Visão geral da Proteção de Dados Sensíveis

A Proteção de dados sensíveis ajuda a descobrir, classificar e desidentificar dados sensíveis dentro e fora do Google Cloud. Esta página descreve os serviços que compõem a Proteção de Dados Sensíveis.

Descoberta de dados confidenciais

O serviço de descoberta permite gerar perfis dos seus dados em uma organização, pasta ou projeto. Os perfis de dados contêm métricas e metadados sobre seus recursos de dados e ajudam a determinar onde os dados sensíveis e de alto risco estão armazenados. A Proteção de dados sensíveis informa essas métricas em vários níveis de detalhes. Para saber mais sobre os tipos de dados que podem ser usados para criar perfis, consulte Recursos compatíveis.

Use uma configuração de verificação para especificar o recurso a ser verificado, os tipos de informações (infoTypes) a serem procurados, a frequência de criação de perfil e as ações a serem realizadas quando a criação de perfil for concluída.

Para mais informações sobre o serviço de descoberta, consulte Visão geral dos perfis de dados.

Inspeção de dados sensíveis

O serviço de inspeção permite realizar uma verificação detalhada de um recurso individual para encontrar instâncias de dados sensíveis. Você especifica o infoType que quer pesquisar, e o serviço de inspeção gera um relatório sobre cada instância de dados que corresponde a esse infoType. Por exemplo, o relatório informa quantos números de cartão de crédito estão em um bucket do Cloud Storage e o local exato de cada instância.

Há duas maneiras de realizar uma inspeção:

  • Crie um job de inspeção ou híbrido no console do Google Cloud ou na API Cloud Data Loss Prevention da Proteção de dados sensíveis (API DLP).
  • Envie uma solicitação content.inspect à API DLP.

Inspeção por um job

É possível configurar jobs de inspeção e híbridos no console do Google Cloud ou na API Cloud Data Loss Prevention. Os resultados de jobs híbridos e de inspeção são armazenados no Google Cloud.

É possível especificar as ações que você quer que a Proteção de dados sensíveis realize quando a inspeção ou o job híbrido for concluído. Por exemplo, é possível configurar um job para salvar as descobertas em uma tabela do BigQuery ou enviar uma notificação do Pub/Sub.

Jobs de inspeção

A proteção de dados sensíveis tem suporte integrado para alguns produtos do Google Cloud. É possível inspecionar uma tabela do BigQuery, um bucket ou uma pasta do Cloud Storage e um tipo do Datastore. Para mais informações, consulte Inspecionar o armazenamento e os bancos de dados do Google Cloud para encontrar dados sensíveis.

Jobs híbridos

Um job híbrido permite verificar payloads de dados enviados de qualquer origem e armazenar as descobertas de inspeção no Google Cloud. Para mais informações, consulte Jobs híbridos e gatilhos de jobs.

Inspeção por uma solicitação content.inspect

O método content.inspect da API DLP permite enviar dados diretamente para a API DLP para inspeção. A resposta contém as conclusões da inspeção. Use essa abordagem se você precisar de uma operação síncrona ou se não quiser armazenar as descobertas no Google Cloud.

Desidentificação de dados sensíveis

O serviço de desidentificação permite ofuscar instâncias de dados sensíveis. Vários métodos de transformação estão disponíveis, incluindo mascaramento, edição, agrupamento por classes, mudança de data e tokenização.

Há duas maneiras de fazer a desidentificação:

Análise de risco

O serviço de análise de risco permite analisar dados estruturados do BigQuery para identificar e visualizar o risco de que informações sensíveis sejam reveladas (reidentificadas).

É possível usar métodos de análise de risco antes da desidentificação para ajudar a determinar alguma estratégia eficaz ou após ela para monitorar quaisquer alterações ou outliers.

Para realizar uma análise de risco, crie um job de análise de risco. Para mais informações, consulte Análise de risco de reidentificação.

API Cloud Data Loss Prevention

A API Cloud Data Loss Prevention permite usar os serviços de Proteção de dados sensíveis de forma programática. Com a API DLP, é possível inspecionar dados dentro e fora do Google Cloud e criar cargas de trabalho personalizadas dentro ou fora da nuvem. Para mais informações, consulte Tipos de método de serviço.

Operações assíncronas

Se você quiser inspecionar ou analisar dados em repouso de forma assíncrona, use a API DLP para criar um DlpJob. Criar um DlpJob é o equivalente a criar um job de inspeção, híbrido ou de análise de risco pelo console do Google Cloud. Os resultados de uma DlpJob são armazenados no Google Cloud.

Operações síncronas

Se você quiser inspecionar, desidentificar ou reidentificar dados de forma síncrona, use os métodos content inline da API DLP. Para desidentificar dados em imagens, use o método image.redact. Você envia os dados em uma solicitação de API, e a API DLP responde com os resultados da inspeção, desidentificação ou reidentificação. Os resultados dos métodos content e image.redact não são armazenados no Google Cloud.

Preços

Para informações sobre os custos associados ao uso da Proteção de Dados Sensíveis, consulte Preços da Proteção de Dados Sensíveis.

A seguir