Profila i dati di Cloud SQL in un'organizzazione o una cartella

Questa pagina descrive come configurare il rilevamento dei dati di Cloud SQL a livello di organizzazione o cartella. Se vuoi profilare un progetto, consulta Profilare i dati di Cloud SQL in un singolo progetto.

Per ulteriori informazioni sul servizio di rilevamento, consulta Profili dati.

Come funziona

Di seguito è riportato un flusso di lavoro di alto livello per la profilazione dei dati di Cloud SQL:

  1. Crea una configurazione di scansione.

    Dopo aver creato una configurazione di scansione, Sensitive Data Protection inizia a identificare le istanze Cloud SQL e a creare una connessione predefinita per ogni istanza. A seconda del numero di istanze da rilevare, questo processo può richiedere alcune ore. Puoi uscire dalla console Google Cloud e controllare le tue connessioni in un secondo momento.

  2. Concedi i ruoli IAM richiesti all'agente di servizio associato alla configurazione della scansione.

  3. Quando le connessioni predefinite sono pronte, concedi a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database appropriate. Puoi fornire gli account utente del database esistenti o creare utenti del database.

  4. Consigliato: aumenta il numero massimo di connessioni che Sensitive Data Protection può utilizzare per profilare i tuoi dati. Aumentare le connessioni può velocizzare il rilevamento.

Servizi supportati

Questa funzionalità supporta quanto segue:

  • Cloud SQL per MySQL
  • Cloud SQL per PostgreSQL

Cloud SQL per SQL Server non è supportato.

Prezzi e quote

Il rilevamento di Cloud SQL è senza addebiti per la protezione dei dati sensibili fino al 1° febbraio 2024. Dopo questa data, il costo del rilevamento di Cloud SQL verrà addebitato in modo simile a quello della scoperta di BigQuery.

L'utilizzo da parte dell'utente di altri servizi Google Cloud relativi alla profilazione dei dati viene comunque addebitato:

  • Gli addebiti di Secret Manager vengono applicati ogni volta che la protezione dei dati sensibili accede a un secret. Le operazioni di accesso si verificano quando Sensitive Data Protection profila le tue tabelle e controlla periodicamente la disponibilità di aggiornamenti.

  • Se salvi i profili dati in BigQuery, ti vengono addebitati addebiti di BigQuery.

Prima di iniziare

  1. Conferma di disporre delle autorizzazioni IAM necessarie per configurare i profili dati a livello di organizzazione.

    Se non hai il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), puoi comunque creare una configurazione di scansione. Tuttavia, dopo aver creato la configurazione di scansione, qualcuno che dispone di uno di questi ruoli deve concedere l'accesso alla profilazione dei dati all'agente di servizio.

  2. Devi disporre di un modello di ispezione in ogni regione in cui esistono dati da profilare. Se vuoi utilizzare un singolo modello per più regioni, puoi usare un modello archiviato nella regione global. Se i criteri dell'organizzazione impediscono di creare un modello di ispezione global, devi impostare un modello di ispezione dedicato per ogni regione. Per saperne di più, consulta Considerazioni sulla residenza dei dati.

    Questa attività consente di creare un modello di ispezione solo nella regione global. Se hai bisogno di modelli di ispezione dedicati per una o più regioni, devi crearli prima di eseguire questa attività.

  3. Puoi configurare Sensitive Data Protection in modo da inviare notifiche a Pub/Sub quando si verificano determinati eventi, ad esempio quando Sensitive Data Protection profila una nuova tabella. Per utilizzare questa funzionalità, devi prima creare un argomento Pub/Sub.

Per generare profili di dati, è necessario un container dell'agente di servizio e un agente di servizio al suo interno. Questa attività consente di crearli automaticamente.

Creazione di una configurazione di scansione

  1. Vai alla pagina Crea configurazione di scansione.

    Vai a Crea configurazione di scansione

  2. Vai alla tua organizzazione. Sulla barra degli strumenti, fai clic sul selettore dei progetti e seleziona la tua organizzazione.

Le seguenti sezioni forniscono ulteriori informazioni sui passaggi nella pagina Crea configurazione di scansione. Alla fine di ogni sezione, fai clic su Continua.

Seleziona un tipo di rilevamento

Seleziona Cloud SQL.

Seleziona ambito

Esegui una di queste operazioni:

  • Per configurare la profilazione a livello di organizzazione, seleziona Esegui la scansione dell'intera organizzazione.
  • Per configurare la profilazione a livello di una cartella, seleziona Esegui la scansione della cartella selezionata. Fai clic su Sfoglia e seleziona la cartella.

