BlueXPの分類について説明します
BlueXPの分類(Cloud Data Sense)は、BlueXP向けのデータガバナンスサービスです。オンプレミスとクラウドの社内データソースをスキャンしてデータのマッピングと分類を行い、個人情報を特定します。これにより、セキュリティとコンプライアンスのリスクを軽減し、ストレージコストを削減し、データ移行プロジェクトを支援できます。
重要
2024年5月にバージョン1.31から、BlueXPのコア機能としてBlueXPの分類が追加料金なしで利用できるようになりました。分類ライセンスまたはサブスクリプションは必要ありません。また、BlueXPの分類機能もNetAppストレージシステムに重点を置いているため、一部の未使用の機能やあまり使用されていない機能は廃止されました。
旧バージョン1.30以前を使用していたユーザーは、サブスクリプションが期限切れになるまでそのバージョンを引き続き使用できます。
の機能
BlueXPの分類では、人工知能(AI)、自然言語処理(NLP)、機械学習(ML)を使用してスキャンされるコンテンツを把握し、エンティティを抽出し、それに応じてコンテンツを分類します。これにより、BlueXPでは次の機能が提供されます。
コンプライアンスを維持
BlueXPには、コンプライアンスへの取り組みに役立ついくつかのツールが用意されています。BlueXPの分類を使用すると、次の処理を実行できます。
-
個人識別情報( PII )を識別します。
-
GDPR、CCPA、PCI、HIPAAの各プライバシー規制の要件に応じて、機密性の高い個人情報の範囲を特定します。
-
名前または電子メールアドレスに基づいてデータサブジェクトアクセス要求(dsar)に応答します。
セキュリティの強化
BlueXPでは、犯罪目的でアクセスされるリスクのあるデータを分類して特定できます。BlueXPの分類を使用すると、次の処理を実行できます。
-
組織全体またはパブリックに公開されているオープンな権限を持つすべてのファイルとディレクトリ(共有およびフォルダ)を特定します。
-
初期の専用の場所以外に存在する機密データを特定します。
-
データ保持ポリシーに準拠
-
新しいセキュリティの問題を自動的に検出するには、_Policies_を使用します。これにより、セキュリティ担当者はすぐに対処できます。
ストレージ使用量を最適化
BlueXPは、ストレージの総所有コスト(TCO)に役立つツールを備えています。BlueXPの分類を使用すると、次の処理を実行できます。
-
重複データやビジネス以外のデータを特定することで、ストレージ効率を向上させます。
-
アクセス頻度の低いデータを低コストのオブジェクトストレージに階層化できるため、ストレージコストを削減できます。 "Cloud Volumes ONTAP システムからの階層化の詳細については、こちらをご覧ください"。 "オンプレミスのONTAP システムからの階層化の詳細については、こちらをご覧ください"。
サポートされている作業環境とデータソース
BlueXPは、次のタイプの作業環境とデータソースから構造化データと非構造化データをスキャンして分析できます。
作業環境
-
Cloud Volumes ONTAP ( AWS 、 Azure 、 GCP に導入)
-
オンプレミスの ONTAP クラスタ
-
Azure NetApp Files の特長
-
ONTAP 対応の Amazon FSX
-
Google Cloud NetAppボリューム
データソース
-
NetAppファイル共有
-
データベース:
-
Amazon リレーショナルデータベースサービス( Amazon RDS )
-
MongoDB
-
MySQL
-
Oracle の場合
-
PostgreSQL
-
SAP HANA のサポート
-
SQL Server ( MSSQL )
-
BlueXPの分類では、NFSバージョン3.xとCIFSバージョン1.x、2.0、2.1、3.0がサポートされます。
コスト
BlueXPの分類機能を無料で使用できるようになりました。分類ライセンスや有料サブスクリプションは必要ありません。
インフラコスト
-
BlueXPをクラウドにインストールするにはクラウドインスタンスを導入する必要があるため、導入先のクラウドプロバイダから料金が請求されます。を参照してください 各クラウドに導入されるインスタンスのタイプ プロバイダ。BlueXP分類をオンプレミスシステムにインストールすればコストはかかりません。
-
