Obtén información sobre tus datos a través del descubrimiento y la inspección

En esta página, se describen y comparan dos servicios de Protección de datos sensibles que te ayudan a comprender tus datos y habilitar flujos de trabajo de administración de datos: el servicio de descubrimiento y el servicio de inspección.

Descubrimiento de datos sensibles

El servicio de descubrimiento supervisa los datos en toda tu organización. Este servicio se ejecuta de forma continua y descubre, clasifica y genera perfiles de datos automáticamente. El descubrimiento puede ayudarte a comprender la ubicación y la naturaleza de los datos que almacenas, incluidos los recursos de datos que quizás no conozcas. Por lo general, los datos desconocidos (a veces llamados datos ocultos) no se someten al mismo nivel de administración de datos y administración de riesgos que los datos conocidos.

Configuras el descubrimiento en varios permisos. Puedes establecer diferentes programas de generación de perfiles para distintos subconjuntos de tus datos. También puedes excluir subconjuntos de datos de los que no necesitas generar perfiles.

Resultado del análisis de descubrimiento: perfiles de datos

El resultado de un análisis de descubrimiento es un conjunto de datos perfiles para cada recurso de datos dentro del alcance. Por ejemplo, un análisis de descubrimiento de datos de BigQuery o Cloud SQL genera perfiles de datos a nivel de proyecto, tabla y columna.

Un perfil de datos contiene métricas y estadísticas sobre el recurso del que se generó el perfil. Incluye las clasificaciones de datos (oinfoTypes), los niveles de sensibilidad, los niveles de riesgo de los datos, el tamaño de los datos, la forma de los datos y otros elementos que describen la naturaleza de los datos y su posición de seguridad de los datos (qué tan seguros son los datos). Puedes usar perfiles de datos para tomar decisiones fundamentadas sobre cómo proteger tus datos, por ejemplo, estableciendo políticas de acceso en la tabla.

Considera una columna de BigQuery llamada ccn, en la que cada fila contiene un número de tarjeta de crédito único y no hay valores nulos. El perfil de datos generado a nivel de la columna tendrá los siguientes detalles:

Nombre visible Valor
Field ID ccn
Data risk High
Sensitivity High
Data type TYPE_STRING
Policy tags No
Free text score 0
Estimated uniqueness High
Estimated null proportion Very low
Last profile generated DATE_TIME
Predicted infoType CREDIT_CARD_NUMBER

Además, este perfil a nivel de la columna forma parte de un perfil a nivel de la tabla, que proporciona estadísticas como la ubicación de los datos, el estado de encriptación y si la tabla se comparte públicamente. En la Google Cloud consola, también puedes ver las entradas de Cloud Logging para la tabla y las entidades principales de IAM con roles para la tabla.

Un perfil de datos a nivel de la tabla que muestra métricas y estadísticas sobre la tabla, y te permite verla en Logging, IAM y Knowledge Catalog.

Para obtener una lista completa de las métricas y las estadísticas disponibles en los perfiles de datos, consulta Referencia de métricas.

Cuándo usar el descubrimiento

Cuando planifiques tu enfoque de administración de riesgos de datos, te recomendamos que comiences con el descubrimiento. El servicio de descubrimiento te ayuda a obtener una visión general de tus datos y a habilitar alertas, informes, y corrección de problemas.

Además, el servicio de descubrimiento puede ayudarte a identificar los recursos en los que podrían residir datos no estructurados. Es posible que esos recursos justifiquen una inspección exhaustiva. Los datos no estructurados se especifican con una puntuación de texto libre alta en una escala de 0 a 1.

Inspección de datos sensibles

El servicio de inspección realiza un análisis exhaustivo de un solo recurso para ubicar cada instancia individual de datos sensibles. Una inspección produce un resultado para cada instancia detectada.

Los trabajos de inspección proporcionan un amplio conjunto de opciones de configuración para ayudarte a identificar los datos que deseas inspeccionar. Por ejemplo, puedes activar el muestreo para limitar los datos que se inspeccionarán a una cierta cantidad de filas (para datos de BigQuery) o ciertos tipos de archivos (para datos de Cloud Storage). También puedes segmentar un período específico en el que se crearon o modificaron los datos.

A diferencia del descubrimiento, que supervisa continuamente tus datos, una inspección es una operación a pedido. Sin embargo, puedes programar trabajos de inspección recurrentes llamados activadores de trabajo.

Resultado del análisis de inspección: resultados

Cada resultado incluye detalles como la ubicación de la instancia detectada, su posible Infotipo y la certeza (también llamada probabilidad) de que el resultado coincida con el Infotipo. Según tu configuración, también puedes obtener la cadena real a la que pertenece el resultado; esta cadena se denomina cita en Protección de datos sensibles.

Para obtener una lista completa de los detalles incluidos en un resultado de inspección, consulta Finding.

