Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Cloud-Schlüsselverwaltung

Data Loss Prevention im Cloud Computing – GCPs DLP-API

Geschrieben vonDivyansh Dwivedi 4 Minuten
Die Data Loss Protection API der Google Cloud Platform bietet einen Dienst, mit dem Unternehmen sensible Daten verwalten können, einschließlich der Erkennung, Schwärzung, Maskierung und Tokenisierung solcher Daten. Dies kann Unternehmen dabei helfen, Vorschriften wie die DSGVO einzuhalten und das Risiko von Datenverlust und Datenschutzverletzungen zu reduzieren.
Inhaltsverzeichnis

Organisationen müssen häufig erkennen, redigieren und manchmal verschlüsseln Persönlich identifizierbare Informationen (PII) oder andere sensible Daten, wie z. B. Kreditkartennummern, schützen diese vor Datenverlust. Sollte ein Teil des Netzwerks kompromittiert werden, dient dies als zusätzlicher Schutz, der die Daten redigiert oder verschlüsselt. Cloud Data Loss Prevention (DLP) der Google Cloud Platform API bietet seinen Kunden die Möglichkeit, das Vorhandensein von PII und anderen datenschutzrelevanten Daten in vom Benutzer bereitgestellten, unstrukturierten Datenströmen zu erkennen, z. B. in Absätzen, Bildern oder Audioaufnahmen (die über die Speech-to-Text-API in Text umgewandelt werden müssen).

Die DLP-API kann sensible Daten klassifizieren und redigieren. Sie unterstützt verschiedene Anpassungsmöglichkeiten, darunter reguläre Ausdrücke (Regex), Wörterbücher und andere vordefinierte Erkennungsregeln. Damit die DLP-API funktioniert, müssen Text oder Bilder bereitgestellt werden. Sie funktioniert mit bereits in GCS, Big Query und Cloud Storage vorhandenen Daten.

Google Cloud DLP-Diagramm


Die DLP-API umfasst eine API mit sprachspezifischen SDKs, Anpassungsunterstützung, die Möglichkeit, Dateien in Google Cloud Storage (GCS) und Big Query zu redigieren und zu bearbeiten, sowie die Bedienbarkeit von Bildern.

Funktionen der DLP-API

  1. DLP API verfügt über mehr als 120 vorgefertigte Detektoren (InfoType-Detektor), und Organisationen können benutzerdefinierte Detektoren für ihren spezifischen Anwendungsfall erstellen.
  2. Nach der Erkennung sensibler Daten kann die DLP-API diese redigieren. Maske", tokenisieren und transformieren Sie Text und Bilder, um die Privatsphäre zu gewährleisten.
  3. DLP API ist ein verwalteter Dienst. GCP kann DLP API entsprechend der bereitgestellten Dateneingabe skalieren.
  4. Die Klassifizierungsergebnisse der API können zur detaillierten Analyse direkt an Big Query gesendet oder in eine andere Umgebung exportiert werden.
  5. Cloud DLP verarbeitet Daten sicher und wird mehreren unabhängigen Audits durch Dritte unterzogen, um die Datensicherheit, den Datenschutz und die Datensicherheit zu testen.


Maßgeschneiderte Cloud-Schlüsselverwaltungsdienste

Erhalten Sie flexible und anpassbare Beratungsdienste, die auf Ihre Cloud-Anforderungen abgestimmt sind.

Mehr erfahren

DLP-Proxy-Architektur

Eine Möglichkeit, personenbezogene Daten zu entfernen, besteht darin, alle Abfragen und Ergebnisse durch ein Modul zu leiten, das die Ergebnisse analysiert, prüft und protokolliert und diese mithilfe von Cloud DLP anonymisiert, bevor die angeforderten Daten zurückgegeben oder an den nächsten Schritt weitergeleitet werden. Dieses Modul bzw. dieser Dienst wird als DLP-Proxy bezeichnet.
Die DLP-Proxy-Anwendung akzeptiert eine SQL-Abfrage als Eingabe, führt diese Abfrage in der Datenbank aus und wendet dann Cloud DLP auf die Ergebnisse an, bevor sie diese an den Benutzer zurückgibt, der die Daten angefordert hat.

Architektur der DLP-Proxy-Anwendung


Feige: Die Architektur der DLP-Proxy-Anwendung Cloud DLP ermöglicht eine detaillierte Konfiguration der zu prüfenden Datentypen und deren Transformation basierend auf den Prüfergebnissen oder Datenstrukturen (z. B. Feldnamen). Um die Erstellung und Verwaltung der Konfiguration zu vereinfachen, können Unternehmen Cloud-DLP-Vorlagen verwenden. Die DLP-Proxy-Anwendung referenziert sowohl Prüf- als auch Anonymisierungsvorlagen.