BlueXPに分類されるためには、BlueXPコネクタが導入されている必要があります。多くの場合、BlueXPで使用している他のストレージとサービスのためにコネクタが既に存在します。Connector インスタンスを使用すると、導入先のクラウドプロバイダから料金が発生します。を参照してください "クラウドプロバイダごとに導入されるインスタンスのタイプ"。コネクタをオンプレミスシステムにインストールしても、コストはかかりません。
データ転送コスト
データ転送のコストは設定によって異なります。BlueXP分類インスタンスとデータソースが同じアベイラビリティゾーンとリージョンにある場合、データ転送コストは発生しません。ただし、Cloud Volumes ONTAPシステムなどのデータソースが_ different_アベイラビリティゾーンまたはリージョンにある場合、データ転送のコストはクラウドプロバイダから請求されます。詳細については、次のリンクを参照してください。
BlueXP分類インスタンス
BlueXP分類をクラウドに導入すると、BlueXPはコネクタと同じサブネットにインスタンスを導入します。 "コネクタの詳細については、こちらをご覧ください。"
デフォルトのインスタンスについては、次の点に注意してください。
-
AWSでは、BlueXPの分類はで実行されます "m6i.4xlargeインスタンス" 500GiBのgp2ディスクを使用した場合。オペレーティングシステムイメージは Amazon Linux 2 です。AWSに導入した場合、少量のデータをスキャンする場合は、インスタンスサイズを小さくすることができます。
-
Azureでは、BlueXPの分類はで実行されます "Standard_D16s_v3 VM" 500GiBのディスクオペレーティングシステムイメージは CentOS 7.9 です。
-
GCPでは、BlueXPの分類はで実行されます "N2-standard-16 VM" 500GiB Standard永続ディスクを使用した場合。オペレーティングシステムイメージは CentOS 7.9 です。
-
デフォルトのインスタンスを使用できない地域では、BlueXPの分類は別のインスタンスで実行されます。 "別のインスタンスタイプを参照してください"。
-
インスタンスの名前は CloudCompliancy_with で、生成されたハッシュ( UUID )を連結しています。例: _CloudCompliion-16bb6564-38ad-40802-9a92-36f5fd2f71c7
-
コネクタごとに導入されるBlueXP分類インスタンスは1つだけです。
BlueXPの分類は、オンプレミスのLinuxホストや希望するクラウドプロバイダのホストに導入することもできます。どのインストール方法を選択しても、ソフトウェアはまったく同じように機能します。インスタンスにインターネットアクセスがあれば、BlueXP分類ソフトウェアのアップグレードは自動で実行されます。
|
BlueXPの分類ではデータが継続的にスキャンされるため、インスタンスは常に実行されたままにしておく必要があります。 |
さまざまなインスタンスタイプに導入
BlueXP分類は、CPUとRAMの数が少ないシステムに導入できます。
システムサイズ | 仕様 | 制限 |
---|---|---|
特大 |
CPU×32、128GB RAM、1TiB SSD |
最大5億個のファイルをスキャンできます。 |
Large (デフォルト) |
CPU×16、64GB RAM、500GiB SSD |
最大2億5、000万個のファイルをスキャンできます。 |
AzureまたはGCPにBlueXPの分類を導入する際に、より小さいインスタンスタイプを使用する場合は、ng-contact-data-sense@netapp.comまでEメールで支援を要請してください。
BlueXPの分類の仕組み
BlueXPの分類の概要は次のようになります。
-
BlueXPでBlueXP分類のインスタンスを導入します。
-
1つ以上のデータソースで、概要レベルのマッピングまたは詳細レベルのスキャンを有効にします。
-
BlueXPの分類では、AI学習プロセスを使用してデータがスキャンされます。
-
提供されているダッシュボードとレポートツールを使用して、コンプライアンスとガバナンスの取り組みを支援します。
スキャンの動作
BlueXPの分類を有効にしてスキャンするリポジトリ(ボリューム、データベーススキーマ、その他のユーザデータ)を選択すると、すぐにデータのスキャンが開始され、個人データと機密データが特定されます。ほとんどの場合、バックアップ、ミラー、DRサイトではなく、本番環境のライブデータのスキャンに重点を置いてください。次に、BlueXPの分類によって組織データがマッピングされ、各ファイルが分類され、データ内のエンティティと事前定義されたパターンが特定されて抽出されます。スキャンの結果は、個人情報、機密性の高い個人情報、データカテゴリ、およびファイルタイプのインデックスです。
