谷歌云 Dataplex 如何改进数据审计、安全性和访问管理
数据是所有企业最重要的资产之一。它对于做出明智的决策、提高效率和提供竞争优势至关重要。然而,拥有管理数据的权利必然伴随着防止数据滥用的责任。特别是在受监管的行业,不当处理数据会导致重大的财务和声誉损害。如果数据管理不当,可能会出现数据泄露、未经授权的人员访问数据和无意中删除数据等负面结果。
有多种方法可以帮助保护企业中的数据。其中包括加密、控制访问和数据备份。加密是将数据编码为密文的过程。这使得未经授权的用户在没有正确密钥的情况下无法解码数据。访问控制是仅限授权用户访问数据的过程。最后,它能够审计你的数据管理操作有助于证明你正在遵循影响你公司的当前法规,同时保护你的核心竞争优势。
为你的企业选择合适的安全解决方案非常重要。需要考虑数据泄露的潜在成本与保护数据的成本。数据安全是一个持续的过程。定期审查和更新你的安全流程和工具非常重要。
在本文中,我们将讨论如何使用 Cloud DLP、Dataplex 以及 Dataplex Catalog 和 Attribute Store 发现、分类和保护最敏感的数据。该解决方案可自动执行复杂且成本高昂的数据实践,因此你可以专注于为客户提供数据支持。
在大多数企业中,数据是定期收集的,这些数据可以分为两类之一:
01敏感数据
这类需要根据数据内容附加特定政策的敏感数据(如银行账号、个人邮箱)分类通常基于:
a) 适用的监管或法律要求
b) 关键的安全或弹性要求
c) 业务特定要求(例如 IP)
02非敏感数据
为了保护敏感数据并能够遵循你所在行业的合规性要求,在 Google Cloud,我们建议使用以下工具:
数据丢失防护 (Cloud DLP) 可帮助开发人员和安全团队发现、分类和清点他们存储在 Google Cloud 服务中的数据。这使你可以深入了解你的数据,以便更好地防范未经授权的渗漏或访问等威胁。Google Cloud DLP 提供统一的数据保护解决方案,可对混合多云环境中的数据应用一致的策略。它还可以对你的数据进行去识别化、编辑或标记化,以使其可在产品和服务之间共享或使用。
对于 BigQuery,Cloud DLP 还提供敏感数据发现服务,自动扫描整个企业、单个文件夹或选定项目中的所有 BigQuery 表和列。然后它为每个表和列创建数据配置文件。这些配置文件包括预测的 infoType、评估的数据风险和敏感度级别以及有关列的大小和形状的元数据等指标。使用这些见解就如何保护、共享和使用数据做出明智的决策。
Dataplex 是一种完全托管的数据湖服务,可帮助你管理和管理 Google Cloud 中的数据。它是一种可扩展的元数据管理服务,使你能够快速发现、管理、理解和管理 Google Cloud 中的所有数据。
Cloud DLP 的检查作业与 Dataplex 原生集成。当你使用 Cloud DLP 操作扫描 BigQuery 表中的敏感数据时,它可以以标记模板的形式将结果直接发送到 Data Catalog。
本指南概述了将 Cloud DLP 结果发送到 Dataplex Catalog 的过程。
此外,为了定义应如何处理某些数据,谷歌云还提供了通过 Dataplex 的属性存储将数据与属性相关联的能力。此功能代表了数据治理方法的重大转变,因为以前只能在域级别定义治理策略。现在,客户可以通过定义个人身份信息“PII 数据”等数据类、映射相关 PII 属性,然后定义相关的治理策略来支持对 GDPR 等法规的合规性。
借助 Google Cloud,客户可以大规模管理分布式数据。Dataplex 通过将访问控制策略映射到表和列,并将它们应用于 Cloud Storage 和 BigQuery 中的数据,极大地提高了策略传播的效率。
由于目前处于预览状态的属性存储支持 Dataplex 发布的表(在 Cloud Storage 存储桶中,作为 Dataplex 中的资产安装)。谷歌云预计 Attribute Store 很快将能够将属性附加到任何表。
下面显示了一个参考架构,概述了使用属性存储保护数据的最佳实践,以及提供数据解释的数据目录标签。
在上图中,我们看到表列都带有信息标记(使用数据目录)并与属性相关联(使用属性存储)。属性标记有助于大规模保护数据,而数据目录使用标记来描述数据并增强可搜索性。
请务必注意,Data Catalog 标记已编入索引。因此,谷歌云通过为相关数据目录标记和属性创建此匹配的 DLP 信息类型来开始该过程。然后,当 DLP 与 infoType 匹配时,将创建数据目录标签并将属性与数据相关联。
实施这种发现、分类和保护企业数据的方法有助于确保你相应地处理这一极其宝贵的资产。
