Membuat profil data Cloud SQL dalam satu project

Halaman ini menjelaskan cara mengonfigurasi penemuan data Cloud SQL di tingkat project. Jika Anda ingin membuat profil organisasi atau folder, lihat Membuat profil data Cloud SQL di organisasi atau folder.

Untuk informasi selengkapnya tentang layanan penemuan, lihat Profil data.

Cara kerjanya

Berikut adalah alur kerja tingkat tinggi untuk membuat profil data Cloud SQL:

  1. Buat konfigurasi pemindaian.

    Setelah Anda membuat konfigurasi pemindaian, Perlindungan Data Sensitif akan mulai mengidentifikasi instance Cloud SQL Anda dan membuat koneksi default untuk setiap instance. Bergantung pada jumlah instance dalam cakupan penemuan, proses ini dapat memerlukan waktu beberapa jam. Anda dapat keluar dari konsol Google Cloud dan memeriksa koneksi Anda nanti.

  2. Berikan peran IAM yang diperlukan ke agen layanan yang terkait dengan konfigurasi pemindaian Anda.

  3. Jika koneksi default sudah siap, berikan akses Perlindungan Data Sensitif ke instance Cloud SQL Anda dengan memperbarui setiap koneksi dengan kredensial pengguna database yang sesuai. Anda dapat memberikan akun pengguna database yang ada atau membuat pengguna database.

  4. Direkomendasikan: Tingkatkan jumlah maksimum koneksi yang dapat digunakan Perlindungan Data Sensitif untuk membuat profil data Anda. Meningkatkan koneksi dapat mempercepat penemuan.

Layanan yang didukung

Fitur ini mendukung hal berikut:

  • Cloud SQL untuk MySQL
  • Cloud SQL untuk PostgreSQL

Cloud SQL untuk SQL Server tidak didukung.

Region pemrosesan dan penyimpanan

Perlindungan Data Sensitif adalah layanan regional dan multi-regional; layanan ini tidak membedakan zona. Saat Perlindungan Data Sensitif membuat profil instance Cloud SQL, data akan diproses di region saat ini, tetapi tidak selalu di zona saat ini. Misalnya, jika instance Cloud SQL disimpan di zona us-central1-a, Perlindungan Data Sensitif akan memproses dan menyimpan profil data di region us-central1.

Untuk mengetahui informasi selengkapnya, lihat Pertimbangan residensi data.

Sebelum memulai

  1. Pastikan Cloud Data Loss Prevention API diaktifkan di project Anda:

    1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    3. Make sure that billing is enabled for your Google Cloud project.

    4. Enable the required API.

      Enable the API

    5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    6. Make sure that billing is enabled for your Google Cloud project.

    7. Enable the required API.

      Enable the API

  2. Pastikan Anda memiliki izin IAM yang diperlukan untuk mengonfigurasi profil data di tingkat project.

  3. Anda harus memiliki template inspeksi di setiap region tempat Anda memiliki data yang akan dibuat profilnya. Jika ingin menggunakan satu template untuk beberapa region, Anda dapat menggunakan template yang disimpan di region global. Jika kebijakan organisasi mencegah Anda membuat template inspeksi di region global, Anda harus menetapkan template inspeksi khusus untuk setiap region. Untuk informasi selengkapnya, lihat Pertimbangan residensi data.

    Dengan tugas ini, Anda dapat membuat template pemeriksaan hanya di region global. Jika memerlukan template inspeksi khusus untuk satu atau beberapa wilayah, Anda harus membuat template tersebut sebelum melakukan tugas ini.

  4. Anda dapat mengonfigurasi Perlindungan Data Sensitif untuk mengirim notifikasi ke Pub/Sub saat peristiwa tertentu terjadi, seperti saat Perlindungan Data Sensitif membuat profil tabel baru. Jika ingin menggunakan fitur ini, Anda harus membuat topik Pub/Sub terlebih dahulu.

