Questa pagina descrive come configurare il rilevamento dei dati di Cloud SQL a livello di progetto. Se vuoi profilare un'organizzazione o una cartella, consulta Profilare i dati di Cloud SQL in un'organizzazione o una cartella.
Per ulteriori informazioni sul servizio di rilevamento, consulta Profili dati.
Come funziona
Di seguito è riportato un flusso di lavoro di alto livello per la profilazione dei dati di Cloud SQL:
Crea una configurazione di scansione.
Dopo aver creato una configurazione di scansione, Sensitive Data Protection inizia a identificare le istanze Cloud SQL e a creare una connessione predefinita per ogni istanza. A seconda del numero di istanze da rilevare, questo processo può richiedere alcune ore. Puoi uscire dalla console Google Cloud e controllare le tue connessioni in un secondo momento.
Concedi i ruoli IAM richiesti all'agente di servizio associato alla configurazione della scansione.
Quando le connessioni predefinite sono pronte, concedi a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database appropriate. Puoi fornire gli account utente del database esistenti o creare utenti del database.
Consigliato: aumenta il numero massimo di connessioni che Sensitive Data Protection può utilizzare per profilare i tuoi dati. Aumentare le connessioni può velocizzare il rilevamento.
Servizi supportati
Questa funzionalità supporta quanto segue:
- Cloud SQL per MySQL
- Cloud SQL per PostgreSQL
Cloud SQL per SQL Server non è supportato.
Prezzi e quote
Il rilevamento di Cloud SQL è senza addebiti per la protezione dei dati sensibili fino al 1° febbraio 2024. Dopo questa data, il costo del rilevamento di Cloud SQL verrà addebitato in modo simile a quello della scoperta di BigQuery.
L'utilizzo da parte dell'utente di altri servizi Google Cloud relativi alla profilazione dei dati viene comunque addebitato:
Gli addebiti di Secret Manager vengono applicati ogni volta che la protezione dei dati sensibili accede a un secret. Le operazioni di accesso si verificano quando Sensitive Data Protection profila le tue tabelle e controlla periodicamente la disponibilità di aggiornamenti.
Se salvi i profili dati in BigQuery, ti vengono addebitati addebiti di BigQuery.
Prima di iniziare
Assicurati che l'API Cloud Data Loss Prevention sia abilitata nel tuo progetto:
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required API.
-
Conferma di disporre delle autorizzazioni IAM necessarie per configurare i profili dati a livello di progetto.
Devi disporre di un modello di ispezione in ogni regione in cui esistono dati da profilare. Se vuoi utilizzare un singolo modello per più regioni, puoi usare un modello archiviato nella regione
global
. Se i criteri dell'organizzazione impediscono di creare un modello di ispezioneglobal
, devi impostare un modello di ispezione dedicato per ogni regione. Per saperne di più, consulta Considerazioni sulla residenza dei dati.Questa attività consente di creare un modello di ispezione solo nella regione
global
. Se hai bisogno di modelli di ispezione dedicati per una o più regioni, devi crearli prima di eseguire questa attività.Puoi configurare Sensitive Data Protection in modo da inviare notifiche a Pub/Sub quando si verificano determinati eventi, ad esempio quando Sensitive Data Protection profila una nuova tabella. Per utilizzare questa funzionalità, devi prima creare un argomento Pub/Sub.
Creazione di una configurazione di scansione
Vai alla pagina Crea configurazione di scansione.
Vai al tuo progetto. Nella barra degli strumenti, fai clic sul selettore dei progetti e seleziona il tuo.
Le seguenti sezioni forniscono ulteriori informazioni sui passaggi nella pagina Crea configurazione di scansione. Alla fine di ogni sezione, fai clic su Continua.
Seleziona un tipo di rilevamento
Seleziona Cloud SQL.
Seleziona ambito
Esegui una di queste operazioni:Se vuoi analizzare una singola tabella in modalità di test, seleziona Analizza una tabella (modalità di test).
