Como usar a proteção de dados confidenciais para verificar dados do BigQuery

Saber onde seus dados confidenciais estão geralmente é o primeiro passo para garantir que eles sejam protegidos e gerenciados de maneira adequada. Esse conhecimento ajuda a reduzir o risco de expor detalhes confidenciais, como números de cartão de crédito, informações médicas, CPF ou CNPJ, número da carteira de habilitação, endereços, nomes completos e segredos específicos da empresa. A verificação periódica dos dados também ajuda nos requisitos de conformidade e garantir que as práticas recomendadas sejam seguidas à medida que seus dados crescem e mudam com o uso. Para ajudar a atender aos requisitos de conformidade, use a proteção de dados confidenciais para inspecionar suas tabelas do BigQuery e ajudar a proteger seus dados confidenciais.

Há duas maneiras de verificar seus dados do BigQuery:

• Criação de perfil de dados confidenciais. A proteção de dados confidenciais pode gerar perfis sobre os dados do BigQuery em uma organização, pasta ou projeto. Os perfis de dados contêm métricas e metadados sobre tabelas e ajudam a determinar onde os dados confidenciais e de alto risco residem. A proteção de dados confidenciais informa essas métricas nos níveis do projeto, da tabela e da coluna. Para saber mais, consulte Perfis de dados do BigQuery.

• Inspeção sob demanda. A proteção de dados confidenciais pode realizar uma inspeção profunda em uma única tabela ou em um subconjunto de colunas e informar as descobertas no nível da célula. Esse tipo de inspeção ajuda a identificar instâncias individuais de tipos de dados específicos, como a localização precisa de um número de cartão de crédito em uma célula da tabela. É possível fazer uma inspeção sob demanda na página Prevenção de dados confidenciais no consoleGoogle Cloud , na página BigQuery no console Google Cloud ou de forma programática pela API DLP.

Nesta página, descrevemos como fazer uma inspeção sob demanda na página BigQuery no Google Cloud console.

A Proteção de dados sensíveis é um serviço totalmente gerenciado que permite Google Cloud aos clientes identificar e proteger dados sensíveis em grande escala. A Proteção de dados confidenciais usa mais de 150 detectores predefinidos para identificar padrões, formatos e checksums. A Proteção de dados confidenciais também fornece um conjunto de ferramentas para desidentificar os dados, incluindo mascaramento, tokenização, pseudonimização, mudança de data e muito mais, tudo isso sem replicar os dados do cliente.

Para saber mais, consulte a documentação Proteção de dados confidenciais.

Antes de começar

1. Conheça os Preços da proteção de dados confidenciais e saiba como manter os custos da Proteção de dados confidenciais sob controle.

2. Ative a API DLP

   Ativar a API

3. Verifique se o usuário que está criando os jobs de Proteção de dados confidenciais recebeu um Papel do IAM predefinido adequado da Proteção de dados confidenciais ou permissões suficientes para executar jobs de Proteção de dados confidenciais.

Como verificar dados do BigQuery usando o console Google Cloud

Para verificar dados do BigQuery, crie um job de Proteção de dados confidenciais que analise uma tabela. É possível verificar uma tabela do BigQuery rapidamente usando a opção Verificar com Proteção de dados sensíveis no console do BigQuery Google Cloud .

Para verificar uma tabela do BigQuery usando a Proteção de dados confidenciais:

1. No Google Cloud console, acesse a página do BigQuery.

   Ir para o BigQuery

2. No painel Explorer, expanda o projeto e o conjunto de dados e selecione a tabela.

3. Clique em Exportar > Verificar com Proteção de dados confidenciais. A página de criação de vagas de Proteção de dados confidenciais é aberta em uma nova guia.

4. Em Etapa 1: escolher os dados de entrada, insira um ID de job. Os valores da seção Local são gerados automaticamente. Além disso, a seção Amostragem é configurada automaticamente para executar uma verificação de amostra nos dados, mas é possível ajustar as configurações conforme necessário.

