이제 Cloud Data Loss Prevention(Cloud DLP)은 민감한 정보 보호에 포함됩니다. API 이름은 Cloud Data Loss Prevention API(DLP API)로 그대로 유지됩니다. 민감한 정보 보호를 구성하는 서비스에 대한 자세한 내용은 민감한 정보 보호 개요를 참조하세요.

이 페이지는 Cloud Translation API를 통해 번역되었습니다.

검색 작업 사용 설정

이 섹션에서는 리소스 프로파일링 후 Sensitive Data Protection이 수행할 작업을 지정하는 방법을 설명합니다. 이러한 작업은 데이터 프로필에서 수집한 통계를 다른Google Cloud 서비스로 전송하려는 경우에 유용합니다.

탐색 작업을 사용 설정하려면 탐색 스캔 구성을 만들거나 수정하세요. 다음 섹션에서는 스캔 구성의 작업 추가 섹션에서 사용 설정할 수 있는 다양한 작업을 설명합니다.

이 페이지의 일부 작업은 각 디스커버리 유형에 사용할 수 없습니다. 예를 들어 다른 클라우드 제공업체의 리소스에 대한 검색을 구성하는 경우 리소스에 태그를 연결할 수 없습니다. 자세한 내용은 이 페이지의 지원되는 작업을 참고하세요.

민감한 정보 탐색에 대한 자세한 내용은 데이터 프로필을 참고하세요.

검사 및 위험 분석 작업에는 서로 다른 작업이 있습니다. 자세한 내용은 검사 또는 위험 분석 작업 사용 설정을 참고하세요.

Google Security Operations에 게시

데이터 프로필에서 수집한 측정항목은 Google Security Operations 발견 항목에 컨텍스트를 추가할 수 있습니다. 추가된 컨텍스트는 해결해야 할 가장 중요한 보안 문제를 결정하는 데 도움이 될 수 있습니다.

예를 들어 특정 서비스 에이전트를 조사하는 경우 Google Security Operations는 서비스 에이전트가 액세스한 리소스와 이러한 리소스에 매우 민감한 정보가 있는지 여부를 확인할 수 있습니다.

데이터 프로필을 Google Security Operations 인스턴스로 전송하려면 Google Security Operations에 게시를 사용 설정합니다.

독립형 제품 또는 Security Command Center Enterprise를 통해 조직에 Google Security Operations 인스턴스가 사용 설정되어 있지 않은 경우 이 옵션을 사용 설정해도 아무런 영향이 없습니다.

Security Command Center에 게시

데이터 프로필의 발견 항목은 Security Command Center에서 취약점 및 위협 발견 항목을 분류하고 대응 계획을 개발할 때 컨텍스트를 제공합니다.

이 작업을 사용하려면 조직 수준에서 Security Command Center를 활성화해야 합니다. 조직 수준에서 Security Command Center를 활성화하면 Sensitive Data Protection과 같은 통합 서비스에서 발견 항목 흐름이 사용 설정됩니다. Sensitive Data Protection은 모든 서비스 등급의 Security Command Center와 호환됩니다.

Security Command Center가 조직 수준에서 활성화되지 않았으면 Sensitive Data Protection 발견 항목이 Security Command Center에 표시되지 않습니다. 자세한 내용은 Security Command Center의 활성화 수준 확인을 참조하세요.

데이터 프로필 결과를 Security Command Center로 보내려면 Security Command Center에 게시 옵션이 사용 설정되어 있는지 확인합니다.

자세한 내용은 Security Command Center에 데이터 프로필 게시를 참고하세요.

BigQuery에 데이터 프로필 사본 저장

Sensitive Data Protection은 생성된 각 데이터 프로필의 사본을 BigQuery 테이블에 저장합니다. 선호하는 테이블의 세부정보를 제공하지 않으면 Sensitive Data Protection에서 서비스 에이전트 컨테이너에 데이터 세트와 테이블을 만듭니다. 기본적으로 데이터 세트의 이름은 sensitive_data_protection_discovery이고 테이블의 이름은 discovery_profiles입니다.

이 작업을 통해 생성된 모든 프로필의 기록을 보관할 수 있습니다. 이 기록은 감사 보고서를 만들고 데이터 프로필을 시각화하는 데 유용합니다. 이 정보를 다른 시스템에 로드할 수도 있습니다.

