Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der Name der API bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die zum Schutz sensibler Daten gehören, finden Sie unter Schutz sensibler Daten.

Methodentypen

Sensitive Data Protection bietet verschiedene Methoden, mit denen Sie Daten prüfen, transformieren (de-identifizieren), ermitteln und klassifizieren können. Mit diesen Methoden können Sie Daten in und außerhalb von Google Cloud scannen und das Verhalten von Sensitive Data Protection für verschiedene Arten von Arbeitslasten optimieren. Google Cloud

Sensitive Data Protection bietet die folgenden Methodentypen:

Inhaltsmethoden
Speichermethoden
Hybridmethoden
Erkennungsmethoden

Methoden zur Prüfung und De-Identifizierung

In diesem Abschnitt werden die Methoden beschrieben, mit denen Sie jedes Datenelement finden und optional de-identifizieren können, das mit einem Informationstyp übereinstimmt, der in Ihrer Prüfungskonfiguration aufgeführt ist.

Inhaltsmethoden

Inhaltsmethoden sind synchrone, zustandslose Methoden. Die zu prüfenden oder zu transformierenden Daten werden direkt in der Anfrage an die DLP API gesendet. Sensitive Data Protection-Prüfungsergebnisse oder transformierte Daten werden in der API-Antwort zurückgegeben. Anfragedaten werden bei der Übertragung verschlüsselt und nicht gespeichert.

Datenfluss der Inhaltsmethoden, der einen Client zeigt, der Daten über eine API-Anfrage an den Schutz sensibler Daten sendet. Die Daten können geprüft und klassifiziert oder deidentifiziert und transformiert werden. Anschließend wird eine synchrone API-Antwort an den Client gesendet.

Weitere Informationen finden Sie in der REST API-Referenz für Inhaltsmethoden:

Speichermethoden

Speichermethoden wurden entwickelt, um in Google Cloud gespeicherte Daten in Systemen Google Cloud wie Cloud Storage, BigQuery und Firestore im Datastore-Modus (Datenspeicher) zu untersuchen. Erstellen Sie zum Aktivieren der Speicherprüfung einen Sensitive Data Protection-Job mit der dlpJobs Ressource. Jeder Job wird als verwalteter Dienst ausgeführt, um Daten zu prüfen und dann Sensitive Data Protection-Aktionen wie das Speichern oder Veröffentlichen von Ergebnissen auszuführen. Zusätzlich zu diesen optionalen Aktionen erstellt und speichert Sensitive Data Protection Details zum Job, einschließlich Jobstatus, gescannte Byte und Zusammenfassungen pro infoType. Sie können Jobs mit der DLP API oder mit Sensitive Data Protection in der Google Cloud Console verwalten.

Datenfluss der Speichermethoden, in dem gezeigt wird, wie Sensitive Data Protection Daten in einem Google Cloud -Speicher-Repository prüft und dann die Ergebnisse speichert oder veröffentlicht.

Weitere Informationen finden Sie in der REST API-Referenz für die projects.dlpJobs Ressource. Sie geben die Speicherdetails im StorageConfig Objekt an.

Hybridmethoden

Hybridmethoden sind eine Reihe asynchroner API-Methoden, mit denen Sie Nutzlasten von Daten aus praktisch jeder Quelle auf sensible Informationen prüfen und die Ergebnisse in Google Cloudspeichern können. Hybridmethoden ähneln Inhaltsmethoden dahingehend, dass die zu prüfenden Daten in einer oder mehreren Prüfungsanfragen enthalten sind. Im Gegensatz zu Inhaltsmethoden geben Hybridmethoden jedoch keine Prüfungsergebnisse in der API-Antwort zurück. Die Prüfungsergebnisse werden stattdessen serverseitig synchron verarbeitet und die Ergebnisse werden in Tabellen eingefügt und ähnlich wie Speichermethoden gespeichert.