Gestisci pianificazioni

Se la frequenza di profilazione predefinita è adatta alle tue esigenze, puoi saltare questa sezione della pagina Crea configurazione di scansione. Questa sezione è utile se vuoi apportare modifiche dettagliate alla frequenza di profilazione di tutti i tuoi dati o di alcuni sottoinsiemi di dati. È utile anche se non vuoi che determinate tabelle vengano profilate o se vuoi che vengano profilate una volta e poi mai più.

In questa sezione puoi creare filtri per specificare determinati sottoinsiemi di dati di tuo interesse. Per questi sottoinsiemi, devi definire se Sensitive Data Protection deve profilare le tabelle e con quale frequenza. Qui devi specificare anche i tipi di modifiche che dovrebbero causare una nuova profilazione di una tabella. Infine, devi specificare le condizioni che ogni tabella nei sottoinsiemi deve soddisfare prima che la protezione dei dati sensibili inizi a profilare la tabella.

Per apportare modifiche dettagliate alla frequenza di profilazione, procedi nel seguente modo:

  1. Fai clic su Aggiungi pianificazione.
  2. Nella sezione Filtri, definisci uno o più filtri che specificano quali tabelle sono nell'ambito della pianificazione.

    Specifica almeno una delle seguenti opzioni:

    • Un ID progetto o un'espressione regolare che specifica uno o più progetti.
    • Un ID istanza o un'espressione regolare che specifica una o più istanze.
    • Un ID database o un'espressione regolare che specifica uno o più database.
    • Un ID tabella o un'espressione regolare che specifica una o più tabelle. Inserisci questo valore nel campo Nome risorsa di database o espressione regolare.

    Le espressioni regolari devono seguire la sintassi RE2.

    Ad esempio, se vuoi che tutte le tabelle di un database siano incluse nel filtro, inserisci l'ID del database nel campo ID database.

    Se vuoi aggiungere altri filtri, fai clic su Aggiungi filtro e ripeti questo passaggio.

  3. Fai clic su Frequenza.

  4. Nella sezione Frequenza, specifica se il servizio di rilevamento deve profilare le tabelle selezionate e, in tal caso, con quale frequenza:

    • Se non vuoi che le tabelle vengano profilate, disattiva Profila questi dati.

    • Se vuoi che le tabelle vengano profilate almeno una volta, lascia attivata l'opzione Profila questi dati.

      Nei campi successivi di questa sezione, puoi specificare se il sistema deve riprofilare i dati e quali eventi devono attivare una nuova operazione. Per saperne di più, consulta Frequenza di generazione del profilo dati.

      1. In In base a una pianificazione, specifica la frequenza con cui vuoi che le tabelle vengano riprofilate. Le tabelle vengono riprofilate indipendentemente dal fatto che siano state apportate modifiche o meno.
      2. In Quando lo schema viene modificato, specifica la frequenza con cui Sensitive Data Protection deve controllare se le tabelle selezionate presentano modifiche allo schema dopo l'ultima profilazione. Solo le tabelle con modifiche allo schema verranno riprofilate.
      3. In Tipi di modifiche allo schema, specifica quali tipi di modifiche allo schema devono attivare un'operazione di nuova profilazione. Seleziona una delle seguenti opzioni:
        • Nuove colonne: riprofila le tabelle che hanno ottenuto nuove colonne.
        • Colonne rimosse: riprofila le tabelle in cui erano state rimosse le colonne.

        Ad esempio, supponi di avere tabelle che acquisiscono nuove colonne ogni giorno e di dover profilare i relativi contenuti ogni volta. Puoi impostare Quando lo schema cambia su Nuova profilazione ogni giorno e impostare Tipi di modifica dello schema su Nuove colonne.

      4. In Quando si esaminano le modifiche al modello, specifica se si vuole che i dati vengano riprofilati all'aggiornamento del modello di ispezione associato e, in tal caso, con quale frequenza.

        Una modifica al modello di ispezione viene rilevata quando si verifica una delle seguenti condizioni:

        • Il nome di un modello di ispezione cambia nella configurazione di scansione.
        • Il valore updateTime di un modello di ispezione viene modificato.

      5. Ad esempio, se imposti un modello di ispezione per la regione us-west1 e aggiorni quel modello, solo i dati nella regione us-west1 verranno riprofilati. Tuttavia, se elimini quel modello di ispezione, i dati in us-west1 non vengono riprofilati, in quanto non esiste un modello di ispezione da utilizzare per riprofilare i dati.

