Dokumen ini menjelaskan penggunaan Perlindungan Data Sensitif untuk mengurangi risiko eksposur data sensitif yang disimpan di database Google Cloud kepada pengguna, tetapi tetap memungkinkan mereka mengkueri data yang berarti.
Data sensitif dapat muncul di seluruh perusahaan Anda. Data yang dikumpulkan, diproses, dan dibagikan dapat berisi informasi seperti informasi identitas pribadi (PII) yang tunduk pada kebijakan atau peraturan eksternal dan internal. Selain itu, untuk kontrol keamanan yang tepat dalam membatasi akses ke data sensitif, Anda juga dapat menggunakan teknik ini untuk membantu melindungi data yang digunakan. De-identifikasi membantu menyeimbangkan antara utilitas dan privasi data menggunakan teknik seperti data masking, pengelompokan, dan tokenisasi.
Tokenisasi mengganti data sensitif dengan nilai surrogate hal ini biasa disebut token, yang mewakili nilai sensitif asli (mentah) saat data dikueri atau dilihat. Terkadang proses ini disebut sebagai pseudonimisasi atau penggantian surrogate. Konsep tokenisasi banyak digunakan pada beberapa industri seperti keuangan dan layanan kesehatan, untuk membantu mengurangi resiko penggunaan data yang digunakan, mengurangi cakupan kepatuhan, dan meminimalkan data sensitif yang telah terpapar pada orang lain atau sistem yang tidak membutuhkannya.
Dengan perlindungan data sensitif, Anda dapat mengklasifikasi dan melakukan de-identifikasi data sensitif pada batch dan secara real time. Klasifikasi adalah proses mengidentifikasi informasi sensitif dan menentukan jenis informasi tersebut Dokumen ini membahas dimana Anda dapat menggunakan teknik de-identifikasi ini dan menunjukkan Anda cara menggunakan proxy untuk menyelesaikan tugas ini.
Diagram berikut menggambarkan skenario yang diuraikan dalam dokumen ini.
- Data disimpan dalam penyimpanan di Cloud Storage. Misalnya, data yang diterima dari partner.
- Data diserap melalui proses ekstrak, transformasi, dan pemuatan (ETL) ke database SQL.
- Data dalam database ini dikueri oleh pengguna untuk melakukan analisis.
Dalam skenario ini, hasil yang ditampilkan dari kueri adalah data mentah, sehingga data sensitif ditampilkan dan berpotensi mengekspos data PII kepada pengguna yang menjalankan kueri tersebut. Anda harus mendesain aplikasi untuk mengaudit dan mencegah kuerI yang tidak sah atas data sensitif.
Arsitektur proxy DLP
Salah satu cara untuk melindungi data PII adalah meneruskan semua kueri dan hasil melalui sebuah layanan yang mengurai, memeriksa, lalu mencatat temuan ke dalam log atau melakukan de-identifikasi hasil menggunakan Perlindungan Data Sensitif sebelum menampilkan hasil data yang diminta kepada pengguna. Dalam dokumen ini, layanan ini disebut proxy DLP.
Aplikasi proxy DLP menerima kueri SQL sebagai input, menjalankan kueri tersebut dalam database, lalu menerapkan Perlindungan Data Sensitif ke hasilnya, sebelum menampilkannya kepada pengguna yang meminta data tersebut.
Diagram berikut mengilustrasikan arsitektur aplikasi proxy DLP.
Perlindungan Data Sensitif memungkinkan konfigurasi mendetail tentang jenis data yang harus diperiksa, dan cara mengubah data tersebut berdasarkan temuan pemeriksaan atau struktur data ini (misalnya, nama kolom). Untuk menyederhanakan pembuatan dan pengelolaan konfigurasi, Anda dapat menggunakan template Perlindungan Data Sensitif. Aplikasi proxy DLP merujuk ke template inspect dan de-identifikasi.
Anda dapat menggunakan template untuk membuat dan mempertahankan informasi konfigurasi dengan Perlindungan Data Sensitif. Template berguna untuk memisahkan informasi konfigurasi—seperti data yang Anda periksa dan cara melakukan de-identifikasi—dari penerapan yang Anda minta. Untuk mengetahui informasi selengkapnya tentang template, perhatikan template Perlindungan Data Sensitif.
Cloud Audit Logs adalah layanan logging terintegrasi dari Google Cloud yang digunakan dalam arsitektur ini. Pertama, Cloud Audit Logs menyediakan jejak audit panggilan yang dilakukan ke Cloud Data Loss Prevention API (bagian dari Sensitive Data Protection). Entri log audit menyertakan informasi tentang siapa yang melakukan panggilan API, manakah project Google Cloud yang dijalankannya, dan detail tentang permintaan, termasuk apakah template digunakan sebagai bagian dari permintaan. Kedua, jika Anda menggunakan file konfigurasi aplikasi untuk mengaktifkan proses audit, Cloud Audit Logs akan mencatat ringkasan temuan pemeriksaan.