  5. Anda dapat mengonfigurasi Perlindungan Data Sensitif untuk otomatis melampirkan tag ke resource Anda. Fitur ini memungkinkan Anda memberikan akses secara bersyarat ke resource tersebut berdasarkan tingkat sensitivitas yang dihitung. Jika ingin menggunakan fitur ini, Anda harus menyelesaikan tugas di Mengontrol akses IAM ke resource berdasarkan sensitivitas data terlebih dahulu.

Membuat konfigurasi pemindaian

  1. Buka halaman Create scan configuration.

    Buka Buat konfigurasi pemindaian

  2. Buka project Anda. Di toolbar, klik pemilih project, lalu pilih project Anda.

Bagian berikut memberikan informasi selengkapnya tentang langkah-langkah di halaman Buat konfigurasi pemindaian. Di akhir setiap bagian, klik Lanjutkan.

Pilih jenis penemuan

Pilih Cloud SQL.

Pilih cakupan

Lakukan salah satu hal berikut:

  • Jika Anda ingin memindai satu tabel, pilih Pindai satu tabel.

    Untuk setiap tabel, Anda hanya dapat memiliki satu konfigurasi pemindaian resource tunggal. Untuk informasi selengkapnya, lihat Membuat profil satu resource data.

    Isi detail tabel yang ingin Anda buat profilnya.

  • Jika Anda ingin melakukan pembuatan profil tingkat project standar, pilih Pindai project yang dipilih.

Mengelola jadwal

Jika frekuensi pembuatan profil default sesuai dengan kebutuhan Anda, Anda dapat melewati bagian ini di halaman Buat konfigurasi pemindaian.

Konfigurasikan bagian ini karena alasan berikut:

  • Untuk membuat penyesuaian terperinci pada frekuensi pembuatan profil semua data atau subkumpulan data tertentu.
  • Untuk menentukan tabel yang tidak ingin Anda buat profilnya.
  • Untuk menentukan tabel yang tidak ingin Anda buat profilnya lebih dari sekali.

Untuk melakukan penyesuaian terperinci pada frekuensi pembuatan profil, ikuti langkah-langkah berikut:

  1. Klik Tambahkan jadwal.
  2. Di bagian Filters, Anda menentukan satu atau beberapa filter yang menentukan tabel mana yang ada dalam cakupan jadwal.

    Tentukan setidaknya salah satu dari hal berikut:

    • ID project atau ekspresi reguler yang menentukan satu atau beberapa project.
    • ID instance atau ekspresi reguler yang menentukan satu atau beberapa instance.
    • ID database atau ekspresi reguler yang menentukan satu atau beberapa database.
    • ID tabel atau ekspresi reguler yang menentukan satu atau beberapa tabel. Masukkan nilai ini di kolom Nama resource database atau ekspresi reguler.

    Ekspresi reguler harus mengikuti sintaksis RE2.

    Misalnya, jika Anda ingin semua tabel dalam database disertakan dalam filter, masukkan ID database di kolom Database ID.

    Jika Anda ingin menambahkan filter lainnya, klik Tambahkan filter, lalu ulangi langkah ini.

  3. Klik Frekuensi.

  4. Di bagian Frekuensi, tentukan apakah layanan penemuan harus membuat profil tabel yang Anda pilih dan, jika ya, seberapa sering:

    • Jika Anda tidak ingin tabel dibuat profilnya, nonaktifkan Buat profil data ini.

    • Jika Anda ingin tabel dibuat profilnya setidaknya sekali, biarkan Buat profil data ini aktif.

      Di kolom berikutnya di bagian ini, Anda menentukan apakah sistem harus membuat profil ulang data Anda dan peristiwa apa yang akan memicu operasi pembuatan profil ulang. Untuk mengetahui informasi selengkapnya, lihat Frekuensi pembuatan profil data.