Cuándo usar la inspección

Una inspección es útil cuando necesitas investigar datos no estructurados (como comentarios o reseñas creados por el usuario) y, también, identificar cada instancia de información de identificación personal (PII). Si un análisis de descubrimiento identifica algún recurso que contenga datos no estructurados, te recomendamos que ejecutes un análisis de inspección en esos recursos para obtener detalles sobre cada resultado individual.

Cuándo no usar la inspección

La inspección de un recurso no es útil si se cumplen las siguientes condiciones. Un análisis de descubrimiento puede ayudarte a decidir si se necesita un análisis de inspección.

  • Solo tienes datos estructurados en el recurso. Es decir, no hay columnas de datos de formato libre, como comentarios o reseñas de usuarios.
  • Ya conoces los infoTypes almacenados en ese recurso.

Por ejemplo, supongamos que los perfiles de datos de un análisis de descubrimiento indican que una determinada tabla de BigQuery no tiene columnas con datos no estructurados, pero sí una columna de números de tarjetas de crédito únicos. En este caso, no es útil inspeccionar los números de tarjetas de crédito en la tabla. Una inspección producirá un resultado para cada elemento de la columna. Si tienes 1 millón de filas y cada fila contiene 1 número de tarjeta de crédito, un trabajo de inspección producirá 1 millón de resultados para el Infotipo CREDIT_CARD_NUMBER. En este ejemplo, no se necesita la inspección porque el análisis de descubrimiento ya indica que la columna contiene números de tarjetas de crédito únicos.

Residencia, procesamiento y almacenamiento de datos

Tanto el descubrimiento como la inspección admiten los requisitos de residencia de datos:

  • El servicio de descubrimiento procesa tus datos donde residen y almacena los perfiles de datos generados en la misma región o multirregión que los datos de los que se generó el perfil. Para obtener más información, consulta Consideraciones sobre la residencia de los datos.
  • Cuando inspecciona datos dentro de un Google Cloud sistema de almacenamiento, el servicio de inspección procesa tus datos en la misma región en la que residen los datos y almacena el trabajo de inspección en esa región. Cuando inspecciona datos a través de un trabajo híbrido o a través de un content método, el servicio de inspección te permite especificar dónde debe procesar tus datos. Para obtener más información, consulta Cómo se almacenan los datos.

Resumen de la comparación: servicios de descubrimiento e inspección

Discovery Inspección
Beneficios
  • Visibilidad continua en una organización, carpeta o proyecto
  • Ayuda a identificar los recursos que contienen datos sensibles, de alto riesgo y no estructurados (para obtener una lista completa de estadísticas, consulta Referencia de métricas)
  • Ayuda a descubrir datos desconocidos (o datos ocultos)
  • Inspección a pedido de un solo recurso
  • Identifica cada instancia de datos sensibles en el recurso inspeccionado
Costo
  • Ejecución de una estimación de costos: Gratis
  • Modo de consumo: USD 0.03 por GB o el precio de 3 TB, lo que sea menor
  • Modo de suscripción (capacidad reservada): USD 2,500 por unidad de suscripción

10 TB cuestan aproximadamente USD 300 por mes en modo de consumo.
  • Hasta 1 GB: Gratis
  • De 1 GB a 50 TB: USD 1.00 por GB
  • De 50 TB a 500 TB: USD 0.75 por GB
  • Más de 500 TB: USD 0.60 por GB

10 TB cuestan aproximadamente USD 10,000 por análisis.
Fuentes de datos compatibles BigLake
BigQuery
Variables de entorno de funciones de Cloud Run
Variables de entorno de revisión de servicios de Cloud Run
Cloud SQL
Cloud Storage
Vertex AI
Amazon S3
Azure Blob Storage 		BigQuery
Cloud Storage
Datastore
Híbrido (cualquier fuente)1
Permisos admitidos
  • Una Google Cloud organización, carpeta, proyecto o recurso de datos
  • Todos los recursos admitidos disponibles para el conector de AWS, la cuenta o el bucket de S3
  • Todos los recursos admitidos disponibles para el conector de Azure, la suscripción, o el contenedor de Azure Blob Storage
 Una sola tabla de BigQuery, bucket de Cloud Storage o Datastore kind.
Plantillas de inspección integradas
Infotipos integrados y personalizados
Resultado del análisis Descripción general de alto nivel (perfiles de datos) de todos los datos admitidos Resultados concretos de datos sensibles en el recurso inspeccionado
Guarda los resultados en BigQuery
Enviar a Knowledge Catalog como etiquetas (obsoleto)
Enviar a Knowledge Catalog como aspectos No
Publicar los resultados en Security Command Center
Publicar resultados en Google Security Operations para el descubrimiento a nivel de la organización y de la carpeta No
Publicar en Pub/Sub
Compatibilidad con la residencia de datos

1 La inspección híbrida tiene un modelo de precios diferente. Para obtener más información, consulta Inspección de datos de cualquier fuente .

¿Qué sigue?