Empregos híbridos e acionadores de empregos

Os trabalhos híbridos e os acionadores de trabalhos abrangem um conjunto de métodos de API assíncronos que lhe permitem analisar payloads de dados enviados de praticamente qualquer origem para encontrar informações confidenciais e, em seguida, armazenar as conclusões no Google Cloud. Os trabalhos híbridos permitem-lhe escrever os seus próprios motores de rastreio de dados que se comportam e fornecem dados de forma semelhante aos métodos de inspeção de armazenamento da proteção de dados confidenciais.

Com os trabalhos híbridos, pode transmitir dados de qualquer origem para a proteção de dados confidenciais. A Proteção de dados confidenciais inspeciona os dados para encontrar informações confidenciais ou IIP e, em seguida, guarda os resultados da análise de inspeção num recurso de tarefa da Proteção de dados confidenciais. Pode examinar os resultados da análise na IU ou na API da consola de proteção de dados confidenciais, ou pode especificar ações pós-análise a executar, como guardar dados de resultados da inspeção numa tabela do BigQuery ou emitir uma notificação do Pub/Sub.

O fluxo de trabalho de empregos híbridos é resumido no diagrama seguinte:

Este tópico conceptual descreve as tarefas híbridas e os acionadores de tarefas, bem como o respetivo funcionamento. Para saber como implementar tarefas híbridas e acionadores de tarefas, consulte o artigo Inspeção de dados externos através de tarefas híbridas.

Acerca dos ambientes híbridos

Os ambientes "híbridos" são comuns nas organizações. Muitas organizações armazenam e processam dados confidenciais através de alguma combinação do seguinte:

• Outros fornecedores de nuvem
• Servidores no local ou outros repositórios de dados
• Sistemas de armazenamento não nativos, como sistemas executados numa máquina virtual
• Apps para a Web e apps para dispositivos móveis
• Soluções baseadas emGoogle Cloud

Com as tarefas híbridas, a Proteção de dados confidenciais pode inspecionar os dados que lhe são enviados a partir de qualquer uma destas origens. Seguem-se alguns cenários de exemplo:

• Inspeção de dados armazenados no Amazon Relational Database Service (RDS), no MySQL em execução numa máquina virtual ou numa base de dados no local.
• Inspeção e tokenização de dados à medida que migra das instalações para a nuvem ou entre a produção, o desenvolvimento e a análise.
• Inspecione e oculte transações de uma aplicação Web ou para dispositivos móveis antes de armazenar os dados em repouso.

Opções de inspeção

Conforme descrito mais detalhadamente em Tipos de métodos, quando quiser inspecionar conteúdo para dados confidenciais, a proteção de dados confidenciais oferece três opções predefinidas:

• Inspeção de métodos de conteúdo: através da inspeção de conteúdo, transmite pequenas cargas úteis de dados para a proteção de dados confidenciais, juntamente com instruções sobre o que inspecionar. Em seguida, a proteção de dados confidenciais inspeciona os dados em busca de conteúdo sensível e IIP e, de seguida, devolve-lhe os resultados da análise.
• Inspeção de métodos de armazenamento: através da inspeção de armazenamento, o Sensitive Data Protection inspeciona um repositório de armazenamento baseado na nuvem, como uma base de dados do BigQuery, um contentor do Cloud Storage ou um tipo de Datastore. Google CloudIndica ao DLP o que inspecionar e o que procurar, e, em seguida, o DLP executa uma tarefa que analisa o repositório. Após a conclusão da análise, a proteção de dados confidenciais guarda um resumo dos resultados da análise na tarefa. Além disso, pode especificar que os resultados sejam enviados para outro Google Cloud produto para análise, como uma tabela do BigQuery separada.
• Inspeção de tarefas híbridas: as tarefas híbridas oferecem as vantagens dos dois métodos anteriores. Permitem-lhe transmitir dados como faria com os métodos de conteúdo, ao mesmo tempo que ganha o armazenamento, a visualização e as ações das tarefas de inspeção de armazenamento. Toda a configuração da inspeção é gerida na proteção de dados confidenciais, sem necessidade de configuração adicional no lado do cliente. As tarefas híbridas podem ser úteis para analisar sistemas de armazenamento não nativos, como uma base de dados executada numa máquina virtual (VM), nas instalações ou noutra nuvem. Os métodos híbridos também podem ser úteis para inspecionar sistemas de processamento, como cargas de trabalho de migração, ou até mesmo para fazer proxy da comunicação entre serviços. Embora os métodos de conteúdo também possam fazê-lo, os métodos híbridos oferecem-lhe o back-end de armazenamento de resultados que pode agregar os seus dados em várias chamadas API para que não tenha de o fazer.