Viene visualizzato il numero di analisi delle tabelle gratuite disponibili. Le analisi delle tabelle gratuite si applicano solo alle tabelle di dimensioni inferiori o uguali a 1 TB. Per ogni tabella è possibile avere una sola configurazione dell'analisi a livello di tabella. Per maggiori informazioni, consulta Profilare una tabella in modalità di test.
Inserisci i dettagli della tabella che vuoi profilare.
Se vuoi eseguire la profilazione standard a livello di progetto, seleziona Analizza l'intero progetto.
Gestisci pianificazioni
Se la frequenza di profilazione predefinita è adatta alle tue esigenze, puoi saltare questa sezione della pagina Crea configurazione di scansione. Questa sezione è utile se vuoi apportare modifiche dettagliate alla frequenza di profilazione di tutti i tuoi dati o di alcuni sottoinsiemi di dati. È utile anche se non vuoi che determinate tabelle vengano profilate o se vuoi che vengano profilate una volta e poi mai più.
In questa sezione puoi creare filtri per specificare determinati sottoinsiemi di dati di tuo interesse. Per questi sottoinsiemi, devi definire se Sensitive Data Protection deve profilare le tabelle e con quale frequenza. Qui devi specificare anche i tipi di modifiche che dovrebbero causare una nuova profilazione di una tabella. Infine, devi specificare le condizioni che ogni tabella nei sottoinsiemi deve soddisfare prima che la protezione dei dati sensibili inizi a profilare la tabella.
Per apportare modifiche dettagliate alla frequenza di profilazione, procedi nel seguente modo:
- Fai clic su Aggiungi pianificazione.
Nella sezione Filtri, definisci uno o più filtri che specificano quali tabelle sono nell'ambito della pianificazione.
Specifica almeno una delle seguenti opzioni:
- Un ID progetto o un'espressione regolare che specifica uno o più progetti.
- Un ID istanza o un'espressione regolare che specifica una o più istanze.
- Un ID database o un'espressione regolare che specifica uno o più database.
- Un ID tabella o un'espressione regolare che specifica una o più tabelle. Inserisci questo valore nel campo Nome risorsa di database o espressione regolare.
Le espressioni regolari devono seguire la sintassi RE2.
Ad esempio, se vuoi che tutte le tabelle di un database siano incluse nel filtro, inserisci l'ID del database nel campo ID database.
Se vuoi aggiungere altri filtri, fai clic su Aggiungi filtro e ripeti questo passaggio.
Fai clic su Frequenza.
Nella sezione Frequenza, specifica se il servizio di rilevamento deve profilare le tabelle selezionate e, in tal caso, con quale frequenza:
Se non vuoi che le tabelle vengano profilate, disattiva Profila questi dati.
Se vuoi che le tabelle vengano profilate almeno una volta, lascia attivata l'opzione Profila questi dati.
Nei campi successivi di questa sezione, puoi specificare se il sistema deve riprofilare i dati e quali eventi devono attivare una nuova operazione. Per saperne di più, consulta Frequenza di generazione del profilo dati.
- In In base a una pianificazione, specifica la frequenza con cui vuoi che le tabelle vengano riprofilate. Le tabelle vengono riprofilate indipendentemente dal fatto che siano state apportate modifiche o meno.
- In Quando lo schema viene modificato, specifica la frequenza con cui Sensitive Data Protection deve controllare se le tabelle selezionate presentano modifiche allo schema dopo l'ultima profilazione. Solo le tabelle con modifiche allo schema verranno riprofilate.
- In Tipi di modifiche allo schema, specifica quali tipi di modifiche allo schema devono attivare un'operazione di nuova profilazione. Seleziona una delle seguenti opzioni:
- Nuove colonne: riprofila le tabelle che hanno ottenuto nuove colonne.
- Colonne rimosse: riprofila le tabelle in cui erano state rimosse le colonne.
Ad esempio, supponi di avere tabelle che acquisiscono nuove colonne ogni giorno e di dover profilare i relativi contenuti ogni volta. Puoi impostare Quando lo schema cambia su Nuova profilazione ogni giorno e impostare Tipi di modifica dello schema su Nuove colonne.
- In Quando si esaminano le modifiche al modello, specifica se si vuole che i dati vengano riprofilati all'aggiornamento del modello di ispezione associato e, in tal caso, con quale frequenza.
