Dynamische Datenmaskierung für SQL-DatenbankSQL Database dynamic data masking

Die dynamische Datenmaskierung für SQL-Datenbank schränkt die Offenlegung vertraulicher Daten ein, indem sie für nicht berechtigte Benutzer maskiert werden.SQL Database dynamic data masking limits sensitive data exposure by masking it to non-privileged users.

Die dynamische Datenmaskierung hilft beim Verhindern des unbefugten Zugriffs auf sensible Daten, indem Kunden festlegen dürfen, welcher Anteil der sensiblen Daten mit minimalen Auswirkungen auf die Anwendungsschicht offengelegt wird.Dynamic data masking helps prevent unauthorized access to sensitive data by enabling customers to designate how much of the sensitive data to reveal with minimal impact on the application layer. Es handelt sich um eine richtlinienbasierte Sicherheitsfunktion, die die sensiblen Daten im Resultset einer Abfrage in festgelegten Datenbankfeldern ausblendet, ohne dass die Daten in der Datenbank geändert werden.It’s a policy-based security feature that hides the sensitive data in the result set of a query over designated database fields, while the data in the database is not changed.

Ein Servicemitarbeiter in einem Callcenter kann Anrufer beispielsweise anhand mehrerer Ziffern ihrer Kreditkartennummer identifizieren, wobei diese Datenelemente dem Servicemitarbeiter jedoch nicht vollständig angezeigt werden sollen.For example, a service representative at a call center may identify callers by several digits of their credit card number, but those data items should not be fully exposed to the service representative. Es kann eine Maskierungsregel definiert werden, mit der die Kreditkartennummer im Resultset einer Abfrage bis auf die letzten vier Ziffern ausgeblendet wird.A masking rule can be defined that masks all but the last four digits of any credit card number in the result set of any query. In einem weiteren Beispiel kann eine entsprechende Datenmaske zum Schutz personenbezogener Daten definiert werden, damit ein Entwickler Produktionsumgebungen zu Problembehandlungszwecken abfragen kann, ohne gegen Vorschriften zu verstoßen.As another example, an appropriate data mask can be defined to protect personally identifiable information (PII) data, so that a developer can query production environments for troubleshooting purposes without violating compliance regulations.

Grundlagen der dynamischen Datenmaskierung für SQL-DatenbankSQL Database dynamic data masking basics

Sie richten eine Richtlinie für die dynamische Datenmaskierung im Azure-Portal durch Auswählen des Vorgangs „Dynamische Datenmaskierung“ auf dem Konfigurationsblatt oder auf dem Blatt mit den Einstellungen für Ihre SQL-Datenbank-Instanz ein.You set up a dynamic data masking policy in the Azure portal by selecting the dynamic data masking operation in your SQL Database configuration blade or settings blade.

Berechtigungen für die dynamische DatenmaskierungDynamic data masking permissions

Die dynamische Datenmaskierung kann von den Rollen „Azure SQL-Datenbank-Administrator“, „Serveradministrator“ oder SQL-Sicherheits-Manager konfiguriert werden.Dynamic data masking can be configured by the Azure SQL Database admin, server admin, or SQL Security Manager roles.

Richtlinie für die dynamische DatenmaskierungDynamic data masking policy

  • Von der Maskierung ausgeschlossene SQL-Benutzer: Eine Gruppe von SQL-Benutzern oder AAD-Identitäten, die in den Ergebnissen von SQL-Abfragen Daten ohne Maskierung erhalten.SQL users excluded from masking - A set of SQL users or AAD identities that get unmasked data in the SQL query results. Benutzer mit Administratorrechten sind immer von der Maskierung ausgeschlossen und bekommen Originaldaten ohne Maskierung angezeigt.Users with administrator privileges are always excluded from masking, and see the original data without any mask.
  • Maskierungsregeln: Eine Gruppe von Regeln, die die zu maskierenden Felder und verwendete Maskierungsfunktion definieren.Masking rules - A set of rules that define the designated fields to be masked and the masking function that is used. Mithilfe eines Datenbankschemanamens, Tabellennamens und Spaltennamens können die vorgesehenen Felder bestimmt werden.The designated fields can be defined using a database schema name, table name, and column name.
  • Maskierungsfunktionen: Eine Reihe von Methoden, die die Anzeige von Daten in verschiedenen Szenarios steuern.Masking functions - A set of methods that control the exposure of data for different scenarios.
MaskierungsfunktionMasking Function MaskierungslogikMasking Logic
StandardDefault Vollständige Maskierung anhand der Datentypen der festgelegten FelderFull masking according to the data types of the designated fields

