Sensitive Data Protection consente di scoprire, classificare e anonimizzare i dati sensibili all'interno e all'esterno di Google Cloud. In questa pagina vengono descritti i servizi che compongono Sensitive Data Protection.
Individuazione dei dati sensibili
Il servizio di rilevamento consente di generare profili per i dati in un'organizzazione, una cartella o un progetto. I profili dati contengono metriche e metadati relativi alle tabelle e ti aiutano a determinare dove si trovano i dati sensibili e ad alto rischio. Sensitive Data Protection segnala queste metriche a vari livelli di dettaglio. Per informazioni sui tipi di dati che puoi profilare, vedi Risorse supportate.
Puoi utilizzare una configurazione di scansione per specificare la risorsa da scansionare, i tipi di informazioni (infoType) da cercare, la frequenza di profilazione e le azioni da intraprendere quando la profilazione è completata.
Per ulteriori informazioni sul servizio di rilevamento, vedi Panoramica dei profili di dati.
Ispezione dei dati sensibili
Il servizio di ispezione consente di eseguire una scansione approfondita di una singola risorsa per trovare istanze di dati sensibili. Sei tu a specificare l'infoType da cercare e il servizio di ispezione genera un report su ogni istanza di dati che corrisponde a quell'infoType. Ad esempio, il report indica il numero di numeri di carte di credito presenti in un bucket Cloud Storage e la posizione esatta di ogni istanza.
Esistono due modi per eseguire un'ispezione:
- Crea un job di ispezione o ibrido tramite la console Google Cloud o l'API Cloud Data Loss Prevention di Sensitive Data Protection (API DLP).
- Invia una richiesta
content.inspectall'API DLP.
Ispezione tramite un job
Puoi configurare job di ispezione e ibridi tramite la console Google Cloud o tramite l'API Cloud Data Loss Prevention. I risultati dei job di ispezione e ibridi vengono archiviati in Google Cloud.
Puoi specificare le azioni che vuoi che Sensitive Data Protection esegua quando il job di ispezione o ibrido è completato. Ad esempio, puoi configurare un job per salvare i risultati in una tabella BigQuery o inviare una notifica Pub/Sub.
Job di ispezione
Sensitive Data Protection dispone di supporto integrato per alcuni prodotti Google Cloud. Puoi esaminare una tabella BigQuery, un bucket o una cartella di Cloud Storage e un tipo di Datastore. Per ulteriori informazioni, consulta Ispezionare lo spazio di archiviazione e i database di Google Cloud per rilevare l'eventuale presenza di dati sensibili.
Job ibridi
Un job ibrido consente di analizzare payload di dati inviati da qualsiasi origine per poi archiviare i risultati dell'ispezione in Google Cloud. Per ulteriori informazioni, consulta Job ibridi e trigger di job.
Controllo tramite una richiesta content.inspect
Il metodo content.inspect dell'API DLP ti consente di inviare i dati
direttamente all'API DLP per l'ispezione. La risposta contiene i risultati
dell'ispezione. Utilizza questo approccio se hai bisogno di un'operazione sincrona o se non vuoi archiviare i risultati in Google Cloud.
Anonimizzazione dei dati sensibili
Il servizio di anonimizzazione ti consente di offuscare le istanze di dati sensibili. Sono disponibili vari metodi di trasformazione, tra cui mascheramento, oscuramento, bucket, spostamento delle date e tokenizzazione.
Esistono due modi per eseguire l'anonimizzazione:
- Crea una copia anonimizzata dei dati di Cloud Storage utilizzando un job di ispezione. Per maggiori informazioni, consulta Anonimizzazione dei dati sensibili nello spazio di archiviazione.
- Invia una richiesta
content.deidentifyall'API DLP. Per ulteriori informazioni, consulta Anonimizzazione dei dati sensibili.
Analisi del rischio
Il servizio di analisi del rischio consente di analizzare dati strutturati BigQuery per identificare e visualizzare il rischio che vengano rivelate informazioni sensibili (riidentificate).
Puoi utilizzare i metodi di analisi del rischio prima dell'anonimizzazione per determinare una strategia di anonimizzazione efficace o dopo l'anonimizzazione per monitorare eventuali modifiche o anomalie.
Per eseguire l'analisi del rischio, crea un job di analisi del rischio. Per ulteriori informazioni, consulta Analisi del rischio di reidentificazione.
API Cloud Data Loss Prevention
L'API Cloud Data Loss Prevention consente di utilizzare i servizi di Sensitive Data Protection in modo programmatico. L'API DLP ti consente di analizzare i dati interni ed esterni a Google Cloud e creare carichi di lavoro personalizzati all'interno o all'esterno del cloud. Per ulteriori informazioni, consulta Tipi di metodi di servizio.
Operazioni asincrone
Se vuoi ispezionare o analizzare in modo asincrono i dati at-rest, puoi utilizzare l'API DLP per creare una DlpJob. Creare un DlpJob equivale a creare un job di ispezione, un job ibrido o un job di analisi del rischio tramite la console Google Cloud. I risultati di un elemento DlpJob vengono
archiviati in Google Cloud.
Operazioni sincrone
Se vuoi ispezionare, anonimizzare o reidentificare i dati in modo sincrono, utilizza i metodi content incorporati dell'API DLP. Per anonimizzare i dati nelle immagini, puoi utilizzare il metodo image.redact. Invia i dati in una richiesta API e l'API DLP risponde con i risultati di ispezione, anonimizzazione o reidentificazione. I risultati dei metodi content e del metodo image.redact non vengono archiviati in Google Cloud.
Passaggi successivi
- Scopri come profilare i dati in un progetto.
- Scopri come avviare o pianificare un'ispezione.
- Scopri come controllare i dati da origini esterne utilizzando job ibridi.
- Scopri come creare una copia anonimizzata dei dati archiviati in Cloud Storage.
- Scopri come calcolare k-anonymity per un set di dati.
- Scopri come anonimizzare e reidentificare i dati utilizzando l'API DLP.