Daten durch Entdecken und Prüfen kennenlernen

Auf dieser Seite werden zwei Dienste zum Schutz sensibler Daten beschrieben und verglichen, mit denen Sie Ihre Daten besser verstehen und Datenverwaltungsworkflows ermöglichen können: der Ermittlungsdienst und der Prüfungsdienst.

Auffinden sensibler Daten

Der Discovery-Dienst überwacht Daten in Ihrer gesamten Organisation. Dieser Dienst läuft kontinuierlich und erkennt, klassifiziert und profiliert Daten automatisch. Mit der Datenermittlung können Sie den Speicherort und die Art der von Ihnen gespeicherten Daten ermitteln, einschließlich Datenressourcen, die Ihnen möglicherweise nicht bekannt sind. Für unbekannte Daten (manchmal auch Schattendaten genannt) gelten in der Regel nicht dieselben Datengovernance- und Risikomanagementmaßnahmen wie für bekannte Daten.

Sie können die Erkennung auf verschiedenen Ebenen konfigurieren. Sie können für verschiedene Teilmengen Ihrer Daten unterschiedliche Zeitpläne für die Profilerstellung festlegen. Sie können auch Teilmengen von Daten ausschließen, die nicht profiliert werden müssen.

Ausgabe des Discovery-Scans: Datenprofile

Die Ausgabe eines Discovery-Scans besteht aus einer Reihe von Datenprofilen für jede Datenressource im Umfang. Bei einem Discovery-Scan von BigQuery- oder Cloud SQL-Daten werden beispielsweise Datenprofile auf Projekt-, Tabellen- und Spaltenebene generiert.

Ein Datenprofil enthält Messwerte und Statistiken zur profilierten Ressource. Dazu gehören die Datenklassifizierungen (oder infoTypes), Vertraulichkeitsstufen, Datenrisikostufen, Datengröße, Datenform und andere Elemente, die die Art der Daten und ihre Datensicherheitslage (wie sicher die Daten sind) beschreiben. Anhand von Datenprofilen können Sie fundierte Entscheidungen zum Schutz Ihrer Daten treffen, z. B. indem Sie Zugriffsrichtlinien für die Tabelle festlegen.

Angenommen, Sie haben eine BigQuery-Spalte namens ccn, in der jede Zeile eine eindeutige Kreditkartennummer enthält und es keine Nullwerte gibt. Das generierte Datenprofil auf Spaltenebene enthält die folgenden Details:

Anzeigename Wert
Field ID ccn
Data risk High
Sensitivity High
Data type TYPE_STRING
Policy tags No
Free text score 0
Estimated uniqueness High
Estimated null proportion Very low
Last profile generated DATE_TIME
Predicted infoType CREDIT_CARD_NUMBER

Außerdem ist dieses Profil auf Spaltenebene Teil eines Profils auf Tabellenebene, das Informationen wie den Speicherort der Daten, den Verschlüsselungsstatus und ob die Tabelle öffentlich freigegeben ist, enthält. In der Google Cloud Console können Sie sich auch die Cloud Logging-Einträge für die Tabelle, die IAM-Hauptkonten mit Rollen für die Tabelle und die an die Tabelle angehängten Dataplex-Tags ansehen.

Ein Datenprofil auf Tabellenebene, das Messwerte und Statistiken zur Tabelle enthält und die Ansicht der Tabelle in Logging, IAM und Dataplex ermöglicht.

Eine vollständige Liste der in Datenprofilen verfügbaren Messwerte und Statistiken finden Sie in der Referenz zu Messwerten.

Wann ist die Discovery-Kampagne geeignet?

Wenn Sie Ihren Ansatz für die Datenrisikoverwaltung planen, empfehlen wir Ihnen, mit der Bestandsaufnahme zu beginnen. Mit dem Discovery-Dienst erhalten Sie einen umfassenden Überblick über Ihre Daten und können Benachrichtigungen, Berichte und Korrekturmaßnahmen für Probleme aktivieren.