또한 이 옵션을 사용하면 데이터가 있는 리전에 관계없이 모든 데이터 프로필을 단일 뷰에서 확인할 수 있습니다. Google Cloud 콘솔을 통해 데이터 프로필을 볼 수 있지만 콘솔에는 한 번에 하나의 리전의 프로필만 표시됩니다.

Sensitive Data Protection이 리소스를 프로파일링하지 못하면 프로파일링이 주기적으로 재시도됩니다. 내보낸 데이터의 노이즈를 최소화하기 위해 Sensitive Data Protection은 성공적으로 생성된 프로필만 BigQuery로 내보냅니다.

Sensitive Data Protection은 이 옵션을 사용 설정한 시점부터 프로필을 내보내기 시작합니다. 내보내기를 사용 설정하기 전에 생성된 프로필은 BigQuery에 저장되지 않습니다.

데이터 프로필을 분석할 때 사용할 수 있는 쿼리 예시는 데이터 프로필 분석을 참고하세요.

샘플 탐색 발견 항목을 BigQuery에 저장

민감한 정보 보호는 선택한 BigQuery 테이블에 샘플 발견 항목을 추가할 수 있습니다. 샘플 결과는 모든 결과의 하위 집합을 나타내며 발견된 모든 infoType을 나타내지 않을 수 있습니다. 일반적으로 시스템은 리소스당 약 10개의 샘플 발견 항목을 생성하지만 이 수는 각 검색 실행마다 다를 수 있습니다.

각 발견 항목에는 감지된 실제 문자열 (인용이라고도 함)과 정확한 위치가 포함됩니다.

이 작업은 검사 구성이 민감한 것으로 표시하려는 정보 유형과 올바르게 일치하는지 평가하려는 경우에 유용합니다. 내보낸 데이터 프로필과 내보낸 샘플 결과를 사용하여 쿼리를 실행하여 플래그가 지정된 특정 항목, 일치한 infoType, 정확한 위치, 계산된 민감도 수준 및 기타 세부정보에 대한 자세한 정보를 확인할 수 있습니다.

이 예시에서는 BigQuery에 데이터 프로필 사본 저장과 샘플 탐색 발견 항목을 BigQuery에 저장이 모두 사용 설정되어야 합니다.

다음 쿼리는 내보낸 데이터 프로필 테이블과 내보낸 샘플 결과 테이블 모두에서 INNER JOIN 작업을 사용합니다. 결과 테이블에서 각 레코드에는 발견 항목의 인용, 일치하는 infoType, 발견 항목이 포함된 리소스, 계산된 리소스의 민감도 수준이 표시됩니다.

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

이 예시에서는 BigQuery에 데이터 프로필 사본 저장과 샘플 탐색 발견 항목을 BigQuery에 저장이 모두 사용 설정되어야 합니다.

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 findings_table.location.data_profile_finding_record_location.field.name AS field_name,
 profiles_table.table_profile.dataset_project_id AS project_id,
 profiles_table.table_profile.dataset_id AS dataset_id,
 profiles_table.table_profile.table_id AS table_id,
 profiles_table.table_profile.sensitivity_score AS table_sensitivity_score
 FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.table_profile.name

샘플 발견 항목을 BigQuery 테이블에 저장하려면 다음 단계를 따르세요.

샘플 탐색 발견 항목을 BigQuery에 저장을 사용 설정합니다.
샘플 발견 항목을 저장할 BigQuery 테이블의 세부정보를 입력합니다.

이 작업에 지정하는 테이블은 BigQuery에 데이터 프로필 사본 저장 작업에 사용되는 테이블과 달라야 합니다.
- 프로젝트 ID에 결과를 내보내려는 기존 프로젝트의 ID를 입력합니다.
- 데이터 세트 ID에 프로젝트의 기존 데이터 세트 이름을 입력합니다.
- 테이블 ID에 발견 항목을 저장할 BigQuery 테이블의 이름을 입력합니다. 이 테이블이 없으면 제공된 이름을 사용해서 Sensitive Data Protection이 자동으로 만듭니다.

BigQuery 테이블에 저장된 각 검색 결과의 콘텐츠에 대한 자세한 내용은 DataProfileFinding을 참고하세요.

리소스에 태그 연결

리소스에 태그 연결을 사용 설정하면 Sensitive Data Protection에서 계산된 민감도 수준에 따라 데이터를 자동으로 태그합니다. 이 섹션을 진행하려면 먼저 데이터 민감도에 따라 리소스에 대한 IAM 액세스 제어의 작업을 완료해야 합니다.