      1. Untuk Berdasarkan jadwal, tentukan seberapa sering Anda ingin tabel dibuat profil ulang. Tabel akan dibuat ulang profilnya, terlepas dari apakah tabel tersebut mengalami perubahan atau tidak.
      2. Untuk Saat skema berubah, tentukan seberapa sering Sensitive Data Protection harus memeriksa apakah tabel yang dipilih mengalami perubahan skema setelah terakhir kali dibuat profilnya. Hanya tabel dengan perubahan skema yang akan dibuat ulang profilnya.
      3. Untuk Jenis perubahan skema, tentukan jenis perubahan skema yang harus memicu operasi pembuatan profil ulang. Pilih salah satu opsi berikut:
        • Kolom baru: Membuat profil ulang tabel yang mendapatkan kolom baru.
        • Kolom yang dihapus: Membuat ulang profil tabel yang kolomnya dihapus.

        Misalnya, Anda memiliki tabel yang mendapatkan kolom baru setiap hari, dan Anda perlu membuat profil kontennya setiap kali. Anda dapat menetapkan Saat skema berubah ke Buat profil ulang setiap hari, dan menetapkan Jenis perubahan skema ke Kolom baru.

      4. Untuk Saat template inspeksi berubah, tentukan apakah Anda ingin data Anda dibuat ulang profilnya saat template inspeksi terkait diperbarui, dan jika ya, seberapa sering.

        Perubahan template inspeksi terdeteksi saat salah satu hal berikut terjadi:

        • Nama template pemeriksaan berubah dalam konfigurasi pemindaian Anda.
        • updateTime template inspeksi berubah.

      5. Misalnya, jika Anda menetapkan template inspeksi untuk region us-west1 dan memperbarui template inspeksi tersebut, hanya data di region us-west1 yang akan dibuat profil ulang.

  5. Klik Kondisi.

    Di bagian Kondisi, Anda menentukan jenis resource database yang ingin dibuat profilnya. Secara default, Sensitive Data Protection disetel untuk membuat profil semua jenis resource database yang didukung. Saat Perlindungan Data Sensitif menambahkan dukungan untuk lebih banyak jenis resource database, jenis tersebut juga akan otomatis dibuat profilnya.

  6. Opsional: Jika Anda ingin menetapkan jenis resource database secara eksplisit yang ingin dibuat profilnya, ikuti langkah-langkah berikut:

    1. Klik kolom Jenis resource database.
    2. Pilih jenis resource database yang ingin Anda buat profilnya.

    Jika Perlindungan Data Sensitif nantinya menambahkan dukungan penemuan untuk lebih banyak jenis resource database Cloud SQL, jenis tersebut hanya akan dibuat profilnya jika Anda kembali ke daftar ini dan memilihnya.

  7. Klik Done.

  8. Jika Anda ingin menambahkan jadwal lainnya, klik Tambahkan jadwal dan ulangi langkah-langkah sebelumnya.

  9. Untuk menentukan prioritas antar-jadwal, urutkan ulang menggunakan panah atas dan panah bawah .

    Urutan jadwal menentukan cara menyelesaikan konflik antara jadwal. Jika tabel cocok dengan filter dari dua jadwal yang berbeda, jadwal yang lebih tinggi dalam daftar jadwal akan menentukan frekuensi pembuatan profil untuk tabel tersebut.

    Jadwal terakhir dalam daftar selalu berlabel Jadwal default. Jadwal default ini mencakup tabel dalam cakupan yang Anda pilih yang tidak cocok dengan jadwal yang Anda buat. Jadwal default ini mengikuti frekuensi pembuatan profil default sistem.

  10. Jika Anda ingin menyesuaikan jadwal default, klik Edit jadwal, lalu sesuaikan setelan sesuai kebutuhan.

Memilih template pemeriksaan

Bergantung pada cara Anda ingin memberikan konfigurasi inspeksi, pilih salah satu opsi berikut. Apa pun opsi yang Anda pilih, Perlindungan Data Sensitif akan memindai data Anda di region tempat data tersebut disimpan. Artinya, data Anda tidak keluar dari wilayah asalnya.