• XXXX oder weniger X-Zeichen verwenden, wenn die Größe des Felds weniger als vier Zeichen für Zeichenfolgendatentypen (nchar, ntext, nvarchar) beträgt.• Use XXXX or fewer Xs if the size of the field is less than 4 characters for string data types (nchar, ntext, nvarchar).
• Für numerische Datentypen (bigint, bit, decimal, int, money, numeric, smallint, smallmoney, tinyint, float, real) einen Nullwert verwenden.• Use a zero value for numeric data types (bigint, bit, decimal, int, money, numeric, smallint, smallmoney, tinyint, float, real).
• Für Datum/Uhrzeit-Datentypen (date, datetime2, datetime, datetimeoffset, smalldatetime, time) 01-01-1900 verwenden.• Use 01-01-1900 for date/time data types (date, datetime2, datetime, datetimeoffset, smalldatetime, time).
• Für SQL-Varianten wird der Standardwert des aktuellen Typs verwendet.• For SQL variant, the default value of the current type is used.
• Für XML wird das Dokument <masked/> verwendet.• For XML the document <masked/> is used.
• Für spezielle Datentypen (timestamp table, hierarchyid, GUID, binary, image, räumliche varbinary-Typen) einen leeren Wert verwenden.• Use an empty value for special data types (timestamp table, hierarchyid, GUID, binary, image, varbinary spatial types).
KreditkarteCredit card Maskierungsmethode, die die letzten vier Ziffern der festgelegten Felder anzeigt und eine Konstantenzeichenfolge als Präfix in Form einer Kreditkarte hinzufügt.Masking method, which exposes the last four digits of the designated fields and adds a constant string as a prefix in the form of a credit card.

XXXX-XXXX-XXXX-1234XXXX-XXXX-XXXX-1234
E-MailEmail Maskierungsmethode, die den ersten Buchstaben und die Domäne durch „XXX.com“ ersetzt und dafür eine Konstantenzeichenfolge als Präfix in Form einer E-Mail-Adresse verwendet.Masking method, which exposes the first letter and replaces the domain with XXX.com using a constant string prefix in the form of an email address.

aXX@XXXX.com
ZufallszahlRandom number Maskierungsmethode, die eine Zufallszahl entsprechend den ausgewählten Grenzen und den tatsächlichen Datentypen generiert.Masking method, which generates a random number according to the selected boundaries and actual data types. Wenn die festgelegten Grenzen gleich sind, ist die Maskierungsfunktion eine konstante Zahl.If the designated boundaries are equal, then the masking function is a constant number.

NavigationsbereichNavigation pane
Benutzerdefinierter TextCustom text Maskierungsmethode, die die ersten und letzten Zeichen anzeigt und in der Mitte eine benutzerdefinierte Auffüllzeichenfolge hinzufügt.Masking method, which exposes the first and last characters and adds a custom padding string in the middle. Wenn die ursprüngliche Zeichenfolge kürzer als das verfügbar gemachte Präfix und Suffix ist, wird nur die Auffüllzeichenfolge verwendet.If the original string is shorter than the exposed prefix and suffix, only the padding string is used.
prefix[padding]suffixprefix[padding]suffix

NavigationsbereichNavigation pane

Von der DDM-Empfehlungs-Engine werden bestimmte Felder Ihrer Datenbank als potenzielle Felder mit vertraulichen Daten angegeben, bei denen es sich um gute Kandidaten für die Maskierung handelt.The DDM recommendations engine, flags certain fields from your database as potentially sensitive fields, which may be good candidates for masking. Auf dem Blatt „Dynamische Datenmaskierung“ im Portal werden die empfohlenen Spalten für Ihre Datenbank angezeigt.In the Dynamic Data Masking blade in the portal, you will see the recommended columns for your database. Sie können einfach für eine oder mehrere Spalten auf Maske hinzufügen und dann auf Speichern klicken, um eine Maskierung auf diese Felder anzuwenden.All you need to do is click Add Mask for one or more columns and then Save to apply a mask for these fields.

Einrichten der dynamischen Datenmaskierung für Ihre Datenbank mithilfe von PowerShell-CmdletsSet up dynamic data masking for your database using PowerShell cmdlets

Siehe Azure SQL-Datenbank-Cmdlets.See Azure SQL Database Cmdlets.

Einrichten der dynamischen Datenmaskierung für Ihre Datenbank mithilfe der REST-APISet up dynamic data masking for your database using REST API

Siehe Vorgänge für Azure SQL-Datenbank.See Operations for Azure SQL Database.