Tareas híbridas y activadores de tareas

Las tareas híbridas y los activadores de tareas incluyen un conjunto de métodos de API asíncronos que te permiten analizar las cargas útiles de datos enviadas desde prácticamente cualquier fuente para detectar información sensible y, a continuación, almacenar los resultados en Google Cloud. Los trabajos híbridos te permiten escribir tus propios rastreadores de datos que se comportan y sirven datos de forma similar a los métodos de inspección de almacenamiento de Protección de Datos Sensibles.

Con las tareas híbridas, puedes transmitir datos de cualquier fuente a Protección de Datos Sensibles. Protección de Datos Sensibles inspecciona los datos en busca de información sensible o IPI y, a continuación, guarda los resultados del análisis de inspección en un recurso de tarea de Protección de Datos Sensibles. Puedes examinar los resultados del análisis en la interfaz de usuario o la API de la consola de Protección de Datos Sensibles, o bien especificar las acciones posteriores al análisis que quieras ejecutar, como guardar los datos de los resultados de la inspección en una tabla de BigQuery o emitir una notificación de Pub/Sub.

El flujo de trabajo de las tareas híbridas se resume en el siguiente diagrama:

En este artículo conceptual se describen las tareas híbridas y los activadores de tareas, así como su funcionamiento. Para obtener información sobre cómo implementar tareas híbridas y activadores de tareas, consulta Inspeccionar datos externos con tareas híbridas.

Información sobre los entornos híbridos

Los entornos híbridos son habituales en las organizaciones. Muchas organizaciones almacenan y procesan datos sensibles mediante una combinación de los siguientes elementos:

• Otros proveedores de servicios en la nube
• Servidores on-premise u otros repositorios de datos
• Sistemas de almacenamiento no nativos, como los que se ejecutan en una máquina virtual
• Aplicaciones web y móviles
• Soluciones basadas enGoogle Cloud

Con las tareas híbridas, Protección de Datos Sensibles puede inspeccionar los datos que se le envían desde cualquiera de estas fuentes. A continuación, se muestran algunos ejemplos:

• Inspecciona los datos almacenados en Amazon Relational Database Service (RDS), MySQL ejecutándose en una máquina virtual o una base de datos local.
• Inspecciona y tokeniza los datos a medida que migras de un entorno local a la nube o entre producción, desarrollo y analíticas.
• Inspecciona y oculta transacciones de una aplicación web o móvil antes de almacenar los datos en reposo.

Opciones de inspección

Como se describe con más detalle en Tipos de métodos, cuando quieras inspeccionar contenido en busca de datos sensibles, Protección de Datos Sensibles te ofrece tres opciones predeterminadas:

• Inspección con métodos de contenido: con la inspección de contenido, envías pequeñas cargas útiles de datos a Protección de Datos Sensibles junto con instrucciones sobre qué buscar. A continuación, Protección de Datos Sensibles inspecciona los datos en busca de contenido sensible e IIP y te devuelve los resultados del análisis.
• Inspección de métodos de almacenamiento: mediante la inspección de almacenamiento, Protección de Datos Sensibles inspecciona un repositorio de almacenamiento basado en Google Cloud, como una base de datos de BigQuery, un segmento de Cloud Storage o un tipo de Datastore. Indicas a Protección de Datos Sensibles qué debe inspeccionar y qué debe buscar, y, a continuación, Protección de Datos Sensibles ejecuta una tarea que analiza el repositorio. Una vez completado el análisis, Protección de Datos Sensibles guarda un resumen de los resultados en la tarea. Además, puede especificar que los resultados se envíen a otro Google Cloud producto para analizarlos, como una tabla de BigQuery independiente.
• Inspección de tareas híbridas: las tareas híbridas ofrecen las ventajas de los dos métodos anteriores. Te permiten transmitir datos como lo harías con los métodos de contenido, al tiempo que obtienes el almacenamiento, la visualización y las acciones de las tareas de inspección de almacenamiento. Toda la configuración de inspección se gestiona en Protección de Datos Sensibles, sin necesidad de realizar ninguna configuración adicional en el lado del cliente. Los trabajos híbridos pueden ser útiles para analizar sistemas de almacenamiento no nativos, como una base de datos que se ejecute en una máquina virtual (VM), en un entorno local o en otra nube. Los métodos híbridos también pueden ser útiles para inspeccionar sistemas de procesamiento, como cargas de trabajo de migración, o incluso para proxy de comunicación entre servicios. Aunque los métodos de contenido también pueden hacerlo, los métodos híbridos te proporcionan el backend de almacenamiento de resultados que puede agregar tus datos en varias llamadas a la API para que no tengas que hacerlo tú.