Una modifica al modello di ispezione viene rilevata quando si verifica una delle seguenti condizioni:
- Il nome di un modello di ispezione cambia nella configurazione di scansione.
- Il valore
updateTime
di un modello di ispezione viene modificato.
Ad esempio, se imposti un modello di ispezione per la regione
us-west1
e aggiorni quel modello, solo i dati nella regioneus-west1
verranno riprofilati. Tuttavia, se elimini quel modello di ispezione, i dati inus-west1
non vengono riprofilati, in quanto non esiste un modello di ispezione da utilizzare per riprofilare i dati.
Fai clic su Condizioni.
Nella sezione Condizioni, specifichi i tipi di risorse di database che vuoi profilare. Per impostazione predefinita, Sensitive Data Protection è impostato in modo da profilare tutti i tipi di risorse di database supportati. Quando Sensitive Data Protection aggiunge il supporto per più tipi di risorse di database, anche questi vengono profilati automaticamente.
(Facoltativo) Se vuoi impostare esplicitamente i tipi di risorse di database che vuoi profilare, segui questi passaggi:
- Fai clic sul campo Tipi di risorse di database.
- Seleziona i tipi di risorse di database che vuoi profilare.
Se in un secondo momento Sensitive Data Protection aggiunge il supporto del rilevamento per altri tipi di risorse di database Cloud SQL, questi tipi verranno profilati solo se torni in questo elenco e li selezioni.
Fai clic su Fine.
Se vuoi aggiungere altre pianificazioni, fai clic su Aggiungi pianificazione e ripeti i passaggi precedenti.
Per riordinare le pianificazioni in base alla priorità, utilizza le frecce su e
giù . Ad esempio, se i filtri in due pianificazioni diverse corrispondono alla Tabella A, la pianificazione più in alto nell'elenco di priorità ha la precedenza.L'ultima pianificazione nell'elenco è sempre quella con l'etichetta Pianificazione predefinita. Questa pianificazione predefinita copre le tabelle nel progetto che non corrispondono a nessuna delle pianificazioni che hai creato. Questa pianificazione predefinita segue la frequenza di profilazione predefinita di sistema.
Se vuoi modificare la pianificazione predefinita, fai clic su
Modifica pianificazione e cambia le impostazioni in base alle esigenze.
Seleziona modello di ispezione
A seconda di come vuoi fornire una configurazione di ispezione, scegli una delle seguenti opzioni. Indipendentemente dall'opzione scelta, Sensitive Data Protection esegue la scansione dei tuoi dati nella regione in cui sono archiviati. In altre parole, i tuoi dati non lasciano la sua regione di origine.
Opzione 1: crea un modello di ispezione
Scegli questa opzione se vuoi creare un nuovo modello di ispezione nella regione global
.
- Fai clic su Crea nuovo modello di ispezione.
(Facoltativo) Per modificare la selezione predefinita degli infoType, fai clic su Gestisci infoType.
Per ulteriori informazioni su come gestire gli infoType integrati e personalizzati in questa sezione, consulta Gestire gli infoType tramite la console Google Cloud.
Devi selezionare almeno un infoType per continuare.
(Facoltativo) Configura ulteriormente il modello di ispezione aggiungendo set di regole e impostando una soglia di confidenza. Per ulteriori informazioni, consulta Configurare il rilevamento.
Quando Sensitive Data Protection crea la configurazione di scansione, archivia questo nuovo modello di ispezione nella regione
global
.
Opzione 2: utilizza un modello di ispezione esistente
Scegli questa opzione se disponi di modelli di ispezione esistenti che vuoi utilizzare.
Fai clic su Seleziona modello di ispezione esistente.
Inserisci il nome completo della risorsa del modello di ispezione che vuoi utilizzare. Il campo Regione viene compilato automaticamente con il nome della regione in cui è archiviato il modello di ispezione.
Il modello di ispezione inserito deve trovarsi nella stessa regione dei dati da profilare. Per rispettare la residenza dei dati, Sensitive Data Protection non utilizza un modello di ispezione al di fuori della propria regione.
