Der Schutz sensibler Daten hilft Ihnen, sensible Daten innerhalb und außerhalb von Google Cloudzu erkennen, zu klassifizieren und zu de-identifizieren. Auf dieser Seite werden die Dienste beschrieben, die Sensitive Data Protection ausmachen.
Auffinden sensibler Daten
Mit dem Discovery-Dienst können Sie Profile für Ihre Daten in einer Organisation, einem Ordner oder einem Projekt generieren. Datenprofile enthalten Messwerte und Metadaten zu Ihren Daten-Assets und können ermitteln, wo sich sensible und risikoreiche Daten befinden. Der Schutz sensibler Daten meldet diese Messwerte auf verschiedenen Detailebenen. Informationen zu den Datentypen, die Sie profilieren können, finden Sie unter Unterstützte Ressourcen.
Mit einer Scankonfiguration geben Sie die zu scannende Ressource, die zu suchenden Informationstypen (infoTypes), die Häufigkeit des Profilerns und die Aktionen an, die nach Abschluss des Profilerns ausgeführt werden sollen.
Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile – Übersicht.
Prüfung sensibler Daten
Mit dem Prüfdienst können Sie eine eingehende Prüfung einer einzelnen Ressource durchführen, um Instanzen sensibler Daten zu finden. Sie geben den infoType an, nach dem Sie suchen möchten, und der Inspektionsservice generiert einen Bericht zu jeder Dateninstanz, die diesem infoType entspricht. Der Bericht gibt beispielsweise Aufschluss darüber, wie viele Kreditkartennummern sich in einem Cloud Storage-Bucket befinden und wo sich die einzelnen Instanzen genau befinden.
Es gibt zwei Möglichkeiten, eine Prüfung durchzuführen:
- Erstellen Sie einen Inspektions- oder Hybridjob über die Google Cloud Console oder über die Cloud Data Loss Prevention API des Sensitive Data Protection-Dienstes (DLP API).
- Senden Sie eine
content.inspect
-Anfrage an die DLP API.
Prüfung über einen Job
Sie können Inspektions- und Hybridjobs über die Google Cloud Console oder über die Cloud Data Loss Prevention API konfigurieren. Die Ergebnisse von Inspektions- und Hybridjobs werden in Google Cloudgespeichert.
Sie können Aktionen angeben, die der Schutz sensibler Daten ausführen soll, wenn die Prüfung oder der Hybridjob abgeschlossen ist. Sie können beispielsweise einen Job so konfigurieren, dass die Ergebnisse in einer BigQuery-Tabelle gespeichert oder eine Pub/Sub-Benachrichtigung gesendet wird.
Inspektionsjobs
Sensitive Data Protection bietet integrierte Unterstützung für ausgewählteGoogle Cloud -Produkte. Sie können eine BigQuery-Tabelle, einen Cloud Storage-Bucket oder -Ordner und eine Datastore-Art prüfen. Weitere Informationen finden Sie unter Speicher und Datenbanken auf sensible Daten prüfen Google Cloud .
Hybrid jobs
Mit einem Hybridjob können Sie Nutzlasten von Daten aus beliebigen Quellen scannen und die Ergebnisse der Prüfung in Google Cloudspeichern. Weitere Informationen finden Sie unter Hybridjobs und Job-Trigger.
Prüfung über eine content.inspect
-Anfrage
Mit der Methode content.inspect
der DLP API können Sie Daten direkt zur Prüfung an die DLP API senden. Die Antwort enthält die Ergebnisse der Prüfung. Verwenden Sie diesen Ansatz, wenn Sie einen synchronen Vorgang benötigen oder die Ergebnisse nicht in Google Cloudspeichern möchten.
De-Identifikation sensibler Daten
Mit dem De-Identifikationsdienst können Sie Instanzen sensibler Daten unkenntlich machen. Es stehen verschiedene Transformationsmethoden zur Verfügung, darunter Maskierung, Entfernen, Bucketing, Datumsverschiebung und Tokenisierung.
Es gibt zwei Möglichkeiten, Daten zu anonymisieren:
- Mit einem Prüfjob eine de-identifizierte Kopie von Cloud Storage-Daten erstellen Weitere Informationen finden Sie unter Sensible Cloud Storage-Daten de-identifizieren.
- Senden Sie eine
content.deidentify
-Anfrage an die DLP API. Weitere Informationen finden Sie unter Sensible Daten de-identifizieren.
Risikoanalyse
Mit dem Risikoanalysedienst können Sie strukturierte BigQuery-Daten analysieren, um das Risiko zu ermitteln und zu visualisieren, dass sensible Informationen offengelegt (wieder identifiziert) werden.
Sie können Risikoanalyseverfahren vor der De-Identifikation verwenden, um eine effektive De-Identifikationsstrategie zu ermitteln, oder nach der De-Identifikation, um sie auf Änderungen oder Ausreißer zu prüfen.
Sie führen eine Risikoanalyse durch, indem Sie einen Risikoanalysejob erstellen. Weitere Informationen finden Sie unter Re-Identifikations-Risikoanalyse.
Cloud Data Loss Prevention API
Mit der Cloud Data Loss Prevention API können Sie die Dienste zum Schutz sensibler Daten programmatisch verwenden. Mit der DLP API können Sie Daten innerhalb und außerhalb der Cloud prüfen Google Cloud und benutzerdefinierte Arbeitslasten innerhalb oder außerhalb der Cloud erstellen. Weitere Informationen finden Sie unter Dienstmethodentypen.
Asynchrone Vorgänge
Wenn Sie ruhende Daten asynchron prüfen oder analysieren möchten, können Sie mit der DLP API einen DlpJob
erstellen. Das Erstellen einer DlpJob
entspricht dem Erstellen eines Inspektionsjobs, Hybridjobs oder Risikoanalysejobs über die Google Cloud Konsole. Die Ergebnisse einer DlpJob
werden in Google Cloudgespeichert.
Synchrone Vorgänge
Wenn Sie Daten synchron prüfen, de-identifizieren oder re-identifizieren möchten, verwenden Sie die Inline-content
-Methoden der DLP API. Zum De-Identifizieren von Daten in Bildern können Sie die Methode image.redact
verwenden. Sie senden die Daten in einer API-Anfrage und die DLP API antwortet mit den Ergebnissen der Prüfung, De-Identifikation oder Re-Identifikation. Die Ergebnisse der content
-Methoden und der image.redact
-Methode werden nicht in Google Cloudgespeichert.
Preise
Informationen zu den Kosten für den Schutz sensibler Daten finden Sie unter Preise für den Schutz sensibler Daten.
Nächste Schritte
- Weitere Informationen zum Erstellen von Datenprofilen in einem Projekt
- Weitere Informationen zum Starten oder Planen einer Prüfung
- Weitere Informationen zum Prüfen von Daten aus externen Quellen mit Hybridjobs
- Weitere Informationen zum Erstellen einer de-identifizierten Kopie von in Cloud Storage gespeicherten Daten
- Weitere Informationen zum Berechnen der k-Anonymität für ein Dataset
- Daten mit der DLP API de-identifizieren und re-identifizieren