Invio dei risultati della scansione di Cloud DLP a Data Catalog

Questa guida illustra come utilizzare Cloud Data Loss Prevention per eseguire la scansione di risorse Google Cloud specifiche e inviare risultati a Data Catalog.

Data Catalog è un servizio di gestione dei metadati scalabile che ti consente di scoprire, gestire e comprendere rapidamente tutti i tuoi dati in Google Cloud.

Cloud DLP si integra in modo nativo con Data Catalog. Quando utilizzi un'azione Cloud DLP per eseguire la scansione delle tabelle BigQuery per i dati sensibili, può inviare i risultati direttamente a Data Catalog sotto forma di un modello di tag.

Completando i passaggi di questa guida, dovrai:

  • Abilita Data Catalog e Cloud DLP.
  • Configura Cloud DLP per eseguire la scansione di una tabella BigQuery.
  • Configura una scansione Cloud DLP per inviare i risultati della scansione a Data Catalog.

Per ulteriori informazioni su Data Catalog, consulta la documentazione di Data Catalog.

Costi

Questo tutorial utilizza i seguenti componenti fatturabili di Google Cloud:

  • Cloud DLP
  • BigQuery

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud possono beneficiare di una prova gratuita.

Prima di iniziare

Prima di poter inviare i risultati della scansione di Cloud DLP a Data Catalog, procedi come segue:

  • Passaggio 1: imposta la fatturazione.
  • Passaggio 2: crea un nuovo progetto e compila una nuova tabella BigQuery. (opzione facoltativa).
  • Passaggio 3: attiva Data Catalog.
  • Passaggio 4: attiva Cloud DLP.

Le sottosezioni seguenti descrivono nel dettaglio ogni passaggio.

Passaggio 1: imposta la fatturazione

Se non ne hai già uno, devi prima configurare un account di fatturazione.

Scopri come attivare la fatturazione

Passaggio 2: (Facoltativo) crea un nuovo progetto e compila una nuova tabella BigQuery

Se stai configurando questa funzionalità per il lavoro di produzione o hai già una tabella BigQuery che vuoi scansionare, apri il progetto Google Cloud contenente la tabella e vai al passaggio 3.

Se stai provando questa funzionalità e vuoi eseguire la scansione di un "dummy" o di un set di dati di prova, crea un nuovo progetto. Per completare questo passaggio, devi disporre del ruolo Creatore progetti IAM. Scopri di più sui ruoli IAM.

  1. Vai alla pagina Nuovo progetto in Google Cloud Console.

    Nuovo progetto

  2. Nell'elenco a discesa Account di fatturazione, seleziona l'account di fatturazione a cui deve essere addebitato il progetto.
  3. Nell'elenco a discesa Organizzazione, seleziona l'organizzazione in cui vuoi creare il progetto.
  4. Nell'elenco a discesa Posizione, seleziona l'organizzazione o la cartella in cui vuoi creare il progetto.
  5. Fai clic su Crea per creare il progetto.

Dopodiché, scarica e archivia i dati di esempio:

  1. Vai al repository dei tutorial di Cloud Functions su GitHub.
  2. Seleziona uno dei file CSV con dati di esempio, quindi scarica il file.
  3. Quindi, vai a BigQuery in Cloud Console.
  4. Seleziona il progetto.
  5. Fai clic su Crea set di dati.
  6. Fai clic su Crea tabella.
  7. Fai clic su Carica e seleziona il file da caricare.
  8. Assegna un nome alla tabella e fai clic su Crea tabella.

Passaggio 3: attiva Data Catalog

A questo punto, abilita Data Catalog per il progetto contenente la tabella BigQuery che vuoi scansionare utilizzando Cloud DLP.

Per attivare Data Catalog da Cloud Console:

  1. Registra la tua richiesta per Data Catalog.

    Registra la tua applicazione per Data Catalog

  2. Nella pagina di registrazione, seleziona il progetto da utilizzare con Data Catalog dall'elenco a discesa Crea un progetto.
  3. Dopo aver selezionato il progetto, fai clic su Continua.