Acerca de las tareas híbridas y los activadores de tareas

Un trabajo híbrido es, en esencia, una combinación de métodos de contenido y de almacenamiento. El flujo de trabajo básico para usar tareas híbridas y activadores de tareas es el siguiente:

1. Escribes una secuencia de comandos o creas un flujo de trabajo que envía datos a Protección de Datos Sensibles para que los inspeccione junto con algunos metadatos.
2. Configura y crea un recurso o un activador de trabajo híbrido, y habilítalo para que se active cuando reciba datos.
3. Tu secuencia de comandos o flujo de trabajo se ejecuta en el lado del cliente y envía datos a Protección de Datos Sensibles en forma de solicitud hybridInspect. Los datos incluyen un mensaje de activación y el identificador del trabajo o del activador del trabajo, que activa la inspección.
4. Protección de Datos Sensibles inspecciona los datos según los criterios que hayas definido en la tarea híbrida o el activador.
5. Protección de Datos Sensibles guarda los resultados del análisis en el recurso de tarea híbrida, junto con los metadatos que proporciones. Puedes consultar los resultados en la interfaz de usuario de Protección de Datos Sensibles en la Google Cloud consola.
6. De forma opcional, Protección de Datos Sensibles puede ejecutar acciones posteriores al análisis, como guardar los datos de los resultados de la inspección en una tabla de BigQuery o enviarte una notificación por correo electrónico o Pub/Sub.

Los activadores de tareas híbridas te permiten crear, activar y detener tareas para que puedas activar acciones cuando lo necesites. Si te aseguras de que tu secuencia de comandos o código envía datos que incluyen el identificador del activador de trabajo híbrido, no tendrás que actualizarla cada vez que se inicie un nuevo trabajo.

Situaciones habituales de tareas híbridas

Los trabajos híbridos son adecuados para objetivos como los siguientes:

• Ejecuta un análisis único de una base de datos externa a Google Cloud como parte de una comprobación puntual trimestral de las bases de datos.
• Monitorizar todo el contenido nuevo que se añade a diario a una base de datos que Protección de Datos Sensibles no admite de forma nativa.
• Analizar los datos que llegan a una base de datos y controlar cómo se particionan.
• Monitoriza el tráfico de una red con el filtro de protección de datos sensibles para Envoy (un filtro HTTP de WebAssembly para proxies sidecar de Envoy) para identificar movimientos problemáticos de datos sensibles.

Para obtener información sobre cómo abordar estas situaciones, consulta Situaciones típicas de inspección híbrida.

Tipos de metadatos que puede proporcionar

En esta sección se describen los tipos de metadatos que puede adjuntar a los datos externos que quiera inspeccionar o a los resultados.

Puedes definir metadatos en los siguientes niveles:

• La tarea híbrida o el activador de tareas híbrido
• La solicitud hybridInspect

Metadatos en una tarea híbrida o en un activador de tarea híbrido

En esta sección se describen los tipos de metadatos que puedes adjuntar a un trabajo híbrido o a un activador de trabajo híbrido.

Etiquetas obligatorias

En la tarea híbrida o el activador de tareas híbridas, puedes especificar una lista de etiquetas obligatorias que deben incluirse en todas las solicitudes de inspección híbrida que envíes. Se rechazarán todas las solicitudes de tareas híbridas o activadores de tareas híbridas que no incluyan estas etiquetas obligatorias. Para obtener más información, consulta Requerir etiquetas en las solicitudes de hybridInspect.

Etiquetas opcionales

Puede especificar pares clave-valor que se adjunten a todos los resultados de una tarea híbrida o de un activador de tareas híbridas. Por ejemplo, si quieres que todos los resultados de un trabajo híbrido tengan la etiqueta "env"="prod", especifica este par clave-valor al crear el trabajo híbrido.

Opciones de datos tabulares

Puede especificar las columnas que sean identificadores de fila (claves principales) de los objetos de tabla de sus datos. Si las columnas especificadas están en la tabla, los valores de las columnas en cuestión se incluirán junto a cada resultado. De este modo, dichos resultados podrán rastrearse para descubrir las filas de las que surgieron. Estas opciones de datos tabulares solo se aplican a las solicitudes que envían datos tabulares, como los formatos item.table o byteItem, como CSV.

Si conoces las claves principales con antelación, puedes definirlas como campos de identificación al crear el trabajo híbrido o el activador de trabajo híbrido. Puedes incluir hasta tres nombres de columna en el campo hybridOptions.tableOptions.identifyingFields.

Metadatos en una solicitud hybridInspect

En esta sección se describen los tipos de metadatos que puede adjuntar a una solicitud hybridInspect. Los metadatos que envías en una solicitud hybridInspect solo se aplican a esa solicitud.

