解读

在国内多租户 SaaS 场景下，开发、测试、算法同学经常需要“像生产一样真”的数据，却又不能触碰《个人信息保护法》《数据安全法》明确定义的敏感字段。面试官问“怎么做脱敏沙箱”，核心想看三件事：

1. 能否把真实生产库安全、低延迟地搬到 Cloud SQL 沙箱实例；
2. 能否在传输、存储、查询三环节都做到字段级脱敏且可审计；
3. 能否让开发者自助申请、定时销毁、按需计费，不增加 DBA 人力。
   回答必须体现 Google Cloud 原生能力与中国区合规要求的结合，例如数据不出境、密钥由国内 KMS 托管、支持国密算法等。

知识点

• Cloud SQL 实例级隔离：同一项目内不同实例，或同一 VPC 下用私有 IP 隔离，满足租户级网络边界。
• Database Migration Service（DMS）：支持 MySQL/PostgreSQL 不停机迁移，可挂“转换作业（Transformation Job）”实现字段级函数脱敏。
• Dynamic Data Masking：Cloud SQL for SQL Server 已原生支持；MySQL/PostgreSQL 可通过代理层 Cloud SQL Auth Proxy + 自定义脱敏函数实现。
• Data Catalog + Cloud DLP：对指定列做哈希、掩码、令牌化（tokenization），并生成标签，供下游自动识别。
• VPC Service Controls：把生产 Cloud SQL 与沙箱 Cloud SQL 划入不同安全访问周界（Perimeter），防止开发者越权回连生产。
• Cloud KMS 中国站：密钥保存在北京/上海区域，支持SM4 国密，满足金融、政企合规。
• Terraform 模块：一键创建“实例 + 只读账号 + 24h TTL + 自动导出审计日志到 Cloud Logging”，用完即焚。
• IAM 条件访问：结合“principalSet://goog/subject”与“time-bound”条件，开发者仅能在工作时段访问沙箱。

答案

我给出一个在国内落地的四步闭环方案，简称“迁-脱-控-焚”：

1. 迁：用 DMS 同区复制
   在北京或上海区域创建 Cloud SQL 沙箱实例，与生产实例同区降低延迟。DMS 配置一次性全量 + 5 分钟增量，确保沙箱数据延迟不超过 10 分钟。

2. 脱：列级变换，国密加持
   在 DMS“转换作业”里对敏感列调用 Cloud DLP 模板：

   • 姓名→SM4 哈希
   • 手机号→中间四位掩码
   • 身份证→令牌化（token）并写入映射表，映射表由 KMS 中国站加密，只有安全部角色可解密。
     脱敏动作在内存流式完成，不落盘明文，避免“先落库再清洗”带来的合规风险。

3. 控：网络 + 权限双保险
   沙箱实例只开私有 IP，绑定独立 VPC，通过 VPC Service Controls 设置“生产 Perimeter 拒绝出站”，开发者即使拿到账号也无法回连生产。
   IAM 授予开发者Cloud SQL Client 角色，但附加条件：

   • 仅允许 time-bound（8:00-20:00）
   • 仅允许 IP 属于公司办公网出口段
     所有查询走 Cloud SQL Auth Proxy，开启结构化审计日志，实时推送到 Cloud Logging，并转存至国内日志存储桶（30 天冷存）。

4. 焚：自动回收，成本可控
   用 Terraform 模块创建沙箱时写入标签：ttl=24h。
   Cloud Scheduler + Cloud Functions 每天扫描标签，到期调用 sqladmin.instances.delete 删除实例，并清空 KMS 密钥版本，实现数据物理销毁。
   删除前自动导出脱敏后 SQL 文件至 Cloud Storage 低频桶，保留 7 天供回溯。

通过以上四步，开发者在5 分钟内即可自助申请到一个“数据新鲜、字段脱敏、网络隔离、按时销毁”的 Cloud SQL 沙箱，全程零 DBA 干预，满足国内合规与审计要求。

拓展思考

1. 如果租户要求**“可逆脱敏”（如客服需要回查原始手机号），可引入 Cloud SQL + Cloud HSM 的格式保持加密（FPE）**，密钥由租户自己保管，实现“我的数据我做主”。
2. 对超大数据库（>2 TB），可改用 Cloud SQL Enterprise Plus 版的并行导出 + Dataflow 脱敏流水线，把结果写回 Cloud SQL for PostgreSQL 沙箱，缩短窗口至 30 分钟以内。
3. 若公司已有自建 Kubernetes 平台，可把上述流程封装成CRD：开发者提交 SandboxRequest 自定义资源，Operator 自动完成 DMS、DLP、IAM、TTL 全链路，实现GitOps 式数据沙箱。