Acerca dos empregos híbridos e dos acionadores de empregos

Um trabalho híbrido é, efetivamente, um híbrido de métodos de conteúdo e métodos de armazenamento. O fluxo de trabalho básico para usar tarefas híbridas e acionadores de tarefas é o seguinte:

1. Escreve um script ou cria um fluxo de trabalho que envia dados para inspeção para a proteção de dados confidenciais juntamente com alguns metadados.
2. Configura e cria um recurso ou um acionador de tarefa híbrida e ativa-o para ser ativado quando recebe dados.
3. O seu script ou fluxo de trabalho é executado por parte do cliente e envia dados para a proteção de dados confidenciais sob a forma de um pedido hybridInspect. Os dados incluem uma mensagem de ativação e o identificador da tarefa ou do acionador de tarefas, que aciona a inspeção.
4. A proteção de dados confidenciais inspeciona os dados de acordo com os critérios que define no trabalho ou no acionador híbrido.
5. A proteção de dados confidenciais guarda os resultados da análise no recurso de tarefa híbrida, juntamente com os metadados que fornecer. Pode examinar os resultados através da IU de proteção de dados confidenciais na Google Cloud consola.
6. Opcionalmente, a Proteção de dados confidenciais pode executar ações pós-análise, como: guardar dados de resultados da inspeção numa tabela do BigQuery ou enviar-lhe uma notificação por email ou Pub/Sub.

Um acionador de tarefas híbrido permite-lhe criar, ativar e parar tarefas para que possa acionar ações sempre que precisar. Ao garantir que o seu script ou código envia dados que incluem o identificador do acionador de tarefas híbridas, não precisa de atualizar o script ou o código sempre que uma nova tarefa é iniciada.

Cenários típicos de trabalho híbrido

Os trabalhos híbridos são adequados para objetivos como os seguintes:

• Executar uma análise única de uma base de dados fora do Google Cloud as como parte de uma verificação pontual trimestral das bases de dados.
• Monitorizar todo o novo conteúdo adicionado diariamente a uma base de dados que a Proteção de dados confidenciais não suporta nativamente.
• Analisar dados que entram numa base de dados, enquanto controla a forma como os dados são particionados.
• Monitorize o tráfego numa rede através do filtro de proteção de dados sensíveis para o Envoy (um filtro HTTP WebAssembly para proxies sidecar do Envoy) para identificar movimentos problemáticos de dados sensíveis.

Para obter informações sobre como abordar estes cenários, consulte o artigo Cenários de inspeção híbrida típicos.

Tipos de metadados que pode fornecer

Esta secção descreve os tipos de metadados que pode anexar aos dados externos que quer inspecionar ou às conclusões.

Pode definir metadados nos seguintes níveis:

• A tarefa híbrida ou o acionador de tarefa híbrida
• O pedido hybridInspect

Metadados num trabalho híbrido ou num acionador de trabalho híbrido

Esta secção descreve os tipos de metadados que pode anexar a uma tarefa híbrida ou a um acionador de tarefa híbrida.

Etiquetas obrigatórias

No trabalho híbrido ou no acionador de trabalho híbrido, pode especificar uma lista de etiquetas obrigatórias que têm de ser incluídas em todos os pedidos de inspeção híbrida que enviar. Todas as solicitações para esse trabalho híbrido ou acionador de trabalho híbrido que não incluam estas etiquetas obrigatórias são rejeitadas. Para mais informações, consulte o artigo Exija etiquetas de pedidos hybridInspect.

Etiquetas opcionais

Pode especificar pares de chave-valor a anexar a todas as descobertas de uma tarefa híbrida ou de um acionador de tarefas híbridas. Por exemplo, se quiser que todas as conclusões de uma tarefa híbrida tenham a etiqueta "env"="prod", especifique este par valor-chave quando criar a tarefa híbrida.

Opções de dados tabulares

Pode especificar quaisquer colunas que sejam identificadores de linhas (chaves primárias) para objetos de tabela nos seus dados. Se as colunas especificadas existirem na tabela, os valores das colunas indicadas são incluídos juntamente com cada descoberta, para que possa rastrear a descoberta até à linha de origem. Estas opções tabulares aplicam-se apenas a pedidos que enviam dados tabulares, como formatos item.table ou byteItem, como CSV.

Se souber as chaves primárias antecipadamente, pode defini-las como campos de identificação quando criar a tarefa híbrida ou o acionador de tarefas híbridas. Pode listar até três nomes de colunas no campo hybridOptions.tableOptions.identifyingFields.

Metadados num pedido hybridInspect

Esta secção descreve os tipos de metadados que pode anexar a um pedido hybridInspect. Os metadados que envia num pedido hybridInspect são aplicados apenas a esse pedido.

