Présentation de Sensitive Data Protection

La protection des données sensibles vous aide à découvrir, à classer et à anonymiser les données sensibles au sein et en dehors de Google Cloud. Cette page décrit les services qui constituent la protection des données sensibles.

Découverte de données sensibles

Le service de découverte vous permet de générer des profils pour vos données dans une organisation, un dossier ou un projet. Les profils de données contiennent des métriques et des métadonnées sur vos éléments de données, et vous permettent de déterminer l'emplacement des données sensibles et à haut risque. La protection des données sensibles signale ces métriques à différents niveaux de détail. Pour en savoir plus sur les types de données que vous pouvez profiler, consultez la section Ressources compatibles.

Vous utilisez une configuration d'analyse pour spécifier la ressource à analyser, les types d'informations (infoTypes) à rechercher, la fréquence de profilage et les actions à effectuer une fois le profilage terminé.

Pour en savoir plus sur le service de découverte, consultez la présentation des profils de données.

Inspection des données sensibles

Le service d'inspection vous permet d'effectuer une analyse approfondie d'une ressource individuelle pour trouver des instances de données sensibles. Vous spécifiez l'infoType que vous souhaitez rechercher, et le service d'inspection génère un rapport sur chaque instance de données correspondant à cet infoType. Par exemple, le rapport indique le nombre de numéros de carte de crédit dans un bucket Cloud Storage et l'emplacement exact de chaque instance.

Vous pouvez effectuer une inspection de deux façons:

  • Créez une tâche d'inspection ou hybride via la console Google Cloud ou via l'API Cloud Data Loss Prevention de la protection des données sensibles (API DLP).
  • Envoyez une requête content.inspect à l'API DLP.

Inspection via une tâche

Vous pouvez configurer des tâches d'inspection et hybrides via la console Google Cloud ou l'API Cloud Data Loss Prevention. Les résultats des tâches d'inspection et hybrides sont stockés dans Google Cloud.

Vous pouvez spécifier les actions que vous souhaitez que Sensitive Data Protection effectue une fois l'inspection ou la tâche hybride terminée. Par exemple, vous pouvez configurer une tâche pour enregistrer les résultats dans une table BigQuery ou envoyer une notification Pub/Sub.

Tâches d'inspection

La protection des données sensibles est compatible avec certains produits Google Cloud. Vous pouvez inspecter une table BigQuery, un bucket ou un dossier Cloud Storage, et un genre Datastore. Pour en savoir plus, consultez Inspecter le stockage et les bases de données Google Cloud pour identifier les données sensibles.

Emplois hybrides

Une tâche hybride vous permet d'analyser les charges utiles de données envoyées par n'importe quelle source, puis de stocker les résultats de l'inspection dans Google Cloud. Pour en savoir plus, consultez la page Jobs hybrides et déclencheurs de jobs.

Inspection via une requête content.inspect

La méthode content.inspect de l'API DLP vous permet d'envoyer des données directement à l'API DLP pour l'inspection. La réponse contient les résultats de l'inspection. Utilisez cette approche si vous avez besoin d'une opération synchrone ou si vous ne souhaitez pas stocker les résultats dans Google Cloud.

Anonymisation des données sensibles

Le service d'anonymisation vous permet d'obscurcir des instances de données sensibles. Différentes méthodes de transformation sont disponibles, y compris le masquage, l'effacement, le binning, le décalage de date et la tokenisation.

Il existe deux façons de procéder à la désidentification:

Analyse des risques

Le service d'analyse des risques vous permet d'analyser les données BigQuery structurées afin d'identifier et de visualiser le risque de divulgation d'informations sensibles (ré-identification).

Vous pouvez employer des méthodes d'analyse des risques avant la suppression de l'identification pour vous aider à déterminer une stratégie efficace, ou bien après cette étape pour surveiller les modifications ou les anomalies.

Pour effectuer une analyse des risques, créez une tâche d'analyse des risques. Pour en savoir plus, consultez la section Analyse des risques liés à la restauration de l'identification.

API Cloud Data Loss Prevention

L'API Cloud Data Loss Prevention vous permet d'utiliser les services de protection des données sensibles de manière programmatique. Grâce à l'API DLP, vous pouvez inspecter les données à l'intérieur et en dehors de Google Cloud, et créer des charges de travail personnalisées dans le cloud ou en dehors. Pour en savoir plus, consultez la section Types de méthodes de service.

Opérations asynchrones

Si vous souhaitez inspecter ou analyser de manière asynchrone des données au repos, vous pouvez utiliser l'API DLP pour créer un DlpJob. Créer un DlpJob équivaut à créer une tâche d'inspection, une tâche hybride ou une tâche d'analyse des risques via la console Google Cloud. Les résultats d'une DlpJob sont stockés dans Google Cloud.

Opérations synchrones

Si vous souhaitez inspecter, anonymiser ou réidentifier des données de manière synchrone, utilisez les méthodes content intégrées de l'API DLP. Pour anonymiser les données dans les images, vous pouvez utiliser la méthode image.redact. Vous envoyez les données dans une requête API, et l'API DLP répond avec les résultats d'inspection, d'anonymisation ou de réidentification. Les résultats des méthodes content et de la méthode image.redact ne sont pas stockés dans Google Cloud.

Étape suivante