Detalles del contenedor

En cada solicitud que envíes a una tarea híbrida o a un activador de tareas híbridas, puedes especificar detalles sobre la fuente de datos, como fullPath, rootPath, relativePath, type y version, entre otros. Por ejemplo, si está analizando tablas de una base de datos, puede definir los campos de la siguiente manera:

{
  "hybridItem": {
    "item": {...},
    "findingDetails": {
      "containerDetails": {
        "fullPath": "10.0.0.20/database1/table1",
        "relativePath": "table1",
        "rootPath": "10.0.0.20/database1",
        "type": "postgres",
        "version": "9.6"
      },
      "labels": {...}
    }
  }
}

No puedes definir los detalles del contenedor a nivel de tarea híbrida ni de activador de tarea híbrida.

Etiquetas obligatorias

Si defines etiquetas obligatorias al crear una tarea híbrida o un activador de tareas híbrido, cualquier solicitud hybridInspect que envíes a esa tarea o activador debe incluir esas etiquetas obligatorias. Para obtener más información, consulta Requerir etiquetas de solicitudes hybridInspect.

Etiquetas opcionales

En cada solicitud hybridInspect, puede especificar pares clave-valor que se adjuntarán a los resultados de esa solicitud. Este método te permite adjuntar diferentes etiquetas con cada solicitud hybridInspect.

Opciones de datos tabulares

Puede especificar las columnas que sean identificadores de fila (claves principales) de los objetos de tabla de sus datos. Si las columnas especificadas están en la tabla, los valores de las columnas en cuestión se incluirán junto a cada resultado. De este modo, dichos resultados podrán rastrearse para descubrir las filas de las que surgieron. Estas opciones de datos tabulares solo se aplican a las solicitudes que envían datos tabulares, como los formatos item.table o byteItem, como CSV.

Si no conoces las claves principales de antemano, no tienes que definirlas en el trabajo híbrido ni en el activador de trabajo híbrido. Puede definirlos en su solicitud hybridInspect junto con los datos tabulares que quiera inspeccionar. Los campos que indiques en el trabajo híbrido o en el activador de trabajo híbrido se combinarán con los que indiques en la solicitud hybridInspect.

Acciones admitidas

Al igual que otras tareas de Protección de Datos Sensibles, las tareas híbridas admiten acciones. No todas las acciones se aplican a los trabajos híbridos. A continuación, se indican las acciones admitidas actualmente y se explica cómo funcionan. Ten en cuenta que, con las acciones de Pub/Sub, correo electrónico y Cloud Monitoring, los resultados se ponen a disposición cuando finaliza la tarea.

• Guardar resultados en Protección de Datos Sensibles y Guardar resultados en BigQuery: los resultados se guardan en un recurso de Protección de Datos Sensibles o en una tabla de BigQuery, respectivamente. Estas acciones funcionan con los trabajos híbridos de forma similar a como lo hacen con otros tipos de trabajos, con una diferencia importante: con los trabajos híbridos, los resultados están disponibles mientras se ejecuta el trabajo; con otros tipos de trabajos, los resultados están disponibles cuando finaliza el trabajo.

• Enviar Pub/Sub: cuando se complete un trabajo, se emitirá un mensaje de Pub/Sub.

• Enviar correo: cuando se complete un trabajo, se enviará un mensaje de correo.

• Publicar en Cloud Monitoring: cuando se complete un trabajo, sus resultados se publicarán en Monitoring.

Resumen

A continuación se indican algunas de las principales funciones y ventajas de usar tareas híbridas y activadores de tareas:

• Las tareas híbridas te permiten transmitir datos a Protección de Datos Sensibles desde prácticamente cualquier fuente, ya sea en la nube o fuera de ella.
• Los activadores de tareas híbridas se activan cuando Protección de Datos Sensibles recibe un flujo de datos que incluye un mensaje de activación y el identificador del activador de tareas.
• Puedes esperar a que se complete el análisis de inspección o detener el trabajo manualmente. Los resultados de la inspección se guardan en Protección de Datos Sensibles o en BigQuery, tanto si permites que la tarea finalice como si la detienes antes.
• Los resultados de los análisis de inspección de Protección de Datos Sensibles de un activador de tareas híbridas se guardan en un recurso de tarea híbrida de Protección de Datos Sensibles.
• Para examinar los resultados del análisis de inspección, consulta el recurso de activación de la tarea en Protección de Datos Sensibles.
• También puede indicar a Protección de Datos Sensibles que, mediante una acción, envíe los resultados de las tareas híbridas a una base de datos de BigQuery y le avise por correo electrónico o mediante una notificación de Pub/Sub.

Siguientes pasos

• Para saber cómo usar tareas híbridas y activadores de tareas para recibir datos de inspección, consulta Enviar datos externos a Protección de Datos Sensibles mediante tareas híbridas.