Schutz sensibler Daten – Übersicht

Mit dem Schutz sensibler Daten können Sie sensible Daten innerhalb und außerhalb von Google Cloud ermitteln, klassifizieren und de-identifizieren. Auf dieser Seite werden die Dienste beschrieben, die zum Schutz sensibler Daten gehören.

Auffinden sensibler Daten

Mit dem Erkennungsdienst können Sie Profile für Ihre Daten in einer Organisation, einem Ordner oder einem Projekt generieren. Datenprofile enthalten Messwerte und Metadaten zu Ihren Tabellen. So können Sie feststellen, wo sich sensible und risikoreiche Daten befinden. Der Schutz sensibler Daten meldet diese Messwerte mit verschiedenen Detailebenen. Informationen zu den Datentypen, für die Sie Profile erstellen können, finden Sie unter Unterstützte Ressourcen.

Mit einer Scankonfiguration geben Sie die zu scannende Ressource, die zu suchenden Informationen (infoTypes), die Häufigkeit der Profilerstellung und die Aktionen an, die nach Abschluss der Profilerstellung ausgeführt werden sollen.

Weitere Informationen zum Erkennungsdienst finden Sie unter Datenprofile – Übersicht.

Prüfung sensibler Daten

Mit dem Inspektionsdienst können Sie einen detaillierten Scan einer einzelnen Ressource ausführen, um Instanzen sensibler Daten zu finden. Sie geben den infoType an, nach dem Sie suchen möchten, und der Inspektionsdienst generiert einen Bericht über jede Instanz von Daten, die diesem infoType entsprechen. Der Bericht gibt beispielsweise an, wie viele Kreditkartennummern sich in einem Cloud Storage-Bucket befinden und welchen genauen Standort jede Instanz hat.

Es gibt zwei Möglichkeiten, eine Prüfung durchzuführen:

  • Erstellen Sie einen Inspektions- oder Hybridjob über die Google Cloud Console oder die Cloud Data Loss Prevention API für den Schutz sensibler Daten (DLP API).
  • Senden Sie eine content.inspect-Anfrage an die DLP API.

Inspektion durch einen Auftrag

Sie können Inspektions- und Hybridjobs über die Google Cloud Console oder über die Cloud Data Loss Prevention API konfigurieren. Die Ergebnisse von Prüfungs- und Hybridjobs werden in Google Cloud gespeichert.

Sie können Aktionen festlegen, die der Schutz sensibler Daten nach Abschluss des Inspektions- oder Hybridjobs ausführen soll. Sie können beispielsweise einen Job so konfigurieren, dass die Ergebnisse in einer BigQuery-Tabelle gespeichert oder eine Pub/Sub-Benachrichtigung gesendet wird.

Inspektionsjobs

Der Schutz sensibler Daten bietet integrierte Unterstützung für ausgewählte Google Cloud-Produkte. Sie können eine BigQuery-Tabelle, einen Cloud Storage-Bucket oder -Ordner und eine Datastore-Art untersuchen. Weitere Informationen finden Sie unter Google Cloud-Speicher und -Datenbanken auf sensible Daten prüfen.

Hybrid jobs

Mit einem Hybridjob können Sie Nutzlasten von Daten scannen, die von einer beliebigen Quelle gesendet werden, und die Inspektionsergebnisse dann in Google Cloud speichern. Weitere Informationen finden Sie unter Hybridjobs und Job-Trigger.

Prüfung durch eine content.inspect-Anfrage

Mit der Methode content.inspect der DLP API können Sie Daten zur Prüfung direkt an die DLP API senden. Die Antwort enthält die Prüfergebnisse. Verwenden Sie diesen Ansatz, wenn Sie einen synchronen Vorgang benötigen oder die Ergebnisse nicht in Google Cloud gespeichert werden sollen.

De-Identifikation sensibler Daten

Mit dem De-Identifikationsdienst können Sie Instanzen sensibler Daten verschleiern. Es stehen verschiedene Transformationsmethoden zur Verfügung, darunter Maskierung, Datenentfernung, Bucketing, Datumsverschiebung und Tokenisierung.

Es gibt zwei Möglichkeiten, eine De-Identifikation durchzuführen:

Risikoanalyse

Mit dem Risikoanalysedienst können Sie strukturierte BigQuery-Daten analysieren, um das Risiko, dass vertrauliche Informationen offengelegt werden (re-identifiziert), zu identifizieren und zu visualisieren.

Sie können Risikoanalyseverfahren vor der De-Identifikation verwenden, um eine effektive De-Identifikationsstrategie zu ermitteln, oder nach der De-Identifikation, um sie auf Änderungen oder Ausreißer zu prüfen.

Sie führen eine Risikoanalyse durch, indem Sie einen Risikoanalysejob erstellen. Weitere Informationen finden Sie unter Risikoanalyse der Re-Identifikation.

Cloud Data Loss Prevention API

Mit der Cloud Data Loss Prevention API können Sie die Dienste zum Schutz sensibler Daten programmatisch verwenden. Mit der DLP API können Sie Daten von innerhalb und außerhalb von Google Cloud überprüfen und benutzerdefinierte Arbeitslasten in oder außerhalb der Cloud erstellen. Weitere Informationen finden Sie unter Dienstmethodentypen.

Asynchrone Vorgänge

Wenn Sie inaktive Daten asynchron prüfen oder analysieren möchten, können Sie mit der DLP API ein DlpJob erstellen. Das Erstellen eines DlpJob entspricht dem Erstellen eines Inspektionsjobs, Hybridjobs oder Risikoanalysejobs über die Google Cloud Console. Die Ergebnisse von DlpJob werden in Google Cloud gespeichert.

Synchrone Vorgänge

Wenn Sie Daten synchron prüfen, de-identifizieren oder re-identifizieren möchten, verwenden Sie die Inline-content-Methoden der DLP API. Zur De-Identifikation von Daten in Bildern können Sie die Methode image.redact verwenden. Sie senden die Daten in einer API-Anfrage und die DLP API antwortet mit den Ergebnissen der Prüfung, De-Identifikation oder Re-Identifikation. Die Ergebnisse der Methoden content und image.redact werden nicht in Google Cloud gespeichert.

Nächste Schritte