Sensitive Data Protection – Übersicht

Mit Sensitive Data Protection können Sie sensible Daten innerhalb und außerhalb von Google Cloud ermitteln, klassifizieren und de-identifizieren. Auf dieser Seite werden die Dienste beschrieben, die Sensitive Data Protection ausmachen.

Auffinden sensibler Daten

Mit dem Discovery-Dienst können Sie Profile für Ihre Daten in einer Organisation, einem Ordner oder einem Projekt generieren. Datenprofile enthalten Messwerte und Metadaten zu Ihren Daten-Assets und können ermitteln, wo sich sensible und risikoreiche Daten befinden. Der Schutz sensibler Daten meldet diese Messwerte auf verschiedenen Detailebenen. Informationen zu den Datentypen, die Sie profilieren können, finden Sie unter Unterstützte Ressourcen.

Mit einer Scankonfiguration geben Sie die zu scannende Ressource, die zu suchenden Informationstypen (infoTypes), die Häufigkeit des Profilerns und die Aktionen an, die nach Abschluss des Profilerns ausgeführt werden sollen.

Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile – Übersicht.

Prüfung sensibler Daten

Mit dem Inspektionsservice können Sie eine eingehende Prüfung einer einzelnen Ressource durchführen, um Instanzen sensibler Daten zu finden. Sie geben den infoType an, nach dem Sie suchen möchten, und der Prüfdienst generiert einen Bericht zu jeder Dateninstanz, die diesem infoType entspricht. Der Bericht gibt beispielsweise Aufschluss darüber, wie viele Kreditkartennummern sich in einem Cloud Storage-Bucket befinden und wo sich die einzelnen Instanzen genau befinden.

Es gibt zwei Möglichkeiten, eine Prüfung durchzuführen:

  • Erstellen Sie einen Inspektions- oder Hybridjob über die Google Cloud Console oder über die Cloud Data Loss Prevention API des Sensitive Data Protection-Dienstes (DLP API).
  • Senden Sie eine content.inspect-Anfrage an die DLP API.

Prüfung über einen Job

Sie können Inspektions- und Hybridjobs über die Google Cloud Console oder über die Cloud Data Loss Prevention API konfigurieren. Die Ergebnisse von Prüf- und Hybridjobs werden in Google Cloud gespeichert.

Sie können Aktionen angeben, die der Schutz sensibler Daten ausführen soll, wenn die Prüfung oder der Hybridjob abgeschlossen ist. Sie können beispielsweise einen Job so konfigurieren, dass die Ergebnisse in einer BigQuery-Tabelle gespeichert oder eine Pub/Sub-Benachrichtigung gesendet wird.

Inspektionsjobs

Der Schutz sensibler Daten bietet integrierte Unterstützung für ausgewählte Google Cloud-Produkte. Sie können eine BigQuery-Tabelle, einen Cloud Storage-Bucket oder -Ordner und eine Datastore-Art prüfen. Weitere Informationen finden Sie unter Google Cloud-Speicher und ‑Datenbanken auf sensible Daten prüfen.

Hybrid jobs

Mit einem Hybridjob können Sie Nutzlasten von Daten aus jeder Quelle scannen und die Ergebnisse der Prüfung dann in Google Cloud speichern. Weitere Informationen finden Sie unter Hybridjobs und Job-Trigger.

Prüfung über eine content.inspect-Anfrage

Mit der Methode content.inspect der DLP API können Sie Daten direkt zur Prüfung an die DLP API senden. Die Antwort enthält die Ergebnisse der Prüfung. Verwenden Sie diesen Ansatz, wenn Sie einen synchronen Vorgang benötigen oder die Ergebnisse nicht in Google Cloud speichern möchten.

De-Identifikation sensibler Daten

Mit dem De-Identifikationsdienst können Sie Instanzen sensibler Daten unkenntlich machen. Es stehen verschiedene Transformationsmethoden zur Verfügung, darunter Maskierung, Entfernen, Bucketing, Datumsverschiebung und Tokenisierung.

Es gibt zwei Möglichkeiten, die De-Identifikation durchzuführen:

Risikoanalyse

Mit dem Risikoanalysedienst können Sie strukturierte BigQuery-Daten analysieren, um das Risiko zu ermitteln und zu visualisieren, dass sensible Informationen offengelegt (wieder identifiziert) werden.

Sie können Risikoanalyseverfahren vor der De-Identifikation verwenden, um eine effektive De-Identifikationsstrategie zu ermitteln, oder nach der De-Identifikation, um sie auf Änderungen oder Ausreißer zu prüfen.

Sie führen eine Risikoanalyse durch, indem Sie einen Risikoanalysejob erstellen. Weitere Informationen finden Sie unter Re-Identifikations-Risikoanalyse.

Cloud Data Loss Prevention API

Mit der Cloud Data Loss Prevention API können Sie die Dienste zum Schutz sensibler Daten programmatisch verwenden. Mit der DLP API können Sie Daten innerhalb und außerhalb von Google Cloud prüfen und benutzerdefinierte Arbeitslasten in der Cloud oder außerhalb erstellen. Weitere Informationen finden Sie unter Dienstmethodentypen.

Asynchrone Vorgänge

Wenn Sie ruhende Daten asynchron prüfen oder analysieren möchten, können Sie mit der DLP API eine DlpJob erstellen. Das Erstellen einer DlpJob entspricht dem Erstellen eines Inspektions-, Hybrid- oder Risikoanalysejobs über die Google Cloud Console. Die Ergebnisse einer DlpJob werden in Google Cloud gespeichert.

Synchrone Vorgänge

Wenn Sie Daten synchron prüfen, de-identifizieren oder re-identifizieren möchten, verwenden Sie die Inline-content-Methoden der DLP API. Zum De-Identifizieren von Daten in Bildern können Sie die Methode image.redact verwenden. Sie senden die Daten in einer API-Anfrage und die DLP API antwortet mit den Ergebnissen der Prüfung, De-Identifikation oder Re-Identifikation. Die Ergebnisse der content-Methoden und der image.redact-Methode werden nicht in Google Cloud gespeichert.

Preise

Informationen zu den Kosten für den Schutz sensibler Daten finden Sie unter Preise für den Schutz sensibler Daten.

Nächste Schritte