日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

クラウドデータの意味をご確認ください

寄稿者 netapp-tonacki juliantap このページの PDF をダウンロード

Cloud Data Sense は、社内のオンプレミスデータソースやクラウドデータソース、作業環境をスキャンしてデータをマッピング、分類し、プライベート情報を特定する、 Cloud Manager のデータガバナンスサービスです。これにより、セキュリティとコンプライアンスのリスクを軽減し、ストレージコストを削減し、データ移行プロジェクトを支援できます。

注記 * Cloud Compliance * の名称が 2021 年 6 月に * Cloud Data Sense * に変更されました。

の機能

Cloud Data Sense には、コンプライアンスの取り組みに役立つツールがいくつか用意されています。データセンスを使用すると、次のことができます。

  • 個人識別情報( PII )の識別

  • GDPR 、 CCPA 、 PCI 、 HIPAA の各プライバシー規制の要件に応じて、さまざまな機密情報の範囲を特定します

  • データサブジェクトアクセス要求への応答( dsar )

  • ファイルに特定のが含まれている場合は、 Cloud Manager ユーザに E メールで通知します PII (この基準は、を使用して定義します "ポリシー")

  • 表示と変更 "Azure Information Protection ( AIP )ラベル" ファイルに保存できます

  • ファイルにカスタムタグを追加し(「移動が必要」など)、ファイルに対する変更をユーザが所有できるように Cloud Manager ユーザを割り当てます

  • ファイルを移動および削除します

クラウドデータセンスには、ガバナンスの取り組みに役立つツールも用意されています。Cloud Data Sense を使用すると、次のことが可能になります。

  • システム内の古いデータ、ビジネス以外のデータ、重複ファイル、大容量ファイルを特定します。

    この情報を使用して、一部のファイルを低コストのオブジェクトストレージに移動、削除、または階層化するかどうかを決定できます。

  • データのサイズ、および移動前に機密情報が含まれているデータがないかどうかを確認する。

    これは、オンプレミスの場所からクラウドにデータを移行する場合に便利です。

サポートされている作業環境とデータソース

Cloud Data Sense では、次のような作業環境やデータソースからデータをスキャンできます。

  • Cloud Volumes ONTAP ( AWS 、 Azure 、 GCP に導入)

  • オンプレミスの ONTAP クラスタ

  • Azure NetApp Files の特長

  • ONTAP 対応の Amazon FSX

  • Amazon S3

  • ネットアップ以外のファイル共有

  • オブジェクトストレージ( S3 プロトコルを使用)

  • データベース

  • OneDrive アカウント

注記 2021 年 1 月にリリースされたベータ版の機能により、次のことが可能になります 作成したバックアップファイルに対して Compliance Scans _ for free_on を実行します を使用して作成したオンプレミスの ONTAP ボリュームから "クラウドバックアップ")。オンプレミスの ONTAP ボリュームを直接スキャンするか、またはボリュームから作成したバックアップファイルをスキャンするかを選択できます。

コスト

  • クラウドデータセンスの使用コストは、スキャンするデータの量によって異なります。データをスキャンする、 Cloud Manager ワークスペース内の最初の 1TB のデータは無料です。これには、すべての作業環境とデータソースのすべてのデータが含まれます。そのあともデータのスキャンを続行するには、 AWS または Azure Marketplace へのサブスクリプション、または NetApp からの BYOL ライセンスが必要です。を参照してください "価格設定" を参照してください。

  • 注:オンプレミスの ONTAP システムで作成されたバックアップファイルをスキャンする場合、 PAYGO サブスクリプションまたは BYOL ライセンスは不要です。

  • クラウドにクラウドデータセンスをインストールするには、クラウドインスタンスを導入する必要があります。その場合、クラウドインスタンスが導入されているクラウドプロバイダから料金が発生します。を参照してください 各クラウドに導入されるインスタンスのタイプ プロバイダ。データセンスをオンプレミスシステムにインストールしても、コストはかかりません。

  • Cloud Data Sense を使用するには、コネクタを導入しておく必要があります。多くの場合、 Cloud Manager で他のストレージとサービスを使用しているため、すでにコネクタが用意されています。Connector インスタンスを使用すると、導入先のクラウドプロバイダから料金が発生します。を参照してください "クラウドプロバイダごとに導入されるインスタンスのタイプ"

データ転送コスト

データ転送のコストは設定によって異なります。Cloud Data Sense インスタンスとデータソースが同じアベイラビリティゾーンとリージョンにある場合は、データ転送コストは発生しない。ただし、 Cloud Volumes ONTAP クラスタや S3 バケットなどのデータソースが _different _Availability Zone またはリージョンにある場合は、クラウドプロバイダにデータ転送コストが請求されます。詳細については、次のリンクを参照してください。

