Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Blog
    2. Cloud Key Management

Förebyggande av dataförlust i molntjänster – GCP:s DLP API

Postat avDivyansh Dwivedi 4 minuter
Google Cloud Platforms API för dataförlustskydd tillhandahåller en tjänst som kan hjälpa organisationer att hantera känsliga data, inklusive att upptäcka och redigera, maskera och tokenisera sådana data. Detta kan hjälpa organisationer att följa regler som GDPR och minska risken för dataexponering och dataintrång.
Innehållsförteckning

Organisationer måste ofta upptäcka, redigera och ibland kryptera Personligt identifierbar information (PII) eller annan känslig data, såsom kreditkortsnummer, som skulle skydda dem mot dataexponering. Om någon del av nätverket komprometteras fungerar det som ytterligare ett skydd som håller informationen redigerad eller krypterad. Google Cloud Platforms Cloud Data Loss Prevention (DLP) API ger sina klienter ett alternativ att upptäcka förekomsten av PII och annan integritetskänslig data i användarlevererade, ostrukturerade dataströmmar, såsom ett stycke, bilder eller ljudinspelningar (som måste konverteras till text via Speech-to-Text API).

DLP API kan klassificera och redigera känslig data. Det stöder flera anpassningar, inklusive reguljära uttryck (regex), ordböcker och andra fördefinierade detekteringsregler. För att DLP API ska fungera måste text eller bilder tillhandahållas, och det fungerar på data som redan finns på GCS, Big Query och Cloud Storage.

Google Cloud DLP-graf


DLP API inkluderar ett API med språkspecifika SDK:er, anpassningsstöd, möjligheten att redigera och arbeta med filer på Google Cloud Storage (GCS) och Big Query, samt funktionalitet på bilder.

Funktioner i DLP API

  1. DLP API har över 120 förbyggda detektorer (InfoType-detektor), och organisationer kan skapa anpassade detektorer för sitt specifika användningsfall.
  2. Efter att ha upptäckt känsliga data kan DLP API redigera, mask, tokenisera och omvandla text och bilder för att garantera integritet.
  3. DLP API är en hanterad tjänst. GCP kan skala DLP API enligt den data som tillhandahålls.
  4. API:ets klassificeringsresultat kan skickas direkt till Big Query för detaljerad analys eller exporteras till en annan miljö.
  5. Cloud DLP hanterar data säkert och genomgår flera oberoende tredjepartsgranskningar för att testa datasäkerhet, integritet och trygghet.


Skräddarsydda molnnyckelhanteringstjänster

Få flexibla och anpassningsbara konsulttjänster som anpassas till dina molnbehov.

Läs mer

DLP-proxyarkitektur

Ett sätt att ta bort PII-data är att dirigera alla frågor och resultat genom en modul som analyserar, inspekterar och loggar resultaten, och avidentifierar dessa resultat med hjälp av Cloud DLP, innan den begärda informationen returneras eller vidarebefordras till nästa steg. Denna modul eller tjänst kallas en DLP-proxy.
DLP-proxyapplikationen accepterar en SQL-fråga som indata, kör frågan på databasen och tillämpar sedan Cloud DLP på resultaten innan de returneras till användaren som begär data.

Arkitektur för DLP-proxyapplikation


Fikon: Arkitekturen för DLP-proxyapplikationen Cloud DLP möjliggör detaljerad konfiguration av vilka typer av data som ska inspekteras och hur data ska transformeras baserat på dessa inspektionsresultat eller datastrukturer (som fältnamn). För att förenkla skapandet och hanteringen av konfigurationen kan organisationer använda Cloud DLP-mallar. DLP-proxyapplikationen refererar till både inspektions- och avidentifieringsmallar.

Cloud Audit Logs är en integrerad loggningstjänst från Google Cloud Platform som används i arkitekturen som visas ovan. Cloud Audit Logs tillhandahåller en revisionslogg för anrop gjorda till DLP API. Revisionsloggposterna innehåller information om vem som gjorde API-anropet, vilket Cloud-projekt det kördes mot och detaljer om begäran, inklusive om en mall användes som en del av begäran. Om du använder programmets konfigurationsfil för att aktivera granskning registrerar Cloud Audit Logs en sammanfattning av inspektionsresultaten.

Cloud Key Management-tjänst (Cloud KMS)är molnbaserad nyckelhantering tjänst från Google Cloud som låter dig hantera dina molntjänsters kryptografiska nycklar.

Moln-DLP-metoder för tokenization och datumförskjutning kryptografi för att generera ersättningsvärden. Dessa kryptografiska metoder använder en nyckel för att kryptera dessa värden konsekvent för att bibehålla referensintegritet eller, för reversibla processer, för att avtokenisera. Du kan ange denna nyckel direkt till Cloud DLP när anropet görs, eller så kan du slå in den med hjälp av Cloud KMS. Att slå in din nyckel i Cloud KMS ger ytterligare ett lager av åtkomstkontroll och granskning, och är därför den föredragna metoden för produktionsdistributioner.

För produktionskonfiguration bör organisationer använda principen om minsta möjliga behörighet för att tilldela behörigheter. Följande diagram skulle införliva denna princip.

arkitektur för DLP-proxyapplikation med block med lägsta privilegier, bild


Fikon: Arkitekturen för DLP-proxyapplikationen med minst privilegium. Föregående diagram visar hur det i en typisk produktionskonfiguration finns tre personer med olika roller och åtkomst till rådata:

  1. InfrastrukturadministratörInstallerar och konfigurerar proxyn för att komma åt Cloud DLP-proxyns beräkningsmiljö.
  2. DataanalytikerÅtkomst till klienten som ansluter till DLP-proxyn.
  3. SäkerhetsadministratörKlassificerar data, skapar Cloud DLP-mallar och konfigurerar Cloud KMS.

Slutsats

Google Cloud Platforms API för dataförlustskydd tillhandahåller en tjänst som kan hjälpa organisationer att hantera känsliga data, inklusive att upptäcka och redigera, maskera och tokenisera sådana data. Detta kan hjälpa organisationer att följa regler som GDPRoch minska risken för dataexponering och dataintrång.

För att få praktisk erfarenhet av Google Clouds DLP API, prova webbplatsen som finns här.

Upptäck vår

Relaterade bloggar

Microsoft Azure är en av de tre största molntjänstleverantörerna som används av organisationer idag. De andra två som huvudsakligen används av organisationer är Amazon Web Services (AWS) och Google Cloud Platform (GCP). I det rådande läget i världen flyttar många företag sina tjänster till en delvis eller helt molnbaserad plattform som Azure eller AWS.

Hur kan du göra organisationer mer nöjda med Microsoft Azure?

Februari 2, 2022
Introduktion till kryptoförstöring

Bekanta dig med det nya konceptet kryptoförstöring

August 20, 2021

Skillnader mellan AWS KMS Azure Key Vault och GCP KMS

AWS KMS kontra Azure Key Vault kontra GCP KMS

July 23, 2021

Utforska

Fler ämnen