Halaman ini menjelaskan dan membandingkan dua layanan Perlindungan Data Sensitif yang membantu Anda memahami data dan memungkinkan alur kerja tata kelola data: layanan penemuan dan layanan pemeriksaan.
Penemuan data sensitif
Layanan penemuan memantau aset data di seluruh organisasi Anda. Layanan ini berjalan terus-menerus dan otomatis menemukan, mengklasifikasikan, dan membuat profil aset data. Penemuan dapat membantu Anda memahami lokasi dan sifat data yang Anda simpan, termasuk aset data yang mungkin tidak Anda ketahui. Data tidak dikenal (terkadang disebut data bayangan) biasanya tidak menjalani tingkat tata kelola dan pengelolaan data data yang sama dengan data yang diketahui.
Anda mengonfigurasi discovery di level project, folder, atau organisasi. Anda dapat menyetel jadwal pembuatan profil yang berbeda untuk subset data yang berbeda. Anda juga dapat mengecualikan subkumpulan data yang tidak perlu dibuat profilnya.
Output pemindaian penemuan: profil data
Output pemindaian penemuan adalah sekumpulan profil data untuk setiap aset data dalam cakupan. Misalnya, pemindaian penemuan data BigQuery atau Cloud SQL akan menghasilkan profil data di tingkat project, tabel, dan kolom.
Profil data berisi metrik dan insight tentang resource yang dibuat profil. Informasi ini mencakup klasifikasi data (atau infoTypes), tingkat sensitivitas, tingkat risiko data, ukuran data, bentuk data, dan elemen lain yang mendeskripsikan sifat data dan kondisi keamanan datanya (seberapa aman data tersebut). Anda dapat menggunakan profil data untuk membuat keputusan yang tepat tentang cara melindungi data Anda, misalnya, dengan menetapkan kebijakan akses di tabel.
Pertimbangkan kolom BigQuery yang disebut ccn
, dengan setiap baris berisi nomor kartu kredit unik dan tidak ada nilai null. Profil data tingkat kolom yang dihasilkan akan memiliki detail berikut:
Nama tampilan | Nilai |
---|---|
Field ID |
ccn |
Data risk |
High |
Sensitivity |
High |
Data type |
TYPE_STRING |
Policy tags |
No |
Free text score |
0 |
Estimated uniqueness |
High |
Estimated null proportion |
Very low |
Last profile generated |
DATE_TIME |
Predicted infoType |
CREDIT_CARD_NUMBER |
Selain itu, profil tingkat kolom ini adalah bagian dari profil tingkat tabel, yang memberikan insight seperti lokasi data, status enkripsi, dan apakah tabel dibagikan secara publik atau tidak. Di konsol Google Cloud, Anda juga dapat melihat entri Cloud Logging untuk tabel, akun utama IAM dengan peran untuk tabel, dan tag Dataplex yang dilampirkan ke tabel.
Untuk daftar lengkap metrik dan insight yang tersedia di profil data, lihat Referensi metrik.
Kapan menggunakan Discovery
Saat merencanakan pendekatan manajemen risiko data, sebaiknya Anda memulai dengan penemuan. Layanan penemuan membantu Anda mendapatkan gambaran menyeluruh tentang data dan mengaktifkan pemberitahuan, pelaporan, dan perbaikan masalah.
Selain itu, layanan penemuan dapat membantu Anda mengidentifikasi resource tempat data yang tidak terstruktur mungkin berada. Resource tersebut mungkin memerlukan pemeriksaan lengkap. Data tidak terstruktur ditentukan oleh skor teks bebas yang tinggi dalam skala 0 hingga 1.
Pemeriksaan data sensitif
Layanan pemeriksaan akan melakukan pemindaian menyeluruh pada satu resource untuk menemukan setiap instance data sensitif. Pemeriksaan akan menghasilkan temuan untuk setiap instance yang terdeteksi.
Tugas inspeksi menyediakan beragam opsi konfigurasi untuk membantu Anda menentukan data yang ingin diperiksa. Misalnya, Anda dapat mengaktifkan pengambilan sampel untuk membatasi data yang akan diperiksa ke sejumlah baris tertentu (untuk data BigQuery) atau jenis file tertentu (untuk data Cloud Storage). Anda juga dapat menargetkan rentang waktu tertentu saat data dibuat atau diubah.
Tidak seperti penemuan, yang terus memantau data Anda, inspeksi adalah operasi on demand. Namun, Anda dapat menjadwalkan tugas pemeriksaan berulang yang disebut pemicu tugas.