Data Catalog è abilitato per il tuo progetto.

Passaggio 4: attiva Cloud DLP

Abilita Cloud DLP per lo stesso progetto per cui hai abilitato Data Catalog.

Per attivare Cloud DLP utilizzando Cloud Console:

  1. Registra la tua applicazione per Cloud DLP.

    Registra la tua applicazione per Cloud DLP

  2. Nella pagina di registrazione, seleziona lo stesso progetto scelto nel passaggio precedente dall'elenco a discesa Crea un progetto.
  3. Dopo aver selezionato il progetto, fai clic su Continua.

Cloud DLP è ora abilitato per il tuo progetto.

Configurare ed eseguire una scansione di ispezione di Cloud DLP

Puoi configurare ed eseguire una scansione di ispezione di Cloud DLP utilizzando Cloud Console o l'API DLP.

Cloud Console

Per configurare un job di scansione di una tabella BigQuery utilizzando Cloud DLP:

  1. In Cloud Console, apri Cloud DLP.

    Vai a Cloud DLP

  2. Dal menu Crea, scegli Job o attivatore del job.

    Screenshot della scelta del menu Crea nuovo job o trigger di job.

  3. Inserisci le informazioni sul job Cloud DLP e fai clic su Continua per completare ogni passaggio:

    • Per il passaggio 1: scegli i dati di input, assegna un nome al job inserendo un valore nel campo Nome. In Località, scegli BigQuery dal menu Tipo di archiviazione e inserisci le informazioni sulla tabella da analizzare. La sezione Campionamento è preconfigurata per eseguire una scansione di esempio sui dati. Se hai una grande quantità di dati, puoi modificare i campi Limita righe per e Numero massimo di righe. Per ulteriori dettagli, consulta la sezione Scegliere i dati di input.

    • (Facoltativo) Nel Passaggio 2: configura il rilevamento, definisci i tipi di dati da cercare, chiamati "infoTypes"." Ai fini di questa procedura dettagliata, mantieni selezionato l'elemento infoType predefinito. Per maggiori dettagli, consulta la sezione Configura il rilevamento.

    • Per il Passaggio 3: aggiungi azioni, attiva Salva in Catalogo dati.

    • (Facoltativo) Nel passaggio 4: pianificazione, ai fini di questa procedura dettagliata, lascia il menu impostato su Nessuno in modo che la scansione venga eseguita una sola volta. Per ulteriori informazioni sulla pianificazione delle scansioni ripetute, consulta la sezione Programma.

  4. Fai clic su Crea. Il job viene eseguito immediatamente.

DLP API

In questa sezione configurerai ed eseguirai un job di scansione di Cloud DLP.

Il job di ispezione che configuri qui indica a Cloud DLP di eseguire la scansione dei dati BigQuery di esempio descritti nel Passaggio 2 precedente o dei tuoi dati BigQuery. La configurazione del job specificata è anche quella in cui indichi a Cloud DLP di salvare i risultati delle scansioni in Data Catalog.

Passaggio 1: prendi nota dell'identificatore del progetto

  1. Vai a Cloud Console.

    Vai a Cloud Console

  2. Fai clic su Seleziona.

  3. Nell'elenco a discesa Seleziona da, seleziona l'organizzazione per la quale hai abilitato Data Catalog.

  4. In ID, copia l'ID progetto per il progetto contenente i dati che vuoi analizzare. Si tratta del progetto descritto nel passaggio precedente dell'impostazione dei repository di archiviazione in questa pagina.

  5. In Nome, fai clic sul progetto per selezionarlo.

Passaggio 2: apri Explorer API e configura il job

  1. Vai a Explorer API nella pagina di riferimento per il metodo dlpJobs.create. Per mantenere queste istruzioni disponibili, fai clic con il pulsante destro del mouse sul link seguente e aprilo in una nuova scheda o finestra:

    Apri Explorer API

  2. Nella casella parent, inserisci quanto segue, dove project-id è l'ID progetto annotato in precedenza nel passaggio precedente:

    projects/project-id

    Quindi, copia il seguente JSON. Seleziona il contenuto del campo Testo richiesta in Explorer API, quindi incolla il codice JSON per sostituire il contenuto. Assicurati di sostituire i segnaposto project-id, bigquery-dataset-name e bigquery-table-name con l'ID progetto effettivo e i nomi della tabella e del set di dati BigQuery.