Detalhes do contentor

Cada pedido que envia para uma tarefa híbrida ou um acionador de tarefas híbridas pode especificar detalhes sobre a origem de dados, incluindo elementos como fullPath, rootPath, relativePath, type, version e outros. Por exemplo, se estiver a analisar tabelas numa base de dados, pode definir os campos da seguinte forma:

{
  "hybridItem": {
    "item": {...},
    "findingDetails": {
      "containerDetails": {
        "fullPath": "10.0.0.20/database1/table1",
        "relativePath": "table1",
        "rootPath": "10.0.0.20/database1",
        "type": "postgres",
        "version": "9.6"
      },
      "labels": {...}
    }
  }
}

Não pode definir detalhes do contentor ao nível do emprego híbrido ou do acionador de emprego híbrido.

Etiquetas obrigatórias

Se definir etiquetas obrigatórias ao criar um trabalho híbrido ou um acionador de trabalho híbrido, qualquer pedido hybridInspect que enviar para esse trabalho híbrido ou acionador de trabalho híbrido tem de incluir essas etiquetas obrigatórias. Para mais informações, consulte o artigo Exija etiquetas de hybridInspectpedidos.

Etiquetas opcionais

Em cada pedido hybridInspect, pode especificar pares de chave-valor a anexar a quaisquer resultados nesse pedido. Este método permite-lhe anexar etiquetas diferentes a cada pedido hybridInspect.

Opções de dados tabulares

Pode especificar quaisquer colunas que sejam identificadores de linhas (chaves primárias) para objetos de tabela nos seus dados. Se as colunas especificadas existirem na tabela, os valores das colunas indicadas são incluídos juntamente com cada descoberta, para que possa rastrear a descoberta até à linha de origem. Estas opções tabulares aplicam-se apenas a pedidos que enviam dados tabulares, como formatos item.table ou byteItem, como CSV.

Se não souber as chaves primárias antecipadamente, não tem de as definir ao nível da tarefa híbrida ou do acionador de tarefas híbridas. Pode defini-los no seu pedido hybridInspect juntamente com os dados tabulares a inspecionar. Todos os campos que indicar no trabalho híbrido ou no acionador de trabalho híbrido são combinados com os que indicar no pedido hybridInspect.

Ações suportadas

Tal como outras tarefas de proteção de dados confidenciais, as tarefas híbridas suportam ações. Nem todas as ações se aplicam a empregos híbridos. Seguem-se as ações atualmente suportadas, juntamente com informações sobre o respetivo funcionamento. Tenha em atenção que, com as ações do Pub/Sub, email e Cloud Monitoring, as conclusões são disponibilizadas quando a tarefa termina.

• Guardar resultados na Proteção de dados confidenciais e Guardar resultados no BigQuery: os resultados são guardados num recurso da Proteção de dados confidenciais ou numa tabela do BigQuery, respetivamente. Estas ações funcionam com tarefas híbridas de forma semelhante ao funcionamento com outros tipos de tarefas, com uma diferença importante: com tarefas híbridas, os resultados são disponibilizados enquanto a tarefa está em execução; com outros tipos de tarefas, os resultados são disponibilizados quando a tarefa termina.

• Enviar Pub/Sub: quando um trabalho é concluído, é emitido um Pub/Sub message.

• Enviar email: quando uma tarefa estiver concluída, é enviada uma mensagem de email.

• Publicar no Cloud Monitoring: quando uma tarefa é concluída, as respetivas conclusões são publicadas no Monitoring.

Resumo

Seguem-se algumas das principais funcionalidades e vantagens da utilização de trabalhos híbridos e acionadores de trabalhos:

• As tarefas híbridas permitem-lhe transmitir dados para a proteção de dados sensíveis a partir de praticamente qualquer origem, na nuvem ou fora da nuvem.
• Os acionadores de tarefas híbridas são ativados quando a proteção de dados confidenciais recebe um fluxo de dados que inclui uma mensagem de ativação e o identificador do acionador de tarefas.
• Pode aguardar até que a análise de inspeção esteja concluída ou pode parar a tarefa manualmente. Os resultados da inspeção são guardados na Proteção de dados confidenciais ou no BigQuery, quer permita que a tarefa termine ou a interrompa antecipadamente.
• Os resultados da análise de inspeção da proteção de dados confidenciais de um acionador de tarefa híbrida são guardados num recurso de tarefa híbrida na proteção de dados confidenciais.
• Pode examinar os resultados da análise de inspeção ao ver o recurso de acionador da tarefa na proteção de dados confidenciais.
• Também pode instruir a proteção de dados confidenciais para, através de uma ação, enviar os resultados de tarefas híbridas para uma base de dados do BigQuery e enviar-lhe uma notificação por email ou notificação do Pub/Sub.

O que se segue?

• Para saber como usar tarefas híbridas e acionadores de tarefas para receber dados para inspeção, consulte o artigo Enviar dados externos para a proteção de dados confidenciais através de tarefas híbridas.