Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der Name der API bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die zum Schutz sensibler Daten gehören, finden Sie unter Schutz sensibler Daten.

Diese Seite wurde von der Cloud Translation API übersetzt.

Daten durch Entdecken und Prüfen kennenlernen

Auf dieser Seite werden zwei Dienste zum Schutz sensibler Daten beschrieben und verglichen, mit denen Sie Ihre Daten besser verstehen und Datenverwaltungsworkflows ermöglichen können: der Erkennungsdienst und der Prüfdienst.

Auffinden sensibler Daten

Der Discovery-Dienst überwacht Daten in Ihrer gesamten Organisation. Dieser Dienst läuft kontinuierlich und erkennt, klassifiziert und profiliert Daten automatisch. Mit der Datenermittlung können Sie den Speicherort und die Art der von Ihnen gespeicherten Daten ermitteln, einschließlich Datenressourcen, die Ihnen möglicherweise nicht bekannt sind. Für unbekannte Daten (manchmal auch Schattendaten genannt) gelten in der Regel nicht dieselben Datengovernance- und Risikomanagementmaßnahmen wie für bekannte Daten.

Sie können die Erkennung auf verschiedenen Ebenen konfigurieren. Sie können für verschiedene Teilmengen Ihrer Daten unterschiedliche Zeitpläne für die Profilerstellung festlegen. Sie können auch Teilmengen von Daten ausschließen, die nicht profiliert werden müssen.

Ausgabe des Discovery-Scans: Datenprofile

Die Ausgabe eines Discovery-Scans besteht aus einer Reihe von Datenprofilen für jede Datenressource im Umfang. Bei einem Discovery-Scan von BigQuery- oder Cloud SQL-Daten werden beispielsweise Datenprofile auf Projekt-, Tabellen- und Spaltenebene generiert.

Ein Datenprofil enthält Messwerte und Statistiken zur profilierten Ressource. Dazu gehören die Datenklassifizierungen (oder infoTypes), Vertraulichkeitsstufen, Datenrisikostufen, Datengröße, Datenformat und andere Elemente, die die Art der Daten und ihre Datensicherheitslage (wie sicher die Daten sind) beschreiben. Anhand von Datenprofilen können Sie fundierte Entscheidungen zum Schutz Ihrer Daten treffen, z. B. indem Sie Zugriffsrichtlinien für die Tabelle festlegen.

Angenommen, Sie haben eine BigQuery-Spalte namens ccn, in der jede Zeile eine eindeutige Kreditkartennummer enthält und es keine Nullwerte gibt. Das generierte Datenprofil auf Spaltenebene enthält die folgenden Details:

Anzeigename	Wert
`Field ID`	`ccn`
`Data risk`	`High`
`Sensitivity`	`High`
`Data type`	`TYPE_STRING`
`Policy tags`	`No`
`Free text score`	`0`
`Estimated uniqueness`	`High`
`Estimated null proportion`	`Very low`
`Last profile generated`	`DATE_TIME`
`Predicted infoType`	`CREDIT_CARD_NUMBER`

Außerdem ist dieses Profil auf Spaltenebene Teil eines Profils auf Tabellenebene, das Informationen wie den Speicherort der Daten, den Verschlüsselungsstatus und ob die Tabelle öffentlich freigegeben ist, enthält. In der Google Cloud Console können Sie sich auch die Cloud Logging-Einträge für die Tabelle, die IAM-Hauptkonten mit Rollen für die Tabelle und die an die Tabelle angehängten Dataplex-Tags ansehen.

Eine vollständige Liste der in Datenprofilen verfügbaren Messwerte und Statistiken finden Sie in der Referenz zu Messwerten.

Wann ist die Discovery-Kampagnenfunktion sinnvoll?

Wenn Sie Ihren Ansatz für die Datenrisikoverwaltung planen, empfehlen wir Ihnen, mit der Bestandsaufnahme zu beginnen. Mit dem Discovery-Dienst erhalten Sie einen umfassenden Überblick über Ihre Daten und können Benachrichtigungen, Berichte und Korrekturmaßnahmen für Probleme aktivieren.

