本页面包含参考信息,介绍如何将敏感数据保护与 BigQuery 搭配使用。
快速入门指南
- 快速入门:安排 Sensitive Data Protection 检查扫描
- 安排定期检查 Cloud Storage 存储桶、BigQuery 表或 Datastore 种类。有关详细说明,请参阅 创建和安排敏感数据保护检查作业。
方法指南
本部分提供了一系列基于任务的指南,用于演示如何将敏感数据保护与 BigQuery 搭配使用。
检查
- 检查存储空间和数据库是否存在敏感数据
- 创建一次性作业,以在 Cloud Storage 存储桶、BigQuery 表或 Datastore 种类中搜索敏感数据。
- 创建和安排 Sensitive Data Protection 检查作业
- 创建并安排作业触发器,用于在 Cloud Storage 存储桶、BigQuery 表或 Datastore 种类中搜索敏感数据。作业触发器会定期自动创建 Sensitive Data Protection 作业。
使用扫描结果
- 将敏感数据保护扫描结果发送到 Data Catalog
- 扫描 BigQuery 表,然后将发现结果发送到 Data Catalog,以根据敏感数据保护发现结果自动创建标记。
- 将敏感数据保护扫描结果发送到 Security Command Center
- 扫描 Cloud Storage 存储桶、BigQuery 表格或 Datastore 种类,然后将发现结果发送到 Security Command Center。
- 分析和报告敏感数据保护结果
- 使用 BigQuery 分析敏感数据保护发现结果。
- 在 BigQuery 中查询敏感数据保护发现结果
- 浏览可在 BigQuery 中使用的示例查询, 分析 Sensitive Data Protection 发现的发现结果。
重标识风险分析
- 衡量重标识和披露风险
分析存储在 BigQuery 表格中的结构化数据,并计算以下重标识风险指标:
- 计算数值统计信息和分类统计信息
确定单个 BigQuery 列的最小值、最大值和分位数值。
- 使用 Looker Studio 直观呈现重标识风险
测量数据集的 k-匿名性,然后将其可视化 Looker Studio。
教程
- 在查询时对 BigQuery 数据进行去标识化处理
- 按照分步教程操作,使用 BigQuery 远程函数对实时查询结果中的数据进行去标识化和重标识。
- 使用 Sensitive Data Protection 对大规模数据集中的个人身份信息进行去标识化和重标识处理
- 查看参考架构,了解如何创建用于对个人身份信息 (PII) 等敏感数据进行去标识化的自动化数据转换流水线。
最佳做法
- 确保存储机密数据的 BigQuery 数据仓库的安全性
- 创建数据治理架构时关于数据治理的架构概览和最佳实践, 在 Google Cloud 中部署和运营数据仓库,包括 对机密数据进行去标识化、差分处理以及 列级访问权限控制。
观众投稿
以下文件由社区成员(而非 敏感数据保护团队。如有关于这些内容的问题,请与相应的所有者联系。
- 使用 Sensitive Data Protection 检查 BigQuery 数据,从而创建 Data Catalog 标记
- 使用 Cloud Data Loss Prevention API 检查 BigQuery 数据,然后使用 Data Catalog API 根据敏感的 敏感数据保护功能发现的元素。
- 具有敏感数据保护功能的事件驱动型无服务器调度架构
- 设置一个事件驱动型无服务器调度应用,使用 Cloud Data Loss Prevention API 检查 BigQuery 数据。
- 使用 Google Cloud 数据流分析和 AI 服务进行实时异常检测
- 介绍用于检测日志文件中的异常值的实时人工智能 (AI) 模式。此概念验证使用 Pub/Sub、Dataflow、BigQuery ML 和敏感数据保护。
- 借助 Dataflow 和 Sensitive Data Protection 将关系型数据库导入 BigQuery
- 使用 Dataflow 和 Sensitive Data Protection 安全地令牌化和导入 将数据从关系型数据库传输到 BigQuery。本示例介绍如何在个人身份信息数据持久化之前对其进行令牌化处理。
价格
检查 BigQuery 表时 敏感数据保护费用,根据存储检查作业价格计算。
此外,当您将检查结果保存到 BigQuery 中时, 表,BigQuery 费用 。