Cloud Data Loss Prevention (Cloud DLP) ora fa parte di Sensitive Data Protection. Il nome dell'API rimane invariato: API Cloud Data Loss Prevention (API DLP). Per informazioni sui servizi che compongono Sensitive Data Protection, consulta la panoramica di Sensitive Data Protection.

Scopri di più sui tuoi dati tramite il rilevamento e l'ispezione

Questa pagina descrive e confronta due servizi di Sensitive Data Protection che ti aiutano a comprendere i tuoi dati e a consentire i flussi di lavoro di governance dei dati: il servizio di rilevamento e il servizio di ispezione.

Rilevamento di dati sensibili

Il servizio di rilevamento monitora i dati in tutta l'organizzazione. Questo servizio viene eseguito continuamente e rileva, classifica e profila automaticamente i dati. Il rilevamento può aiutarti a comprendere la posizione e la natura dei dati che stai archiviando, incluse le risorse di dati di cui potresti non essere a conoscenza. I dati sconosciuti (a volte chiamati dati ombra) in genere non sono soggetti allo stesso livello di governance dei dati e gestione dei rischi dei dati noti.

Puoi configurare il rilevamento in vari ambiti. Puoi impostare pianificazioni di profilazione diverse per diversi sottoinsiemi di dati. Puoi anche escludere i sottoinsiemi di dati che non devi profilare.

Output della scansione di rilevamento: profili di dati

L'output di una scansione di rilevamento è un insieme di dati profili per ogni risorsa di dati nell'ambito. Ad esempio, una scansione di rilevamento dei dati BigQuery o Cloud SQL genera profili di dati a livello di progetto, tabella e colonna.

Un profilo di dati contiene metriche e insight sulla risorsa profilata. Include le classificazioni dei dati (o infoType), i livelli di sensibilità, i livelli di rischio dei dati, le dimensioni dei dati, la forma dei dati e altri elementi che descrivono la natura dei dati e la relativa postura di sicurezza dei dati (quanto sono sicuri i dati). Puoi utilizzare i profili di dati per prendere decisioni informate su come proteggere i dati, ad esempio impostando criteri di accesso alla tabella.

Considera una colonna BigQuery denominata ccn, in cui ogni riga contiene un numero di carta di credito univoco e non sono presenti valori null. Il profilo di dati a livello di colonna generato conterrà i seguenti dettagli:

Nome visualizzato	Valore
`Field ID`	`ccn`
`Data risk`	`High`
`Sensitivity`	`High`
`Data type`	`TYPE_STRING`
`Policy tags`	`No`
`Free text score`	`0`
`Estimated uniqueness`	`High`
`Estimated null proportion`	`Very low`
`Last profile generated`	`DATE_TIME`
`Predicted infoType`	`CREDIT_CARD_NUMBER`

Inoltre, questo profilo a livello di colonna fa parte di un profilo a livello di tabella, che fornisce insight come la località dei dati, lo stato di crittografia e se la tabella è condivisa pubblicamente. Nella Google Cloud console, puoi anche visualizzare le voci di Cloud Logging per la tabella e le entità IAM con ruoli per la tabella.

Per un elenco completo delle metriche e degli insight disponibili nei profili di dati, consulta la documentazione di riferimento sulle metriche.

Quando utilizzare il rilevamento

Quando pianifichi il tuo approccio alla gestione del rischio dei dati, ti consigliamo di iniziare con il rilevamento. Il servizio di rilevamento ti aiuta a ottenere una visione ampia di tuoi dati e a consentire l'invio di avvisi, la generazione di report, e la correzione dei problemi.

Inoltre, il servizio di rilevamento può aiutarti a identificare le risorse in cui potrebbero risiedere i dati non strutturati. Queste risorse potrebbero richiedere un'ispezione esaustiva. I dati non strutturati sono specificati da un punteggio di testo libero elevato in una scala da 0 a 1.

Ispezione dei dati sensibili

Il servizio di ispezione esegue una scansione esaustiva di una singola risorsa per individuare ogni singola istanza di dati sensibili. Un'ispezione produce un risultato per ogni istanza rilevata.

I job di ispezione forniscono un ricco insieme di opzioni di configurazione per aiutarti a individuare i dati che vuoi ispezionare. Ad esempio, puoi attivare il campionamento per limitare i dati da ispezionare a un determinato numero di righe (per i dati BigQuery) o a determinati tipi di file (per i dati Cloud Storage). Puoi anche scegliere come target un intervallo di tempo specifico in cui i dati sono stati creati o modificati.

A differenza del rilevamento, che monitora continuamente i dati, un'ispezione è un'operazione on demand. Tuttavia, puoi pianificare job di ispezione ricorrenti chiamati trigger di job.

Output della scansione di ispezione: risultati

Ogni risultato include dettagli come la posizione dell'istanza rilevata, il relativo infoType potenziale e la certezza (chiamata anche probabilità) che il risultato corrisponda all' infoType. A seconda delle impostazioni, puoi anche ottenere la stringa effettiva a cui si riferisce il risultato; questa stringa è chiamata citazione in Sensitive Data Protection.

Per un elenco completo dei dettagli inclusi in un risultato di ispezione, consulta Finding.