Darüber hinaus kann der Discovery-Dienst Ihnen helfen, die Ressourcen zu identifizieren, in denen sich unstrukturierte Daten befinden könnten. Solche Ressourcen erfordern möglicherweise eine umfassende Prüfung. Unstrukturierte Daten werden durch einen hohen Wert für den freien Text auf einer Skala von 0 bis 1 angegeben.

Prüfung sensibler Daten

Der Prüfdienst führt einen umfassenden Scan einer einzelnen Ressource durch, um jede einzelne Instanz sensibler Daten zu finden. Bei einer Prüfung wird für jede erkannte Instanz ein Ergebnis ausgegeben.

Inspektionsjobs bieten eine Vielzahl von Konfigurationsoptionen, mit denen Sie die Daten ermitteln können, die Sie prüfen möchten. Sie können beispielsweise Stichprobenerhebungen aktivieren, um die zu prüfenden Daten auf eine bestimmte Anzahl von Zeilen (für BigQuery-Daten) oder bestimmte Dateitypen (für Cloud Storage-Daten) zu beschränken. Sie können auch einen bestimmten Zeitraum angeben, in dem die Daten erstellt oder geändert wurden.

Im Gegensatz zur Entdeckung, bei der Ihre Daten kontinuierlich überwacht werden, ist eine Prüfung ein On-Demand-Vorgang. Sie können jedoch wiederkehrende Inspektionsjobs planen, die als Job-Trigger bezeichnet werden.

Scanausgabe der Prüfung: Ergebnisse

Jedes Ergebnis enthält Details wie den Speicherort der erkannten Instanz, den potenziellen infoType und die Wahrscheinlichkeit (auch Wahrscheinlichkeit genannt), dass das Ergebnis mit dem infoType übereinstimmt. Je nach Ihren Einstellungen können Sie auch den tatsächlichen String abrufen, auf den sich der Befund bezieht. Dieser String wird im Datenschutz für sensible Daten als Zitat bezeichnet.

Eine vollständige Liste der Details, die in einem Prüfergebnis enthalten sind, finden Sie unter Finding.

Wann sollte die Prüfung verwendet werden?

Eine Prüfung ist nützlich, wenn Sie unstrukturierte Daten (z. B. von Nutzern erstellte Kommentare oder Rezensionen) untersuchen und alle Vorkommen von personenidentifizierbaren Informationen (PII) identifizieren möchten. Wenn bei einem explorativen Scan Ressourcen mit unstrukturierten Daten gefunden werden, empfehlen wir, einen Inspektionsscan für diese Ressourcen auszuführen, um Details zu den einzelnen Ergebnissen zu erhalten.

Wann die Prüfung nicht verwendet werden sollte

Die Prüfung einer Ressource ist nicht sinnvoll, wenn die beiden folgenden Bedingungen zutreffen: Anhand eines explorativen Scans können Sie entscheiden, ob ein Prüfscan erforderlich ist.

Die Ressource enthält nur strukturierte Daten. Es gibt also keine Spalten mit freien Textdaten wie Nutzerkommentare oder Rezensionen.
Sie kennen die in dieser Ressource gespeicherten infoTypes bereits.

Angenommen, Datenprofile aus einem explorativen Scan zeigen an, dass eine bestimmte BigQuery-Tabelle keine Spalten mit unstrukturierten Daten, aber eine Spalte mit eindeutigen Kreditkartennummern enthält. In diesem Fall ist es nicht sinnvoll, nach Kreditkartennummern in der Tabelle zu suchen. Bei einer Prüfung wird für jeden Artikel in der Spalte ein Ergebnis ausgegeben. Wenn Sie eine Million Zeilen haben und jede Zeile eine Kreditkartennummer enthält, führt ein Inspektionsjob zu einer Million Ergebnissen für den infoType CREDIT_CARD_NUMBER. In diesem Beispiel ist die Prüfung nicht erforderlich, da der Entdeckungsscan bereits darauf hinweist, dass die Spalte eindeutige Kreditkartennummern enthält.

