Sensitive Data Protection 總覽

Sensitive Data Protection 可協助您探索、分類及去識別化 Google Cloud內外部的機密資料。本頁面說明構成 Sensitive Data Protection 的服務。

機密資料探索

探索服務可讓您為機構、資料夾或專案中的資料產生剖析檔。資料剖析檔包含資料資產的指標和中繼資料,可協助您判斷機密和高風險資料的存放位置。Sensitive Data Protection 會在不同詳細程度的層級回報這些指標。如要瞭解可進行剖析的資料類型,請參閱「支援的資源」。

您可以使用掃描設定指定要掃描的資源、要尋找的資訊類型 (infoType)、剖析頻率,以及剖析完成時要執行的動作。

如要進一步瞭解探索服務,請參閱「資料設定檔總覽」。

檢查機密資料

檢查服務可讓您對個別資源執行深度掃描,找出機密資料例項。您指定要搜尋的 infoType,檢查服務就會針對符合該 infoType 的每個資料例項產生報表。舉例來說,這份報表會顯示 Cloud Storage 值區中的信用卡號碼數量,以及每個例項的確切位置。

檢查方式有兩種:

  • 透過 Google Cloud 控制台或 Sensitive Data Protection 的 Cloud Data Loss Prevention API (DLP API),建立檢查或混合工作。
  • 傳送 content.inspect 要求至 DLP API。

透過工作檢查

您可以透過 Google Cloud 控制台或 Cloud Data Loss Prevention API,設定檢查和混合式工作。檢查和混合型工作的結果會儲存在 Google Cloud中。

您可以指定檢查或混合式工作完成時,Sensitive Data Protection 要執行的動作。舉例來說,您可以設定作業,將發現項目儲存到 BigQuery 資料表,或傳送 Pub/Sub 通知。

檢查工作

Sensitive Data Protection 內建支援特定產品。Google Cloud 您可以檢查 BigQuery 資料表、Cloud Storage 值區或資料夾,以及 Datastore 種類。詳情請參閱「檢查儲存空間與資料庫以找出機密資料 Google Cloud 」。

混合型工作

您可以透過混合型工作掃描從任何來源傳送的資料酬載,然後將檢查結果儲存在 Google Cloud中。詳情請參閱「混合型工作和工作觸發條件」一文。

透過 content.inspect 要求檢查

DLP API 的 content.inspect 方法可讓您將資料直接傳送至 DLP API 進行檢查。回覆內容包含檢查結果。如果您需要同步作業,或不想將結果儲存在 Google Cloud中,請使用這個方法。

機密資料去識別化

去識別化服務可讓您遮蓋機密資料執行個體。您可以使用各種轉換方法,包括遮蓋、遮蔽、特徵分塊、日期轉移和代碼化。

您可以透過兩種方式執行去識別化:

風險分析

風險分析服務可讓您分析結構化 BigQuery 資料,找出並以圖表呈現敏感資訊遭揭露 (重新識別) 的風險。

在進行去識別化之前,您可以先使用風險分析方法,協助找出有效的去識別化策略,或在去識別化之後,監控任何變動或離群值。

您可以建立風險分析工作來執行風險分析。詳情請參閱「重新識別化風險分析」。

Cloud Data Loss Prevention API

您可以使用 Cloud Data Loss Prevention API,以程式輔助方式使用 Sensitive Data Protection 服務。透過 DLP API,您可以檢查 Google Cloud 內外部資料,並在雲端內外建構自訂工作負載。詳情請參閱服務方法類型

非同步作業

如要非同步檢查或分析靜態資料,可以使用 DLP API 建立 DlpJob。建立DlpJob等同於透過 Google Cloud 控制台建立檢查工作、混合工作或風險分析工作。DlpJob 的結果會儲存在 Google Cloud中。

同步作業

如要同步檢查、去識別化或重新識別資料,請使用 DLP API 的內嵌 content 方法。如要將圖片中的資料去識別化,可以使用 image.redact 方法。您可以在 API 要求中傳送資料,DLP API 會傳回檢查、去識別化或重新識別化結果。content 方法和 image.redact 方法的結果不會儲存在 Google Cloud中。

定價

如要瞭解使用 Sensitive Data Protection 的相關費用,請參閱「Sensitive Data Protection 定價」。

後續步驟