本页面包含参考信息,介绍如何将敏感数据保护与 BigQuery 搭配使用。
快速入门指南
- 快速入门:安排 Sensitive Data Protection 检查扫描
- 安排定期检查 Cloud Storage 存储桶、BigQuery 表或 Datastore 种类。如需了解详细说明,请参阅创建和安排敏感数据保护检查作业。
方法指南
本部分提供了一系列基于任务的指南,用于演示如何将敏感数据保护与 BigQuery 搭配使用。
检查
- 检查存储空间和数据库是否存在敏感数据
- 创建一次性作业,以在 Cloud Storage 存储桶、BigQuery 表或 Datastore 种类中搜索敏感数据。
- 创建和安排 Sensitive Data Protection 检查作业
- 创建并安排作业触发器,用于在 Cloud Storage 存储桶、BigQuery 表或 Datastore 种类中搜索敏感数据。作业触发器会定期自动创建敏感数据保护作业。
使用扫描结果
- 将敏感数据保护扫描结果发送到 Data Catalog
- 扫描 BigQuery 表,然后将发现结果发送到 Data Catalog,以根据敏感数据保护发现结果自动创建标记。
- 将敏感数据保护扫描结果发送到 Security Command Center
- 扫描 Cloud Storage 存储桶、BigQuery 表格或 Datastore 种类,然后将发现结果发送到 Security Command Center。
- 分析和报告敏感数据保护结果
- 使用 BigQuery 分析敏感数据保护发现结果。
- 在 BigQuery 中查询敏感数据保护结果
- 查看您可以在 BigQuery 中用来分析敏感数据保护功能识别的发现结果的示例查询。
重标识风险分析
- 衡量重标识和披露风险
分析存储在 BigQuery 表中的结构化数据,并计算以下重标识风险指标:
- 计算数值统计信息和分类统计信息
确定单个 BigQuery 列的最小值、最大值和分位数值。
- 使用 Looker 数据洞察直观呈现重标识化风险
衡量数据集的 k-匿名性,然后在 Looker Studio 中将其直观呈现。
教程
- 在查询时对 BigQuery 数据进行去标识化处理
- 按照分步教程操作,使用 BigQuery 远程函数对实时查询结果中的数据进行去标识化和重标识。
- 使用 Sensitive Data Protection 对大规模数据集中的个人身份信息进行去标识化和重标识处理
- 查看参考架构,了解如何创建用于对个人身份信息 (PII) 等敏感数据进行去标识化的自动化数据转换流水线。
最佳做法
- 确保存储机密数据的 BigQuery 数据仓库的安全性
- 在 Google Cloud 中创建、部署和操作数据仓库时的数据治理架构概览和最佳实践,包括数据去标识化、差分处理机密数据和列级访问权限控制。
观众投稿
以下各项由社区成员(而不是敏感数据保护团队)拥有和管理。如有关于这些内容的问题,请与相应的所有者联系。
- 通过使用敏感数据保护功能检查 BigQuery 数据来创建 Data Catalog 标记
- 使用 Cloud Data Loss Prevention API 检查 BigQuery 数据,然后使用 Data Catalog API 根据敏感数据保护功能发现的敏感元素创建列级标记。
- 使用敏感数据保护功能实现事件驱动型无服务器调度架构
- 设置一个事件驱动型无服务器调度应用,使用 Cloud Data Loss Prevention API 检查 BigQuery 数据。
- 使用 Google Cloud 数据流分析和 AI 服务进行实时异常检测
- 介绍用于检测日志文件中的异常值的实时人工智能 (AI) 模式。此概念验证使用 Pub/Sub、Dataflow、BigQuery ML 和 Sensitive Data Protection。
- 使用 Dataflow 和敏感数据保护功能将关系型数据库导入 BigQuery
- 使用 Dataflow 和敏感数据保护功能安全地令牌化关系型数据库中的数据并将其导入 BigQuery。本示例介绍如何在个人身份信息数据持久化之前对其进行令牌化处理。
价格
检查 BigQuery 表时,您需要根据存储空间检查作业价格支付敏感数据保护费用。
此外,如果您将检查结果保存到 BigQuery 表,则需要支付 BigQuery 费用。