Erstellen Sie zum Aktivieren der Hybridprüfung einen Sensitive Data Protection-Job mit der dlpJobs Ressource. Jeder Hybridjob wird als verwalteter Dienst ausgeführt, um Prüfungsanfragen zu überwachen und Sensitive Data Protection-Aktionen wie das Speichern oder Veröffentlichen von Ergebnissen auszuführen. Zusätzlich zu diesen optionalen Aktionen erstellt und speichert Sensitive Data Protection Details zum Job, einschließlich Jobstatus, gescannte Byte und Zusammenfassungen pro infoType. Sie können Jobs mit der DLP API oder mit Sensitive Data Protection in der Google Cloud Console verwalten.

Dataflow für Hybridjobs, in dem gezeigt wird, wie Ihre Anwendung Daten aus einer externen Quelle an Sensitive Data Protection sendet, Sensitive Data Protection die Daten prüft und die Ergebnisse dann speichert oder veröffentlicht.

Weitere Informationen finden Sie in der REST API-Referenz für die projects.dlpJobs Ressource. Sie geben die Datenquelle im Feld hybridOptions des StorageConfig Objekts an.

Erkennungsmethoden

Erkennungsmethoden ermöglichen Ihnen die Konfiguration der Erkennung sensibler Daten zur Generierung von Datenprofilen. Datenprofile liefern Informationen, mit denen Sie ermitteln können, wo sich sensible Daten in Ihrer Organisation befinden, welche Art von sensiblen Daten Sie speichern und ob für diese Daten Zugriffskontrollen eingerichtet sind.

Sie können die Erkennung so konfigurieren, dass Daten gescannt werden, die in Systemen wie BigQuery, Cloud SQL, Cloud Storage und Vertex AI gespeichert sind. Google Cloud Wenn Sie Security Command Center Enterprise aktiviert haben, können Sie mit Sensitive Data Protection auch Daten von anderen Cloud-Anbietern scannen.

Sie können Aktionen angeben, die Sensitive Data Protection nach jedem Erkennungsscan ausführen soll. Sie können beispielsweise Scanergebnisse an andere Google Cloud Dienste wie Security Command Center und Google Security Operations senden, um die Transparenz in Bezug auf die Datensicherheit Ihrer Organisation zu erhöhen. Sie können den Erkennungsdienst so konfigurieren, dass Ihre profilierten Ressourcen getaggt werden, um den IAM-Zugriff auf diese Ressourcen automatisch zu gewähren oder zu verweigern. Sie können die Datenprofile auch nach BigQuery exportieren. Sie können die exportierten Profile mit Looker verbinden, um den vorgefertigten Bericht anzusehen. Sie können auch eigene benutzerdefinierte Abfragen und Berichte erstellen.

Erstellen Sie zum Aktivieren der Erkennung eine DiscoveryConfig Ressource. Die Erkennung wird basierend auf dem Umfang und der Häufigkeit ausgeführt, die Sie in der Erkennungskonfiguration festgelegt haben. Informationen dazu, wo Sensitive Data Protection die generierten Profile speichert, finden Sie unter Überlegungen zum Datenstandort considerations.

Sie können die Erkennungskonfigurationen, Datenprofile und Cloud SQL Verbindungen mit der DLP API oder der Google Cloud Console verwalten.

Datenfluss für die Erkennung, bei dem Sensitive Data Protection Daten aus verschiedenen Datenquellen erkennt und Datenprofile an verschiedene Google Cloud-Dienste sendet.

Weitere Informationen finden Sie in der REST API-Referenz für die folgenden Ressourcen:

Erkennungskonfigurationen
- organizations.locations.discoveryConfigs
- projects.locations.discoveryConfigs
Verbindungen

Verbindungen sind nur für die Erkennung in Cloud SQL relevant.
- organizations.locations.connections
- projects.locations.connections
Datenprofile

Nächste Schritte

Lesen Sie die Anleitungen, um zu erfahren, wie Sie Texte und Bilder auf sensible Daten prüfen und sensible Daten aus Texten und Bildern entfernen:
Weitere Informationen zum Prüfen des Speichers und zum Verwenden von Aktionen finden Sie unter Speicher und Datenbanken auf sensible Daten prüfen.
Weitere Informationen zur Erkennung sensibler Daten finden Sie unter Daten profile
Preise prüfen

Methodentypen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.