本頁面提供建議策略,協助您找出並降低機構的資料風險。
保護資料的第一步是瞭解您處理的資料、機密資料的所在位置,以及如何確保資料安全和使用方式。全面掌握資料和安全狀態後,您就能採取適當措施保護資料,並持續監控法規遵循和風險。
本頁面假設您熟悉探索和檢查服務及其差異。
啟用機密資料探索功能
如要判斷商家中的機密資料位置,請在機構、資料夾或專案層級設定探索作業。這項服務會產生資料剖析檔,其中包含資料的指標和洞察資料,包括機密程度和資料風險程度。
探索服務可做為資料資產的單一事實來源,並自動產生稽核報告的指標。此外,探索功能還可連結至其他 Google Cloud 服務,例如 Security Command Center、Google Security Operations 和 Dataplex Universal Catalog,進一步強化安全作業和資料管理。
探索服務會持續運作,並在貴機構運作和成長時偵測新資料。舉例來說,如果貴機構的使用者建立新專案並上傳大量新資料,探索服務就會自動探索、分類及回報新資料。
Sensitive Data Protection 提供預先製作的多頁 Looker 報表,可讓您概覽資料,包括依風險、infoType 和位置分類的資料。在下列範例中,報表顯示全球多個國家/地區都有低敏感度和高敏感度資料。
根據探索結果採取行動
全面瞭解資料安全防護機制後,即可修正發現的任何問題。一般而言,探索結果會歸類為下列其中一種情況:
- 情境 1:在預期會出現機密資料的工作負載中找到機密資料,且該資料受到妥善保護。
- 情境 2:在不應出現機密資料的工作負載中發現機密資料,或該工作負載未設有適當的控管措施。
- 情境 3:系統偵測到敏感資料,但需要進一步調查。
情境 1:系統發現機密資料,且資料受到妥善保護
雖然這種情況不需要採取特定行動,但您應在稽核報告和安全性分析工作流程中加入資料設定檔,並持續監控可能導致資料面臨風險的變更。
建議您採取以下做法:
將資料剖析檔發布至相關工具,監控安全狀態及調查網路威脅。資料剖析檔可協助您判斷安全威脅或安全漏洞的嚴重程度,這些威脅或漏洞可能會導致機密資料外洩。您可以將資料剖析自動匯出至下列位置:
將資料剖析檔發布至 Dataplex Universal Catalog 或商品目錄系統,追蹤資料剖析檔指標和任何其他適當的業務中繼資料。如要瞭解如何自動將資料剖析檔匯出至 Dataplex Universal Catalog,請參閱「根據資料剖析檔的洞察資料新增 Dataplex Universal Catalog 切面」。
情境 2:系統發現私密資料,但未受到妥善保護
如果探索功能在資源中發現未受存取權控管機制妥善保護的機密資料,請考慮本節所述的建議。
為資料建立正確的控制項和資料安全防護機制後,請監控任何可能導致資料面臨風險的變更。請參閱情境 1 中的建議。
一般建議
建議採取下列做法:
製作去識別化資料副本,遮蓋或權杖化機密資料欄,讓資料分析師和工程師仍可使用資料,同時隱藏原始機密 ID,例如個人識別資訊 (PII)。
對於 Cloud Storage 資料,您可以使用 Sensitive Data Protection 的內建功能製作去識別化副本。
如果不需要這些資料,可以考慮刪除。
保護 BigQuery 資料的建議
- 使用 IAM 調整資料表層級的權限。
使用 BigQuery 政策標記設定精細的資料欄層級存取控管機制,限制存取機密和高風險資料欄。這項功能可讓您保護這些資料欄,同時允許存取資料表的其餘部分。
您也可以使用政策標記啟用自動資料遮蓋功能,讓使用者取得部分經過模糊處理的資料。
使用 BigQuery 的資料列層級安全防護機制,根據使用者或群組是否在允許清單中,隱藏或顯示特定資料列。
保護 Cloud Storage 資料的建議
情境 3:發現機密資料,但需要進一步調查
在某些情況下,您可能會收到需要進一步調查的結果。舉例來說,資料剖析可能指出某個資料欄的任意文字分數偏高,且有證據顯示含有機密資料。如果任意文字分數偏高,表示資料結構無法預測,且可能含有間歇性出現的私密資料。這可能是附註欄,其中某些資料列包含個人識別資訊,例如姓名、聯絡資料或政府核發的識別項。在這種情況下,建議您在資料表上設定額外的存取權控管,並執行情境 2 中說明的其他補救措施。此外,我們建議您進行更深入的目標檢查,找出風險程度。
檢查服務可讓您徹底掃描單一資源,例如個別的 BigQuery 資料表或 Cloud Storage bucket。如果檢查服務不直接支援資料來源,您可以將資料匯出至 Cloud Storage 儲存空間或 BigQuery 表格,然後對該資源執行檢查工作。舉例來說,如果您需要檢查 Cloud SQL 資料庫中的資料,可以將資料匯出至 Cloud Storage 中的 CSV 或 AVRO 檔案,然後執行檢查工作。
檢查工作會找出機密資料的個別例項,例如資料表儲存格內句子中的信用卡號碼。這類詳細資料可協助您瞭解非結構化資料欄或資料物件 (包括文字檔、PDF、圖片和其他豐富的文件格式) 中有哪些資料。接著,您可以透過情境 2 中說明的任何建議,修正調查結果。
除了情境 2 建議的步驟外,請考慮採取措施,防止私密資訊進入後端資料儲存空間。Cloud Data Loss Prevention API 的 content 方法可接受任何工作負載或應用程式的資料,以檢查及遮蓋傳輸中的資料。舉例來說,您的應用程式可以執行下列操作:
- 接受使用者提供的註解。
- 執行
content.deidentify,將該字串中的任何機密資料去識別化。 - 將去識別化字串儲存至後端儲存空間,而非原始字串。
最佳做法摘要
下表總結了本文建議的最佳做法:
| 挑戰 | 動作 |
|---|---|
| 您想瞭解貴機構儲存的資料類型。 | 在機構、資料夾或專案層級執行探索作業。 |
| 您在已受保護的資源中發現私密資料。 | 持續監控該資源,方法是執行探索作業,並自動將設定檔匯出至 Security Command Center、Google SecOps 和 Dataplex Universal Catalog。 |
| 您在未受保護的資源中發現機密資料。 | 根據資料檢視者身分隱藏或顯示資料;使用 IAM、資料欄層級安全性或資料列層級安全性。您也可以使用 Sensitive Data Protection 的去識別化工具,轉換或移除私密元素。 |
| 您發現機密資料,需要進一步調查,瞭解資料風險的程度。 | 對資源執行檢查工作。您也可以使用 DLP API 的同步 content 方法,近乎即時地處理資料,主動防止機密資料進入後端儲存空間。 |