  5. Fai clic su Condizioni.

    Nella sezione Condizioni, specifichi i tipi di risorse di database che vuoi profilare. Per impostazione predefinita, Sensitive Data Protection è impostato in modo da profilare tutti i tipi di risorse di database supportati. Quando Sensitive Data Protection aggiunge il supporto per più tipi di risorse di database, anche questi vengono profilati automaticamente.

  6. (Facoltativo) Se vuoi impostare esplicitamente i tipi di risorse di database che vuoi profilare, segui questi passaggi:

    1. Fai clic sul campo Tipi di risorse di database.
    2. Seleziona i tipi di risorse di database che vuoi profilare.

    Se in un secondo momento Sensitive Data Protection aggiunge il supporto del rilevamento per altri tipi di risorse di database Cloud SQL, questi tipi verranno profilati solo se torni in questo elenco e li selezioni.

  7. Fai clic su Fine.

  8. Se vuoi aggiungere altre pianificazioni, fai clic su Aggiungi pianificazione e ripeti i passaggi precedenti.

  9. Per riordinare le pianificazioni in base alla priorità, utilizza le frecce su e giù . Ad esempio, se i filtri in due pianificazioni diverse corrispondono alla Tabella A, la pianificazione più in alto nell'elenco di priorità ha la precedenza.

    L'ultima pianificazione nell'elenco è sempre quella con l'etichetta Pianificazione predefinita. Questa pianificazione predefinita copre le tabelle nella risorsa (organizzazione o cartella) selezionata che non corrispondono a nessuna delle pianificazioni create. Questa pianificazione predefinita segue la frequenza di profilazione predefinita di sistema.

  10. Se vuoi modificare la pianificazione predefinita, fai clic su Modifica pianificazione e cambia le impostazioni in base alle esigenze.

Seleziona modello di ispezione

A seconda di come vuoi fornire una configurazione di ispezione, scegli una delle seguenti opzioni. Indipendentemente dall'opzione scelta, Sensitive Data Protection esegue la scansione dei tuoi dati nella regione in cui sono archiviati. In altre parole, i tuoi dati non lasciano la sua regione di origine.

Opzione 1: crea un modello di ispezione

Scegli questa opzione se vuoi creare un nuovo modello di ispezione nella regione global.

  1. Fai clic su Crea nuovo modello di ispezione.
  2. (Facoltativo) Per modificare la selezione predefinita degli infoType, fai clic su Gestisci infoType.

    Per ulteriori informazioni su come gestire gli infoType integrati e personalizzati in questa sezione, consulta Gestire gli infoType tramite la console Google Cloud.

    Devi selezionare almeno un infoType per continuare.

  3. (Facoltativo) Configura ulteriormente il modello di ispezione aggiungendo set di regole e impostando una soglia di confidenza. Per ulteriori informazioni, consulta Configurare il rilevamento.

    Quando Sensitive Data Protection crea la configurazione di scansione, archivia questo nuovo modello di ispezione nella regione global.

Opzione 2: utilizza un modello di ispezione esistente

Scegli questa opzione se disponi di modelli di ispezione esistenti che vuoi utilizzare.

  1. Fai clic su Seleziona modello di ispezione esistente.

  2. Inserisci il nome completo della risorsa del modello di ispezione che vuoi utilizzare. Il campo Regione viene compilato automaticamente con il nome della regione in cui è archiviato il modello di ispezione.

    Il modello di ispezione inserito deve trovarsi nella stessa regione dei dati da profilare. Per rispettare la residenza dei dati, Sensitive Data Protection non utilizza un modello di ispezione al di fuori della propria regione.

    Per trovare il nome completo della risorsa di un modello di ispezione, segui questi passaggi:

    1. Vai all'elenco dei modelli di ispezione. Questa pagina si apre in una scheda separata.

      Vai ai modelli di ispezione

    2. Passa al progetto che contiene il modello di ispezione che vuoi utilizzare.

    3. Nella scheda Modelli, fai clic sull'ID del modello che vuoi utilizzare.

    4. Nella pagina che si apre, copia il nome completo della risorsa del modello. Il nome completo della risorsa ha il seguente formato:

      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. Nella pagina Crea configurazione di scansione, incolla il nome completo della risorsa del modello nel campo Nome modello.

  3. Se hai dati in un'altra regione e hai un modello di ispezione che vuoi utilizzare per quella regione, segui questi passaggi:

    1. Fai clic su Aggiungi modello di ispezione.
    2. Inserisci il nome completo della risorsa del modello di ispezione.

    Ripeti questi passaggi per ogni regione in cui è disponibile un modello di ispezione dedicato.