Output pemindaian inspeksi: temuan
Setiap temuan mencakup detail seperti lokasi instance yang terdeteksi, infoType potensialnya, dan kepastian (juga disebut kemungkinan) bahwa temuan tersebut cocok dengan infoType. Bergantung pada setelan, Anda juga bisa mendapatkan string sebenarnya yang berkaitan dengan temuan tersebut; string ini disebut kutipan pada Perlindungan Data Sensitif.
Untuk daftar lengkap detail yang disertakan dalam temuan inspeksi, lihat
Finding
.
Kapan harus menggunakan pemeriksaan
Pemeriksaan berguna saat Anda perlu menyelidiki data yang tidak terstruktur (seperti komentar atau ulasan yang dibuat pengguna) dan mengidentifikasi setiap instance informasi identitas pribadi (PII). Jika pemindaian penemuan mengidentifikasi resource yang berisi data tidak terstruktur, sebaiknya jalankan pemindaian inspeksi pada resource tersebut untuk mendapatkan detail tentang setiap temuan individual.
Kapan tidak boleh menggunakan pemeriksaan
Memeriksa resource tidak berguna jika kedua kondisi berikut berlaku. Pemindaian penemuan dapat membantu Anda memutuskan apakah pemindaian inspeksi diperlukan.
- Anda hanya memiliki data terstruktur dalam resource. Artinya, tidak ada kolom data bentuk bebas, seperti komentar atau ulasan pengguna.
- Anda sudah mengetahui infoType yang disimpan di resource tersebut.
Misalnya, anggaplah profil data dari pemindaian discovery menunjukkan bahwa tabel BigQuery tertentu tidak memiliki kolom dengan data tidak terstruktur tetapi memiliki kolom nomor kartu kredit yang unik. Dalam hal ini, memeriksa
nomor kartu kredit dalam tabel tidak berguna. Pemeriksaan akan menghasilkan
temuan untuk setiap item dalam kolom. Jika Anda memiliki 1 juta baris dan setiap baris
berisi 1 nomor kartu kredit, tugas pemeriksaan akan menghasilkan 1 juta temuan
untuk infoType CREDIT_CARD_NUMBER
. Dalam contoh ini, pemeriksaan tidak
diperlukan karena pemindaian penemuan sudah menunjukkan bahwa
kolom berisi nomor kartu kredit unik.
Residensi, pemrosesan, dan penyimpanan data
Penemuan dan pemeriksaan mendukung persyaratan residensi data:
- Layanan penemuan memproses data Anda tempat data tersebut berada dan menyimpan profil data yang dihasilkan di region atau multi-region yang sama dengan data yang dibuat profil. Untuk mengetahui informasi selengkapnya, lihat Pertimbangan residensi data.
- Saat memeriksa data dalam sistem penyimpanan Google Cloud, layanan pemeriksaan akan memproses data Anda di region yang sama tempat
data berada dan menyimpan tugas pemeriksaan di region tersebut. Saat memeriksa
data melalui tugas hybrid atau melalui
metode
content
, layanan pemeriksaan memungkinkan Anda menentukan tempat pemrosesan data Anda. Untuk informasi selengkapnya, lihat Cara data disimpan.
Ringkasan perbandingan: layanan penemuan dan inspeksi
Penemuan | Inspeksi | |
---|---|---|
Manfaat |
|
|
Biaya |
Biaya 10 TB adalah sekitar US$300 per bulan dalam mode pemakaian. |
Biaya 10 TB adalah sekitar US$10.000 per pemindaian. |
Sumber data yang didukung | BigQuery Variabel lingkungan Cloud Functions Cloud SQL |
BigQuery Cloud Storage Datastore Hybrid (sumber mana pun)1 |
Cakupan yang didukung | Organisasi, folder, project | Satu tabel BigQuery, bucket Cloud Storage, atau jenis Datastore. |
Template pemeriksaan bawaan | Ya | Ya |
InfoType bawaan dan kustom | Ya | Ya |
Output pemindaian | Ringkasan tingkat tinggi (profil data) dari semua data yang didukung dalam organisasi, folder, atau project Anda. | Temuan konkret data sensitif dalam resource yang diperiksa. |
Menyimpan hasil ke BigQuery | Ya | Ya |
Mengirim ke Dataplex sebagai tag | Ya | Ya |
Publikasikan hasil ke Security Command Center | Ya | Ya |
Publikasikan temuan ke Chronicle | Ya untuk penemuan tingkat organisasi dan tingkat folder | Tidak |
Publikasikan ke Pub/Sub | Ya | Ya |
Dukungan residensi data | Ya | Ya |
1 Pemeriksaan hybrid memiliki model penetapan harga yang berbeda. Untuk informasi selengkapnya, lihat Pemeriksaan data dari sumber apa pun .
Langkah selanjutnya
- Pelajari strategi yang direkomendasikan untuk memitigasi risiko data (dokumen berikutnya dalam seri ini)