Cloud Data Sense インスタンス

クラウドにデータセンスを導入すると、 Cloud Manager はコネクタと同じサブネットにインスタンスを導入します。 "コネクタの詳細については、こちらをご覧ください。"

注記 コネクタがオンプレミスにインストールされている場合は、要求内の最初の Cloud Volumes ONTAP システムと同じ VPC または VNet にクラウドデータセンスインスタンスを導入します。データセンスはオンプレミスにもインストールできます。

クラウドプロバイダで実行されている Cloud Manager インスタンスと Cloud Data Sense インスタンスを示す図。

デフォルトのインスタンスについては、次の点に注意してください。

  • AWS では、 Cloud Data Sense はで実行されます "m5.mc2[ インスタンス" 500 GB の gp2 ディスクです。オペレーティングシステムイメージは Amazon Linux 2 ( Red Hat 7.3.1 )です。

    m5.mcd を使用できない領域では、代わりに m4.mcd インスタンスに対してデータセンスを実行します。

  • Azure では、 Cloud Data Sense はで実行されます "Standard_D16s_v3 VM" 512 GB ディスクオペレーティングシステムのイメージは CentOS 7.8 です。

  • GCP では、 Cloud Data Sense はで実行されます "N2-standard-16 VM" 512 GB の標準パーシステントディスクオペレーティングシステムイメージは CentOS 7.9 です。

    n2-dstandard-16 を使用できない地域では、データセンスは n2D-standard-16 または n1-standard-16 VM で実行されます。

  • インスタンスの名前は CloudCompliancy_with で、生成されたハッシュ( UUID )を連結しています。例: _CloudCompliion-16bb6564-38ad-40802-9a92-36f5fd2f71c7

  • コネクタごとに展開されるデータセンスインスタンスは 1 つだけです。

  • データセンスソフトウェアのアップグレードは自動化されているため、心配する必要はありません。

ヒント Cloud Data Sense がデータを継続的にスキャンするため、インスタンスは常時実行している必要があります。

小さいインスタンスタイプを使用しています

CPU の数と RAM の数が少ないシステムには Data Sense を導入できますが、このような低パフォーマンスのシステムを使用する場合はいくつかの制限事項があります。

システムサイズ 仕様 制限

Extra Large (デフォルト)

CPU × 16 、 64GB RAM

なし

CPU × 8 、 32GB RAM

スキャンに時間がかかり、スキャンできるファイルは最大 100 万個です。

小規模

CPU × 8 、 16GB RAM

「中」と同じ制限に加えて、特定する機能 "データ主体名" 内部ファイルは無効です。

クラウドにデータセンスを導入する場合は、 ng-contact-data-sense@netapp.com に電子メールを送信して、これらの小規模なシステムのいずれかを使用する場合のサポートを依頼してください。

データセンスをオンプレミスで導入する場合は、この仕様の Linux ホストだけを使用します。

Cloud Data Sense の仕組み

Cloud Data Sense の概要は次のようになります。

  1. Cloud Manager でデータセンスのインスタンスを導入します。

  2. 概要マッピングまたは詳細レベルスキャンは、 1 つ以上の作業環境またはデータソースで有効にします。

  3. データセンスは、 AI 学習プロセスを使用してデータをスキャンします。

  4. [* Data sense * (データセンス * ) ] をクリックし、提供されているダッシュボードとレポートツールを使用して、コンプライアンスの取り組みを支援します。

スキャンの動作

Cloud Data Sense を有効にして、スキャンするボリューム、バケット、データベーススキーマ、 OneDrive ユーザを選択すると、データのスキャンがただちに開始され、個人データや機密データが識別されます。組織のデータをマッピングし、各ファイルを分類して、データ内のエンティティと定義済みパターンを特定して抽出します。スキャンの結果は、個人情報、機密性の高い個人情報、データカテゴリ、およびファイルタイプのインデックスです。

データセンスは、 NFS ボリュームと CIFS ボリュームをマウントすることで、他のクライアントと同様にデータに接続します。NFS ボリュームには読み取り専用で自動的にアクセスされますが、 CIFS ボリュームをスキャンするためには Active Directory のクレデンシャルを指定する必要があります。

クラウドプロバイダで実行されている Cloud Manager インスタンスと Cloud Data Sense インスタンスを示す図。Cloud Data Sense インスタンスは、 NFS ボリュームと CIFS ボリュームの S3 バケット OneDrive アカウントとデータベースに接続してスキャンします。