  4. (Facoltativo) Aggiungi un modello di ispezione archiviato nella regione global. Sensitive Data Protection utilizza automaticamente quel modello per i dati nelle regioni in cui non è disponibile un modello di ispezione dedicato.

Aggiungi azioni

Nelle sezioni seguenti puoi specificare le azioni che vuoi che Sensitive Data Protection intraprenda dopo aver generato i profili di dati.

Per informazioni su come altri servizi Google Cloud potrebbero addebitarti i costi per la configurazione delle azioni, consulta la sezione Prezzi per l'esportazione dei profili di dati.

Pubblica su Chronicle

Le metriche raccolte dai profili di dati possono aggiungere contesto ai risultati di Chronicle. Il contesto aggiuntivo può aiutarti a determinare i problemi di sicurezza più importanti da risolvere. Ad esempio, se stai esaminando un determinato agente di servizio in Chronicle, i profili di dati possono fornire insight che indicano se l'agente di servizio ha accesso a tabelle con livelli di rischio dei dati elevati.

Per inviare i profili di dati al tuo account Chronicle, attiva Pubblica su Chronicle.

Se Chronicle non è abilitato per la tua organizzazione, l'attivazione di questa opzione non ha alcun effetto.

Pubblica su Security Command Center

Questa azione consente di inviare a Security Command Center i livelli di rischio e sensibilità dei dati calcolati dei profili dei dati delle tabelle.

Security Command Center è il servizio centralizzato di Google Cloud per la segnalazione di vulnerabilità e minacce. Puoi utilizzare gli insight dei profili di dati per valutare e sviluppare piani di risposta per i risultati relativi a vulnerabilità e minacce in Security Command Center.

Prima di poter utilizzare questa azione, è necessario attivare Security Command Center a livello di organizzazione. L'attivazione di Security Command Center a livello di organizzazione consente il flusso dei risultati da servizi integrati come Sensitive Data Protection. Sensitive Data Protection funziona con Security Command Center Standard e Premium.

Se Security Command Center non viene attivato a livello di organizzazione, i risultati di Sensitive Data Protection non verranno visualizzati in Security Command Center. Per maggiori informazioni, consulta Controllare il livello di attivazione di Security Command Center.

Per inviare i risultati dei tuoi profili di dati a Security Command Center, assicurati che l'opzione Pubblica su Security Command Center sia attivata.

Per maggiori informazioni, vedi Pubblicare profili di dati in Security Command Center.

Salva le copie dei profili dati su BigQuery

Se attivi Salva copie del profilo dati in BigQuery, potrai conservare una copia salvata o la cronologia di tutti i profili generati. Questo può essere utile per creare report di controllo e visualizzare profili di dati. Puoi anche caricare queste informazioni in altri sistemi.

Inoltre, questa opzione consente di vedere tutti i profili di dati in un'unica vista, indipendentemente dalla regione in cui si trovano i dati. Se disattivi questa opzione, puoi comunque visualizzare i profili di dati nella dashboard. Tuttavia, nella dashboard, selezioni una regione alla volta e visualizzi solo i profili di dati per quella regione.

Per esportare copie dei profili di dati in una tabella BigQuery, segui questi passaggi:

  1. Attiva Salva copie del profilo dati in BigQuery.

  2. Inserisci i dettagli della tabella BigQuery in cui vuoi salvare i profili dati:

    • In ID progetto, inserisci l'ID di un progetto esistente in cui vuoi esportare i profili di dati.

    • In ID set di dati, inserisci il nome di un set di dati esistente nel progetto in cui vuoi esportare i profili di dati.

    • In ID tabella, inserisci un nome per la tabella BigQuery in cui verranno esportati i profili dati. Se non hai creato questa tabella, Sensitive Data Protection la crea automaticamente per te utilizzando il nome fornito.

Sensitive Data Protection inizia a esportare i profili dal momento in cui attivi questa opzione. I profili generati prima dell'attivazione dell'esportazione non vengono salvati in BigQuery.

Pubblica in Pub/Sub

Se attivi Pubblica su Pub/Sub, puoi eseguire azioni programmatiche basate sui risultati della profilazione. Puoi utilizzare le notifiche Pub/Sub per sviluppare un flusso di lavoro per rilevare e risolvere i risultati con un rischio o una sensibilità dei dati significativo.

Per inviare notifiche a un argomento Pub/Sub, segui questi passaggi:

  1. Attiva Pubblica su Pub/Sub.

    Viene visualizzato un elenco di opzioni. Ogni opzione descrive un evento che causa l'invio di una notifica a Sensitive Data Protection a Pub/Sub.

