Halaman ini menjelaskan dan membandingkan dua layanan Perlindungan Data Sensitif yang membantu Anda memahami data dan mengaktifkan alur kerja tata kelola data: layanan penemuan dan layanan pemeriksaan.
Penemuan data sensitif
Layanan penemuan memantau data di seluruh organisasi Anda. Layanan ini berjalan terus-menerus dan secara otomatis menemukan, mengklasifikasikan, dan membuat profil data. Penemuan dapat membantu Anda memahami lokasi dan sifat data yang Anda simpan, termasuk resource data yang mungkin tidak Anda ketahui. Data yang tidak diketahui (terkadang disebut data bayangan) biasanya tidak menjalani tingkat tata kelola data dan pengelolaan risiko yang sama seperti data yang diketahui.
Anda mengonfigurasi penemuan di berbagai cakupan. Anda dapat menetapkan jadwal pembuatan profil yang berbeda untuk subkumpulan data yang berbeda. Anda juga dapat mengecualikan subkumpulan data yang tidak perlu dibuat profilnya.
Output pemindaian penemuan: profil data
Output pemindaian penemuan adalah kumpulan profil data untuk setiap resource data dalam cakupan. Misalnya, pemindaian penemuan data BigQuery atau Cloud SQL menghasilkan profil data di tingkat project, tabel, dan kolom.
Profil data berisi metrik dan insight tentang resource yang diprofilkan. Profil data mencakup klasifikasi data (atau infoTypes), tingkat sensitivitas, tingkat risiko data, ukuran data, bentuk data, dan elemen lain yang mendeskripsikan sifat data dan postur keamanan data-nya (tingkat keamanan data). Anda dapat menggunakan profil data untuk membuat keputusan yang tepat tentang cara melindungi data Anda, misalnya, dengan menetapkan kebijakan akses pada tabel.
Pertimbangkan kolom BigQuery yang disebut ccn, dengan setiap baris berisi
nomor kartu kredit unik dan tidak ada nilai null. Profil data tingkat kolom yang dihasilkan akan memiliki detail berikut:
| Nama tampilan | Nilai |
|---|---|
Field ID |
ccn |
Data risk |
High |
Sensitivity |
High |
Data type |
TYPE_STRING |
Policy tags |
No |
Free text score |
0 |
Estimated uniqueness |
High |
Estimated null proportion |
Very low |
Last profile generated |
DATE_TIME |
Predicted infoType |
CREDIT_CARD_NUMBER |
Selain itu, profil tingkat kolom ini adalah bagian dari profil tingkat tabel, yang memberikan insight seperti lokasi data, status enkripsi, dan apakah tabel dibagikan secara publik. Di konsol Google Cloud, Anda juga dapat melihat entri Cloud Logging untuk tabel, akun utama IAM dengan peran untuk tabel, dan tag Dataplex yang dilampirkan ke tabel.
Untuk mengetahui daftar lengkap metrik dan insight yang tersedia di profil data, lihat Referensi metrik.
Kapan harus menggunakan penemuan
Saat merencanakan pendekatan pengelolaan risiko data, sebaiknya mulai dengan penemuan. Layanan penemuan membantu Anda mendapatkan gambaran yang luas tentang data dan memungkinkan peringatan, pelaporan, dan perbaikan masalah.
Selain itu, layanan penemuan dapat membantu Anda mengidentifikasi resource tempat data tidak terstruktur mungkin berada. Resource tersebut mungkin memerlukan pemeriksaan yang menyeluruh. Data tidak terstruktur ditentukan oleh skor teks bebas yang tinggi dalam skala dari 0 hingga 1.
Pemeriksaan data sensitif
Layanan pemeriksaan melakukan pemindaian menyeluruh pada satu resource untuk menemukan setiap instance data sensitif. Inspeksi menghasilkan temuan untuk setiap instance yang terdeteksi.
Tugas pemeriksaan menyediakan serangkaian opsi konfigurasi yang beragam untuk membantu Anda menentukan data yang ingin diperiksa. Misalnya, Anda dapat mengaktifkan sampling untuk membatasi data yang akan diperiksa ke sejumlah baris tertentu (untuk data BigQuery) atau jenis file tertentu (untuk data Cloud Storage). Anda juga dapat menargetkan rentang waktu tertentu saat data dibuat atau diubah.
Tidak seperti penemuan, yang terus memantau data Anda, inspeksi adalah operasi on demand. Namun, Anda dapat menjadwalkan tugas inspeksi berulang yang disebut pemicu tugas.
Output pemindaian inspeksi: temuan
Setiap temuan mencakup detail seperti lokasi instance yang terdeteksi, infoType potensialnya, dan kepastian (juga disebut kemungkinan) bahwa temuan cocok dengan infoType. Bergantung pada setelan Anda, Anda juga bisa mendapatkan string sebenarnya yang terkait dengan temuan; string ini disebut kutipan di Perlindungan Data Sensitif.