Opsi 1: Membuat template inspeksi

Pilih opsi ini jika Anda ingin membuat template inspeksi baru di wilayah global.

  1. Klik Buat template inspeksi baru.
  2. Opsional: Untuk mengubah pilihan default infoTypes, klik Manage infoTypes.

    Untuk informasi selengkapnya tentang cara mengelola infoTypes bawaan dan kustom, lihat Mengelola infoTypes melalui konsol Google Cloud.

    Anda harus memilih minimal satu infoType untuk melanjutkan.

  3. Opsional: Konfigurasikan template inspeksi lebih lanjut dengan menambahkan kumpulan aturan dan menetapkan nilai minimum keyakinan. Untuk informasi selengkapnya, lihat Mengonfigurasi deteksi.

Saat membuat konfigurasi pemindaian, Sensitive Data Protection akan menyimpan template pemeriksaan baru ini di region global.

Opsi 2: Menggunakan template inspeksi yang ada

Pilih opsi ini jika Anda memiliki template inspeksi yang ada dan ingin menggunakannya.

  1. Klik Pilih template inspeksi yang ada.
  2. Masukkan nama resource lengkap template pemeriksaan yang ingin Anda gunakan. Kolom Region akan otomatis diisi dengan nama region tempat template inspeksi Anda disimpan.

    Template inspeksi yang Anda masukkan harus berada di region yang sama dengan data yang akan dibuat profilnya.

    Untuk menghormati residensi data, Perlindungan Data Sensitif tidak menggunakan template pemeriksaan di luar wilayah tempat template tersebut disimpan.

    Untuk menemukan nama resource lengkap template pemeriksaan, ikuti langkah-langkah berikut:

    1. Buka daftar template inspeksi Anda. Halaman ini akan terbuka di tab terpisah.

      Buka template inspeksi

    2. Beralihlah ke project yang berisi template inspeksi yang ingin Anda gunakan.
    3. Di tab Templates, klik ID template dari template yang ingin Anda gunakan.
    4. Pada halaman yang terbuka, salin nama resource lengkap template. Nama resource lengkap mengikuti format ini:
      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. Di halaman Create scan configuration, di kolom Template name, tempelkan nama resource lengkap template.
  3. Untuk menambahkan template pemeriksaan untuk wilayah lain, klik Tambahkan template pemeriksaan dan masukkan nama resource lengkap template. Ulangi langkah ini untuk setiap wilayah tempat Anda memiliki template inspeksi khusus.
  4. Opsional: Tambahkan template inspeksi yang disimpan di region global. Sensitive Data Protection akan otomatis menggunakan template tersebut untuk data di region tempat Anda tidak memiliki template pemeriksaan khusus.

Tambah tindakan

Di bagian berikut, Anda akan menentukan tindakan yang ingin dilakukan Perlindungan Data Sensitif setelah membuat profil data.

Untuk mengetahui informasi tentang cara layanan Google Cloud lainnya menagih Anda untuk mengonfigurasi tindakan, lihat Harga untuk mengekspor profil data.

Publikasikan ke Security Command Center

Temuan dari profil data memberikan konteks saat Anda melakukan triage dan mengembangkan rencana respons untuk temuan kerentanan dan ancaman di Security Command Center.

Sebelum Anda dapat menggunakan tindakan ini, Security Command Center harus diaktifkan di level organisasi. Mengaktifkan Security Command Center di tingkat organisasi akan memungkinkan aliran temuan dari layanan terintegrasi seperti Sensitive Data Protection. Perlindungan Data Sensitif berfungsi dengan Security Command Center di semua tingkat layanan.

Jika Security Command Center tidak diaktifkan di level organisasi, temuan Perlindungan Data Sensitif tidak akan muncul di Security Command Center. Untuk informasi selengkapnya, lihat Memeriksa level aktivasi Security Command Center.

Untuk mengirim hasil profil data Anda ke Security Command Center, pastikan opsi Publikasikan ke Security Command Center diaktifkan.