    {
      "inspectJob":
      {
        "storageConfig":
        {
          "bigQueryOptions":
          {
            "tableReference":
            {
              "projectId": "project-id",
              "datasetId": "bigquery-dataset-name",
              "tableId": "bigquery-table-name"
            }
          }
        },
        "inspectConfig":
        {
          "infoTypes":
          [
            {
              "name": "EMAIL_ADDRESS"
            },
            {
              "name": "PERSON_NAME"
            },
            {
              "name": "US_SOCIAL_SECURITY_NUMBER"
            },
            {
              "name": "PHONE_NUMBER"
            }
          ],
          "includeQuote": true,
          "minLikelihood": "UNLIKELY",
          "limits":
          {
            "maxFindingsPerRequest": 100
          }
        },
        "actions":
        [
          {
            "publishFindingsToCloudDataCatalog": {}
          }
        ]
      }
    }
    

Per ulteriori informazioni sulle opzioni di scansione disponibili, consulta la sezione Controllare lo spazio di archiviazione e i database per l'individuazione di dati sensibili. Per un elenco completo dei tipi di informazioni che Cloud DLP può cercare e rilevare, consulta la guida di riferimento sui tipi di informazioni.

Passaggio 3: esegui la richiesta per avviare il job di scansione

Dopo aver configurato il job seguendo i passaggi precedenti, fai clic su Esegui per inviare la richiesta. Se la richiesta ha esito positivo, viene visualizzata una risposta con un codice di operazione riuscita e un oggetto JSON che indica lo stato del job Cloud DLP appena creato.

La risposta alla tua richiesta di scansione include l'ID job del job di scansione di ispezione come chiave "name" e lo stato corrente del job di scansione di ispezione come chiave "state". Poiché hai appena inviato la richiesta, lo stato del job in quel momento è "PENDING".

Verifica lo stato della scansione di ispezione Cloud DLP

Dopo aver inviato la richiesta di scansione, la scansione dei contenuti inizia immediatamente.

Cloud Console

Per controllare lo stato del job di scansione di ispezione:

  1. In Cloud Console, apri Cloud DLP.

    Vai a Cloud DLP

  2. Fai clic sulla scheda Offerte di lavoro e trigger, quindi fai clic su Tutti i job.

Il job che hai appena eseguito sarà probabilmente in cima all'elenco. Controlla la colonna Stato per assicurarti che lo stato sia Fine.

Puoi fare clic sull'ID job del job per visualizzarne i risultati. Ogni rilevatore di infoType elencato nella pagina dei dettagli del job è seguito dal numero di corrispondenze trovate nei contenuti.

DLP API

Per controllare lo stato del job di scansione di ispezione:

  1. Vai a Explorer API nella pagina di riferimento per il metodo dlpJobs.get facendo clic sul seguente pulsante:

    Apri Explorer API

  2. Nella casella name, digita il nome del job dalla risposta JSON alla richiesta di scansione come segue:

    projects/project-id/dlpJobs/job-id
    L'ID offerta di lavoro è nel formato i-1234567890123456789.

  3. Per inviare la richiesta, fai clic su Esegui.

Se la chiave "state" dell'oggetto JSON di risposta indica che il job è "DONE", il job di scansione è stato completato.

Per visualizzare il resto del file JSON della risposta, scorri verso il basso nella pagina. In "result" > "infoTypeStats", ogni tipo di informazione elencato deve avere un elemento "count" corrispondente. In caso contrario, assicurati di aver inserito correttamente il file JSON e che il percorso o la posizione dei tuoi dati siano corretti.

Al termine del job di scansione, puoi passare alla sezione successiva di questa guida per visualizzare i risultati della scansione in Security Command Center.