계산된 민감도 수준에 따라 리소스에 자동으로 태그를 지정하려면 다음 단계를 따르세요.

리소스에 태그 지정 옵션을 사용 설정합니다.
각 민감도 수준 (높음, 보통, 낮음, 알 수 없음)에 대해 지정된 민감도 수준에 대해 만든 태그 값의 경로를 입력합니다.

민감도 수준을 건너뛰면 해당 수준에 태그가 연결되지 않습니다.
민감도 수준 태그가 있는 경우 리소스의 데이터 위험 수준을 자동으로 낮추려면 리소스에 태그가 적용되면 프로필의 데이터 위험을 '낮음'으로 낮춥니다를 선택합니다. 이 옵션을 사용하면 데이터 보안 및 개인 정보 보호 상황의 개선 정도를 측정할 수 있습니다.

중요: 이 옵션은 프로필이 지정된 리소스의 계산된 데이터 위험 수준을 재정의합니다.
다음 옵션 중 하나 또는 둘 다를 선택합니다.
- 리소스가 처음 프로파일링되면 리소스를 태그합니다.
- 프로필이 업데이트되면 리소스를 태그합니다. Sensitive Data Protection에서 후속 검색 실행 시 민감도 수준 태그 값을 덮어쓰도록 하려면 이 옵션을 선택하세요. 따라서 리소스의 계산된 데이터 민감도 수준이 증가하거나 감소하면 리소스에 대한 주 구성원의 액세스 권한이 자동으로 변경됩니다.
  
  검색 서비스가 리소스에 연결한 민감도 수준 태그 값을 수동으로 업데이트할 계획이라면 이 옵션을 선택하지 마세요. 이 옵션을 선택하면 Sensitive Data Protection에서 수동 업데이트를 덮어쓸 수 있습니다.

Pub/Sub에 게시

Pub/Sub에 게시를 사용 설정하면 프로파일링 결과를 기반으로 프로그래매틱 작업을 수행할 수 있습니다. Pub/Sub 알림을 사용하여 심각한 데이터 위험 또는 민감성이 포함된 발견 항목을 포착하고 해결하는 워크플로를 개발할 수 있습니다.

Pub/Sub 주제로 알림을 전송하려면 다음 단계를 수행합니다.

Pub/Sub에 게시를 사용 설정합니다.

옵션 목록이 나타납니다. 각 옵션에서 Sensitive Data Protection이 Pub/Sub에 알림을 보내도록 유도하는 이벤트를 설명합니다.
Pub/Sub 알림을 트리거할 이벤트를 선택합니다.

프로필이 업데이트될 때마다 Pub/Sub 알림 전송을 선택하면 Sensitive Data Protection이 민감도 수준, 데이터 위험 수준, 감지된 infoType, 공개 액세스 및 프로필의 기타 중요한 측정항목에 변경사항이 있을 때 알림을 전송합니다.
선택한 이벤트마다 다음 단계를 따르세요.
1. 주제 이름을 입력합니다. 이름은 다음 형식이어야 합니다.
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  다음을 바꿉니다.
  - PROJECT_ID: Pub/Sub 주제와 연결된 프로젝트의 ID입니다.
  - TOPIC_ID: Pub/Sub 주제의 ID입니다.
2. 알림에 전체 리소스 프로필을 포함할지 아니면 프로파일링된 리소스의 전체 리소스 이름만 포함할지를 지정합니다.
3. Sensitive Data Protection이 알림을 전송하기 위해 충족되어야 하는 최소한의 데이터 위험 및 민감도 수준을 설정합니다.
4. 데이터 위험 및 민감도 조건을 하나만 충족하면 되는지, 아니면 둘 다 충족해야 하는지 지정합니다. 예를 들어 AND를 선택하는 경우 Sensitive Data Protection이 알림을 전송하려면 먼저 데이터 위험 및 민감도 조건을 모두 충족해야 합니다.

