敏感数据保护概览

敏感数据保护可帮助您发现 Google Cloud 内外的敏感数据,并对其进行分类和去标识化。本页面介绍了构成敏感数据保护的服务。

敏感数据发现

借助发现服务,您可以为组织、文件夹或项目中的数据生成配置文件。数据分析文件包含有关表的指标和元数据,可帮助您确定敏感数据和高风险数据所在的位置。敏感数据保护会以各种详细级别报告这些指标。如需了解您可以分析的数据类型,请参阅支持的资源

您可以使用扫描配置指定要扫描的资源、要查找的信息类型 (infoType)、分析频率以及分析完成后要执行的操作。

如需详细了解发现服务,请参阅数据分析概览

敏感数据检查

借助检查服务,您可以对单个资源执行深度扫描,以查找敏感数据的实例。您只需指定要搜索的 infoType,检查服务就会生成有关与该 infoType 匹配的数据的每个实例的报告。例如,该报告会告诉您 Cloud Storage 存储桶中有多少信用卡号以及每个实例的确切位置。

您可以通过以下两种方式执行检查:

  • 通过 Google Cloud 控制台或通过敏感数据保护的 Cloud Data Loss Prevention API (DLP API) 创建检查作业或混合作业。
  • 向 DLP API 发送 content.inspect 请求。

通过作业进行检查

您可以通过 Google Cloud 控制台或 Cloud Data Loss Prevention API 配置检查作业和混合作业。检查作业和混合作业的结果存储在 Google Cloud 中。

您可以指定您希望敏感数据保护在检查或混合作业完成时执行的操作。例如,您可以配置作业以将发现结果保存到 BigQuery 表或发送 Pub/Sub 通知。

检查作业

敏感数据保护内置了对部分 Google Cloud 产品的支持。您可以检查 BigQuery 表、Cloud Storage 存储桶或文件夹以及 Datastore 种类。如需了解详情,请参阅检查 Google Cloud 存储空间和数据库是否存在敏感数据

混合办公

通过混合作业,您可以扫描从任何来源发送的数据的载荷,然后将检查发现结果存储在 Google Cloud 中。如需了解详情,请参阅混合作业和作业触发器

通过 content.inspect 请求进行检查

借助 DLP API 的 content.inspect 方法,您可以直接将数据发送到 DLP API 进行检查。响应包含检查结果。如果您需要同步操作,或者不想将发现结果存储在 Google Cloud 中,请使用此方法。

敏感数据去标识化

通过去标识化服务,您可以对敏感数据的实例进行混淆处理。 可以使用各种转换方法,包括遮盖、隐去、分桶、日期偏移和标记化。

您可以通过以下两种方式执行去标识化:

风险分析

利用风险分析服务,您可以分析结构化的 BigQuery 数据,识别并直观呈现敏感信息将泄露(重标识)的风险。

您可以在去标识化之前使用风险分析方法来帮助确定有效的去标识化策略,或者在去标识化之后监控任何变化或离群值。

您可以通过创建风险分析作业来执行风险分析。如需了解详情,请参阅重标识风险分析

Cloud Data Loss Prevention API

借助 Cloud Data Loss Prevention API,您能够以编程方式使用敏感数据保护服务。通过 DLP API,您可以检查 Google Cloud 内部和外部的数据,并构建云端或云端的自定义工作负载。如需了解详情,请参阅 Service 方法类型

异步操作

如果要异步检查或分析静态数据,可以使用 DLP API 创建 DlpJob。创建 DlpJob 相当于通过 Google Cloud 控制台创建检查作业、混合作业或风险分析作业。DlpJob 的结果存储在 Google Cloud 中。

同步操作

如果要同步检查、去标识化或重标识数据,请使用 DLP API 的内嵌 content 方法。如需对图片中的数据进行去标识化处理,您可以使用 image.redact 方法。您在 API 请求中发送数据,DLP API 会返回检查、去标识化或重标识结果进行响应。content 方法和 image.redact 方法的结果不会存储在 Google Cloud 中。

后续步骤