Speicherort, Verarbeitung und Speicherung von Daten

Sowohl die Datenerkennung als auch die Datenprüfung unterstützen die Anforderungen an den Datenstandort:

Der Discovery-Dienst verarbeitet Ihre Daten an ihrem Speicherort und speichert die generierten Datenprofile in derselben Region oder Multiregion wie die profilierten Daten. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.
Bei der Prüfung von Daten in einem Google Cloud-Speichersystem verarbeitet der Prüfdienst Ihre Daten in derselben Region, in der sich die Daten befinden, und speichert den Prüfjob in dieser Region. Wenn Sie Daten mit einem Hybridjob oder einer content-Methode prüfen, können Sie mit dem Prüfdienst angeben, wo Ihre Daten verarbeitet werden sollen. Weitere Informationen finden Sie unter So werden Daten gespeichert.

Vergleichsübersicht: Discovery- und Prüfdienste

	Discovery	Prüfung
Vorteile	Kontinuierliche Sichtbarkeit in einer Organisation, einem Ordner oder einem Projekt. Hilft dabei, die Ressourcen zu identifizieren, die sensible, risikoreiche und unstrukturierte Daten enthalten. Eine vollständige Liste der Statistiken finden Sie in der Referenz zu Messwerten. Hilft, unbekannte Daten (sogenannte „Schattendaten“) zu finden.	On-Demand-Prüfung einer einzelnen Ressource. Hier werden alle Instanzen sensibler Daten in der geprüften Ressource angegeben.
Kosten	Kostenschätzung: Kostenlos Verbrauchsmodus: 0,03$pro GB oder der Preis für 3 TB, je nachdem, welcher Wert niedriger ist Abomodus (reservierte Kapazität): 2.500$pro Aboeinheit 10 TB kosten im Verbrauchsmodus etwa 300$pro Monat.	Bis zu 1 GB: kostenlos 1 GB bis 50 TB: 1,00$pro GB 50 TB bis 500 TB: 0,75$pro GB Über 500 TB: 0,60$pro GB 10 TB kosten ungefähr 10.000$pro Scan.
Unterstützte Datenquellen	BigLake BigQuery Umgebungsvariablen für Cloud Run-Funktionen Umgebungsvariablen für die Cloud Run-Dienstversion Cloud SQL Cloud Storage Vertex AI (Vorabversion) Amazon S3	BigQuery Cloud Storage Datastore Hybrid (beliebige Quelle)¹
Unterstützte Bereiche	Eine Google Cloud-Organisation, ein Google Cloud-Ordner, ein Google Cloud-Projekt oder eine Google Cloud-Datenressource Eine Amazon Web Services-Organisation, ein Konto oder ein S3-Bucket	Eine einzelne BigQuery-Tabelle, ein Cloud Storage-Bucket oder eine Datastore-Art.
Integrierte Inspektionsvorlagen	Ja	Ja
Integrierte und benutzerdefinierte infoTypes	Ja	Ja
Scanausgabe	Gesamtübersicht (Datenprofile) über alle unterstützten Daten.	Konkret ermittelte sensible Daten in der geprüften Ressource.
Ergebnisse in BigQuery speichern	Ja	Ja
Als Tags an Dataplex senden	Ja	Ja
Ergebnisse im Security Command Center veröffentlichen	Ja	Ja
Ergebnisse in Google Security Operations veröffentlichen	Ja für die Entdeckung auf Organisations- und Ordnerebene	Nein
In Pub/Sub veröffentlichen	Ja	Ja
Unterstützung für den Datenstandort	Ja	Ja

¹ Für die Hybridprüfung gilt ein anderes Preismodell. Weitere Informationen finden Sie unter Prüfung von Daten aus beliebigen Quellen .

Nächste Schritte

Empfohlene Strategien zur Minimierung von Datenrisiken (nächstes Dokument in dieser Reihe)