참고: 서비스 에이전트에 Pub/Sub 주제에 대한 게시 액세스 권한이 있어야 합니다. 게시 액세스 권한이 있는 역할의 예시로는 Pub/Sub 게시자 역할(roles/pubsub.publisher)이 있습니다. 아직 서비스 에이전트가 없는 경우 Sensitive Data Protection을 사용하여 나중에 스캔 구성 만들기 페이지에서 만들 수 있습니다. Pub/Sub 주제에 구성 문제나 권한 문제가 있으면 Sensitive Data Protection에서 최대 2주 동안 Pub/Sub 알림 전송을 재시도합니다. 2주 후에 알림이 삭제됩니다.

Data Catalog에 태그로 전송

이 기능은 지원 중단되었습니다.

이 작업을 사용하면 데이터 프로필의 통계를 기반으로 Dataplex Universal Catalog에서 Data Catalog 태그를 만들 수 있습니다. 이 작업은 신규 및 업데이트된 프로필에만 적용됩니다. 업데이트되지 않은 기존 프로필은 Dataplex 범용 카탈로그로 전송되지 않습니다.

Data Catalog는 확장 가능한 완전 관리형 메타데이터 관리 서비스입니다. 이 작업을 사용 설정하면 프로파일링하는 테이블이 데이터 프로필에서 수집한 통계에 따라 Data Catalog에서 자동으로 태그됩니다. 그런 다음 Dataplex Universal Catalog를 사용하여 조직과 프로젝트에서 특정 태그 값이 있는 테이블을 검색할 수 있습니다.

데이터 프로필을 Dataplex Universal Catalog에 Data Catalog 태그로 보내려면 Dataplex에 태그로 전송 옵션이 켜져 있는지 확인합니다.

자세한 내용은 데이터 프로필의 통계를 기반으로 Data Catalog에서 테이블에 태그 지정을 참고하세요.

Dataplex 범용 카탈로그에 관점으로 전송

이 작업을 사용하면 데이터 프로필의 통계를 기반으로 프로파일링된 리소스에 Dataplex 범용 카탈로그 측면을 추가할 수 있습니다. 이 작업은 신규 및 업데이트된 프로필에만 적용됩니다. 업데이트되지 않은 기존 프로필은 Dataplex 범용 카탈로그로 전송되지 않습니다.

이 작업을 사용 설정하면 Sensitive Data Protection은 프로파일링하는 각 신규 또는 업데이트된 리소스의 Dataplex 범용 카탈로그 항목에 Sensitive Data Protection profile 관점을 연결합니다. 생성된 측면에는 데이터 프로필에서 수집된 통계가 포함됩니다. 그런 다음 조직과 프로젝트에서 특정 Sensitive Data Protection profile 측면 값이 있는 항목을 검색할 수 있습니다.

데이터 프로필을 Dataplex Universal Catalog로 보내려면 Dataplex Catalog에 관점으로 전송 옵션이 켜져 있는지 확인합니다.

자세한 내용은 데이터 프로필의 통계를 기반으로 Dataplex Universal Catalog 측면 추가를 참고하세요.

지원되는 작업

다음 표에서는 각 검색 유형에 지원되는 작업을 보여줍니다.

	Google Security Operations에 게시	Security Command Center에 게시	BigQuery에 데이터 프로필 사본 저장	샘플 탐색 발견 항목을 BigQuery에 저장	리소스에 태그 연결	Pub/Sub에 게시	Data Catalog 태그로 Dataplex 범용 카탈로그에 전송(지원 중단됨)	Dataplex 범용 카탈로그에 관점으로 전송
Amazon S3	✓	✓	✓	✓		✓
Azure Blob Storage	✓	✓	✓	✓		✓
BigQuery	✓	✓	✓	✓	✓	✓	✓	✓
Cloud SQL	✓	✓	✓	✓	✓	✓		✓
Cloud Storage	✓	✓	✓	✓	✓	✓
Vertex AI	✓	✓	✓	✓		✓		✓

다음 단계

Google Security Operations의 데이터 프로필에서 컨텍스트 데이터를 사용하는 방법을 알아보세요.
Sensitive Data Protection이 Security Command Center에서 생성할 수 있는 발견 항목에 대해 알아봅니다.
BigQuery 및 Looker Studio에서 데이터 프로필을 분석하는 방법을 알아보세요.
데이터 민감도에 따라 리소스에 대한 IAM 액세스를 제어하는 방법을 알아보세요.
데이터 프로필에 대한 Pub/Sub 메시지를 수신하고 파싱하는 방법을 알아봅니다.
데이터 프로필의 통계를 기반으로 Dataplex Universal Catalog 측면을 추가하는 방법을 알아봅니다.