Untuk informasi selengkapnya, lihat Memublikasikan profil data ke Security Command Center.

Simpan salinan profil data ke BigQuery

Dengan mengaktifkan Simpan salinan profil data ke BigQuery, Anda dapat menyimpan salinan atau histori tersimpan dari semua profil yang dihasilkan. Tindakan ini dapat berguna untuk membuat laporan audit dan memvisualisasi profil data. Anda juga dapat memuat informasi ini ke sistem lain.

Selain itu, opsi ini memungkinkan Anda melihat semua profil data dalam satu tampilan, terlepas dari region tempat data Anda berada. Jika menonaktifkan opsi ini, Anda masih dapat melihat profil data di konsol Google Cloud. Namun, di konsol Google Cloud, Anda memilih satu region pada satu waktu, dan hanya melihat profil data untuk region tersebut.

Untuk mengekspor salinan profil data ke tabel BigQuery, ikuti langkah-langkah berikut:

  1. Aktifkan Simpan salinan profil data ke BigQuery.

  2. Masukkan detail tabel BigQuery tempat Anda ingin menyimpan profil data:

    • Untuk Project ID, masukkan ID project yang ada tempat Anda ingin profil data diekspor.

    • Untuk Dataset ID, masukkan nama set data yang ada dalam project tempat Anda ingin mengekspor profil data.

    • Untuk Table ID, masukkan nama untuk tabel BigQuery tempat profil data akan diekspor. Jika Anda belum membuat tabel ini, Perlindungan Data Sensitif akan otomatis membuatnya untuk Anda menggunakan nama yang Anda berikan.

Perlindungan Data Sensitif mulai mengekspor profil sejak Anda mengaktifkan opsi ini. Profil yang dibuat sebelum Anda mengaktifkan ekspor tidak disimpan ke BigQuery.

Melampirkan tag ke resource

Mengaktifkan Lampirkan tag ke resource akan memerintahkan Sensitive Data Protection untuk otomatis memberi tag pada data Anda sesuai dengan tingkat sensitivitas yang dihitung. Bagian ini mengharuskan Anda menyelesaikan tugas di Mengontrol akses IAM ke resource berdasarkan sensitivitas data terlebih dahulu.

Untuk memberi tag pada resource secara otomatis sesuai dengan tingkat sensitivitas yang dihitung, ikuti langkah-langkah berikut:

  1. Aktifkan opsi Tag resources.
  2. Untuk setiap tingkat sensitivitas (tinggi, sedang, rendah, dan tidak diketahui), masukkan jalur nilai tag yang Anda buat untuk tingkat sensitivitas yang diberikan.

    Jika Anda melewati tingkat sensitivitas, tidak ada tag yang terlampir untuk tingkat tersebut.

  3. Untuk menurunkan tingkat risiko data resource secara otomatis saat tag tingkat sensitivitas ada, pilih Saat tag diterapkan ke resource, turunkan risiko data profilnya ke RENDAH. Opsi ini membantu Anda mengukur peningkatan postur keamanan dan privasi data.

  4. Pilih salah satu atau kedua opsi berikut:

    • Beri tag pada resource saat dibuat profilnya untuk pertama kalinya.
    • Memberi tag pada fasilitas saat profilnya diperbarui. Pilih opsi ini jika Anda ingin Perlindungan Data Sensitif menimpa nilai tag tingkat sensitivitas pada penemuan berikutnya. Akibatnya, akses akun utama ke resource akan berubah secara otomatis saat tingkat sensitivitas data yang dihitung untuk resource tersebut meningkat atau menurun.

      Jangan pilih opsi ini jika Anda berencana memperbarui nilai tag tingkat sensitivitas yang dilampirkan layanan penemuan ke resource Anda secara manual. Jika Anda memilih opsi ini, Perlindungan Data Sensitif dapat menimpa pembaruan manual Anda.