Darüber hinaus kann der Discovery-Dienst Ihnen helfen, die Ressourcen zu identifizieren, in denen sich unstrukturierte Daten befinden könnten. Solche Ressourcen erfordern möglicherweise eine umfassende Prüfung. Unstrukturierte Daten werden durch einen hohen Wert für den freien Text auf einer Skala von 0 bis 1 angegeben.

Prüfung sensibler Daten

Der Prüfdienst führt einen umfassenden Scan einer einzelnen Ressource durch, um jede einzelne Instanz sensibler Daten zu finden. Bei einer Prüfung wird für jede erkannte Instanz ein Ergebnis ausgegeben.

Inspektionsjobs bieten eine Vielzahl von Konfigurationsoptionen, mit denen Sie die Daten ermitteln können, die Sie prüfen möchten. Sie können beispielsweise Stichprobenerhebungen aktivieren, um die zu prüfenden Daten auf eine bestimmte Anzahl von Zeilen (für BigQuery-Daten) oder bestimmte Dateitypen (für Cloud Storage-Daten) zu beschränken. Sie können auch einen bestimmten Zeitraum angeben, in dem die Daten erstellt oder geändert wurden.

Im Gegensatz zur Entdeckung, bei der Ihre Daten kontinuierlich überwacht werden, ist eine Prüfung ein On-Demand-Vorgang. Sie können jedoch wiederkehrende Inspektionsjobs planen, die als Job-Trigger bezeichnet werden.

Scanausgabe der Prüfung: Ergebnisse

Jedes Ergebnis enthält Details wie den Speicherort der erkannten Instanz, den potenziellen infoType und die Wahrscheinlichkeit (auch Wahrscheinlichkeit genannt), dass das Ergebnis mit dem infoType übereinstimmt. Je nach Ihren Einstellungen können Sie auch den tatsächlichen String abrufen, auf den sich der Befund bezieht. Dieser String wird im Datenschutz für sensible Daten als Zitat bezeichnet.

Eine vollständige Liste der Details, die in einem Prüfergebnis enthalten sind, finden Sie unter Finding.

Wann sollten Sie die Prüfung verwenden?

Eine Prüfung ist nützlich, wenn Sie unstrukturierte Daten (z. B. von Nutzern erstellte Kommentare oder Rezensionen) untersuchen und alle Vorkommen von personenidentifizierbaren Informationen (PII) identifizieren möchten. Wenn bei einem explorativen Scan Ressourcen mit unstrukturierten Daten gefunden werden, empfehlen wir, einen Inspektionsscan für diese Ressourcen auszuführen, um Details zu den einzelnen Ergebnissen zu erhalten.

Wann die Prüfung nicht verwendet werden sollte

Die Prüfung einer Ressource ist nicht sinnvoll, wenn die beiden folgenden Bedingungen zutreffen: Anhand eines explorativen Scans können Sie entscheiden, ob ein Prüfscan erforderlich ist.

  • Die Ressource enthält nur strukturierte Daten. Es gibt also keine Spalten mit freien Textdaten wie Nutzerkommentare oder Rezensionen.
  • Sie kennen die in dieser Ressource gespeicherten infoTypes bereits.

Angenommen, Datenprofile aus einem explorativen Scan zeigen an, dass eine bestimmte BigQuery-Tabelle keine Spalten mit unstrukturierten Daten, aber eine Spalte mit eindeutigen Kreditkartennummern enthält. In diesem Fall ist es nicht sinnvoll, nach Kreditkartennummern in der Tabelle zu suchen. Bei einer Prüfung wird für jeden Artikel in der Spalte ein Ergebnis ausgegeben. Wenn Sie eine Million Zeilen haben und jede Zeile eine Kreditkartennummer enthält, führt ein Inspektionsjob zu einer Million Ergebnissen für den infoType CREDIT_CARD_NUMBER. In diesem Beispiel ist die Prüfung nicht erforderlich, da der Entdeckungsscan bereits darauf hinweist, dass die Spalte eindeutige Kreditkartennummern enthält.

