Sensitive Data Protection te ayuda a descubrir, clasificar y desidentificar datos sensibles dentro y fuera de Google Cloud. En esta página, se describen los servicios que conforman Sensitive Data Protection.
Descubrimiento de datos sensibles
El servicio de descubrimiento te permite generar perfiles para tus datos en una organización, carpeta o proyecto. Los perfiles de datos contienen métricas y metadatos sobre tus recursos de datos y te ayudan a determinar dónde residen los datos sensibles y de alto riesgo. Sensitive Data Protection informa estas métricas en varios niveles de detalle. Para obtener información sobre los tipos de datos que puedes perfilar, consulta Recursos compatibles.
Usas una configuración de análisis para especificar el recurso que se analizará, los tipos de información (infoTypes) que se buscarán, la frecuencia de generación de perfiles y las acciones que se realizarán cuando se complete la generación de perfiles.
Para obtener más información sobre el servicio de descubrimiento, consulta la descripción general de los perfiles de datos.
Inspección de datos sensibles
El servicio de inspección te permite realizar un análisis profundo de un recurso individual para encontrar instancias de datos sensibles. Especificas el Infotipo que deseas buscar, y el servicio de inspección genera un informe sobre cada instancia de datos que coincida con ese Infotipo. Por ejemplo, el informe te indica cuántos números de tarjeta de crédito hay en un bucket de Cloud Storage y la ubicación exacta de cada instancia.
Existen dos maneras de realizar una inspección:
- Crea un trabajo de inspección o híbrido a través de la consola de Google Cloud o a través de la API de Cloud Data Loss Prevention de Sensitive Data Protection (API de DLP).
- Envía una solicitud
content.inspect
a la API de DLP.
Inspección a través de un trabajo
Puedes configurar trabajos de inspección y trabajos híbridos a través de la consola de Google Cloud o de la API de Cloud Data Loss Prevention. Los resultados de la inspección y los trabajos híbridos se almacenan en Google Cloud.
Puedes especificar las acciones que deseas que Sensitive Data Protection realice cuando se complete la inspección o el trabajo híbrido. Por ejemplo, puedes configurar un trabajo para guardar los resultados en una tabla de BigQuery o enviar una notificación de Pub/Sub.
Trabajos de inspección
Sensitive Data Protection tiene compatibilidad integrada con algunos productos de Google Cloud. Puedes inspeccionar una tabla de BigQuery, un bucket o una carpeta de Cloud Storage, y un tipo de Datastore. Para obtener más información, consulta Inspecciona el almacenamiento y las bases de datos de Google Cloud en busca de datos sensibles.
Trabajos híbridos
Un trabajo híbrido te permite analizar cargas útiles de datos enviados desde cualquier fuente y, luego, almacenar los hallazgos de la inspección en Google Cloud. Para obtener más información, consulta Trabajos híbridos y activadores de trabajos.
Inspección a través de una solicitud content.inspect
El método content.inspect
de la API de DLP te permite enviar datos directamente a la API de DLP para su inspección. La respuesta contiene los hallazgos de la inspección. Usa este enfoque si necesitas una operación síncrona o si no quieres almacenar los resultados en Google Cloud.
Desidentificación de datos sensibles
El servicio de desidentificación te permite ofuscar instancias de datos sensibles. Existen varios métodos de transformación, como el enmascaramiento, el ocultamiento, el agrupamiento, el cambio de fecha y la asignación de tokens.
Existen dos maneras de realizar la desidentificación:
- Crea una copia desidentificada de los datos de Cloud Storage con un trabajo de inspección. Para obtener más información, consulta Desidentificación de datos sensibles en el almacenamiento.
- Envía una solicitud
content.deidentify
a la API de DLP. Para obtener más información, consulta Cómo desidentificar datos sensibles.
Análisis de riesgos
El servicio de análisis de riesgos te permite analizar datos estructurados de BigQuery para identificar y visualizar el riesgo de que se revele información sensible (se reidentifique).
Puedes usar métodos de análisis de riesgos antes de la desidentificación a fin de determinar una estrategia efectiva o después de esta para supervisar cualquier cambio o valor atípico.
Para realizar un análisis de riesgos, crea un trabajo de análisis de riesgos. Para obtener más información, consulta Análisis de riesgos de reidentificación.
API de Cloud Data Loss Prevention
La API de Cloud Data Loss Prevention te permite usar los servicios de Sensitive Data Protection de forma programática. A través de la API de DLP, puedes inspeccionar datos dentro y fuera de Google Cloud, y compilar cargas de trabajo personalizadas dentro o fuera de la nube. Para obtener más información, consulta Tipos de métodos de servicio.
Operaciones asíncronas
Si deseas inspeccionar o analizar de forma asíncrona los datos inactivos, puedes usar la API de DLP para crear un DlpJob
. Crear un DlpJob
equivale a crear un trabajo de inspección, un trabajo híbrido o un trabajo de análisis de riesgos a través de la consola de Google Cloud. Los resultados de un DlpJob
se almacenan en Google Cloud.
Operaciones síncronas
Si deseas inspeccionar, desidentificar o volver a identificar datos de forma síncrona, usa los métodos content
intercalados de la API de DLP. Para desidentificar datos en las imágenes, puedes usar el método image.redact
. Envía los datos en una solicitud a la API, y la API de DLP responde con los resultados de la inspección, la desidentificación o la reidentificación. Los resultados de los métodos content
y image.redact
no se almacenan en Google Cloud.
Precios
Para obtener información sobre los costos asociados con el uso de la protección de datos sensibles, consulta Precios de la protección de datos sensibles.
¿Qué sigue?
- Obtén información para generar perfiles de datos en un proyecto.
- Obtén más información para iniciar o programar una inspección.
- Obtén información para inspeccionar datos de fuentes externas con trabajos híbridos.
- Obtén información para crear una copia desidentificada de los datos almacenados en Cloud Storage.
- Obtén información para calcular el k-anonimato de un conjunto de datos.
- Obtén información para desidentificar y volver a identificar datos con la API de DLP.