Types de méthodes

La protection des données sensibles comprend différents types de méthodes que vous pouvez utiliser pour inspecter, transformer (anonymiser), découvrir et classer des données. Grâce à ces méthodes, vous pouvez analyser les données à la fois sur et en dehors de Google Cloud, et optimiser le comportement de la protection des données sensibles pour différents types de charges de travail. Google Cloud

La protection des données sensibles fournit les types de méthodes suivants:

Méthodes d'inspection et d'anonymisation

Cette section décrit les méthodes que vous pouvez utiliser pour localiser et, éventuellement, dé-identifier chaque élément de données correspondant à un type d'informations listé dans votre configuration d'inspection.

Méthodes de contenu

Les méthodes de contenu sont des méthodes synchrones et sans état. Les données à inspecter ou à transformer sont envoyées directement dans la requête adressée à l'API DLP. Les résultats d'inspection ou les données transformées de la protection des données sensibles sont renvoyés dans la réponse de l'API. Les données de la requête sont chiffrées en transit et ne sont pas stockées.

Schéma du dataflow des méthodes de contenu, montrant un client envoyant des données via une requête API à la protection des données sensibles, qui peut inspecter et classer ou anonymiser et transformer les données, en envoyant une réponse d'API synchrone au client.

Pour en savoir plus, consultez la documentation de référence de l'API REST concernant les méthodes de contenu :

Méthodes de stockage

Les méthodes de stockage sont conçues pour inspecter les données stockées sur Google Cloud dans des systèmes tels que Cloud Storage, BigQuery et Firestore en mode Datastore (Datastore). Pour activer l'inspection du stockage, vous devez créer une tâche Sensitive Data Protection à l'aide de la ressource dlpJobs. Chaque tâche s'exécute en tant que service géré pour inspecter les données, puis effectuer des actions de protection des données sensibles telles que l'enregistrement ou la publication de résultats. En plus de ces actions facultatives, Sensitive Data Protection crée et stocke des détails sur la tâche (comme son état, le nombre d'octets analysés et les résultats détaillés par infoType). Vous pouvez gérer les tâches à l'aide de l'API DLP ou de Sensitive Data Protection dans la consoleGoogle Cloud .

Schéma du dataflow des méthodes de stockage, montrant l'inspection de données par la protection des données sensibles sur un dépôt de stockage Google Cloud , puis l'enregistrement ou la publication des résultats.

Pour en savoir plus, consultez la documentation de référence de l'API REST pour la ressource projects.dlpJobs. Vous spécifiez les détails de stockage dans l'objet StorageConfig.

Méthodes hybrides

Les méthodes hybrides sont un ensemble de méthodes d'API asynchrones qui permettent d'analyser les charges utiles de données envoyées par pratiquement n'importe quelle source à la recherche d'informations sensibles et de stocker les résultats dans Google Cloud. Les méthodes hybrides sont semblables aux méthodes de contenu, car les données que vous souhaitez inspecter sont incluses dans une ou plusieurs requêtes d'inspection. Toutefois, contrairement aux méthodes de contenu, les méthodes hybrides ne renvoient pas les résultats d'inspection dans la réponse de l'API. Au lieu de cela, les résultats d'inspection sont traités côté serveur de manière asynchrone, et les résultats sont formatés en tableau et stockés comme pour les méthodes de stockage.

Pour activer l'inspection hybride, vous devez créer une tâche Sensitive Data Protection à l'aide de la ressource dlpJobs. Chaque tâche hybride s'exécute en tant que service géré pour écouter les requêtes d'inspection, puis effectuer des actions de protection des données sensibles, telles que l'enregistrement ou la publication de résultats. En plus de ces actions facultatives, Sensitive Data Protection crée et stocke des détails sur la tâche (comme son état, le nombre d'octets analysés et les résultats détaillés par infoType). Vous pouvez gérer les tâches à l'aide de l'API DLP ou de Sensitive Data Protection dans la consoleGoogle Cloud .

Diagramme de flux de données montrant l'envoi de données par une application depuis une source externe vers Sensitive Data Protection, l'inspection des données par Sensitive Data Protection, puis l'enregistrement ou la publication des résultats.

Pour en savoir plus, consultez la documentation de référence de l'API REST pour la ressource projects.dlpJobs. Vous spécifiez la source de données dans le champ hybridOptions de l'objet StorageConfig.

Méthodes de découverte

Les méthodes de découverte vous permettent de configurer la découverte de données sensibles pour générer des profils de données. Les profils de données fournissent des insights pour vous aider à déterminer où se trouvent les données sensibles dans votre organisation, le type de données sensibles que vous stockez et si des contrôles d'accès sont en place pour ces données.

Vous pouvez configurer la détection pour analyser les données stockées dans des systèmes tels que BigQuery, Cloud SQL, Cloud Storage et Vertex AI. Google Cloud Si vous avez activé Security Command Center Enterprise, vous pouvez également utiliser la protection des données sensibles pour analyser les données d'autres fournisseurs de services cloud.

Vous pouvez spécifier les actions que vous souhaitez que la protection des données sensibles effectue après chaque analyse de découverte. Par exemple, vous pouvez envoyer les résultats d'analyse à d'autres servicesGoogle Cloud , comme Security Command Center et Google Security Operations, pour améliorer la visibilité sur la sécurité des données de votre organisation. Vous pouvez configurer le service de découverte pour taguer vos ressources profilées afin d'accorder ou de refuser automatiquement l'accès IAM à ces ressources. Vous pouvez également exporter les profils de données vers BigQuery. Vous pouvez associer les profils exportés à Looker pour afficher le rapport prédéfini. Vous pouvez également créer vos propres requêtes et rapports personnalisés.

Pour activer la découverte, vous devez créer une ressource DiscoveryConfig. La découverte s'exécute en fonction du champ d'application et de la fréquence que vous définissez dans la configuration de la découverte. Pour savoir où Sensitive Data Protection stocke les profils générés, consultez la section Considérations relatives à la résidence des données.

Vous pouvez gérer les configurations de découverte, les profils de données et les connexions Cloud SQL à l'aide de l'API DLP ou de la consoleGoogle Cloud .

Pour en savoir plus, consultez la documentation de référence de l'API REST pour les éléments suivants:

Étape suivante