Cloud Data Loss Prevention (Cloud DLP) ora fa parte della protezione dei dati sensibili. Il nome dell'API rimane invariato: API Cloud Data Loss Prevention (API DLP). Per informazioni sui servizi che costituiscono la protezione dei dati sensibili, consulta la panoramica sulla protezione dei dati sensibili.

Scopri di più sui tuoi dati tramite il rilevamento e l'ispezione

Questa pagina descrive e confronta due servizi di protezione dei dati sensibili che ti aiutano a comprendere i tuoi dati e ad abilitare i flussi di lavoro di governance dei dati: il servizio di rilevamento e il servizio di ispezione.

Individuazione dei dati sensibili

Il servizio di rilevamento monitora gli asset di dati in tutta l'organizzazione. Questo servizio è operativo in modo continuo e rileva, classifica e profila automaticamente gli asset di dati. Discovery può aiutarti a comprendere la posizione e la natura dei dati che archivi, compresi gli asset di dati di cui potresti non essere a conoscenza. I dati sconosciuti (a volte chiamati dati shadow) in genere non sono sottoposti allo stesso livello di governance dei dati e gestione del rischio dei dati noti.

Il rilevamento viene configurato a livello di organizzazione, cartella o progetto. Puoi impostare pianificazioni della profilazione diverse per sottoinsiemi di dati diversi. Puoi anche escludere i sottoinsiemi di dati che non devi profilare.

Output scansione rilevamento: profili di dati

L'output di una scansione di rilevamento è un insieme di profili di dati per ogni asset di dati nell'ambito. Ad esempio, una scansione di rilevamento dei dati di BigQuery o Cloud SQL genera profili di dati a livello di progetto, tabella e colonna.

Un profilo dati contiene metriche e insight sulla risorsa profilata. Include le classificazioni dei dati (o infoTypes), i livelli di sensibilità, i livelli di rischio dei dati, le dimensioni dei dati, la forma dei dati e altri elementi che descrivono la natura dei dati e la relativa infoTypes (il livello di sicurezza dei dati). Puoi utilizzare i profili di dati per prendere decisioni informate su come proteggere i tuoi dati, ad esempio impostando criteri di accesso nella tabella.

Considera una colonna BigQuery denominata ccn, in cui ogni riga contiene un numero di carta di credito univoco e non sono presenti valori nulli. Il profilo dati a livello di colonna generato avrà i seguenti dettagli:

Nome visualizzato	Valore
`Field ID`	`ccn`
`Data risk`	`High`
`Sensitivity`	`High`
`Data type`	`TYPE_STRING`
`Policy tags`	`No`
`Free text score`	`0`
`Estimated uniqueness`	`High`
`Estimated null proportion`	`Very low`
`Last profile generated`	`DATE_TIME`
`Predicted infoType`	`CREDIT_CARD_NUMBER`

Inoltre, questo profilo a livello di colonna fa parte di un profilo a livello di tabella, che fornisce informazioni importanti come la posizione dei dati, lo stato di crittografia e se la tabella è condivisa pubblicamente. Nella console Google Cloud puoi anche visualizzare le voci di Cloud Logging per la tabella, le entità IAM con ruoli per la tabella e i tag Dataplex associati alla tabella.

Per un elenco completo delle metriche e degli insight disponibili nei profili dati, consulta Riferimento sulle metriche.

Quando utilizzare il rilevamento

Quando pianifichi l'approccio alla gestione del rischio dei dati, ti consigliamo di iniziare dal rilevamento. Il servizio di rilevamento ti consente di avere una visione d'insieme dei tuoi dati e di attivare avvisi, segnalazioni e risoluzione dei problemi.

Inoltre, il servizio di rilevamento può aiutarti a identificare le risorse in cui potrebbero risiedere i dati non strutturati. Tali risorse potrebbero richiedere un'ispezione esaustiva. I dati non strutturati sono specificati da un punteggio di testo libero elevato in una scala da 0 a 1.

Ispezione dei dati sensibili

Il servizio di ispezione esegue un'analisi completa di una singola risorsa per individuare ogni singola istanza di dati sensibili. Un'ispezione produce un rilevamento per ogni istanza rilevata.

I job di ispezione forniscono un ampio set di opzioni di configurazione per aiutarti a individuare i dati da ispezionare. Ad esempio, puoi attivare il campionamento per limitare i dati da ispezionare a un determinato numero di righe (per i dati di BigQuery) o a determinati tipi di file (per i dati di Cloud Storage). Puoi anche scegliere come target un periodo di tempo specifico in cui i dati sono stati creati o modificati.

A differenza del rilevamento, che monitora continuamente i dati, un'ispezione è un'operazione on demand. Tuttavia, puoi pianificare job di ispezione ricorrenti chiamati trigger di job.

Output scansione di ispezione: risultati

Ogni risultato include dettagli come la posizione dell'istanza rilevata, il suo potenziale infoType e la certezza (chiamata anche probabilità) che il risultato corrisponda all'infoType. A seconda delle impostazioni, puoi anche ottenere la stringa effettiva a cui si riferisce il risultato; questa stringa è chiamata virgo in Sensitive Data Protection.

