Questo documento illustra come utilizzare Sensitive Data Protection per creare una pipeline di trasformazione dei dati automatizzata per anonimizzare i dati sensibili come le informazioni che consentono l'identificazione personale (PII). Le tecniche di anonimizzazione come la tokenizzazione (assegnazione di pseudonimi) ti consentono di preservare l'utilità dei tuoi dati per processi di unione o analisi riducendo il rischio di manipolare i dati offuscando gli identificatori di dati sensibili non elaborati. Per ridurre al minimo il rischio di manipolare grandi volumi di dati sensibili, puoi utilizzare una pipeline di trasformazione dei dati automatizzata per creare repliche anonimizzate. Sensitive Data Protection consente trasformazioni come la redazione, il mascheramento, la tokenizzazione, il bucketing, e altri metodi di anonimizzazione. Quando un set di dati non è stato caratterizzato, Sensitive Data Protection può anche ispezionare i dati per verificare la presenza di informazioni sensibili utilizzando più di 100 classificatori integrati.
Questo documento è destinato a un pubblico tecnico le cui responsabilità includono la sicurezza dei dati, l'elaborazione dei dati o l'analisi dei dati. Questa guida presuppone che tu abbia familiarità con l'elaborazione dei dati e la privacy dei dati, senza la necessità di essere un esperto.
Architettura di riferimento
Il seguente diagramma mostra un'architettura di riferimento per l'utilizzo di Google Cloud prodotti per aggiungere un livello di sicurezza ai set di dati sensibili utilizzando tecniche di anonimizzazione.
L'architettura è composta da quanto segue:
Pipeline di streaming per l'anonimizzazione dei dati: anonimizza i dati sensibili nel testo utilizzando Dataflow. Puoi riutilizzare la pipeline per più trasformazioni e casi d'uso.
Gestione della configurazione (modello e chiave di Sensitive Data Protection): una configurazione di anonimizzazione gestita accessibile solo a un piccolo gruppo di persone, ad esempio gli amministratori della sicurezza, per evitare di esporre i metodi di anonimizzazione e le chiavi di crittografia.
Pipeline di convalida e reidentificazione dei dati: convalida le copie dei dati anonimizzati e utilizza una pipeline Dataflow per reidentificare i dati su larga scala.
Protezione dei dati sensibili
Uno dei compiti principali di qualsiasi azienda è contribuire a garantire la sicurezza dei dati dei propri utenti e dipendenti. Google Cloud fornisce misure di sicurezza integrate per facilitare la sicurezza dei dati, inclusa la crittografia dei dati archiviati e la crittografia dei dati in transito.
Crittografia at-rest: Cloud Storage
Il mantenimento della sicurezza dei dati è fondamentale per la maggior parte delle organizzazioni. L'accesso non autorizzato anche a dati moderatamente sensibili può danneggiare la fiducia, le relazioni e la reputazione che hai con i tuoi clienti. Google cripta i dati archiviati a riposo per impostazione predefinita. Per impostazione predefinita, qualsiasi oggetto caricato in un Cloud Storage bucket viene criptato utilizzando un Google-owned and Google-managed encryption key. Se il set di dati utilizza un metodo di crittografia preesistente e richiede un'opzione non predefinita prima del caricamento, sono disponibili altre opzioni di crittografia fornite da Cloud Storage. Per ulteriori informazioni, consulta Opzioni di crittografia dei dati.
Crittografia dei dati in transito: Dataflow
Quando i dati sono in transito, la crittografia at-rest non è attiva. I dati in transito sono protetti da protocolli di rete sicuri denominati crittografia dei dati in transito. Per impostazione predefinita, Dataflow utilizza Google-owned and Google-managed encryption keys. I tutorial associati a questo documento utilizzano una pipeline automatizzata che utilizza il valore predefinito Google-owned and Google-managed encryption keys.
Trasformazioni dei dati di Sensitive Data Protection
Esistono due tipi principali di trasformazioni eseguite da Sensitive Data Protection:
I metodi recordTransformations e infoTypeTransformations possono anonimizzare e criptare le informazioni sensibili nei dati. Ad esempio, puoi trasformare i valori nella colonna US_SOCIAL_SECURITY_NUMBER in modo che non siano identificabili o utilizzare la tokenizzazione per oscurarli mantenendo l'integrità referenziale.
Il metodo infoTypeTransformations consente di ispezionare i dati sensibili e trasformare il risultato. Ad esempio, se hai dati non strutturati o di testo libero, il metodo infoTypeTransformations può aiutarti a identificare un SSN all'interno di una frase e a criptare il valore SSN lasciando intatto il resto del testo. Puoi anche definire metodi infoTypes personalizzati.