Per trovare il nome completo della risorsa di un modello di ispezione, segui questi passaggi:
Vai all'elenco dei modelli di ispezione. Questa pagina si apre in una scheda separata.
Passa al progetto che contiene il modello di ispezione che vuoi utilizzare.
Nella scheda Modelli, fai clic sull'ID del modello che vuoi utilizzare.
Nella pagina che si apre, copia il nome completo della risorsa del modello. Il nome completo della risorsa ha il seguente formato:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
Nella pagina Crea configurazione di scansione, incolla il nome completo della risorsa del modello nel campo Nome modello.
Se hai dati in un'altra regione e hai un modello di ispezione che vuoi utilizzare per quella regione, segui questi passaggi:
- Fai clic su Aggiungi modello di ispezione.
- Inserisci il nome completo della risorsa del modello di ispezione.
Ripeti questi passaggi per ogni regione in cui è disponibile un modello di ispezione dedicato.
(Facoltativo) Aggiungi un modello di ispezione archiviato nella regione
global
. Sensitive Data Protection utilizza automaticamente quel modello per i dati nelle regioni in cui non è disponibile un modello di ispezione dedicato.
Aggiungi azioni
Nelle sezioni seguenti puoi specificare le azioni che vuoi che Sensitive Data Protection intraprenda dopo aver generato i profili di dati.
Per informazioni su come altri servizi Google Cloud potrebbero addebitarti i costi per la configurazione delle azioni, consulta la sezione Prezzi per l'esportazione dei profili di dati.
Pubblica su Security Command Center
Questa azione consente di inviare a Security Command Center i livelli di rischio e sensibilità dei dati calcolati dei profili dei dati delle tabelle.
Security Command Center è il servizio centralizzato di Google Cloud per la segnalazione di vulnerabilità e minacce. Puoi utilizzare gli insight dei profili di dati per valutare e sviluppare piani di risposta per i risultati relativi a vulnerabilità e minacce in Security Command Center.
Prima di poter utilizzare questa azione, è necessario attivare Security Command Center a livello di organizzazione. L'attivazione di Security Command Center a livello di organizzazione consente il flusso dei risultati da servizi integrati come Sensitive Data Protection. Sensitive Data Protection funziona con Security Command Center Standard e Premium.
Se Security Command Center non viene attivato a livello di organizzazione, i risultati di Sensitive Data Protection non verranno visualizzati in Security Command Center. Per maggiori informazioni, consulta Controllare il livello di attivazione di Security Command Center.
Per inviare i risultati dei tuoi profili di dati a Security Command Center, assicurati che l'opzione Pubblica su Security Command Center sia attivata.
Per maggiori informazioni, vedi Pubblicare profili di dati in Security Command Center.
Salva le copie dei profili dati su BigQuery
Se attivi Salva copie del profilo dati in BigQuery, potrai conservare una copia salvata o la cronologia di tutti i profili generati. Questo può essere utile per creare report di controllo e visualizzare profili di dati. Puoi anche caricare queste informazioni in altri sistemi.
Inoltre, questa opzione consente di vedere tutti i profili di dati in un'unica vista, indipendentemente dalla regione in cui si trovano i dati. Se disattivi questa opzione, puoi comunque visualizzare i profili di dati nella dashboard. Tuttavia, nella dashboard, selezioni una regione alla volta e visualizzi solo i profili di dati per quella regione.
Per esportare copie dei profili di dati in una tabella BigQuery, segui questi passaggi:
Attiva Salva copie del profilo dati in BigQuery.
Inserisci i dettagli della tabella BigQuery in cui vuoi salvare i profili dati:
In ID progetto, inserisci l'ID di un progetto esistente in cui vuoi esportare i profili di dati.
In ID set di dati, inserisci il nome di un set di dati esistente nel progetto in cui vuoi esportare i profili di dati.
In ID tabella, inserisci un nome per la tabella BigQuery in cui verranno esportati i profili dati. Se non hai creato questa tabella, Sensitive Data Protection la crea automaticamente per te utilizzando il nome fornito.