BlueXPは、他のクライアントと同様に、NFSボリュームとCIFSボリュームをマウントすることでデータに接続します。NFS ボリュームには読み取り専用で自動的にアクセスされますが、 CIFS ボリュームをスキャンするためには Active Directory のクレデンシャルを指定する必要があります。
初回スキャン後、BlueXPの分類ではラウンドロビン方式でデータが継続的にスキャンされ、差分の変更が検出されます(そのため、インスタンスを常に実行しておくことが重要です)。
スキャンは、ボリュームレベルまたはデータベーススキーマレベルで有効または無効にすることができます。
マッピングスキャンと分類スキャンの違いは何ですか
BlueXPの分類を使用すると、選択したデータソースに対して一般的な「マッピング」スキャンを実行できます。マッピングではデータの概要のみが示され、分類ではデータの詳細なスキャンが提供されます。データソースでは、ファイルにアクセスしてデータを参照できないため、マッピングは短時間で完了します。
多くのユーザは、この機能を気に入っています。たとえば、より多くの調査が必要なデータソースをすばやくスキャンして特定したうえで、必要なデータソースやボリュームに対してのみ分類スキャンを有効にする必要があるからです。
次の表に、いくつかの相違点を示します。
フィーチャー( Feature ) | 分類 | マッピング |
---|---|---|
スキャン速度 |
遅い |
高速 |
価格設定 |
無料 |
無料 |
容量 |
最大500TB |
最大500TB |
ファイルタイプと使用済み容量のリスト |
はい。 |
はい。 |
ファイル数と使用済み容量 |
はい。 |
はい。 |
ファイルの経過時間とサイズ |
はい。 |
はい。 |
を実行する機能 "データマッピングレポート" |
はい。 |
はい。 |
[ データ調査 ] ページでファイルの詳細を確認します |
はい。 |
いいえ |
ファイル内の名前を検索します |
はい。 |
いいえ |
作成 "ポリシー" カスタムの検索結果が表示されます |
はい。 |
いいえ |
他のレポートを実行できます |
はい。 |
いいえ |
ファイルからメタデータを表示する機能* |
いいえ |
はい。 |
*マッピングスキャン中に、次のメタデータがファイルから抽出されます。
-
作業環境
-
作業環境のタイプ
-
ストレージリポジトリ
-
ファイルタイプ
-
使用済み容量
-
ファイル数
-
ファイルサイズ
-
ファイル作成
-
ファイルの最終アクセス
-
ファイルの最終変更日
-
ファイル検出時刻
-
権限の抽出
ガバナンスダッシュボードの違い:
フィーチャー( Feature ) | マッピングと分類 | マップ |
---|---|---|
古いデータ |
はい。 |
はい。 |
ビジネス以外のデータ |
はい。 |
はい。 |
重複ファイル |
はい。 |
はい。 |
事前定義済みポリシー |
はい。 |
いいえ |
カスタムポリシー |
はい。 |
はい。 |
DDAレポート |
はい。 |
はい。 |
マッピングレポート |
はい。 |
はい。 |
感度レベル検出 |
はい。 |
いいえ |
幅広い権限を持つ機密データ |
はい。 |
いいえ |
オープンアクセス権 |
はい。 |
はい。 |
データの使用年数 |
はい。 |
はい。 |
データのサイズ |
はい。 |
はい。 |
カテゴリ |
はい。 |
いいえ |
ファイルの種類 |
はい。 |
はい。 |
コンプライアンスダッシュボードの違い:
フィーチャー( Feature ) | マッピングと分類 | マップ |
---|---|---|
個人情報 |
はい。 |
いいえ |
機密性の高い個人情報 |
はい。 |
いいえ |
プライバシーリスクアセスメントレポート |
はい。 |
いいえ |
HIPAA レポート |
はい。 |
いいえ |
PCI DSS レポート |
はい。 |
いいえ |
調査フィルタの違い:
フィーチャー( Feature ) | マッピングと分類 | マップ |
---|---|---|
ポリシー |
はい。 |
はい。 |
作業環境のタイプ |
はい。 |
はい。 |
作業環境 |
はい。 |
はい。 |
ストレージリポジトリ |
はい。 |
はい。 |
ファイルタイプ |
はい。 |
はい。 |
ファイルサイズ |
はい。 |
はい。 |
時刻を作成しました |
はい。 |
はい。 |