Il metodo recordTransformations consente di applicare una configurazione di trasformazione per campo quando si utilizzano dati strutturati o tabulari. Con il metodo recordTransformations, puoi applicare la stessa trasformazione a ogni valore nel campo, ad esempio eseguendo l'hashing o la tokenizzazione di ogni valore in una colonna con la colonna SSN come nome del campo o dell'intestazione.
Con il metodo recordTransformations , puoi anche combinare il metodo infoTypeTransformations che si applica solo ai valori nei campi specificati. Ad esempio, puoi utilizzare un metodo infoTypeTransformations all'interno di un metodo recordTransformations per il campo denominato comments per redigere tutti i risultati per US_SOCIAL_SECURITY_NUMBER trovati all'interno del testo nel campo.
In ordine crescente di complessità, i processi di anonimizzazione sono i seguenti:
- Redazione: rimuovi i contenuti sensibili senza sostituirli.
- Mascheramento: sostituisci i contenuti sensibili con caratteri fissi.
- Crittografia: sostituisci i contenuti sensibili con stringhe criptate, possibilmente in modo reversibile.
Utilizzo dei dati delimitati
Spesso i dati sono costituiti da record delimitati da un carattere selezionato, con tipi fissi in ogni colonna, come un file CSV. Per questa classe di dati, puoi applicare direttamente le trasformazioni di anonimizzazione (recordTransformations), senza ispezionare i dati. Ad esempio, puoi prevedere che una colonna etichettata SSN contenga solo dati SSN. Non è necessario ispezionare i dati per sapere che il rilevatore infoType è US_SOCIAL_SECURITY_NUMBER. Tuttavia, le colonne in formato libero etichettate Additional Details possono contenere informazioni sensibili, ma la classe infoType è sconosciuta in anticipo. Per una colonna in formato libero, devi ispezionare il rilevatore infoTypes (infoTypeTransformations) prima di applicare le trasformazioni di anonimizzazione. Sensitive Data Protection consente a entrambi i tipi di trasformazione di coesistere in un singolo modello di anonimizzazione.
Sensitive Data Protection include
più di 100 rilevatori infoTypes integrati.
Puoi anche creare tipi personalizzati o modificare i rilevatori infoTypes integrati per trovare dati sensibili specifici della tua organizzazione.
Determinazione del tipo di trasformazione
La determinazione di quando utilizzare il metodo recordTransformations o infoTypeTransformations dipende dal caso d'uso. Poiché l'utilizzo del metodo infoTypeTransformations richiede più risorse e quindi è più costoso, ti consigliamo di utilizzare questo metodo solo per le situazioni in cui il tipo di dati è sconosciuto. Puoi valutare
i costi di esecuzione di Sensitive Data Protection utilizzando il
Google Cloud Calcolatore prezzi.
Per gli esempi di trasformazione, questo documento fa riferimento a un set di dati contenente file CSV con colonne fisse, come illustrato nella tabella seguente.
| Nome colonna | infoType di ispezione (personalizzato o integrato) |
Tipo di trasformazione di Sensitive Data Protection |
|---|---|---|
Card Number
|
Non applicabile | Crittografia deterministica (DE) |
Card Holder's Name
|
Non applicabile | Crittografia deterministica (DE) |
Card PIN
|
Non applicabile | Hashing crittografico |
SSN (Social Security Number)
|
Non applicabile | Mascheramento |
Age
|
Non applicabile | Bucketing |
Job Title
|
Non applicabile | Bucketing |
Additional Details
|
Integrato: , EMAIL_ADDRESS,
Personalizzato:
ONLINE_USER_ID
IBAN_CODEPHONE_NUMBER
|
Sostituzione |
Questa tabella elenca i nomi delle colonne e descrive il tipo di trasformazione necessario per ogni colonna. Ad esempio, la colonna Card Number contiene numeri di carte di credito che devono essere criptati; tuttavia, non è necessario ispezionarli, perché il tipo di dati (infoType) è noto.
L'unica colonna in cui è consigliata una trasformazione di ispezione è la colonna Additional Details. Questa colonna è in formato libero e potrebbe contenere PII che, ai fini di questo esempio, devono essere rilevate e anonimizzate.
Gli esempi in questa tabella presentano cinque diverse trasformazioni di anonimizzazione:
Tokenizzazione bidirezionale: sostituisce i dati originali con un token deterministico, mantenendo l'integrità referenziale. Puoi utilizzare il token per unire i dati o utilizzarlo nell'analisi aggregata. Puoi invertire o detokenizzare i dati utilizzando la stessa chiave che hai utilizzato per creare il token. Esistono due metodi per la tokenizzazione bidirezionale:
- Crittografia deterministica (DE): sostituisce i dati originali con un valore criptato con codifica Base64 e non conserva il set di caratteri o la lunghezza originali.
