Présentation de la protection des données sensibles

La protection des données sensibles vous aide à détecter, classer et anonymiser les données sensibles à l'intérieur et à l'extérieur de Google Cloud. Cette page décrit les services constituant la protection des données sensibles.

Découverte de données sensibles

Le service de découverte vous permet de générer des profils pour vos données au sein d'une organisation, d'un dossier ou d'un projet. Les profils de données contiennent des métriques et des métadonnées concernant vos tables, et vous aident à déterminer l'emplacement des données sensibles et à haut risque. La protection des données sensibles rapporte ces métriques à différents niveaux de détail. Pour en savoir plus sur les types de données que vous pouvez profiler, consultez la section Ressources compatibles.

Une configuration d'analyse vous permet de spécifier la ressource à analyser, les types d'informations (infoTypes) à rechercher, la fréquence de profilage et les actions à effectuer une fois le profilage terminé.

Pour en savoir plus sur le service de découverte, consultez la page Présentation des profils de données.

Inspection des données sensibles

Le service d'inspection vous permet d'effectuer une analyse approfondie d'une ressource individuelle pour identifier les instances de données sensibles. Vous spécifiez l'infoType que vous souhaitez rechercher, et le service d'inspection génère un rapport sur chaque instance de données correspondant à cet infoType. Par exemple, le rapport vous indique le nombre de numéros de carte de crédit présents dans un bucket Cloud Storage et l'emplacement exact de chaque instance.

Il existe deux façons d'effectuer une inspection:

  • Créez une tâche d'inspection ou hybride via la console Google Cloud ou via l'API Cloud Data Loss Prevention de la protection des données sensibles (API DLP).
  • Envoyer une requête content.inspect à l'API DLP.

Inspection via une tâche

Vous pouvez configurer des tâches d'inspection et des tâches hybrides via la console Google Cloud ou via l'API Cloud Data Loss Prevention. Les résultats des tâches d'inspection et hybrides sont stockés dans Google Cloud.

Vous pouvez spécifier les actions que la protection des données sensibles doit effectuer une fois la tâche d'inspection ou hybride terminée. Par exemple, vous pouvez configurer une tâche pour enregistrer les résultats dans une table BigQuery ou envoyer une notification Pub/Sub.

Jobs d'inspection

La protection des données sensibles est compatible avec certains produits Google Cloud. Vous pouvez inspecter une table BigQuery, un bucket ou un dossier Cloud Storage et un genre Datastore. Pour en savoir plus, consultez la section Inspecter les données sensibles dans Google Cloud Storage et les bases de données.

Emplois hybrides

Une tâche hybride vous permet d'analyser les charges utiles de données envoyées depuis n'importe quelle source, puis de stocker les résultats d'inspection dans Google Cloud. Pour en savoir plus, consultez la section Tâches hybrides et déclencheurs de tâches.

Inspection via une requête content.inspect

La méthode content.inspect de l'API DLP vous permet d'envoyer des données directement à l'API DLP pour inspection. La réponse contient les résultats de l'inspection. Utilisez cette approche si vous avez besoin d'une opération synchrone ou si vous ne souhaitez pas stocker les résultats dans Google Cloud.

Anonymisation des données sensibles

Le service d'anonymisation vous permet d'obscurcir des instances de données sensibles. Différentes méthodes de transformation sont disponibles, y compris le masquage, le masquage, le binning, le changement de date et la tokenisation.

Il existe deux façons d'effectuer l'anonymisation:

Analyse des risques

Le service d'analyse des risques vous permet d'analyser des données BigQuery structurées pour identifier et visualiser le risque de divulgation d'informations sensibles (anonymisation).

Vous pouvez employer des méthodes d'analyse des risques avant la suppression de l'identification pour vous aider à déterminer une stratégie efficace, ou bien après cette étape pour surveiller les modifications ou les anomalies.

Vous effectuez une analyse des risques en créant un job d'analyse des risques. Pour en savoir plus, consultez la page Analyse des risques liés à la restauration de l'identification.

API Cloud Data Loss Prevention

L'API Cloud Data Loss Prevention vous permet d'utiliser les services de protection des données sensibles de manière automatisée. Grâce à l'API DLP, vous pouvez inspecter des données provenant de l'intérieur et de l'extérieur de Google Cloud, et créer des charges de travail personnalisées dans le cloud ou en dehors. Pour en savoir plus, consultez la section Types de méthodes de service.

Opérations asynchrones

Si vous souhaitez inspecter ou analyser des données au repos de manière asynchrone, vous pouvez créer une DlpJob à l'aide de l'API DLP. Créer un objet DlpJob équivaut à créer une tâche d'inspection, une tâche hybride ou une tâche d'analyse des risques via la console Google Cloud. Les résultats d'une requête DlpJob sont stockés dans Google Cloud.

Opérations synchrones

Si vous souhaitez inspecter, anonymiser ou désanonymiser des données de manière synchrone, utilisez les méthodes content intégrées de l'API DLP. Pour anonymiser des données dans des images, vous pouvez utiliser la méthode image.redact. Vous envoyez les données dans une requête API, et l'API DLP renvoie les résultats d'inspection, d'anonymisation ou de restauration de l'identification. Les résultats des méthodes content et image.redact ne sont pas stockés dans Google Cloud.

Étapes suivantes