解读

在国内金融、政企、医疗等强监管场景，“脱敏规则在备份恢复后仍然有效” 不是简单的“数据还在不在”，而是必须同时满足：

1. 敏感字段仍被脱敏（不可逆、不可反推）；
2. 脱敏方式与恢复前一致（同一算法、同一密钥、同一脱敏级别）；
3. 下游 BI、报表、接口调用结果仍符合合规审计要求；
4. 整个过程可重复、可审计、可签字。

面试官想听到的，是你能把 Cloud SQL 的全托管特性与国内等保、银保监、卫健委的合规要求结合起来，给出一条可落地的验证闭环，而不是只答“select 一下看看”。

知识点

1. Cloud SQL 逻辑备份（gcloud sql export sql）与物理备份（自动物理备份、PITR）在脱敏场景下的差异：逻辑备份可携带脱敏视图与脱敏函数，物理备份只能恢复已落盘的脱敏后数据。
2. 列级加密+IAM 条件绑定：利用 Cloud SQL CMEK（客户管理的密钥）+ EkmConnection 对接国内 HSM，实现“谁持有密钥谁才能看到明文”，恢复后若密钥未授权，查询结果自动为密文，天然验证脱敏有效性。
3. 动态脱敏 vs 静态脱敏：动态脱敏用Database Flag cloudsql.enable_dynamic_data_masking（Preview）或自建PostgreSQL masking policy，恢复后通过EXPLAIN (VERBOSE) 检查是否仍走 Mask Node；静态脱敏则需在恢复后跑校验哈希（SHA-256）与采样对比。
4. 国内审计要求：必须留存恢复演练报告+脱敏一致性校验截图，并由三级等保测评机构签字盖章；Cloud SQL 的Cloud Audit Logs（data_access、policy）需开启山东省大数据局要求的“长周期存储 180 天”。
5. 自动化验证流水线：用Cloud Build 触发 Terraform 重建实例 → 导入备份 → 调用DLP API 重新扫描同一infoType（CHINA_IDCARD、CHINA_BANK_CARD）→ 若发现命中数 ≠ 0 则流水线失败，直接阻断上线。

答案

我实战中的四步验证法，曾帮某华东城商行通过央行现场检查，可直接复现：

第一步：备份前基线固化

• 对实例开启point-in-time recovery，再执行gcloud sql export sql gs://prod-dump/sensitive_baseline.sql --database=corebanking --offload 导出带脱敏视图的逻辑备份；
• 用Cloud DLP 创建inspect_template，扫描 baseline.sql，记录敏感命中数 = 0 的截图并写入合规工单系统，作为不可篡改基线。

第二步：恢复后环境隔离

• 在单独 VPC-SC 边界内，用 Terraform 新建 Cloud SQL 实例，仅放开私有 IP，并绑定CMEK（密钥托管在济南泉城通 HSM），确保恢复过程无公网落盘；
• 恢复命令gcloud sql import sql 指定no-promote 参数，保持实例为只读，防止验证期间数据被污染。

第三步：双重校验

• 静态校验：计算恢复后敏感表整表哈希（SELECT md5(string_agg(hash, '')) FROM (SELECT md5(col1||col2) hash FROM customer_mask ORDER BY id) t），与备份前哈希比对，完全一致则通过；
• 动态校验：以只读账号登录，执行SELECT id, mask(id_card) FROM customer LIMIT 10，返回结果应为统一掩码格式（如3715********1234），再跑一遍DLP inspect，若命中数仍为 0，则脱敏规则未被破坏。

第四步：审计闭环

• 把上述哈希值、DLP 扫描结果、截图、Terraform plan 文件统一上传到Google Cloud Storage 归档桶，设置Bucket Lock 满足WORM 要求，保留期7 年；
• 在Cloud Logging 创建自定义接收器，把protoPayload.methodName="cloudsql.instances.import" 的日志路由到山东大数据局要求的“合规主题”，确保180 天内可溯源；
• 最后由等保测评机构出具《脱敏一致性验证报告》，签字盖章，完成央行检查材料。

通过这四步，技术+流程+审计三位一体，可100% 证明脱敏规则在 Cloud SQL 备份恢复后仍然有效，且符合国内监管现场抽检要求。

拓展思考

1. 如果业务要求**“部分恢复”（如只恢复某分行数据），如何确保分区级别的脱敏规则也同步生效？可考虑把脱敏策略写成PostgreSQL Row Level Security + masking policy**，再与Cloud SQL Auth Proxy 的 IAM 条件属性（resource.region=="asia-east2"）联动，实现细粒度脱敏。
2. 当Cloud SQL 实例开启只读副本用于监管报表时，副本延迟可能导致动态脱敏视图与主库不一致；可设置cloudsql.flag.max_replication_lag=5s，并在Cloud Monitoring 创建SLI 指标，延迟>5s 自动熔断报表查询入口，防止监管读数泄露明文。
3. 未来若Google Cloud DLP 支持中国本土字典（如社保编号、医保编号），可直接在备份导出管道中调用DLP de-identify 模板，实现**“备份即脱敏”，届时验证环节可简化为“比较两次 DLP 扫描结果”，进一步降低人工干预，提前布局可在面试中展现技术前瞻性**。