Per un elenco completo dei dettagli inclusi in un risultato di ispezione, consulta Finding.

Quando utilizzare l'ispezione

Un'ispezione è utile quando devi esaminare dati non strutturati (come recensioni o commenti creati dagli utenti) e identificare ogni istanza di informazioni che consentono l'identificazione personale (PII). Se una scansione di rilevamento identifica risorse contenenti dati non strutturati, ti consigliamo di eseguire una scansione di ispezione sulle risorse per ottenere dettagli su ogni singolo risultato.

Quando non utilizzare l'ispezione

L'ispezione di una risorsa non è utile se si applicano entrambe le condizioni seguenti. Una scansione di rilevamento può aiutarti a decidere se è necessaria una scansione di ispezione.

La risorsa contiene solo dati strutturati. Ciò significa che non ci sono colonne di dati in formato libero, come i commenti o le recensioni degli utenti.
Conosci già gli infoType archiviati in questa risorsa.

Ad esempio, supponi che i profili di dati di una scansione di rilevamento indichino che una determinata tabella BigQuery non ha colonne con dati non strutturati, ma una colonna di numeri di carta di credito univoci. In questo caso, l'ispezione dei numeri di carte di credito nella tabella non è utile. Un'ispezione produce un risultato per ogni elemento nella colonna. Se hai 1 milione di righe e ogni riga contiene un numero di carta di credito, un job di ispezione produrrà 1 milione di risultati per l'infoType CREDIT_CARD_NUMBER. In questo esempio, l'ispezione non è necessaria perché la scansione di rilevamento indica già che la colonna contiene numeri di carte di credito univoci.

Localizzazione, elaborazione e archiviazione dei dati

Sia il rilevamento che l'ispezione supportano i requisiti di residenza dei dati:

Il servizio di rilevamento elabora i dati nel luogo in cui si trovano e archivia i profili di dati generati nella stessa regione o più regioni dei dati profilati. Per ulteriori informazioni, consulta Considerazioni sulla residenza dei dati.
Quando si esaminano i dati all'interno di un sistema di archiviazione di Google Cloud, il servizio di ispezione elabora i dati nella stessa regione in cui si trovano e archivia il job di ispezione in quella regione. Quando esamini i dati tramite un job ibrido o un metodo content, il servizio di ispezione consente di specificare dove deve elaborare i dati. Per ulteriori informazioni, consulta Modalità di archiviazione dei dati.

Riepilogo confronto: servizi di individuazione e ispezione

	Scoperta	Ispezione
Vantaggi	Visibilità continua in un'organizzazione, una cartella o un progetto. Aiuta a identificare le risorse contenenti dati sensibili, ad alto rischio e non strutturati. Per un elenco completo degli insight, consulta Informazioni di riferimento sulle metriche. Aiuta a scoprire dati sconosciuti (o _shadow data_).	Ispezione on demand di una singola risorsa. Identifica ogni istanza di dati sensibili nella risorsa ispezionata.
Costo	Esecuzione di una stima dei costi: gratuita Modalità a consumo: 0,03$per GB o il prezzo di 3 TB, a seconda di quale delle due opzioni è inferiore Modalità di abbonamento (capacità prenotata): 2500$per unità di abbonamento 10 TB costano circa 300$al mese in modalità a consumo.	Fino a 1 GB: gratis Da 1 GB a 50 TB: 1,00$per GB Da 50 TB a 500 TB: 0,75$per GB Oltre 500 TB: 0,60$per GB 10 TB costano circa 10.000$per analisi.
Origini dati supportate	BigQuery Variabili di ambiente di Cloud Functions Cloud SQL	BigQuery Cloud Storage Datastore Ambiente ibrido (qualsiasi origine)¹
Ambiti supportati	Organizzazione, cartella, progetto	Un singolo tipo di tabella BigQuery, bucket Cloud Storage o datastore.
Modelli di ispezione integrati	Sì	Sì
InfoType integrati e personalizzati	Sì	Sì
Output scansione	Panoramica generale (profili di dati) di tutti i dati supportati nella tua organizzazione, cartella o progetto.	Risultati concreti dei dati sensibili nella risorsa ispezionata.
Salva i risultati in BigQuery	Sì	Sì
Invia a Dataplex come tag	Yes	Yes
Pubblica i risultati su Security Command Center	Yes	Yes
Pubblica i risultati in Chronicle	Sì per il rilevamento a livello di organizzazione e cartella	No
Pubblica in Pub/Sub	Yes	Sì
Assistenza per la residenza dei dati	Yes	Yes

¹ L'ispezione ibrida prevede un modello di prezzi diverso. Per maggiori informazioni, consulta Ispezione dei dati di qualsiasi origine .

Passaggi successivi

Esplora le strategie consigliate per ridurre il rischio relativo ai dati (prossimo documento di questa serie)