A proteção de dados sensíveis ajuda você a descobrir, classificar e desidentificar dados confidenciais dentro e fora do Google Cloud. Nesta página, descrevemos os serviços que compõem a proteção de dados sensíveis.
Descoberta de dados confidenciais
O serviço de descoberta permite gerar perfis para seus dados em uma organização, pasta ou projeto. Os perfis de dados contêm métricas e metadados sobre as tabelas e ajudam a determinar onde estão os dados confidenciais e de alto risco. A proteção de dados sensíveis relata essas métricas em vários níveis de detalhes. Para informações sobre os tipos de dados para a criação de perfis, consulte Recursos compatíveis.
Use uma configuração de verificação para especificar o recurso a ser verificado, os tipos de informações (infoTypes) a serem procurados, a frequência da criação de perfil e as ações a serem tomadas quando a criação do perfil for concluída.
Para mais informações sobre o serviço de descoberta, consulte Visão geral dos perfis de dados.
Inspeção de dados confidenciais
O serviço de inspeção permite realizar uma verificação detalhada de um recurso individual para encontrar instâncias de dados confidenciais. Você especifica o infoType que quer pesquisar e o serviço de inspeção gera um relatório sobre cada instância de dados que corresponde a esse infoType. Por exemplo, o relatório informa quantos números de cartão de crédito estão em um bucket do Cloud Storage e o local exato de cada instância.
Há duas maneiras de realizar uma inspeção:
- Crie uma inspeção ou um job híbrido usando o console do Google Cloud ou a API Cloud Data Loss Prevention para proteção de dados sensíveis (API DLP).
- Envie uma solicitação
content.inspect
para a API DLP.
Inspeção por um job
É possível configurar jobs de inspeção e híbridos usando o console do Google Cloud ou a API Cloud Data Loss Prevention. Os resultados da inspeção e dos jobs híbridos são armazenados no Google Cloud.
É possível especificar as ações que você quer que a proteção de dados sensíveis realize quando a inspeção ou o job híbrido for concluído. Por exemplo, é possível configurar um job para salvar as descobertas em uma tabela do BigQuery ou enviar uma notificação do Pub/Sub.
Jobs de inspeção
A proteção de dados sensíveis tem suporte integrado para determinados produtos do Google Cloud. É possível inspecionar uma tabela do BigQuery, um bucket ou pasta do Cloud Storage e um tipo do Datastore. Para mais informações, consulte Inspecionar armazenamento e bancos de dados do Google Cloud em busca de dados sensíveis.
Empregos híbridos
Um job híbrido permite verificar payloads de dados enviados de qualquer origem e armazenar as descobertas da inspeção no Google Cloud. Para mais informações, consulte Jobs híbridos e gatilhos de jobs.
Inspeção usando uma solicitação content.inspect
O método content.inspect
da API DLP permite que você envie dados diretamente a ela para inspeção. A resposta contém as
descobertas da inspeção. Use essa abordagem se precisar de uma operação síncrona ou se não quiser armazenar as descobertas no Google Cloud.
Desidentificação de dados confidenciais
O serviço de desidentificação permite ofuscar instâncias de dados confidenciais. Vários métodos de transformação estão disponíveis, incluindo mascaramento, edição, agrupamento por classes, mudança de data e tokenização.
Há duas maneiras de fazer a desidentificação:
- Criar uma cópia desidentificada dos dados do Cloud Storage usando um job de inspeção. Para mais informações, consulte Desidentificação de dados confidenciais no armazenamento.
- Envie uma solicitação
content.deidentify
para a API DLP. Para mais informações, consulte Como desidentificar dados confidenciais.
Análise de risco
O serviço de análise de risco permite analisar dados estruturados do BigQuery para identificar e visualizar o risco de revelar informações confidenciais (reidentificadas).
É possível usar métodos de análise de risco antes da desidentificação para ajudar a determinar alguma estratégia eficaz ou após ela para monitorar quaisquer alterações ou outliers.
Você realiza a análise de risco criando um job de análise de risco. Para mais informações, consulte Análise de risco de reidentificação.
API Cloud Data Loss Prevention
A API Cloud Data Loss Prevention permite que você use os serviços de proteção de dados sensíveis de maneira programática. Por meio da API DLP, é possível inspecionar dados de dentro e fora do Google Cloud e criar cargas de trabalho personalizadas dentro ou fora da nuvem. Para mais informações, consulte Tipos de método de serviço.
Operações assíncronas
Se você quiser inspecionar ou analisar dados em repouso de maneira assíncrona, use a API DLP para criar um DlpJob
. Criar um
DlpJob
é o equivalente a criar um job de inspeção, um job híbrido ou um job
de análise de risco por meio do console do Google Cloud. Os resultados de um DlpJob
são
armazenados no Google Cloud.
Operações síncronas
Se você quiser inspecionar, desidentificar ou reidentificar dados de maneira síncrona, use os métodos content
in-line da API DLP. Para desidentificar dados em imagens, use o método image.redact
. Você envia os dados em uma solicitação de API, e a API DLP responde com os resultados de inspeção, desidentificação ou reidentificação. Os
resultados dos métodos content
e do método image.redact
não são armazenados
no Google Cloud.
A seguir
- Saiba como criar um perfil de dados em um projeto.
- Saiba como iniciar ou programar uma inspeção.
- Saiba como inspecionar dados de origens externas usando jobs híbridos.
- Saiba como criar uma cópia desidentificada dos dados armazenados no Cloud Storage.
- Saiba como calcular o k-anonimato de um conjunto de dados.
- Saiba como desidentificar e reidentificar dados usando a API DLP.