5. Clique em Continuar.

6. Opcional: na Etapa 2: configurar a detecção, é possível configurar os tipos de dados a serem procurados, chamados infoTypes.

   Siga uma das seguintes ações:

   • Para selecionar na lista de infoTypes predefinidos, clique em Gerenciar infoTypes. Em seguida, selecione os infoTypes que você quer pesquisar.
   • Para usar um modelo de inspeção, no campo Nome do modelo, insira o nome completo do recurso.

   Para mais informações sobre infoTypes, consulte InfoTypes e detectores de infoType na documentação da Proteção de dados confidenciais.

7. Clique em Continuar.

8. Opcional: na Etapa 3: adicionar ações, ative Salvar no BigQuery para publicar as descobertas da Proteção de dados confidenciais em uma tabela do BigQuery. Se você não armazenar as descobertas, o job concluído conterá apenas estatísticas sobre o número de descobertas e os respectivos infoTypes. Salvar as descobertas no BigQuery guarda detalhes sobre a localização precisa e a confiança de cada descoberta individual.

9. Opcional: se você ativou Salvar no BigQuery, na seção Salvar no BigQuery, insira as seguintes informações:

   • ID do projeto: o ID do projeto onde os resultados são armazenados.
   • ID do conjunto de dados: o nome do conjunto de dados que armazena os resultados.
   • Opcional: ID da tabela: o nome da tabela que armazena os resultados. Se nenhum código de tabela for especificado, um nome padrão será atribuído a uma nova tabela semelhante ao seguinte: dlp_googleapis_date_1234567890. Se você especificar uma tabela atual, as descobertas serão anexadas a ela.

   Para incluir o conteúdo detectado, ative Incluir cotação.

10. Clique em Continuar.

11. Opcional: na Etapa 4: programar, configure um intervalo de tempo ou uma programação, selecionando Especificar período de tempo ou Criar um acionador para executar o job em uma programação periódica.

12. Clique em Continuar.

13. Opcional: na página Revisar, examine os detalhes do job. Se necessário, ajuste as configurações anteriores.

14. Clique em Criar.

15. Depois que o job de Proteção de dados confidenciais for concluído, você será redirecionado para a página de detalhes do job e receberá uma notificação por e-mail. É possível ver os resultados da verificação na página de detalhes do job ou clicar no link para a página de detalhes do job da Proteção de dados confidenciais no e-mail de conclusão do job.

16. Se você optou por publicar as descobertas da Proteção de dados sensíveis no BigQuery, na página Detalhes do job, clique em Visualizar descobertas no BigQuery para abrir a tabela no Google Cloud console. Lá, é possível consultar a tabela e analisar suas descobertas. Para mais informações sobre como consultar seus resultados no BigQuery, consulte Como consultar as descobertas da Proteção de dados confidenciais no BigQuery na documentação da Proteção de dados confidenciais.

A seguir

• Saiba mais sobre como inspecionar o BigQuery e outros repositórios de armazenamento para dados confidenciais usando a Proteção de dados confidenciais.

• Saiba mais sobre como criar perfis de dados em uma organização, pasta ou projeto.

• Leia a postagem do blog sobre Identidade e segurança Assuma o controle dos seus dados: usando a Proteção de dados confidenciais para desidentificar e ofuscar informações sensíveis.

Se você quiser editar ou desidentificar os dados confidenciais encontrados pela verificação da Proteção de dados confidenciais, consulte:

• Inspecione texto para desidentificar informações confidenciais
• Como desidentificar dados confidenciais na documentação de Proteção de dados confidenciais
• Conceitos de criptografia AEAD no GoogleSQLcom informações sobre como criptografar valores individuais em uma tabela
• Como proteger dados com chaves Cloud KMS para consultar informações sobre como criar e gerenciar suas próprias chaves de criptografia no Cloud KMS para criptografar tabelas do BigQuery