Descripción general de la protección de datos sensibles

La protección de datos sensibles te ayuda a descubrir, clasificar y desidentificar datos sensibles dentro y fuera de Google Cloud. En esta página, se describen los servicios que conforman la protección de datos sensibles.

Descubrimiento de datos sensibles

El servicio de descubrimiento te permite generar perfiles para tus datos en una organización, una carpeta o un proyecto. Los perfiles de datos contienen métricas y metadatos sobre tus tablas y te ayudan a determinar dónde residen los datos sensibles y de alto riesgo. La protección de datos sensibles informa estas métricas en varios niveles de detalle. Para obtener información sobre los tipos de datos de los que puedes generar perfiles, consulta Recursos admitidos.

Usa una configuración de análisis para especificar el recurso que se analizará, los tipos de información (Infotipos) que se deben buscar, la frecuencia de la generación de perfiles y las acciones que se realizarán cuando se complete la generación de perfiles.

Para obtener más información sobre el servicio de descubrimiento, consulta Descripción general de los perfiles de datos.

Inspección de datos sensibles

El servicio de inspección te permite realizar un análisis profundo de un recurso individual para encontrar instancias de datos sensibles. Especificas el Infotipo que deseas buscar, y el servicio de inspección genera un informe sobre cada instancia de datos que coincide con ese Infotipo. Por ejemplo, el informe te indica cuántos números de tarjetas de crédito hay en un bucket de Cloud Storage y la ubicación exacta de cada instancia.

Existen dos maneras de realizar una inspección:

  • Crea un trabajo de inspección o híbrido a través de la consola de Google Cloud o a través de la API de Cloud Data Loss Prevention de protección de datos sensibles (API de DLP).
  • Envía una solicitud content.inspect a la API de DLP.

Inspección a través de un trabajo

Puedes configurar trabajos híbridos y de inspección a través de la consola de Google Cloud o la API de Cloud Data Loss Prevention. Los resultados de los trabajos híbridos y de inspección se almacenan en Google Cloud.

Puedes especificar las acciones que deseas que realice la protección de datos sensibles cuando se complete la inspección o el trabajo híbrido. Por ejemplo, puedes configurar un trabajo para que guarde los resultados en una tabla de BigQuery o enviar una notificación de Pub/Sub.

Trabajos de inspección

La protección de datos sensibles tiene compatibilidad integrada con determinados productos de Google Cloud. Puedes inspeccionar una tabla de BigQuery, un bucket o una carpeta de Cloud Storage y un tipo de Datastore. Para obtener más información, consulta Inspecciona el almacenamiento y las bases de datos de Google Cloud en busca de datos sensibles.

Trabajos híbridos

Un trabajo híbrido te permite analizar cargas útiles de datos enviados desde cualquier fuente y, luego, almacenar los resultados de la inspección en Google Cloud. Para obtener más información, consulta Trabajos híbridos y activadores de trabajo.

Inspección mediante una solicitud content.inspect

El método content.inspect de la API de DLP te permite enviar datos directamente a la API de DLP para su inspección. La respuesta contiene los resultados de la inspección. Usa este enfoque si necesitas una operación síncrona o si no deseas almacenar los resultados en Google Cloud.

Desidentificación de datos sensibles

El servicio de desidentificación te permite ofuscar instancias de datos sensibles. Hay varios métodos de transformación disponibles, incluidos el enmascaramiento, la ocultación, el agrupamiento, el cambio de fecha y la asignación de token.

Hay dos maneras de realizar la desidentificación:

Análisis de riesgos

El servicio de análisis de riesgos te permite analizar datos estructurados de BigQuery para identificar y visualizar el riesgo de que se revele información sensible (reidentificada).

Puedes usar métodos de análisis de riesgos antes de la desidentificación a fin de determinar una estrategia efectiva o después de esta para supervisar cualquier cambio o valor atípico.

Para realizar análisis de riesgos, debes crear un trabajo de análisis de riesgos. Para obtener más información, consulta Análisis de riesgo de reidentificación.

API de Cloud Data Loss Prevention

La API de Cloud Data Loss Prevention te permite usar los servicios de protección de datos sensibles de manera programática. A través de la API de DLP, puedes inspeccionar datos dentro y fuera de Google Cloud, y compilar cargas de trabajo personalizadas en la nube o fuera de ella. Para obtener más información, consulta Tipos de métodos de servicio.

Operaciones asíncronas

Si deseas inspeccionar o analizar datos en reposo de forma asíncrona, puedes usar la API de DLP para crear un DlpJob. Crear un DlpJob equivale a crear un trabajo de inspección, trabajo híbrido o trabajo de análisis de riesgos a través de la consola de Google Cloud. Los resultados de una DlpJob se almacenan en Google Cloud.

Operaciones síncronas

Si deseas inspeccionar, desidentificar o volver a identificar datos de forma síncrona, usa los métodos content intercalados de la API de DLP. Para desidentificar datos en imágenes, puedes usar el método image.redact. Envías los datos en una solicitud a la API y la API de DLP responde con los resultados de inspección, desidentificación o reidentificación. Los resultados de los métodos content y image.redact no se almacenan en Google Cloud.

¿Qué sigue?