Quando utilizzare l'ispezione

Un'ispezione è utile quando devi esaminare dati non strutturati (come commenti o recensioni creati dagli utenti) e identificare ogni istanza di informazioni che consentono l'identificazione personale (PII). Se una scansione di rilevamento identifica risorse contenenti dati non strutturati, ti consigliamo di eseguire una scansione di ispezione su queste risorse per ottenere dettagli su ogni singolo risultato.

Quando non utilizzare l'ispezione

L'ispezione di una risorsa non è utile se si verificano entrambe le seguenti condizioni. Una scansione di rilevamento può aiutarti a decidere se è necessaria una scansione di ispezione.

Nella risorsa sono presenti solo dati strutturati. Ovvero, non sono presenti colonne di dati in formato libero, come commenti o recensioni degli utenti.
Conosci già gli infoType archiviati in questa risorsa.

Ad esempio, supponiamo che i profili di dati di una scansione di rilevamento indichino che una determinata tabella BigQuery non ha colonne con dati non strutturati, ma ha una colonna di numeri di carte di credito univoci. In questo caso, l'ispezione dei numeri di carte di credito nella tabella non è utile. Un'ispezione produrrà un risultato per ogni elemento nella colonna. Se hai 1 milione di righe e ogni riga contiene 1 numero carta, un job di ispezione produrrà 1 milione di risultati per l'infoType CREDIT_CARD_NUMBER. In questo esempio, l'ispezione non è necessaria perché la scansione di rilevamento indica già che la colonna contiene numeri di carte di credito univoci.

Residenza, trattamento e archiviazione dei dati

Sia il rilevamento sia l'ispezione supportano i requisiti di residenza dei dati:

Il servizio di rilevamento tratta i dati nella posizione in cui si trovano e archivia i profili di dati generati nella stessa regione o multiregione dei dati profilati. Per ulteriori informazioni, consulta Considerazioni sulla residenza dei dati.
Quando esegue l'ispezione dei dati all'interno di un sistema di archiviazione Google Cloud , il servizio di ispezione tratta i dati nella stessa regione in cui si trovano e archivia il job di ispezione in quella regione. Quando esegue l'ispezione dei dati tramite un job ibrido o tramite un content metodo, il servizio di ispezione ti consente di specificare dove deve trattare i dati. Per ulteriori informazioni, consulta Come vengono archiviati i dati.

Riepilogo del confronto: servizi di rilevamento e ispezione

	Rilevamento	Ispezione
Vantaggi	Visibilità continua in un'organizzazione, una cartella o un progetto. Aiuta a identificare le risorse contenenti dati sensibili, ad alto rischio e non strutturati. Per un elenco completo degli insight, consulta la documentazione di riferimento sulle metriche . Aiuta a scoprire dati sconosciuti (o dati ombra).	Ispezione on demand di una singola risorsa. Identifica ogni istanza di dati sensibili nella risorsa ispezionata.
Costo	Esecuzione di una stima dei costi: senza costi Modalità a consumo: 0,03$per GB o il prezzo di 3 TB, a seconda di quale sia il valore inferiore Modalità di abbonamento (capacità riservata): 2500$per unità di abbonamento 10 TB costano circa 300$al mese in modalità a consumo.	Fino a 1 GB: senza costi Da 1 GB a 50 TB: 1,00$per GB Da 50 TB a 500 TB: 0,75$per GB Oltre 500 TB: 0,60$per GB 10 TB costano circa 10.000$per scansione.
Origini dati supportate	BigLake BigQuery Variabili di ambiente di Cloud Run Functions Variabili di ambiente della revisione del servizio Cloud Run Cloud SQL Cloud Storage Vertex AI Amazon S3 Azure Blob Storage	BigQuery Cloud Storage Datastore Ibrido (qualsiasi origine)¹
Ambiti supportati	Un' Google Cloud organizzazione, una cartella, un progetto o una risorsa di dati Tutti gli asset supportati disponibili per il connettore AWS, l'account o il bucket S3 Tutti gli asset supportati disponibili per il connettore Azure, l'abbonamento, o il container Azure Blob Storage	Una singola tabella BigQuery, un bucket Cloud Storage o Datastore kind.
Modelli di ispezione integrati	Sì	Sì
infoType integrati e personalizzati	Sì	Sì
Output scansione	Panoramica generale (profili di dati) di tutti i dati supportati.	Risultati concreti dei dati sensibili nella risorsa ispezionata.
Salva i risultati in BigQuery	Sì	Sì
Invia a Knowledge Catalog come tag (deprecato)	Sì	Sì
Invia a Knowledge Catalog come aspetti	Sì	No
Pubblica i risultati in Security Command Center	Sì	Sì
Pubblica i risultati in Google Security Operations	Sì per il rilevamento a livello di organizzazione e cartella	No
Pubblica in Pub/Sub	Sì	Sì
Supporto per la residenza dei dati	Sì	Sì

¹ L'ispezione ibrida ha un modello di prezzi diverso. Per ulteriori informazioni, consulta Ispezione dei dati da qualsiasi origine .

Passaggi successivi

Esplora le strategie consigliate per mitigare il rischio dei dati (documento successivo di questa serie)

Scopri di più sui tuoi dati tramite il rilevamento e l'ispezione Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.