Types de méthodes

La protection des données sensibles inclut différents types de méthodes permettant d'inspecter, de transformer (anonymiser), de découvrir et de classer des données. Grâce à ces méthodes, vous pouvez analyser vos données à la fois sur Google Cloud et en dehors, et optimiser le comportement de la protection des données sensibles pour différents types de charges de travail.

La protection des données sensibles fournit les types de méthodes suivants :

• Méthodes de contenu
• Méthodes de stockage
• Méthodes hybrides
• Méthodes de découverte

Méthodes d'inspection et d'anonymisation

Cette section décrit les méthodes que vous pouvez utiliser pour localiser et, éventuellement, anonymiser chaque élément de données correspondant à un type d'informations listé dans votre configuration d'inspection.

Méthodes de contenu

Les méthodes de contenu sont des méthodes synchrones et sans état. Les données à inspecter ou à transformer sont envoyées directement dans la requête adressée à l'API DLP. Les résultats d'inspection ou les données transformées de la protection des données sensibles sont renvoyés dans la réponse de l'API. Les données de la requête sont chiffrées en transit et ne sont pas stockées.

Pour en savoir plus, consultez la documentation de référence de l'API REST concernant les méthodes de contenu :

• content.inspect
• content.deidentify
• content.reidentify
• image.redact

Méthodes de stockage

Les méthodes de stockage sont conçues pour inspecter les données stockées sur Google Cloud dans des systèmes tels que Cloud Storage, BigQuery et Firestore en mode Datastore (Datastore). Pour activer l'inspection du stockage, vous devez créer un job Sensitive Data Protection à l'aide de la ressource dlpJobs. Chaque tâche s'exécute en tant que service géré pour inspecter les données, puis effectuer des actions de protection des données sensibles telles que l'enregistrement ou la publication de résultats. En plus de ces actions facultatives, Sensitive Data Protection crée et stocke des détails sur le job (comme son état, le nombre d'octets analysés et les résultats détaillés par infoType). Vous pouvez gérer les jobs à l'aide de l'API DLP ou de Sensitive Data Protection dans la consoleGoogle Cloud .

Pour en savoir plus, consultez la documentation de référence de l'API REST pour la ressource projects.dlpJobs. Vous spécifiez les détails du stockage dans l'objet StorageConfig.

Méthodes hybrides

Les méthodes hybrides sont un ensemble de méthodes d'API asynchrones qui permettent d'analyser les charges utiles de données envoyées par pratiquement n'importe quelle source à la recherche d'informations sensibles et de stocker les résultats dans Google Cloud. Les méthodes hybrides sont semblables aux méthodes de contenu, car les données que vous souhaitez inspecter sont incluses dans une ou plusieurs requêtes d'inspection. Toutefois, contrairement aux méthodes de contenu, les méthodes hybrides ne renvoient pas les résultats d'inspection dans la réponse de l'API. Au lieu de cela, les résultats d'inspection sont traités côté serveur de manière asynchrone, et les résultats sont formatés en tableau et stockés comme pour les méthodes de stockage.

Pour activer l'inspection hybride, vous devez créer un job Sensitive Data Protection à l'aide de la ressource dlpJobs. Chaque tâche hybride s'exécute en tant que service géré pour écouter les requêtes d'inspection, puis effectuer des actions de protection des données sensibles, telles que l'enregistrement ou la publication de résultats. En plus de ces actions facultatives, Sensitive Data Protection crée et stocke des détails sur le job (comme son état, le nombre d'octets analysés et les résultats détaillés par infoType). Vous pouvez gérer les tâches à l'aide de l'API DLP ou de Sensitive Data Protection dans la consoleGoogle Cloud .

Pour en savoir plus, consultez la documentation de référence de l'API REST pour la ressource projects.dlpJobs. Vous spécifiez la source de données dans le champ hybridOptions de l'objet StorageConfig.

Méthodes de découverte

Les méthodes de découverte vous permettent de configurer la découverte des données sensibles pour générer des profils de données. Les profils de données fournissent des insights pour vous aider à déterminer où se trouvent les données sensibles dans votre organisation, le type de données sensibles que vous stockez et si des contrôles d'accès sont en place pour ces données.

Vous pouvez configurer la découverte pour qu'elle analyse les données stockées sur Google Cloud dans des systèmes tels que BigQuery, Cloud SQL, Cloud Storage et Vertex AI. Si vous avez activé Security Command Center Enterprise, vous pouvez également utiliser Sensitive Data Protection pour analyser les données d'autres fournisseurs de services cloud.

Vous pouvez spécifier les actions que vous souhaitez que Sensitive Data Protection effectue après chaque analyse de découverte. Par exemple, vous pouvez envoyer les résultats d'analyse à d'autres servicesGoogle Cloud , comme Security Command Center et Google Security Operations, pour améliorer la visibilité sur l'état de la sécurité des données de votre organisation. Vous pouvez configurer le service de découverte pour taguer vos ressources profilées afin d'accorder ou de refuser automatiquement l'accès IAM à ces ressources. Vous pouvez également exporter les profils de données vers BigQuery. Vous pouvez associer les profils exportés à Looker pour afficher le rapport prédéfini. Vous pouvez également créer vos propres requêtes et rapports personnalisés.

Pour activer la découverte, vous devez créer une ressource DiscoveryConfig. La découverte s'exécute en fonction du champ d'application et de la fréquence que vous définissez dans la configuration de la découverte. Pour savoir où Sensitive Data Protection stocke les profils générés, consultez Considérations relatives à la résidence des données.

Vous pouvez gérer les configurations de découverte, les profils de données et les connexions Cloud SQL à l'aide de l'API DLP ou de la consoleGoogle Cloud .

Pour en savoir plus, consultez la documentation de référence de l'API REST pour les éléments suivants :

• Configurations de découverte

  • organizations.locations.discoveryConfigs
  • projects.locations.discoveryConfigs

• Connexions

  Les connexions ne concernent que la découverte pour Cloud SQL.

  • organizations.locations.connections
  • projects.locations.connections

• Profils de données

  • organizations.locations.projectDataProfiles
  • projects.locations.projectDataProfiles
  • organizations.locations.fileStoreDataProfiles
  • projects.locations.fileStoreDataProfiles
  • organizations.locations.tableDataProfiles
  • projects.locations.tableDataProfiles
  • organizations.locations.columnDataProfiles
  • projects.locations.columnDataProfiles

Étapes suivantes

• Consultez les guides d'utilisation pour découvrir comment inspecter du texte et des images, ainsi que masquer les données sensibles détectées.
  • Inspecter du texte pour identifier les données sensibles
  • Inspecter du texte structuré pour identifier les données sensibles
  • Inspecter des images pour identifier les données sensibles
  • Masquer les données sensibles des images
  • Supprimer l'identification des données sensibles
• Pour en savoir plus sur l'inspection du stockage et l'utilisation des actions, consultez la page Inspecter le stockage et les bases de données pour identifier les données sensibles.
• Pour en savoir plus sur la découverte de données sensibles, consultez Profils de données.
• Consultez les tarifs.