Scopri di più sui tuoi dati tramite il rilevamento e l'ispezione

Questa pagina descrive e mette a confronto due servizi Sensitive Data Protection che ti aiutano a comprendere i tuoi dati e a abilitare i flussi di lavoro di governance dei dati: il servizio di rilevamento e il servizio di ispezione.

Rilevamento di dati sensibili

Il servizio di rilevamento monitora i dati dell'intera organizzazione. Questo servizio viene eseguito in modo continuo e automatico e rileva, classifica e profila i dati. La scoperta può aiutarti a comprendere la posizione e la natura dei dati che stai archiviando, incluse le risorse di dati di cui potresti non essere a conoscenza. I dati sconosciuti (a volte chiamati dati in ombra) typically don't undergo the same level of data governance and risk management as known data.

La scoperta viene configurata in vari ambiti. Puoi impostare pianificazioni di profilazione diverse per sottoinsiemi diversi di dati. Puoi anche escludere sottoinsiemi di dati di cui non è necessario creare il profilo.

Output della scansione di Discovery: profili di dati

L'output di un'analisi di rilevamento è un insieme di profili di dati per ogni risorsa dati nell'ambito. Ad esempio, una scansione di rilevamento dei dati di BigQuery o Cloud SQL genera profili di dati a livello di progetto, tabella e colonna.

Un profilo dati contiene metriche e approfondimenti sulla risorsa profilata. Include le classificazioni dei dati (o infoType), i livelli di sensibilità, i livelli di rischio dei dati, le dimensioni dei dati, la forma dei dati e altri elementi che descrivono la natura dei dati e la relativa posizione in termini di sicurezza dei dati (ovvero il livello di sicurezza dei dati). Puoi utilizzare i profili dei dati per prendere decisioni consapevoli su come proteggere i tuoi dati, ad esempio impostando i criteri di accesso nella tabella.

Considera una colonna BigQuery denominata ccn, in cui ogni riga contiene un numero di carta di credito univoco e non sono presenti valori null. Il profilo dei dati a livello di colonna generato avrà i seguenti dettagli:

Nome visualizzato Valore
Field ID ccn
Data risk High
Sensitivity High
Data type TYPE_STRING
Policy tags No
Free text score 0
Estimated uniqueness High
Estimated null proportion Very low
Last profile generated DATE_TIME
Predicted infoType CREDIT_CARD_NUMBER

Inoltre, questo profilo a livello di colonna fa parte di un profilo a livello di tabella, che fornisce informazioni come la posizione dei dati, lo stato della crittografia e se la tabella è condivisa pubblicamente. Nella console Google Cloud, puoi anche visualizzare le voci di Cloud Logging per la tabella, gli entità IAM con i ruoli per la tabella e i tag Dataplex associati alla tabella.

Un profilo dati a livello di tabella che mostra metriche e approfondimenti sulla tabella e consente di visualizzarla in Logging, IAM e Dataplex.

Per un elenco completo delle metriche e degli approfondimenti disponibili nei profili dei dati, consulta la documentazione di riferimento sulle metriche.

Quando utilizzare il rilevamento

Quando pianifichi il tuo approccio alla gestione del rischio dei dati, ti consigliamo di iniziare con la scoperta. Il servizio di rilevamento ti aiuta a ottenere una visione ampia dei tuoi dati e a attivare avvisi, report e correzione dei problemi.

Inoltre, il servizio di rilevamento può aiutarti a identificare le risorse dove potrebbero trovarsi i dati non strutturati. Queste risorse potrebbero richiedere un'indagine approfondita. I dati non strutturati sono specificati da un punteggio del testo libero elevato su una scala da 0 a 1.

Ispezione dei dati sensibili

Il servizio di ispezione esegue una scansione completa di una singola risorsa per individuare ogni singola istanza di dati sensibili. Un'ispezione genera un risultato per ogni istanza rilevata.

I job di ispezione forniscono un ampio insieme di opzioni di configurazione per aiutarti a individuare i dati da ispezionare. Ad esempio, puoi attivare il campionamento per limitare i dati da ispezionare a un determinato numero di righe (per i dati di BigQuery) o a determinati tipi di file (per i dati di Cloud Storage). Puoi anche scegliere come target un periodo di tempo specifico in cui i dati sono stati creati o modificati.

A differenza della scoperta, che monitora continuamente i dati, un'ispezione è un'operazione on demand. Tuttavia, puoi pianificare job di ispezione ricorrenti chiamati attivatori di job.

Output della scansione di ispezione: risultati

Ogni risultato include dettagli come la posizione dell'istanza rilevata, il suo potenziale infoType e la certezza (chiamata anche probabilità) che il risultato corrisponda all'infoType. A seconda delle impostazioni, puoi anche ottenere la stringa effettiva a cui si riferisce il rilevamento. Questa stringa è chiamata citazione in Sensitive Data Protection.

