Descripción general de Sensitive Data Protection

Sensitive Data Protection te ayuda a descubrir, clasificar y desidentificar datos sensibles dentro y fuera de Google Cloud. En esta página, se describen los servicios que conforman Sensitive Data Protection.

Descubrimiento de datos sensibles

El servicio de descubrimiento te permite generar perfiles para tus datos en una organización, carpeta o proyecto. Los perfiles de datos contienen métricas y metadatos sobre tus recursos de datos y te ayudan a determinar dónde residen los datos sensibles y de alto riesgo. Sensitive Data Protection informa estas métricas en varios niveles de detalle. Para obtener información sobre los tipos de datos que puedes perfilar, consulta Recursos compatibles.

Usas una configuración de análisis para especificar el recurso que se analizará, los tipos de información (infoTypes) que se buscarán, la frecuencia de generación de perfiles y las acciones que se realizarán cuando se complete la generación de perfiles.

Para obtener más información sobre el servicio de descubrimiento, consulta la descripción general de los perfiles de datos.

Inspección de datos sensibles

El servicio de inspección te permite realizar un análisis profundo de un recurso individual para encontrar instancias de datos sensibles. Especificas el Infotipo que deseas buscar, y el servicio de inspección genera un informe sobre cada instancia de datos que coincida con ese Infotipo. Por ejemplo, el informe te indica cuántos números de tarjeta de crédito hay en un bucket de Cloud Storage y la ubicación exacta de cada instancia.

Existen dos maneras de realizar una inspección:

  • Crea un trabajo de inspección o híbrido a través de la consola de Google Cloud o a través de la API de Cloud Data Loss Prevention de Sensitive Data Protection (API de DLP).
  • Envía una solicitud content.inspect a la API de DLP.

Inspección a través de un trabajo

Puedes configurar trabajos de inspección y trabajos híbridos a través de la consola de Google Cloud o a través de la API de Cloud Data Loss Prevention. Los resultados de los trabajos de inspección y los trabajos híbridos se almacenan en Google Cloud.

Puedes especificar las acciones que deseas que Sensitive Data Protection realice cuando se complete la inspección o el trabajo híbrido. Por ejemplo, puedes configurar un trabajo para guardar los resultados en una tabla de BigQuery o enviar una notificación de Pub/Sub.

Trabajos de inspección

Sensitive Data Protection tiene compatibilidad integrada con algunos productos de Google Cloud. Puedes inspeccionar una tabla de BigQuery, un bucket o una carpeta de Cloud Storage, y un tipo de Datastore. Para obtener más información, consulta Inspecciona el almacenamiento y las bases de datos de Google Cloud en busca de datos sensibles.

Trabajos híbridos

Un trabajo híbrido te permite analizar cargas útiles de datos enviados desde cualquier fuente y, luego, almacenar los hallazgos de la inspección en Google Cloud. Para obtener más información, consulta Trabajos híbridos y activadores de trabajos.

Inspección a través de una solicitud content.inspect

El método content.inspect de la API de DLP te permite enviar datos directamente a la API de DLP para su inspección. La respuesta contiene los hallazgos de la inspección. Usa este enfoque si necesitas una operación síncrona o si no quieres almacenar los resultados en Google Cloud.

Desidentificación de datos sensibles

El servicio de desidentificación te permite ofuscar instancias de datos sensibles. Existen varios métodos de transformación, como el enmascaramiento, el ocultamiento, el agrupamiento, el cambio de fecha y la asignación de tokens.

Existen dos maneras de realizar la desidentificación:

Análisis de riesgos

El servicio de análisis de riesgos te permite analizar datos estructurados de BigQuery para identificar y visualizar el riesgo de que se revele información sensible (se reidentifique).

Puedes usar métodos de análisis de riesgos antes de la desidentificación a fin de determinar una estrategia efectiva o después de esta para supervisar cualquier cambio o valor atípico.

Para realizar un análisis de riesgos, crea un trabajo de análisis de riesgos. Para obtener más información, consulta Análisis de riesgos de reidentificación.

API de Cloud Data Loss Prevention

La API de Cloud Data Loss Prevention te permite usar los servicios de Sensitive Data Protection de forma programática. A través de la API de DLP, puedes inspeccionar datos dentro y fuera de Google Cloud, y compilar cargas de trabajo personalizadas dentro o fuera de la nube. Para obtener más información, consulta Tipos de métodos de servicio.

Operaciones asíncronas

Si deseas inspeccionar o analizar datos inactivos de forma asíncrona, puedes usar la API de DLP para crear un DlpJob. Crear un DlpJob equivale a crear un trabajo de inspección, un trabajo híbrido o un trabajo de análisis de riesgos a través de la consola de Google Cloud. Los resultados de un DlpJob se almacenan en Google Cloud.

Operaciones síncronas

Si deseas inspeccionar, desidentificar o volver a identificar datos de forma síncrona, usa los métodos content intercalados de la API de DLP. Para desidentificar datos en las imágenes, puedes usar el método image.redact. Envía los datos en una solicitud a la API, y la API de DLP responde con los resultados de la inspección, la desidentificación o la reidentificación. Los resultados de los métodos content y image.redact no se almacenan en Google Cloud.

¿Qué sigue?