Visualizzare i risultati della scansione di Cloud DLP in Data Catalog

Poiché hai chiesto a Cloud DLP di inviare i risultati del job di scansione di ispezione a Data Catalog, nell'interfaccia utente di Data Catalog puoi visualizzare i tag e il modello di tag creati automaticamente:

  1. Vai alla pagina Data Catalog in Cloud Console.

    Vai a Data Catalog

  2. Cerca la tabella che hai ispezionato.
  3. Fai clic sui risultati corrispondenti alla tua tabella per visualizzare i relativi metadati.

La seguente schermata mostra la visualizzazione dei metadati di Data Catalog di una tabella di esempio:

Dettaglio DLP in Data Catalog..

Individuazione dati Cloud DLP

I risultati di Cloud DLP sono inclusi nel modulo di riepilogo per la tabella scansionata. Questo riepilogo include il numero totale di infoType, nonché i dati di riepilogo sul job di ispezione che includono date e ID risorsa del job.

Sono elencati tutti i prodotti infoTypes che sono stati esaminati. Quelli con risultati mostrano un conteggio maggiore di zero.

Pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo argomento, esegui una delle seguenti operazioni, a seconda che tu abbia utilizzato dati di esempio o dati di tua proprietà:

Elimina il progetto

Il modo più semplice per eliminare la fatturazione è eliminare il progetto che hai creato seguendo le istruzioni fornite in questo argomento.

Per eliminare il progetto:

  1. In Cloud Console, vai alla pagina Progetti.

    Vai alla pagina Progetti

  2. Nell'elenco dei progetti, seleziona il progetto da eliminare e fai clic su Elimina progetto. Dopo aver selezionato la casella di controllo accanto al nome del progetto, fai clic su
    Elimina progetto
  3. Nella finestra di dialogo, digita l'ID progetto, quindi fai clic su Arresta per eliminare il progetto.

Quando elimini il progetto utilizzando questo metodo, vengono eliminati anche il job Cloud DLP e il bucket Cloud Storage creato. Non è necessario seguire le istruzioni riportate nelle sezioni seguenti.

Eliminazione del job Cloud DLP o del trigger di job

Se hai scansionato i tuoi dati, elimina il job di scansione di ispezione o il trigger di job appena creato.

Cloud Console

  1. In Cloud Console, apri Cloud DLP.

    Vai a Cloud DLP

  2. Fai clic sulla scheda Job e AMP job, quindi fai clic sulla scheda Trigger job.

  3. Nella colonna Azioni per l'attivatore del job che vuoi eliminare, fai clic sul menu Altre azioni (visualizzato come tre puntini disposti in verticale) e poi su Elimina.

Facoltativamente, puoi eliminare anche i dettagli del job che hai eseguito. Fai clic sulla scheda Tutti i job e nella colonna Azioni per il job da eliminare, fai clic sul menu Altre azioni (visualizzati con tre puntini disposti in verticale) e poi su Elimina.

DLP API

  1. Vai a Explorer API nella pagina di riferimento per il metodo dlpJobs.delete facendo clic sul seguente pulsante:

    Apri Explorer API

  2. Nella casella name, digita il nome del job dalla risposta JSON alla richiesta di scansione, che ha il seguente formato:

    projects/project-id/dlpJobs/job-id
    L'ID offerta di lavoro è nel formato i-1234567890123456789.

Se hai creato job di scansione aggiuntivi o se vuoi assicurarti di aver eliminato correttamente il job, puoi elencare tutti i job esistenti:

  1. Vai a Explorer API nella pagina di riferimento per il metodo dlpJobs.list facendo clic sul seguente pulsante:

    Apri Explorer API

  2. Nella casella parent, digita l'identificatore di progetto nel formato seguente, dove project-id è l'identificatore del progetto:

    projects/project-id

  3. Fai clic su Execute (Esegui).

Se nella risposta non sono elencati offerte di lavoro, li hai eliminati. Se i job sono elencati nella risposta, ripeti la procedura di eliminazione in alto per tali job.

Passaggi successivi