Untuk mengetahui daftar lengkap detail yang disertakan dalam temuan inspeksi, lihat
Finding.
Kapan harus menggunakan inspeksi
Pemeriksaan berguna saat Anda perlu menyelidiki data tidak terstruktur (seperti komentar atau ulasan buatan pengguna) dan mengidentifikasi setiap instance informasi identitas pribadi (PII). Jika pemindaian penemuan mengidentifikasi resource yang berisi data tidak terstruktur, sebaiknya jalankan pemindaian inspeksi pada resource tersebut untuk mendapatkan detail tentang setiap temuan.
Kapan sebaiknya inspeksi tidak digunakan
Memeriksa resource tidak berguna jika kedua kondisi berikut berlaku. Pemindaian penemuan dapat membantu Anda memutuskan apakah pemindaian inspeksi diperlukan.
- Anda hanya memiliki data terstruktur di resource. Artinya, tidak ada kolom data bentuk bebas, seperti komentar atau ulasan pengguna.
- Anda sudah mengetahui infoType yang disimpan di resource tersebut.
Misalnya, profil data dari pemindaian penemuan menunjukkan bahwa
tabel BigQuery tertentu tidak memiliki kolom dengan data
yang tidak terstruktur, tetapi memiliki kolom nomor kartu kredit unik. Dalam hal ini, memeriksa
nomor kartu kredit dalam tabel tidak berguna. Pemeriksaan akan menghasilkan
temuan untuk setiap item dalam kolom. Jika Anda memiliki 1 juta baris dan setiap baris
berisi 1 nomor kartu kredit, tugas inspeksi akan menghasilkan 1 juta temuan
untuk infoType CREDIT_CARD_NUMBER. Dalam contoh ini, pemeriksaan tidak
diperlukan karena pemindaian penemuan sudah menunjukkan bahwa
kolom berisi nomor kartu kredit yang unik.
Residensi, pemrosesan, dan penyimpanan data
Penemuan dan pemeriksaan mendukung persyaratan residensi data:
- Layanan penemuan memproses data Anda di tempat data tersebut berada dan menyimpan profil data yang dihasilkan di region atau multi-region yang sama dengan data yang dibuat profilnya. Untuk informasi selengkapnya, lihat Pertimbangan residensi data.
- Saat memeriksa data dalam sistem penyimpanan Google Cloud, layanan pemeriksaan akan memproses data Anda di region yang sama dengan tempat data berada dan menyimpan tugas pemeriksaan di region tersebut. Saat memeriksa data melalui tugas campuran atau melalui metode
content, layanan pemeriksaan memungkinkan Anda menentukan tempat data akan diproses. Untuk informasi selengkapnya, lihat Cara data disimpan.
Ringkasan perbandingan: layanan penemuan dan inspeksi
| Discovery | Inspeksi | |
|---|---|---|
| Manfaat |
|
|
| Biaya |
10 TB biayanya sekitar US$300 per bulan dalam mode penggunaan. |
10 TB biayanya sekitar US$10.000 per pemindaian. |
| Sumber data yang didukung | BigLake BigQuery Variabel lingkungan fungsi Cloud Run Variabel lingkungan revisi layanan Cloud Run Cloud SQL Cloud Storage Vertex AI (Pratinjau) Amazon S3 |
BigQuery Cloud Storage Datastore Gabungan (sumber apa pun)1 |
| Cakupan yang didukung |
|
Satu tabel BigQuery, bucket Cloud Storage, atau jenis Datastore. |
| Template inspeksi bawaan | Ya | Ya |
| InfoType bawaan dan kustom | Ya | Ya |
| Output pemindaian | Ringkasan tingkat tinggi (profil data) dari semua data yang didukung. | Temuan konkret data sensitif di resource yang diperiksa. |
| Menyimpan hasil ke BigQuery | Ya | Ya |
| Mengirim ke Dataplex sebagai tag | Ya | Ya |
| Memublikasikan hasil ke Security Command Center | Ya | Ya |
| Memublikasikan temuan ke Google Security Operations | Ya untuk penemuan tingkat organisasi dan tingkat folder | Tidak |
| Publikasikan ke Pub/Sub | Ya | Ya |
| Dukungan residensi data | Ya | Ya |
1 Pemeriksaan campuran memiliki model harga yang berbeda. Untuk informasi selengkapnya, lihat Pemeriksaan data dari berbagai sumber .
Langkah selanjutnya
- Pelajari strategi yang direkomendasikan untuk mengurangi risiko data (dokumen berikutnya dalam seri ini)