Google DLP-API schützt sensible Daten in der Cloud

Mit neuen Funktionen kann Google Cloud DLP-API über 50 Arten sensibler Daten erkennen und in Echtzeit de-identifizieren oder maskieren, unabhängig davon, wie sie gespeichert sind. Die Beta bekam nun weitere Möglichkeiten zum Schutz vertraulicher Daten.

 –  10 Kommentare
Google

Neue Datenschutz-Einstellungen: Auch Werbung via Google auf anderen Webseiten kann eingeschränkt werden.

(Bild: dpa, Britta Pedersen/Archiv)

Anzeige

Sensible und private Daten auch privat zu halten ist für alle Unternehmen eine Herausforderung. Die Google Cloud DLP-API (Data Loss Prevention) hilft dabei sensible Daten wie Kreditkartennummern, Namen oder Ausweisnummern zu finden und zu schützen. Für die derzeitige Beta kündigte Google nun auch Tools zum Entfernen (Redaction) sowie zur Maskierung oder Tokenisierung der vertraulichen Daten an.

Die neuen Funktionen zur Identifizierung von Daten helfen mit vertraulichen Informationen zu arbeiten, ohne sie unbeabsichtigt aufzudecken. Unternehmen, die nach den Prinzipien „least privilege“ oder „need-to-know“ arbeiten, kann die DLP-API helfen diese in Produktionsanwendungen und Daten-Workflows durchzusetzen. Mit Hilfe der API können Nutzer den Service auf fast jede Datenquelle oder Speichersystem ausweiten. Von der DLP-API nativ unterstützt werden die Google-Datenbanken Google Cloud Storage, Datastore und BigQuery.

Anzeige

Durch das selektive Maskieren oder Entfernen von Daten können sensible Informationen, die beispielsweise zu einer persönlichen Identifizierung von Personen beitragen, gezielt geschützt werden. Mit den verbleibenden (sichtbaren) Daten wird die Verknüpfung mit einer Person erschwert.

Sensible Elemente lassen sich sowohl in strukturierten wie auch unstrukturierten Datensätzen klassifizieren und dann selektiv maskieren. (Bild: Google Cloud Platform Blog)

Durch das Entfernen und Unterdrücken von sensiblen Informationen werden Werte oder komplette Daten aus einem Datensatz ausgeblendet. So können beispielsweise Mitarbeitern eines Supportteams, personenbezogene, für die Lösung des angefragten Problems aber nicht relevante Daten vorenthalten werden. Ähnlich können auch eindeutige demographische Merkmale oder seltenere Attribute aus Bevölkerungsstatistiken entfernt werden.

Teilmaskierung verdeckt Teile eines sensiblen Attributs, z. B. die letzten 7 Ziffern einer (US-amerikanischen) Telefonnummer.

(Bild: Google Cloud Platform Blog)

Tokenisierung, auch Secure Hashing genannt, ist eine algorithmische Transformation, die eine direkte Kennung durch ein Pseudonym oder einen Token ersetzt. Dies kann in Fällen hilfreich sein, in denen eine Datensatzkennung beibehalten oder Daten beigetragen werden müssen. Token sind schlüsselbasiert und können so konfiguriert werden, dass sie reversibel (mit dem gleichen Schlüssel) oder nicht reversibel sind (ohne den Schlüssel zu behalten).

Die DLP-API beherrscht auch das sogenannte "Dynamic Data Masking" (DDM). Dafür kommen verschiedene Techniken zur Maskierung und De-identifizierung in Echtzeit zur Anwendung. Hilfreich ist DDM vor allem dann, wenn die zugrunde liegenden Daten nicht dauerhaft verändert werden dürfen, sondern nur unter bestimmten Bedingungen maskiert erscheinen müssen. Je nach Kontext der Geschäftsanforderungen erhalten Benutzer damit nur dann Zugriff auf sensible, personenbezogene Daten, wenn dies erforderlich ist.

Unter den weiteren im DLP-API verfügbaren Verfahren, mit denen sich Daten transformieren lassen, zählen Bucketing (konkrete Zahlenwerte werden durch Bereiche ersetzt), K-Anonymität und L-Diversity-Techniken. Nähere Informationen dazu gibt es in den Dokumenten und Anleitungen. Mehr Beispiele finden sich im Google Cloud Platform Blog. Eine Kurzanleitung zur DLP-API ist ebenfalls verfügbar. (kkr)

Anzeige