- Crittografia con protezione del formato con FFX (FPE-FFX): sostituisce i dati originali con un token generato utilizzando la crittografia con protezione del formato in modalità FFX. Per progettazione, FPE-FFX conserva la lunghezza e il set di caratteri del testo di input. Non dispone di autenticazione e di un vettore di inizializzazione, il che può causare un'espansione della lunghezza nel token di output. Altri metodi, come DE, forniscono una sicurezza più elevata e sono consigliati per i casi d'uso di tokenizzazione, a meno che la conservazione della lunghezza e del set di caratteri non sia un requisito rigoroso, ad esempio la compatibilità con i sistemi di dati legacy.
Tokenizzazione unidirezionale, utilizzando l'hashing crittografico: sostituisce il valore originale con un valore sottoposto ad hashing, mantenendo l'integrità referenziale. Tuttavia, a differenza della tokenizzazione bidirezionale, un metodo unidirezionale non è reversibile. Il valore hash viene generato utilizzando un codice di autenticazione dei messaggi basato su SHA-256 (HMAC-SHA-256) sul valore di input.
Mascheramento: sostituisce i dati originali con un carattere specificato, parzialmente o completamente.
Bucketing: sostituisce un valore più identificabile con un valore meno distintivo.
Sostituzione: sostituisce i dati originali con un token o il nome di
infoTypese rilevato.
Selezione del metodo
La scelta del metodo di anonimizzazione migliore può variare in base al caso d'uso. Ad esempio, se un'app legacy elabora i record anonimizzati, la conservazione del formato potrebbe essere importante. Se hai a che fare con numeri di 10 cifre con formato rigoroso, FPE conserva la lunghezza (10 cifre) e il set di caratteri (numerici) di un input per il supporto del sistema legacy.
Tuttavia, se non è necessario un formato rigoroso per la compatibilità legacy, come nel caso dei valori nella colonna Card Holder's Name, DE è la scelta preferita perché ha un metodo di autenticazione più efficace. Sia FPE che DE consentono di invertire o detokenizzare i token. Se non hai bisogno della detokenizzazione, l'hashing crittografico fornisce l'integrità, ma i token non possono essere invertiti.
Altri metodi, come il mascheramento, il bucketing, lo spostamento delle date, e la sostituzione, sono adatti per i valori che non devono mantenere l'integrità completa. Ad esempio, il bucketing di un valore di età (ad esempio, 27) in un intervallo di età (20-30) può comunque essere analizzato riducendo al contempo l'unicità che potrebbe portare all'identificazione di un individuo.
Chiavi di crittografia dei token
Per le trasformazioni di anonimizzazione crittografica è necessaria una chiave di crittografia, nota anche come chiave di crittografia dei token. La chiave di crittografia dei token utilizzata per la crittografia di anonimizzazione viene utilizzata anche per reidentificare il valore originale. La creazione e la gestione sicure delle chiavi di crittografia dei token non rientrano nell'ambito di questo documento. Tuttavia, esistono alcuni principi importanti da considerare che vengono utilizzati più avanti nei tutorial associati:
- Evita di utilizzare chiavi di testo non crittografato nel modello. Utilizza invece Cloud KMS per creare una chiave wrapped.
- Utilizza chiavi di crittografia dei token separate per ogni elemento di dati per ridurre il rischio di compromettere le chiavi.
- Ruota le chiavi di crittografia dei token. Sebbene tu possa ruotare la chiave wrapped, la rotazione della chiave di crittografia dei token interrompe l'integrità della tokenizzazione. Quando la chiave viene ruotata, devi eseguire nuovamente la tokenizzazione dell'intero set di dati.
Modelli di Sensitive Data Protection
Per i deployment su larga scala, utilizza i modelli di Sensitive Data Protection per eseguire le seguenti operazioni:
- Attiva il controllo della sicurezza con Identity and Access Management (IAM).
- Disaccoppia le informazioni di configurazione e la modalità di anonimizzazione di queste informazioni dall'implementazione delle richieste.
- Riutilizza un insieme di trasformazioni. Puoi utilizzare i modelli di anonimizzazione e reidentificazione su più set di dati.
BigQuery
Il componente finale dell'architettura di riferimento è la visualizzazione e l'utilizzo dei dati anonimizzati in BigQuery. BigQuery è lo strumento di data warehouse di Google che include un'infrastruttura serverless, BigQuery ML e la possibilità di eseguire Sensitive Data Protection come strumento nativo. Nell'architettura di riferimento di esempio, BigQuery funge da data warehouse per i dati anonimizzati e da backend per una pipeline di dati di reidentificazione automatizzata che può condividere dati tramite Pub/Sub.
Passaggi successivi
- Scopri come utilizzare Sensitive Data Protection per ispezionare lo spazio di archiviazione e i database per i dati sensibili.
- Scopri di più su altre soluzioni di riconoscimento dei pattern.
- Per ulteriori architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.