Sensitive Data Protection inizia a esportare i profili dal momento in cui attivi questa opzione. I profili generati prima dell'attivazione dell'esportazione non vengono salvati in BigQuery.
Pubblica in Pub/Sub
Se attivi Pubblica su Pub/Sub, puoi eseguire azioni programmatiche basate sui risultati della profilazione. Puoi utilizzare le notifiche Pub/Sub per sviluppare un flusso di lavoro per rilevare e risolvere i risultati con un rischio o una sensibilità dei dati significativo.
Per inviare notifiche a un argomento Pub/Sub, segui questi passaggi:
Attiva Pubblica su Pub/Sub.
Viene visualizzato un elenco di opzioni. Ogni opzione descrive un evento che causa l'invio di una notifica a Sensitive Data Protection a Pub/Sub.
Seleziona gli eventi che devono attivare una notifica Pub/Sub.
Se selezioni Invia una notifica Pub/Sub ogni volta che un profilo viene aggiornato, Sensitive Data Protection invia una notifica in caso di modifica alle seguenti metriche a livello di tabella:
- Rischio dei dati
- Riservatezza
- InfoType previsti
- Altri infoType
- Pubblico
- Crittografia
Per ogni evento selezionato, segui questi passaggi:
Inserisci il nome dell'argomento. Il nome deve avere il seguente formato:
projects/PROJECT_ID/topics/TOPIC_ID
Sostituisci quanto segue:
- PROJECT_ID: l'ID del progetto associato all'argomento Pub/Sub.
- TOPIC_ID: l'ID dell'argomento Pub/Sub.
Specifica se includere il profilo completo della tabella nella notifica o solo il nome completo della risorsa della tabella profilata.
Imposta i livelli minimi di rischio e sensibilità dei dati che devono essere soddisfatti affinché la protezione dei dati sensibili possa inviare una notifica.
Specifica se devono essere soddisfatte solo una o entrambe le condizioni di rischio e sensibilità dei dati. Ad esempio, se scegli
AND
, sia il rischio che le condizioni di sensibilità devono essere soddisfatti prima che Sensitive Data Protection invii una notifica.
Imposta la posizione in cui archiviare la configurazione
Fai clic sull'elenco Località della risorsa e seleziona la regione in cui vuoi archiviare questa configurazione di scansione. Anche tutte le configurazioni di scansione create in seguito verranno archiviate in questa località.
La scelta di archiviare la configurazione di scansione non influisce sui dati da analizzare. Inoltre, non influisce sulla posizione in cui vengono archiviati i profili di dati. I dati vengono analizzati nella stessa regione in cui sono archiviati. Per ulteriori informazioni, consulta Considerazioni sulla residenza dei dati.
Rivedi e crea
Se vuoi assicurarti che la profilazione non venga avviata automaticamente dopo aver creato la configurazione di scansione, seleziona Crea analisi in modalità in pausa.
Questa opzione è utile nei seguenti casi:
- Hai scelto di salvare i profili di dati in BigQuery e vuoi assicurarti che l'agente di servizio abbia accesso in scrittura alla tabella di output.
- Hai configurato le notifiche Pub/Sub e vuoi concedere all'agente di servizio l'accesso in pubblicazione.
Rivedi le impostazioni e fai clic su Crea.
Sensitive Data Protection crea la configurazione della scansione e la aggiunge all'elenco delle configurazioni della scansione di rilevamento.
Per visualizzare o gestire le configurazioni di scansione, vedi Gestire le configurazioni di scansione.
Sensitive Data Protection inizia a identificare le istanze Cloud SQL e a creare una connessione predefinita per ogni istanza. A seconda del numero di istanze nell'ambito del rilevamento, questo processo può richiedere alcune ore. Puoi uscire dalla console Google Cloud e controllare le tue connessioni in un secondo momento.Quando le connessioni predefinite sono pronte, aggiornale con le credenziali utente del database che vuoi che Sensitive Data Protection utilizzi per profilare le tue istanze Cloud SQL. Per ulteriori informazioni, vedi Gestire le connessioni da utilizzare con il rilevamento.
Passaggi successivi
Scopri come aggiornare le connessioni.