Mit Sensitive Data Protection können Sie sensible Daten innerhalb und außerhalb von Google Cloud ermitteln, klassifizieren und de-identifizieren. Auf dieser Seite werden die Dienste beschrieben, die Sensitive Data Protection ausmachen.
Auffinden sensibler Daten
Mit dem Discovery-Dienst können Sie Profile für Ihre Daten in einer Organisation, einem Ordner oder einem Projekt generieren. Datenprofile enthalten Messwerte und Metadaten zu Ihren Daten-Assets und können ermitteln, wo sich sensible und risikoreiche Daten befinden. Der Schutz sensibler Daten meldet diese Messwerte auf verschiedenen Detailebenen. Informationen zu den Datentypen, die Sie profilieren können, finden Sie unter Unterstützte Ressourcen.
Mit einer Scankonfiguration geben Sie die zu scannende Ressource, die zu suchenden Informationstypen (infoTypes), die Häufigkeit des Profilerns und die Aktionen an, die nach Abschluss des Profilerns ausgeführt werden sollen.
Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile – Übersicht.
Prüfung sensibler Daten
Mit dem Inspektionsservice können Sie eine eingehende Prüfung einer einzelnen Ressource durchführen, um Instanzen sensibler Daten zu finden. Sie geben den infoType an, nach dem Sie suchen möchten, und der Prüfdienst generiert einen Bericht zu jeder Dateninstanz, die diesem infoType entspricht. Der Bericht gibt beispielsweise Aufschluss darüber, wie viele Kreditkartennummern sich in einem Cloud Storage-Bucket befinden und wo sich die einzelnen Instanzen genau befinden.
Es gibt zwei Möglichkeiten, eine Prüfung durchzuführen:
- Erstellen Sie einen Inspektions- oder Hybridjob über die Google Cloud Console oder über die Cloud Data Loss Prevention API des Sensitive Data Protection-Dienstes (DLP API).
- Senden Sie eine
content.inspect
-Anfrage an die DLP API.
Prüfung über einen Job
Sie können Inspektions- und Hybridjobs über die Google Cloud Console oder über die Cloud Data Loss Prevention API konfigurieren. Die Ergebnisse von Prüf- und Hybridjobs werden in Google Cloud gespeichert.
Sie können Aktionen angeben, die der Schutz sensibler Daten ausführen soll, wenn die Prüfung oder der Hybridjob abgeschlossen ist. Sie können beispielsweise einen Job so konfigurieren, dass die Ergebnisse in einer BigQuery-Tabelle gespeichert oder eine Pub/Sub-Benachrichtigung gesendet wird.
Inspektionsjobs
Der Schutz sensibler Daten bietet integrierte Unterstützung für ausgewählte Google Cloud-Produkte. Sie können eine BigQuery-Tabelle, einen Cloud Storage-Bucket oder -Ordner und eine Datastore-Art prüfen. Weitere Informationen finden Sie unter Google Cloud-Speicher und ‑Datenbanken auf sensible Daten prüfen.
Hybrid jobs
Mit einem Hybridjob können Sie Nutzlasten von Daten aus jeder Quelle scannen und die Ergebnisse der Prüfung dann in Google Cloud speichern. Weitere Informationen finden Sie unter Hybridjobs und Job-Trigger.
Prüfung über eine content.inspect
-Anfrage
Mit der Methode content.inspect
der DLP API können Sie Daten direkt zur Prüfung an die DLP API senden. Die Antwort enthält die Ergebnisse der Prüfung. Verwenden Sie diesen Ansatz, wenn Sie einen synchronen Vorgang benötigen oder die Ergebnisse nicht in Google Cloud speichern möchten.
De-Identifikation sensibler Daten
Mit dem De-Identifikationsdienst können Sie Instanzen sensibler Daten unkenntlich machen. Es stehen verschiedene Transformationsmethoden zur Verfügung, darunter Maskierung, Entfernen, Bucketing, Datumsverschiebung und Tokenisierung.
Es gibt zwei Möglichkeiten, die De-Identifikation durchzuführen:
- Mit einem Prüfjob eine de-identifizierte Kopie von Cloud Storage-Daten erstellen Weitere Informationen finden Sie unter Sensible Cloud Storage-Daten de-identifizieren.
- Senden Sie eine
content.deidentify
-Anfrage an die DLP API. Weitere Informationen finden Sie unter Sensible Daten de-identifizieren.
Risikoanalyse
Mit dem Risikoanalysedienst können Sie strukturierte BigQuery-Daten analysieren, um das Risiko zu ermitteln und zu visualisieren, dass sensible Informationen offengelegt (wieder identifiziert) werden.
Sie können Risikoanalyseverfahren vor der De-Identifikation verwenden, um eine effektive De-Identifikationsstrategie zu ermitteln, oder nach der De-Identifikation, um sie auf Änderungen oder Ausreißer zu prüfen.
Sie führen eine Risikoanalyse durch, indem Sie einen Risikoanalysejob erstellen. Weitere Informationen finden Sie unter Re-Identifikations-Risikoanalyse.
Cloud Data Loss Prevention API
Mit der Cloud Data Loss Prevention API können Sie die Dienste zum Schutz sensibler Daten programmatisch verwenden. Mit der DLP API können Sie Daten innerhalb und außerhalb von Google Cloud prüfen und benutzerdefinierte Arbeitslasten in der Cloud oder außerhalb erstellen. Weitere Informationen finden Sie unter Dienstmethodentypen.
Asynchrone Vorgänge
Wenn Sie ruhende Daten asynchron prüfen oder analysieren möchten, können Sie mit der DLP API eine DlpJob
erstellen. Das Erstellen einer DlpJob
entspricht dem Erstellen eines Inspektions-, Hybrid- oder Risikoanalysejobs über die Google Cloud Console. Die Ergebnisse einer DlpJob
werden in Google Cloud gespeichert.
Synchrone Vorgänge
Wenn Sie Daten synchron prüfen, de-identifizieren oder re-identifizieren möchten, verwenden Sie die Inline-content
-Methoden der DLP API. Zum De-Identifizieren von Daten in Bildern können Sie die Methode image.redact
verwenden. Sie senden die Daten in einer API-Anfrage und die DLP API antwortet mit den Ergebnissen der Prüfung, De-Identifikation oder Re-Identifikation. Die Ergebnisse der content
-Methoden und der image.redact
-Methode werden nicht in Google Cloud gespeichert.
Preise
Informationen zu den Kosten für den Schutz sensibler Daten finden Sie unter Preise für den Schutz sensibler Daten.
Nächste Schritte
- Weitere Informationen zum Erstellen von Datenprofilen in einem Projekt
- Weitere Informationen zum Starten oder Planen einer Prüfung
- Weitere Informationen zum Prüfen von Daten aus externen Quellen mit Hybridjobs
- Weitere Informationen zum Erstellen einer de-identifizierten Kopie von in Cloud Storage gespeicherten Daten
- Weitere Informationen zum Berechnen der k-Anonymität für ein Dataset
- Daten mit der DLP API de-identifizieren und re-identifizieren