初回スキャン後は、データを継続的にスキャンして、増分変更を検出します(そのため、インスタンスの実行を維持することが重要です)。

スキャンは、ボリュームレベル、バケットレベル、データベーススキーマレベル、および OneDrive ユーザレベルで有効または無効にできます。

マッピングスキャンと分類スキャンの違いは何ですか

Cloud Data Sense を使用すると、選択した作業環境やデータソースに対して、一般的な「マッピング」スキャンを実行できます。マッピングではデータの概要のみが示され、分類ではデータの詳細なスキャンが提供されます。データソースでは、ファイルにアクセスしてデータを参照できないため、マッピングは短時間で完了します。

多くのユーザは、この機能を気に入っています。これは、より多くの調査が必要なデータソースをすばやくスキャンして特定し、必要なデータソースに対してのみ分類スキャンを有効にするためです。

次の表に、いくつかの相違点を示します。

フィーチャー( Feature ) 分類 マッピング

スキャン速度

遅い

高速

ファイルタイプと使用済み容量のリスト

はい。

はい。

ファイル数と使用済み容量

はい。

はい。

ファイルの経過時間とサイズ

はい。

はい。

を実行する機能 "データマッピングレポート"

はい。

はい。

[ データ調査 ] ページでファイルの詳細を確認します

はい。

いいえ

ファイル内の名前を検索します

はい。

いいえ

カスタム検索結果を提供するポリシーを作成する

はい。

いいえ

AIP ラベルおよびステータスタグを使用してデータを分類します

はい。

いいえ

ソースファイルを削除および移動します

はい。

いいえ

他のレポートを実行できます

はい。

いいえ

Cloud Data がインデックス化する情報

データセンスは、カテゴリを収集してインデックスを作成し、データ(ファイル)に割り当てます。データセンスインデックスには、次のデータが含まれます。

標準メタデータ

Cloud Data Sense は、ファイルの種類、サイズ、作成日、変更日など、ファイルに関する標準的なメタデータを収集します。

個人データ

メールアドレス、識別番号、クレジットカード番号など、個人を特定できる情報。 "個人データの詳細については、こちらをご覧ください"

機密性の高い個人データ

GDPR やその他のプライバシー規制で定義されている、健康データ、民族的起源、政治的見解などの機密情報の特殊な種類。 "機密性の高い個人データの詳細をご覧ください"

カテゴリ

Cloud Data Sense は、スキャンしたデータをさまざまなタイプのカテゴリに分割します。カテゴリは、各ファイルのコンテンツとメタデータの AI 分析に基づくトピックです。 "カテゴリの詳細については、こちらをご覧ください"

タイプ( Types )

Cloud Data Sense は、スキャンしたデータをファイルタイプ別に分類します。 "タイプの詳細については、こちらをご覧ください"

名前エンティティ認識

Cloud Data Sense は、 AI を使用して、ドキュメントから自然な人物の名前を抽出します。 "データ主体のアクセスリクエストへの対応について説明します"

ネットワークの概要

Cloud Manager は、コネクタインスタンスからのインバウンド HTTP 接続を可能にするセキュリティグループを使用して、 Cloud Data Sense インスタンスを導入します。

SaaS モードで Cloud Manager を使用する場合は、 Cloud Manager への接続に HTTPS が使用され、ブラウザと Data Sense インスタンス間で送信されるプライベートデータはエンドツーエンドの暗号化で保護されます。つまり、ネットアップとサードパーティがこのデータを読み取ることはできません。

何らかの理由で SaaS ユーザインターフェイスの代わりにローカルユーザインターフェイスを使用する必要がある場合でも、ローカルユーザインターフェイスを使用できます "ローカル UI にアクセスします"

アウトバウンドルールは完全にオープンです。データセンスソフトウェアをインストールしてアップグレードし、使用率指標を送信するには、インターネットアクセスが必要です。

ネットワーク要件が厳しい場合は、 "Cloud Data が接触するエンドポイントについて説明します"

コンプライアンス情報へのユーザアクセス

各ユーザには、 Cloud Manager 内と Cloud Data Sense 内で異なる機能が割り当てられています。

  • * アカウント管理者 * は、コンプライアンス設定を管理し、すべての作業環境のコンプライアンス情報を表示できます。

  • * ワークスペース管理者 * は、アクセス権を持つシステムについてのみ、コンプライアンス設定を管理し、コンプライアンス情報を表示できます。ワークスペース管理者が Cloud Manager の作業環境にアクセスできない場合は、 [ データセンス ] タブに作業環境のコンプライアンス情報が表示されません。

  • コンプライアンスビューア * の役割を持つユーザーは、アクセス権を持つシステムのコンプライアンス情報を表示し、レポートを生成することのみができます。これらのユーザは、ボリューム、バケット、またはデータベーススキーマのスキャンを有効または無効にすることはできません。