検出時刻 |
はい。 |
はい。 |
最終更新日 |
はい。 |
はい。 |
最終アクセス |
はい。 |
はい。 |
オープンアクセス権 |
はい。 |
はい。 |
ファイルディレクトリパス |
はい。 |
はい。 |
カテゴリ |
はい。 |
いいえ |
感度レベル |
はい。 |
いいえ |
IDの数 |
はい。 |
いいえ |
個人データ |
はい。 |
いいえ |
機密性の高い個人データ |
はい。 |
いいえ |
データ主体 |
はい。 |
いいえ |
重複 |
はい。 |
はい。 |
分類ステータス |
はい。 |
ステータスは常に「限定的なインサイト」です。 |
スキャン分析イベント |
はい。 |
はい。 |
ファイルハッシュ |
はい。 |
はい。 |
アクセス権を持つユーザの数 |
はい。 |
はい。 |
ユーザ/グループの権限 |
はい。 |
はい。 |
ファイルの所有者 |
はい。 |
はい。 |
ディレクトリタイプ |
はい。 |
はい。 |
BlueXPの分類によるデータのスキャン速度
スキャン速度は、ネットワークレイテンシ、ディスクレイテンシ、ネットワーク帯域幅、環境のサイズ、およびファイル配信サイズによって左右されます。
-
マッピングスキャンを実行する場合、BlueXPでは1日に100~150TiBのデータをスキャンできます。
-
分類スキャンを実行する場合、BlueXPの分類では1日に15~40TiBのデータをスキャンできます。
BlueXPの分類の指標となる情報
BlueXPの分類では、データ(ファイル)の収集とインデックス作成が行われ、カテゴリが割り当てられます。BlueXP分類のインデックスには、次のデータが含まれています。
-
標準メタデータ BlueXPの分類では、ファイルの種類、サイズ、作成日、変更日など、ファイルに関する標準のメタデータが収集されます。
-
個人データ:メールアドレス、識別番号、クレジットカード番号などの個人識別情報(PII)。 "個人データの詳細については、こちらをご覧ください"。
-
機密性の高い個人データ: GDPRおよびその他のプライバシー規制で定義されている、健康データ、民族起源、政治的意見などの特別な種類の機密個人情報(SPii)。 "機密性の高い個人データの詳細をご覧ください"。
-
カテゴリ:BlueXPの分類では、スキャンしたデータをさまざまなカテゴリに分類します。カテゴリは、各ファイルのコンテンツとメタデータの AI 分析に基づくトピックです。 "カテゴリの詳細については、こちらをご覧ください"。
-
タイプ:BlueXPの分類では、スキャンしたデータがファイルタイプ別に分類されます。 "タイプの詳細については、こちらをご覧ください"。
-
名前エンティティの認識:BlueXPの分類では、AIを使用してドキュメントから人の自然な名前を抽出します。 "データ主体のアクセスリクエストへの対応について説明します"。
ネットワークの概要
BlueXPでは、コネクタインスタンスからのインバウンドHTTP接続を可能にするセキュリティグループとともにBlueXP分類インスタンスを導入します。
SaaSモードでBlueXPを使用している場合、BlueXPへの接続はHTTPS経由で提供され、ブラウザとBlueXP分類インスタンスの間で送信されるプライベートデータは、TLS 1.2を使用したエンドツーエンドの暗号化で保護されます。つまり、NetAppやサードパーティはデータを読み取ることができません。
アウトバウンドルールは完全にオープンです。BlueXP分類ソフトウェアのインストールとアップグレード、使用状況の指標の送信には、インターネットアクセスが必要です。
ネットワーク要件が厳しい場合は、 "BlueXP分類の連絡先となるエンドポイントについて説明します"。
コンプライアンス情報へのユーザアクセス
各ユーザに割り当てられたロールは、BlueXPとBlueXPで異なる機能を提供します。
-
* アカウント管理者 * は、コンプライアンス設定を管理し、すべての作業環境のコンプライアンス情報を表示できます。
-
* ワークスペース管理者 * は、アクセス権を持つシステムについてのみ、コンプライアンス設定を管理し、コンプライアンス情報を表示できます。ワークスペース管理者がBlueXPの作業環境にアクセスできない場合、BlueXPの分類タブには作業環境のコンプライアンス情報が表示されません。
-
コンプライアンスビューア * の役割を持つユーザーは、アクセス権を持つシステムのコンプライアンス情報を表示し、レポートを生成することのみができます。これらのユーザは、ボリューム、バケット、またはデータベーススキーマのスキャンを有効または無効にすることはできません。