Speicherort, Verarbeitung und Speicherung von Daten

Sowohl die Datenerkennung als auch die Datenprüfung unterstützen die Anforderungen an den Datenstandort:

  • Der Discovery-Dienst verarbeitet Ihre Daten an ihrem Speicherort und speichert die generierten Datenprofile in derselben Region oder Multiregion wie die profilierten Daten. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.
  • Bei der Prüfung von Daten in einem Google Cloud-Speichersystem verarbeitet der Prüfdienst Ihre Daten in derselben Region, in der sich die Daten befinden, und speichert den Prüfjob in dieser Region. Wenn Sie Daten mit einem Hybridjob oder einer content-Methode prüfen, können Sie mit dem Prüfdienst angeben, wo Ihre Daten verarbeitet werden sollen. Weitere Informationen finden Sie unter So werden Daten gespeichert.

Vergleichsübersicht: Discovery- und Prüfdienste

Discovery Prüfung
Vorteile
  • Kontinuierliche Sichtbarkeit in einer Organisation, einem Ordner oder einem Projekt.
  • Hilft dabei, die Ressourcen zu identifizieren, die sensible, risikoreiche und unstrukturierte Daten enthalten. Eine vollständige Liste der Statistiken finden Sie in der Referenz zu Messwerten.
  • Hilft, unbekannte Daten (sogenannte „Schattendaten“) zu finden.
  • On-Demand-Prüfung einer einzelnen Ressource.
  • Hier werden alle Instanzen sensibler Daten in der geprüften Ressource angegeben.
Kosten
  • Kostenschätzung: Kostenlos
  • Verbrauchsmodus: 0,03$pro GB oder der Preis für 3 TB, je nachdem, welcher Wert niedriger ist
  • Abomodus (reservierte Kapazität): 2.500$pro Aboeinheit

10 TB kosten im Verbrauchsmodus ungefähr 300$pro Monat.
  • Bis zu 1 GB: kostenlos
  • 1 GB bis 50 TB: 1,00$pro GB
  • 50 TB bis 500 TB: 0,75$pro GB
  • Über 500 TB: 0,60$pro GB

10 TB kosten ungefähr 10.000$pro Scan.
Unterstützte Datenquellen BigLake
BigQuery
Umgebungsvariablen für Cloud Run-Funktionen
Umgebungsvariablen für die Cloud Run-Dienstversion
Cloud SQL
Cloud Storage
Vertex AI (Vorabversion)
Amazon S3
BigQuery
Cloud Storage
Datastore
Hybrid (beliebige Quelle)1
Unterstützte Bereiche
  • Eine Google Cloud-Organisation, ein Google Cloud-Ordner, ein Google Cloud-Projekt oder eine Google Cloud-Datenressource
  • Eine Amazon Web Services-Organisation, ein Konto oder ein S3-Bucket
Eine einzelne BigQuery-Tabelle, ein Cloud Storage-Bucket oder eine Datastore-Art.
Integrierte Inspektionsvorlagen Ja Ja
Integrierte und benutzerdefinierte infoTypes Ja Ja
Scanausgabe Gesamtübersicht (Datenprofile) über alle unterstützten Daten. Konkret ermittelte sensible Daten in der geprüften Ressource.
Ergebnisse in BigQuery speichern Ja Ja
Als Tags an Dataplex senden Ja Ja
Ergebnisse im Security Command Center veröffentlichen Ja Ja
Ergebnisse in Google Security Operations veröffentlichen Ja für die Entdeckung auf Organisations- und Ordnerebene Nein
In Pub/Sub veröffentlichen Ja Ja
Unterstützung für den Datenstandort Ja Ja

1 Für die Hybrid-Prüfung gilt ein anderes Preismodell. Weitere Informationen finden Sie unter Prüfung von Daten aus beliebigen Quellen .

Nächste Schritte