Per un elenco completo dei dettagli inclusi in un rilievo dell'ispezione, consulta Finding.

Quando utilizzare l'ispezione

Un'ispezione è utile quando devi esaminare dati non strutturati (come commenti o recensioni creati dagli utenti) e identificare ogni istanza di informazioni che consentono l'identificazione personale (PII). Se una ricerca di risorse identifica risorse contenenti dati non strutturati, ti consigliamo di eseguire una ricerca di ispezione su queste risorse per ottenere i dettagli su ogni singola scoperta.

Quando non utilizzare l'ispezione

L'ispezione di una risorsa non è utile se si applicano entrambe le seguenti condizioni. Una scansione di rilevamento può aiutarti a decidere se è necessaria una scansione di ispezione.

  • La risorsa contiene solo dati strutturati. In altre parole, non sono presenti colonne di dati in formato libero, come commenti o recensioni degli utenti.
  • Conosci già gli infoType archiviati nella risorsa.

Ad esempio, supponiamo che i profili dei dati di una scansione di rilevamento indichino che una determinata tabella BigQuery non abbia colonne con dati non strutturati, ma abbia una colonna di numeri di carte di credito univoci. In questo caso, non è utile controllare la presenza di numeri di carte di credito nella tabella. Un'ispezione produrrà un risultato per ogni elemento della colonna. Se hai un milione di righe e ogni riga contiene un numero di carta di credito, un'attività di ispezione produrrà un milione di risultati per l'infoType CREDIT_CARD_NUMBER. In questo esempio, l'ispezione non è necessaria perché la ricerca di elementi indica già che la colonna contiene numeri di carte di credito univoci.

Localizzazione, elaborazione e archiviazione dei dati

Sia il rilevamento che l'ispezione supportano i requisiti di residenza dei dati:

  • Il servizio di rilevamento elabora i dati dove si trovano e archivia i profili di dati generati nella stessa regione o area multiregionale dei dati profilati. Per ulteriori informazioni, consulta Considerazioni sulla residenza dei dati.
  • Quando ispezioni i dati all'interno di un sistema di archiviazione Google Cloud, il servizio di ispezione elabora i dati nella stessa regione in cui si trovano e archivia il job di ispezione in quella regione. Quando ispezioni i dati tramite un job ibrido o un metodo content, il servizio di ispezione ti consente di specificare dove elaborare i dati. Per ulteriori informazioni, consulta la pagina Come vengono memorizzati i dati.

Riepilogo del confronto: servizi di rilevamento e ispezione

Discovery Ispezione
Vantaggi
  • Visibilità continua in un'organizzazione, una cartella o un progetto.
  • Consente di identificare le risorse contenenti dati sensibili, ad alto rischio e non strutturati. Per un elenco completo degli approfondimenti, consulta Riferimento alle metriche.
  • Aiutano a scoprire dati sconosciuti (o _shadow data_).
  • Ispezione on demand di una singola risorsa.
  • Identifica ogni istanza di dati sensibili nella risorsa ispezionata.
Costo
  • Esecuzione di una stima dei costi: gratuita
  • Modalità a consumo: 0,03$per GB o il prezzo di 3 TB, a seconda del valore più basso
  • Modalità di abbonamento (capacità prenotata): 2500$per unità di abbonamento

10 TB costano circa 300$al mese in modalità a consumo.
  • Fino a 1 GB: gratuito
  • Da 1 GB a 50 TB: 1,00$per GB
  • Da 50 TB a 500 TB: 0,75$per GB
  • Oltre 500 TB: 0,60$per GB

10 TB costano circa 10.000$per scansione.
Origini dati supportate BigLake
BigQuery
Variabili di ambiente delle funzioni Cloud Run
Variabili di ambiente della revisione del servizio Cloud Run
Cloud SQL
Cloud Storage
Vertex AI (anteprima)
Amazon S3
BigQuery
Cloud Storage
Datastore
Ibrida (qualsiasi origine)1
Ambiti supportati
  • Un'organizzazione, una cartella, un progetto o una risorsa di dati Google Cloud
  • Un'organizzazione, un account o un bucket S3 Amazon Web Services
Una singola tabella BigQuery, un bucket Cloud Storage o un tipo di Datastore.
Modelli di ispezione integrati
InfoType integrati e personalizzati
Output scansione Panoramica generale (profili di dati) di tutti i dati supportati. Risultati concreti del rilevamento di dati sensibili nella risorsa ispezionata.
Salva i risultati in BigQuery
Invia a Dataplex come tag
Pubblicare i risultati in Security Command Center
Pubblica i risultati in Google Security Operations per la scoperta a livello di organizzazione e di cartella No
Pubblica in Pub/Sub
Supporto della residenza dei dati

1 L'ispezione ibrida ha un modello di prezzi diverso. Per ulteriori informazioni, vedi Ispezione dei dati da qualsiasi origine .

Passaggi successivi