  2. Seleziona gli eventi che devono attivare una notifica Pub/Sub.

    Se selezioni Invia una notifica Pub/Sub ogni volta che un profilo viene aggiornato, Sensitive Data Protection invia una notifica in caso di modifica alle seguenti metriche a livello di tabella:

    • Rischio dei dati
    • Riservatezza
    • InfoType previsti
    • Altri infoType
    • Pubblico
    • Crittografia
  3. Per ogni evento selezionato, segui questi passaggi:

    1. Inserisci il nome dell'argomento. Il nome deve avere il seguente formato:

      projects/PROJECT_ID/topics/TOPIC_ID
      

      Sostituisci quanto segue:

      • PROJECT_ID: l'ID del progetto associato all'argomento Pub/Sub.
      • TOPIC_ID: l'ID dell'argomento Pub/Sub.
    2. Specifica se includere il profilo completo della tabella nella notifica o solo il nome completo della risorsa della tabella profilata.

    3. Imposta i livelli minimi di rischio e sensibilità dei dati che devono essere soddisfatti affinché la protezione dei dati sensibili possa inviare una notifica.

    4. Specifica se devono essere soddisfatte solo una o entrambe le condizioni di rischio e sensibilità dei dati. Ad esempio, se scegli AND, sia il rischio che le condizioni di sensibilità devono essere soddisfatti prima che Sensitive Data Protection invii una notifica.

Gestisci container e fatturazione dell'agente di servizio

In questa sezione specificherai il progetto da utilizzare come container dell'agente di servizio. Puoi fare in modo che Sensitive Data Protection crei automaticamente un nuovo progetto oppure puoi sceglierne uno esistente.

  • Se non hai un container dell'agente di servizio, seleziona Crea un nuovo progetto come container dell'agente di servizio.

    Sensitive Data Protection crea un nuovo progetto denominato Container agente di servizio DLP. L'agente di servizio all'interno di questo progetto verrà utilizzato per l'autenticazione in Sensitive Data Protection e altre API. Sensitive Data Protection richiede di selezionare l'account in cui fatturare tutte le operazioni fatturabili correlate a questo progetto, incluse le operazioni non correlate alla profilazione dei dati.

    Se non disponi delle autorizzazioni necessarie per creare progetti, questa opzione è disabilitata. Per informazioni sulle autorizzazioni richieste, vedi Ruoli richiesti per lavorare con i profili di dati a livello di organizzazione o cartella.

  • Se hai già un container dell'agente di servizio che vuoi riutilizzare, seleziona Seleziona un container dell'agente di servizio esistente. Quindi, fai clic su Sfoglia per selezionare l'ID progetto del container dell'agente di servizio.

Indipendentemente dal fatto che utilizzi un agente di servizio appena creato o ne riutilizzi uno esistente, assicurati che abbia accesso in lettura ai dati da profilare.

Imposta la posizione in cui archiviare la configurazione

Fai clic sull'elenco Località della risorsa e seleziona la regione in cui vuoi archiviare questa configurazione di scansione. Anche tutte le configurazioni di scansione create in seguito verranno archiviate in questa località.

La scelta di archiviare la configurazione di scansione non influisce sui dati da analizzare. Inoltre, non influisce sulla posizione in cui vengono archiviati i profili di dati. I dati vengono analizzati nella stessa regione in cui sono archiviati. Per ulteriori informazioni, consulta Considerazioni sulla residenza dei dati.

Rivedi e crea

  1. Se vuoi assicurarti che la profilazione non venga avviata automaticamente dopo aver creato la configurazione di scansione, seleziona Crea analisi in modalità in pausa.

    Questa opzione è utile nei seguenti casi:

  2. Rivedi le impostazioni e fai clic su Crea.

    Sensitive Data Protection crea la configurazione della scansione e la aggiunge all'elenco delle configurazioni della scansione di rilevamento.

Per visualizzare o gestire le configurazioni di scansione, vedi Gestire le configurazioni di scansione.

Sensitive Data Protection inizia a identificare le istanze Cloud SQL e a creare una connessione predefinita per ogni istanza. A seconda del numero di istanze nell'ambito del rilevamento, questo processo può richiedere alcune ore. Puoi uscire dalla console Google Cloud e controllare le tue connessioni in un secondo momento.

Quando le connessioni predefinite sono pronte, aggiornale con le credenziali utente del database che vuoi che Sensitive Data Protection utilizzi per profilare le tue istanze Cloud SQL. Per ulteriori informazioni, vedi Gestire le connessioni da utilizzare con il rilevamento.

Passaggi successivi

Scopri come aggiornare le connessioni.