Cloud Audit Logs ist ein integrierter Protokollierungsdienst der Google Cloud Platform, der in der oben gezeigten Architektur verwendet wird. Cloud Audit Logs bietet einen Prüfpfad für Aufrufe der DLP-API. Die Einträge enthalten Informationen darüber, wer den API-Aufruf getätigt hat, für welches Cloud-Projekt er ausgeführt wurde und Details zur Anfrage, einschließlich der Frage, ob eine Vorlage als Teil der Anfrage verwendet wurde. Wenn Sie die Überwachung über die Konfigurationsdatei der Anwendung aktivieren, zeichnet Cloud Audit Logs eine Zusammenfassung der Prüfergebnisse auf.

Cloud-Schlüsselverwaltungsdienst (Cloud KMS)ist ein Cloud-gehostetes Schlüsselverwaltung Dienst von Google Cloud, mit dem Sie die kryptografischen Schlüssel Ihrer Cloud-Dienste verwalten können.

Cloud-DLP-Methoden für Tokenisierung und Datumsverschiebung verwenden Geheimschrift um Ersatzwerte zu generieren. Diese kryptografischen Methoden verwenden einen Schlüssel, um diese Werte konsistent zu verschlüsseln und so die referenzielle Integrität zu wahren oder, bei reversiblen Prozessen, zu detokenisieren. Sie können diesen Schlüssel beim Aufruf direkt an Cloud DLP weitergeben oder ihn mithilfe von Cloud KMS verpacken. Das Verpacken Ihres Schlüssels in Cloud KMS bietet eine weitere Ebene der Zugriffskontrolle und -überwachung und ist daher die bevorzugte Methode für Produktionsbereitstellungen.

Für die Produktionskonfiguration sollten Organisationen beim Zuweisen von Berechtigungen das Prinzip der geringsten Privilegien anwenden. Das folgende Diagramm berücksichtigt dieses Prinzip.

Architektur einer DLP-Proxy-Anwendung mit minimalen Berechtigungen (Block-Image)


Feige: die Architektur der DLP-Proxy-Anwendung mit geringsten PrivilegienDas obige Diagramm zeigt, dass es in einer typischen Produktionskonfiguration drei Personas mit unterschiedlichen Rollen und Zugriff auf die Rohdaten gibt:

  1. InfrastrukturadministratorInstalliert und konfiguriert den Proxy für den Zugriff auf die Rechenumgebung des Cloud DLP-Proxys.
  2. DatenanalytikerGreift auf den Client zu, der eine Verbindung zum DLP-Proxy herstellt.
  3. SicherheitsadministratorKlassifiziert die Daten, erstellt die Cloud DLP-Vorlagen und konfiguriert Cloud KMS.

Fazit

Die Data Loss Protection API der Google Cloud Platform bietet einen Dienst, mit dem Unternehmen sensible Daten verwalten können, einschließlich der Erkennung und Schwärzung, Maskierung und Tokenisierung solcher Daten. Dies kann Unternehmen dabei helfen, Vorschriften einzuhalten, wie z. B. Datenschutzund verringern Sie das Risiko der Datenfreigabe und von Datenschutzverletzungen.

Um praktische Erfahrungen mit der DLP-API von Google Cloud zu sammeln, besuchen Sie die Website unter hier.

Entdecken Sie unsere

Verwandte Blogs

Microsoft Azure ist einer der drei größten Cloud-Service-Anbieter, die heute von Unternehmen genutzt werden. Die beiden anderen, die hauptsächlich von Unternehmen genutzt werden, sind Amazon Web Services (AWS) und Google Cloud Platform (GCP). Angesichts der aktuellen Lage verlagern viele Unternehmen ihre Dienste auf eine teilweise oder vollständig Cloud-basierte Plattform wie Azure oder AWS.

Wie können Sie mit Microsoft Azure die Produktivität Ihrer Organisationen steigern?

2. Februar 2022
Einführung in das Krypto-Shreddern

Machen Sie sich mit dem neuen Konzept des Crypto-Shredding vertraut

August 20, 2021
Unterschiede zwischen AWS KMS Azure Key Vault und GCP KMS

AWS KMS vs. Azure Key Vault vs. GCP KMS

Juli 23, 2021

Entdecken

Weitere Themen