Tâches hybrides et déclencheurs de tâches

Les tâches hybrides et déclencheurs de tâches englobent un ensemble de méthodes d'API asynchrones qui vous permettent d'analyser les charges utiles des données envoyées depuis presque toutes les sources d'informations sensibles, puis de stocker les résultats dans Google Cloud. s'affiche en haut de l'écran. Les tâches hybrides vous permettent d'écrire vos propres robots d'exploration de données dont le comportement et la diffusion sont identiques aux méthodes d'inspection de stockage Cloud Data Loss Prevention (DLP).

Les tâches hybrides permettent de diffuser des données en flux continu depuis n'importe quelle source vers Cloud DLP. Cloud DLP inspecte les données à la recherche d'informations sensibles ou d'informations personnelles, puis enregistre les résultats de l'analyse d'inspection dans une ressource de tâche Cloud DLP. Vous pouvez examiner les résultats de l'analyse dans l'interface utilisateur de Cloud DLP Console ou via l'API, ou encore spécifier des actions à exécuter après l'analyse, telles que l'enregistrement des données de résultats d'inspection dans une table BigQuery ou l'émission d'une notification Pub/Sub.

Le diagramme suivant représente le workflow des tâches hybrides :

Diagramme de flux de données montrant l'envoi de données par une application depuis une source externe vers Cloud DLP, l'inspection des données par Cloud DLP, puis l'enregistrement ou la publication des résultats.

Cet article conceptuel décrit les tâches hybrides, les déclencheurs de tâches et leur fonctionnement. Pour apprendre à mettre en œuvre des tâches hybrides et des déclencheurs de tâches, consultez la page Inspecter des données externes à l'aide de tâches hybrides.

À propos des environnements hybrides

Les environnements "hybrides" sont courants dans les entreprises. De nombreuses organisations stockent et traitent des données sensibles à l'aide d'une combinaison des éléments suivants:

  • Autres fournisseurs cloud
  • Serveurs sur site ou autres dépôts de données
  • Systèmes de stockage non natifs, tels que les systèmes s'exécutant dans une machine virtuelle
  • Applications Web et mobiles
  • Solutions Google Cloud

Grâce aux tâches hybrides, Cloud DLP peut inspecter les données envoyées à partir de n'importe laquelle de ces sources. Voici quelques exemples de scénarios:

  • Inspectez les données stockées dans Amazon Relational Database Service (RDS), MySQL s'exécutant dans une machine virtuelle ou une base de données sur site.
  • Inspectez et tokenisez les données lorsque vous passez de l'infrastructure sur site au cloud, ou entre la production, le développement et l'analyse.
  • Inspectez et masquez les transactions d'une application Web ou mobile avant de stocker les données au repos.

Options d'inspection

Lorsque vous souhaitez inspecter du contenu à la recherche de données sensibles, vous avez le choix entre les trois options suivantes proposées par défaut par Cloud DLP. (Pour plus d'informations sur ces options, consultez la page Types de méthodes).

  • Inspection à l'aide des méthodes de contenu : vous diffusez vers Cloud DLP de petites charges utiles de données en flux continu, accompagnées des instructions sur les éléments à inspecter. Cloud DLP inspecte ces données à la recherche de contenu sensible et d'informations personnelles, puis vous renvoie les résultats de son analyse.
  • Inspection à l'aide des méthodes de stockage : Cloud DLP inspecte un dépôt de stockage basé sur Google Cloud, tel qu'une base de données BigQuery, un bucket Cloud Storage ou un genre Datastore. Vous spécifiez les éléments à inspecter et les éléments à rechercher, puis Cloud DLP exécute la tâche d'analyse du dépôt. Une fois l'analyse terminée, Cloud DLP enregistre dans la tâche un résumé des résultats de l'analyse. De plus, vous avez la possibilité de spécifier que les résultats sont à envoyer pour analyse à un autre produit Google Cloud, tel qu'une table BigQuery distincte.
  • Inspection à l'aide de tâches hybrides : les tâches hybrides combinent les avantages des deux méthodes précédentes. Elles vous permettent de diffuser des données en flux continu comme vous le feriez à l'aide des méthodes de contenu, tout en bénéficiant du stockage, de la visualisation et des actions propres aux tâches d'inspection de stockage. Toutes les configurations d'inspection sont gérées dans Cloud DLP, sans autre configuration requise côté client. Les tâches hybrides peuvent être utiles pour analyser des systèmes de stockage non natifs, tels que des bases de données s'exécutant sur des machines virtuelles (VM), sur site ou sur un autre cloud. Les méthodes hybrides peuvent également être utiles pour inspecter des systèmes de traitement tels que des charges de travail de migration, ou même pour servir de proxy de communication entre plusieurs services. Les méthodes hybrides, tout comme les méthodes de contenu, vous fournissent un backend de stockage des résultats capable d'agréger vos données sur plusieurs appels d'API, ce qui vous évite d'avoir à faire ce travail vous-même.