Publikasikan ke Pub/Sub

Dengan mengaktifkan Publikasikan ke Pub/Sub, Anda dapat mengambil tindakan terprogram berdasarkan hasil pembuatan profil. Anda dapat menggunakan notifikasi Pub/Sub untuk mengembangkan alur kerja guna mendeteksi dan memperbaiki temuan dengan risiko atau sensitivitas data yang signifikan.

Untuk mengirim notifikasi ke topik Pub/Sub, ikuti langkah-langkah berikut:

  1. Aktifkan Publikasikan ke Pub/Sub.

    Daftar opsi akan muncul. Setiap opsi menjelaskan peristiwa yang menyebabkan Perlindungan Data Sensitif mengirim notifikasi ke Pub/Sub.

  2. Pilih peristiwa yang akan memicu notifikasi Pub/Sub.

    Jika Anda memilih Kirim notifikasi Pub/Sub setiap kali profil diperbarui, Perlindungan Data Sensitif akan mengirimkan notifikasi saat ada perubahan pada tingkat sensitivitas, tingkat risiko data, infoTypes yang terdeteksi, akses publik, dan metrik penting lainnya di profil.

  3. Untuk setiap peristiwa yang Anda pilih, ikuti langkah-langkah berikut:

    1. Masukkan nama topik. Nama harus dalam format berikut:

      projects/PROJECT_ID/topics/TOPIC_ID
      

      Ganti kode berikut:

      • PROJECT_ID: ID project yang terkait dengan topik Pub/Sub.
      • TOPIC_ID: ID topik Pub/Sub.
    2. Tentukan apakah akan menyertakan profil tabel lengkap dalam notifikasi, atau hanya nama resource lengkap tabel yang dibuat profilnya.

    3. Tetapkan tingkat sensitivitas dan risiko data minimum yang harus dipenuhi agar Sensitive Data Protection dapat mengirim notifikasi.

    4. Tentukan apakah hanya satu atau kedua kondisi risiko dan sensitivitas data yang harus dipenuhi. Misalnya, jika Anda memilih AND, maka risiko data dan kondisi sensitivitas harus terpenuhi sebelum Perlindungan Data Sensitif mengirim notifikasi.

Menetapkan lokasi untuk menyimpan konfigurasi

Klik daftar Resource location, lalu pilih region tempat Anda ingin menyimpan konfigurasi pemindaian ini. Semua konfigurasi pemindaian yang nantinya Anda buat juga akan disimpan di lokasi ini.

Tempat Anda memilih untuk menyimpan konfigurasi pemindaian tidak memengaruhi data yang akan dipindai. Data Anda dipindai di region yang sama dengan tempat data tersebut disimpan. Untuk mengetahui informasi selengkapnya, lihat Pertimbangan residensi data.

Tinjau dan buat

  1. Jika Anda ingin memastikan bahwa pembuatan profil tidak dimulai secara otomatis setelah Anda membuat konfigurasi pemindaian, pilih Buat pemindaian dalam mode dijeda.

    Opsi ini berguna dalam kasus berikut:

  2. Tinjau setelan Anda, lalu klik Buat.

    Perlindungan Data Sensitif membuat konfigurasi pemindaian dan menambahkannya ke daftar konfigurasi pemindaian penemuan.

Untuk melihat atau mengelola konfigurasi pemindaian, lihat Mengelola konfigurasi pemindaian.

Perlindungan Data Sensitif mulai mengidentifikasi instance Cloud SQL Anda dan membuat koneksi default untuk setiap instance. Bergantung pada jumlah instance dalam cakupan penemuan, proses ini dapat memerlukan waktu beberapa jam. Anda dapat keluar dari konsol Google Cloud dan memeriksa koneksi Anda nanti.

Saat koneksi default siap, perbarui koneksi tersebut dengan kredensial pengguna database yang ingin Anda gunakan oleh Perlindungan Data Sensitif untuk membuat profil instance Cloud SQL Anda. Untuk informasi selengkapnya, lihat Mengelola koneksi untuk digunakan dengan penemuan.

Langkah selanjutnya

Pelajari cara memperbarui koneksi.