemas de procesamiento, como cargas de trabajo de migración, o incluso para usar un proxy en la comunicación de servicio a servicio. Si bien los métodos de contenido también pueden hacer esto, los métodos híbridos te proporcionan el backend de almacenamiento de hallazgos que puede ordenar tus datos en varias llamadas a la API para que no tengas que hacerlo por tu cuenta.

Acerca de los trabajos híbridos y los activadores de trabajos

Un trabajo híbrido es una combinación de métodos de contenido y métodos de almacenamiento. El flujo de trabajo básico para los trabajos híbridos y activadores de trabajos es el siguiente:

  1. Escribe una secuencia de comandos o crea un flujo de trabajo que envíe datos a Cloud DLP para inspeccionarlos junto con algunos metadatos.
  2. Configura y crea un recurso o trabajo de trabajo híbrido y habilítalo para que se active cuando reciba datos.
  3. Tu secuencia de comandos o flujo de trabajo se ejecuta en el cliente y envía datos a Cloud DLP. Los datos incluyen un mensaje de activación y el identificador del activador de trabajo, lo que activa la inspección.
  4. Cloud DLP inspecciona los datos según los criterios que estableciste en el trabajo híbrido o el activador.
  5. Cloud DLP guarda los resultados del análisis en el recurso de trabajo híbrido, además los metadatos que proporcionaste. Puedes examinar los resultados con la IU de Cloud DLP en Cloud Console.
  6. De manera opcional, Cloud DLP puede ejecutar acciones posteriores al análisis, como guardar datos de los resultados de la inspección en una tabla de BigQuery o notificarte por correo electrónico o Pub/Sub.

Un activador de trabajo híbrido te permite crear, activar y detener trabajos para que puedas activar acciones cuando sea necesario. Cuando te aseguras de que tu secuencia de comandos o código envía datos que incluyen el identificador del activador del trabajo híbrido, no necesitas actualizar la secuencia de comandos ni el código cada vez que se inicia un trabajo nuevo.

Situaciones típicas de trabajos híbridos

A continuación, se describen algunas situaciones típicas apropiadas para los trabajos híbridos:

  • Si deseas ejecutar un análisis único de una base de datos fuera de Google Cloud como parte de una verificación de datos trimestral
  • Si deseas supervisar todo el contenido nuevo que se agrega a diario en una base de datos que Cloud DLP no admite de forma nativa
  • Si deseas supervisar el tráfico en una red con el filtro de Cloud DLP para Envoy (un filtro HTTP WebAssembly para proxies de sidecar de Envoy) a fin de identificar el movimiento de datos sensibles problemáticos

Acciones compatibles con trabajos híbridos

Al igual que otros trabajos de Cloud DLP, los trabajos híbridos admiten acciones. No todas las acciones se aplican a los trabajos híbridos. A continuación, se enumeran las acciones que se admiten en este momento junto con la información sobre su funcionamiento. Ten en cuenta que, con las acciones de Pub/Sub, correo electrónico y Cloud Monitoring, los resultados están disponibles cuando finaliza el trabajo.

  • Guardar los resultados en DLP y Guardar los resultados en BigQuery: Los resultados se guardan en un recurso de Cloud DLP o en una tabla de BigQuery, respectivamente. Estas acciones funcionan con trabajos híbridos de manera similar a cómo funcionan en otros tipos de trabajos, con una diferencia importante: en los trabajos híbridos, los resultados están disponibles mientras se ejecuta el trabajo; en otros tipos de trabajos, los resultados están disponibles cuando finaliza el trabajo
  • Enviar Pub/Sub: Cuando finaliza un trabajo, se emite un mensaje de Pub/Sub
  • Enviar correo electrónico: Cuando se termina un trabajo, se envía un mensaje de correo electrónico
  • Publicar en Cloud Monitoring: Cuando se completa un trabajo, sus resultados se publican en Monitoring

Resumen

Estas son algunas características clave y beneficios de usar trabajos híbridos y activadores de trabajos:

  • Los trabajos híbridos te permiten transmitir datos a Cloud DLP prácticamente desde cualquier fuente, ya sea desde la nube o hacia ella.
  • Los activadores de trabajos híbridos se activan cuando Cloud DLP recibe un flujo de datos que incluye un mensaje de activación y el identificador del activador de trabajo.
  • Puedes esperar hasta que se complete el análisis de inspección o puedes detener el trabajo de forma manual. Los resultados de la inspección se guardan en Cloud DLP o BigQuery según si permites que el trabajo finalice o se detenga de forma anticipada.
  • Los resultados del análisis de inspección de Cloud DLP de un activador de trabajo híbrido se guardan en un recurso de trabajo híbrido dentro de Cloud DLP.
  • Puedes examinar los resultados del análisis de inspección en el recurso activador del trabajo en Cloud DLP.
  • También puedes indicarle a Cloud DLP que, mediante una acción, envíe los resultados de trabajos híbridos a una base de datos de BigQuery y que te notifique por correo electrónico o mediante Pub/Sub.

¿Qué sigue?