À propos des tâches hybrides et des déclencheurs de tâches

Une tâche hybride est un mixte composé de méthodes de contenu et de méthodes de stockage. Le flux de travail de base exploitant les tâches hybrides et les déclencheurs de tâches peut être décrit comme suit :

  1. Vous écrivez un script ou créez un workflow qui envoie vos données à Cloud DLP pour inspection, accompagnées de quelques métadonnées.
  2. Vous configurez et créez une ressource de tâche hybride ou un déclencheur que vous paramétrez afin que la tâche s'active dès que des données sont reçues.
  3. Votre script ou votre workflow s'exécute côté client et envoie des données à Cloud DLP. Les données incluent un message d'activation et l'identifiant du déclencheur de tâche, ce qui déclenche l'inspection.
  4. Cloud DLP inspecte les données conformément aux critères définis dans la tâche hybride ou dans le déclencheur.
  5. Cloud DLP enregistre les résultats de l'analyse dans la ressource de tâche hybride, avec les métadonnées que vous fournissez. Vous pouvez examiner les résultats à l'aide de l'interface utilisateur Cloud DLP dans Cloud Console.
  6. Après l'analyse, Cloud DLP peut éventuellement exécuter des actions. Par exemple, il peut enregistrer les données des résultats d'inspection dans une table BigQuery ou vous envoyer un e-mail ou une notification Pub/Sub.

Un déclencheur de tâche hybride vous permet de créer, d'activer et d'arrêter des tâches afin de pouvoir déclencher des actions quand vous en avez besoin. Si votre script ou code inclut dans les données qu'il envoie l'identifiant du déclencheur de la tâche hybride, il n'est pas nécessaire de le mettre à jour chaque fois qu'une nouvelle tâche est démarrée.

Scénarios types de tâches hybrides types

Voici quelques scénarios types auxquels les tâches hybrides conviennent parfaitement :

  • Vous souhaitez effectuer une analyse ponctuelle d'une base de données en dehors de Google Cloud dans le cadre d'une vérification trimestrielle de vos bases de données.
  • Vous souhaitez surveiller tous les nouveaux contenus ajoutés quotidiennement dans votre base de données, qui n'est pas compatible en mode natif avec Cloud DLP.
  • Vous souhaitez surveiller le trafic dans un réseau à l'aide du filtre Cloud DLP pour Envoy (un filtre HTTP WebAssembly pour les proxys side-car Envoy) afin d'identifier les transferts de données sensibles problématiques.

Actions hybrides compatibles

Tout comme les autres types de tâches Cloud DLP, les tâches hybrides sont compatibles avec les actions. Cependant, certaines actions ne sont pas applicables aux tâches hybrides. Vous trouverez ci-dessous la liste des actions actuellement prises en charge, ainsi que des informations sur leur fonctionnement. Sachez qu'avec les actions Pub/Sub, les e-mails et les actions Cloud Monitoring, les résultats ne sont rendus disponibles qu'à la fin de la tâche.

  • Enregistrer les résultats dans DLP et Enregistrer les résultats dans BigQuery : les résultats sont enregistrés dans une ressource Cloud DLP ou dans une table BigQuery. Ces actions fonctionnent avec les tâches hybrides de la même manière qu'avec les autres types de tâches, avec toutefois une différence importante : avec les tâches hybrides, les résultats sont rendus disponibles pendant l'exécution de la tâche, alors qu'avec les autres types de tâches, les résultats ne sont rendus disponibles qu'à la fin de la tâche.
  • Publier dans Pub/Sub : lorsque la tâche est terminée, un message Pub/Sub est émis.
  • Notifier par e-mail : lorsque la tâche est terminée, un e-mail est envoyé.
  • Publier sur Cloud Monitoring : lorsque la tâche est terminée, ses résultats sont publiés dans Monitoring.

Résumé

Voici quelques fonctionnalités et avantages clés associés à l'utilisation des tâches hybrides et des déclencheurs de tâches :

  • Les tâches hybrides permettent de diffuser vers Cloud DLP des données à partir de pratiquement tout type de source, qu'elle soit sur le cloud ou pas.
  • Un déclencheur de tâches hybrides s'active lorsque Cloud DLP reçoit un flux de données incluant un message d'activation et l'identifiant du déclencheur.
  • On peut attendre la fin d'une analyse d'inspection ou arrêter la tâche en cours manuellement. Que la tâche parvienne à son terme ou qu'elle soit interrompue prématurément, les résultats d'inspection sont enregistrés dans Cloud DLP ou dans BigQuery.
  • Les résultats de l'analyse d'inspection Cloud DLP générés à partir d'un déclencheur de tâche hybride sont enregistrés dans une ressource de tâche hybride au sein de Cloud DLP.
  • Les résultats de l'analyse d'inspection peuvent être consultés dans la ressource du déclencheur de tâches dans Cloud DLP.
  • Il est également possible d'indiquer à Cloud DLP d'effectuer une action, d'envoyer les résultats d'une tâche hybride à une base de données BigQuery, et de vous tenir informé par e-mail ou via une notification Pub/Sub.

Étape suivante