Cloud Key Management Service (Cloud KMS) adalah key management service yang dihosting di cloud dari Google Cloud yang memungkinkan Anda mengelola kunci kriptografis untuk layanan cloud.
Metode Perlindungan Data Sensitif untuk tokenisasi dan pergeseran tanggal menggunakan kriptografi untuk menghasilkan nilai pengganti. Metode kriptografi ini menggunakan kunci untuk mengenkripsi nilai secara konsisten guna menjaga integritas referensial atau detoken untuk metode yang dapat dibalik. Anda dapat memberikan kunci ini secara langsung ke Perlindungan Data Sensitif saat panggilan dilakukan, atau menggabungkannya dengan menggunakan Cloud KMS Menggabungkan kunci Anda di Cloud KMS akan menyediakan lapisan kontrol akses dan pengauditan lain, sehingga merupakan metode yang direkomendasikan untuk deployment produksi.
Dalam konfigurasi produksi, Anda harus menggunakan prinsip hak istimewa terendah untuk menetapkan izin. Diagram berikut menggambarkan contoh dari prinsip ini.
Diagram sebelumnya menunjukkan bagaimana konfigurasi produksi pada umumnya terdapat tiga persona dengan peran dan akses berbeda ke data mentah:
- Admin infrastruktur: menginstal dan mengonfigurasi proxy agar mereka memiliki akses ke lingkungan komputasi tempat proxy Perlindungan Data Sensitif diinstal.
Analis data: Mengakses klien yang terhubung ke proxy DLP.
Admin keamanan: Mengklasifikasikan data, membuat template Perlindungan Data Sensitif, dan mengonfigurasi Cloud KMS.
Untuk mengetahui informasi selengkapnya tentang penggunaan Cloud KMS untuk mengenkripsi dan mendekripsi data, perhatikan Mengenkripsi dan mendekripsi data.
Untuk proxy DLP yang digunakan dalam dokumen ini, semua informasi ini dikonfigurasi dalam template de-identifikasi Perlindungan Data Sensitif.
Melindungi PII dengan proses audit, penyamaran, dan tokenisasi
Terdapat dua strategi yang dapat Anda terapkan untuk mengurangi risiko pengungkapan PII dalam skenario ini.
Data mentah yang disimpan dalam database
Jika aplikasi Anda menyimpan data mentah dalam database, Anda dapat menggunakan proxy DLP untuk memproses hasil yang ditampilkan kepada pengguna dengan memeriksa dan menghasilkan sebuah audit terhadap temuan sensitif secara otomatis. Selain itu, Anda dapat menyamarkan hasil kueri secara real time, sebagaimana yang diilustrasikan dalam diagram berikut.
Konfigurasi ini mengharuskan Anda menggunakan klien SQL yang terhubung ke proxy DLP. Jika Anda mengaktifkan proses audit pada aplikasi, sebuah log akan dibuat di Cloud Audit Logs dengan ringkasan temuan pemeriksaan. Ringkasan ini menunjukkan jenis informasi sensitif yang ditampilkan dalam kueri.
Data disimpan dalam bentuk yang dide-identifikasi
Jika Anda tidak ingin menyimpan data mentah, Anda dapat menyimpan data untuk Aplikasi Anda dalam bentuk yang dide-identifikasi atau disamarkan dengan melakukan transformasi de-identifikasi selama proses ETL ke dalam database, seperti yang diilustrasikan dalam diagram berikut.
Diagram sebelumnya mengilustrasikan alur dasar tempat data diperiksa dan disamarkan sebelum diserap ke dalam database. Saat pengguna membuat kueri pada data ini, meskipun mereka memiliki akses mentah ke database, mereka hanya dapat melihat versi yang disamarkan.
Jika mengizinkan data yang tidak disamarkan untuk dilihat oleh pengguna, Anda harus menggunakan bantuan klien yang dapat terhubung ke instance proxy DLP yang memiliki izin untuk memperlihatkan data tersebut, seperti yang diilustrasikan dalam diagram berikut.
Diagram sebelumnya menggambarkan cara menggunakan bantuan klien agar terhubung ke proxy DLP supaya mengizinkan data yang tidak disamarkan dapat ditampilkan ke klien.
Langkah selanjutnya
- Kendalikan data Anda: Cara tokenisasi membuat data dapat digunakan tanpa mengorbankan privasi.
Pelajari dokumentasi teknis Perlindungan Data Sensitif berikut:
Pelajari arsitektur referensi, diagram, dan praktik terbaik tentang Google Cloud. Lihat Cloud Architecture Center kami.