Dynamické maskování dat
PLATÍ PRO: 
Azure SQL Database Azure SQL Managed Instance
Azure Synapse Analytics
Azure SQL Database, azure SQL Managed Instance a azure Synapse Analytics podporují dynamické maskování dat. Dynamické maskování dat minimalizuje odhalení citlivých dat tím, že je pro uživatele bez oprávnění maskuje.
Dynamické maskování dat pomáhá předcházet neoprávněnému přístupu k citlivým datům tím, že uživatelům umožňuje určit, kolik citlivých dat se může odhalit, aby to mělo minimální dopad na aplikační vrstvu. Je to funkce zabezpečení založená na zásadách, která skrývá citlivá data v sadě výsledků dotazu nad určenými poli databáze, zatímco data v databázi se nemění.
Například zástupce služby v centru volání může identifikovat volající potvrzením několika znaků své e-mailové adresy, ale k zástupci služby by neměl být k dispozici úplná e-mailová adresa. Je možné definovat pravidlo maskování, které maskuje veškerou e-mailovou adresu v sadě výsledků dotazu. Dalším příkladem je, že je možné definovat vhodnou masku dat pro ochranu osobních údajů, aby se vývojář mohl dotazovat na produkční prostředí, aniž by narušila předpisy pro dodržování předpisů.
Základy dynamického maskování dat
zásadu dynamického maskování dat v Azure Portal nastavíte tak, že v podokně konfigurace SQL Database vyberete okno maskování dynamických dat v části zabezpečení . tuto funkci nelze nastavit pomocí portálu pro SQL spravovanou instanci. Další informace najdete v tématu dynamické maskování dat.
Zásady dynamického maskování dat
- SQL uživatelé vyloučení z maskování – sada SQLch uživatelů nebo identit Azure AD, které ve výsledcích dotazu SQL vyzískávají nemaskovaná data. Uživatelům s oprávněními správce se z maskování vždycky vylučují a zobrazují se původní data bez jakékoli masky.
- Pravidla maskování – sada pravidel definujících určená pole, která se mají maskovat, a funkci maskování, která se používá. Určená pole lze definovat pomocí názvu schématu databáze, názvu tabulky a názvu sloupce.
- Maskování funkcí – sada metod, které řídí expozici dat pro různé scénáře.
| Funkce maskování | Logika maskování |
|---|---|
| Výchozí | Úplná maskování podle datových typů určených polí • Použijte XXXX nebo míň XS, pokud je velikost pole menší než 4 znaky pro řetězcové datové typy (nchar, ntext, nvarchar). • Použijte nulovou hodnotu pro číselné datové typy (bigint, bit, Decimal, int, Money, Numeric, smallint, smallmoney, tinyint, float, reálné). • Použijte 01-01-1900 pro datové typy datum/čas (datum, datetime2, DateTime, DateTimeOffset, smalldatetime, Time). • pro SQL variant se používá výchozí hodnota aktuálního typu. • Pro XML se dokument <masked/> používá. • Použijte prázdnou hodnotu pro speciální datové typy (tabulka časového razítka, hierarchyid, GUID, binární, image, varbinary prostorového typu). |
| Platební karta | Metoda maskování, která zpřístupňuje poslední čtyři číslice určených polí a přidá konstantní řetězec jako předponu ve formě platební karty. XXXX-XXXX-XXXX-1234 |
| Metoda maskování, která zpřístupňuje první písmeno a nahradí doménu řetězcem xxx.com pomocí předpony konstantního řetězce ve formě e-mailové adresy. aXX@XXXX.com |
|
| Náhodné číslo | Metoda maskování, která generuje náhodné číslo podle vybraných hranic a skutečných datových typů. Pokud jsou určené hranice stejné, pak funkce maskování je konstantní číslo. |
| Vlastní text | Metoda maskování, která zpřístupňuje první a poslední znak a přidá vlastní řetězec odsazení uprostřed. Je-li původní řetězec kratší než nezveřejněná předpona a přípona, je použit pouze řetězec odsazení. Přípona předpony [odsazení]  |
Doporučená pole k maskování
Modul doporučení DDM označuje některá pole z vaší databáze jako potenciálně citlivá pole, což může být pro maskování vhodné. V okně dynamické maskování dat na portálu se zobrazí doporučené sloupce pro vaši databázi. Stačí kliknout na Přidat masku pro jeden nebo více sloupců a pak Uložit , aby se pro tato pole použili maska.
Správa dynamického maskování dat pomocí T-SQL
- Chcete-li vytvořit dynamickou datovou masku, přečtěte si téma Vytvoření dynamické masky dat.
- Chcete-li přidat nebo upravit masku v existujícím sloupci, přečtěte si téma Přidání nebo úprava masky v existujícím sloupci.
- Chcete-li udělit oprávnění k zobrazení nemaskovaných dat, přečtěte si téma udělení oprávnění k zobrazení nemaskovaných dat.
- Chcete-li smazat dynamickou datovou masku, přečtěte si téma vyřazení dynamické datové masky.
Nastavení dynamického maskování dat pro vaši databázi pomocí rutin prostředí PowerShell
Zásady maskování dat
Pravidla maskování dat
- Get-AzSqlDatabaseDataMaskingRule
- New-AzSqlDatabaseDataMaskingRule
- Remove-AzSqlDatabaseDataMaskingRule
- Set-AzSqlDatabaseDataMaskingRule
Nastavení dynamického maskování dat pro vaši databázi pomocí REST API
Pomocí REST API můžete programově spravovat zásady a pravidla maskování dat. Publikovaný REST API podporuje následující operace:
Zásady maskování dat
- Vytvořit nebo aktualizovat: vytvoří nebo aktualizuje zásadu maskování dat databáze.
- Get: Získá zásadu maskování dat databáze.
Pravidla maskování dat
- Vytvořit nebo aktualizovat: vytvoří nebo aktualizuje pravidlo maskování dat databáze.
- Seznam podle databáze: načte seznam pravidel pro maskování dat databáze.
Oprávnění
Toto jsou předdefinované role pro konfiguraci dynamického maskování dat:
Jedná se o požadované akce pro použití dynamického maskování dat:
Čtení a zápis:
- Microsoft. SQL/servery/databáze/dataMaskingPolicies/* číst:
- Microsoft. SQL/servery/databáze/dataMaskingPolicies/čtení zápis:
- Microsoft. SQL/servery/databáze/dataMaskingPolicies/Write
další informace o oprávněních při použití dynamického maskování dat pomocí T-SQL příkazu najdete v tématu oprávnění .
Viz také
- Dynamické maskování dat pro SQL Server.
- díl vystavený datům o podrobných oprávněních pro Azure SQL dynamické maskování dat na Channel 9.