Enmascaramiento de datos dinámicos

SE APLICA A: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Azure SQL Database, Instancia administrada de Azure SQL y Azure Synapse Analytics admiten el enmascaramiento dinámico de datos. El enmascaramiento dinámico de datos limita la exposición de información confidencial ocultándolos a los usuarios sin privilegios.

El enmascaramiento de datos dinámicos ayuda a impedir el acceso no autorizado a datos confidenciales permitiendo a los usuarios designar la cantidad de los datos confidenciales que se revelarán con un impacto mínimo en el nivel de aplicación. Se trata de una característica de protección de datos que oculta la información confidencial del conjunto de resultados de una consulta de campos designados de una base de datos, sin modificar los datos de esta última.

Por ejemplo, un representante de servicios de un centro de llamadas podría identificar al autor de la llamada mediante la confirmación de varios caracteres de su dirección de correo electrónico, pero la dirección de correo electrónico completa no debe revelarse a tal representante. Se puede definir una regla de enmascaramiento que oculte toda la dirección de correo electrónico en el conjunto de resultados de cualquier consulta. Otro ejemplo, una máscara de datos apropiada se puede definir para proteger los datos personales, para que un desarrollador pueda consultar los entornos de producción para solucionar problemas sin infringir las reglamentaciones de cumplimiento.

Aspectos básicos del enmascaramiento dinámico de datos

Para configurar una directiva de enmascaramiento de datos dinámicos en Azure Portal, se selecciona la hoja Enmascaramiento de datos dinámicos en Seguridad en el panel de configuración de SQL Database. Esta característica no se puede establecer mediante el portal para SQL Managed Instance. Para obtener más información, vea Dynamic Data Masking.

Directiva de enmascaramiento de datos dinámicos

• Usuarios de SQL excluidos del enmascaramiento: conjunto de usuarios de SQL o identidades de Azure AD que obtendrán datos sin máscara en los resultados de consulta SQL. Los usuarios con privilegios de administrador se excluirán siempre del enmascaramiento y verán los datos originales sin ninguna máscara.
• Reglas de enmascaramiento: un conjunto de reglas que definen los campos designados para el enmascaramiento y la función de enmascaramiento que se va a usar. Los campos designados se pueden definir mediante un nombre de esquema de base de datos, un nombre de tabla y un nombre de columna.
• Funciones de enmascaramiento : un conjunto de métodos que controlan la exposición de datos para diferentes escenarios.

Función de enmascaramiento	Lógica de enmascaramiento
Valor predeterminado	Enmascaramiento completo según los tipos de datos de los campos designados • Use XXXX o menos X si el tamaño del campo es menor que 4 caracteres para los tipos de datos de cadena (nchar, ntext, nvarchar). • Use un valor de cero para los tipos de datos numéricos (bigint, bit, decimal, int, money, numeric, smallint, smallmoney, tinyint, float, real). • Use 01-01-1900 para los tipos de datos de fecha y hora (date, datetime2, datetime, datetimeoffset, smalldatetime, time). • Para variant SQL, se utiliza el valor predeterminado del tipo actual. • Para XML, se utiliza el documento <masked/>. • Use un valor vacío para los tipos de datos especiales (tipos timestamp table, hierarchyid, GUID, binary, image, varbinary spatial).
Tarjeta de crédito	Método de enmascaramiento que expone los últimos cuatro dígitos de los campos designados y agrega una cadena constante como prefijo en el formato de una tarjeta de crédito. XXXX-XXXX-XXXX-1234
Correo electrónico	Método de enmascaramiento que expone la primera letra y reemplaza el dominio con XXX.com con una cadena constante como prefijo en el formato de una dirección de correo electrónico. aXX@XXXX.com
Número aleatorio	Método de enmascaramiento que genera un número aleatorio según los límites seleccionados y los tipos de datos reales. Si los límites designados son iguales, la función de enmascaramiento será un número constante.
Texto personalizado	Método de enmascaramiento que expone el primero y el último carácter y agrega una cadena de relleno personalizada en el medio. Si la cadena original es más corta que el prefijo y el sufijo expuestos, se usará únicamente la cadena de relleno. prefijo[relleno]sufijo

Campos recomendados para enmascarar

El motor de recomendaciones de DDM marca determinados campos de la base de datos como campos potencialmente confidenciales, que pueden ser buenos candidatos para el enmascaramiento. En la hoja Enmascaramiento de datos dinámicos del portal, verá las columnas recomendadas para la base de datos. Todo lo que debe hacer es hacer clic en Agregar máscara para una o más columnas y, después, en Guardar a fin de aplicar una máscara para estos campos.

Administración del enmascaramiento dinámico de datos mediante T-SQL

• Para crear una máscara dinámica de datos, consulte Creación de una máscara dinámica de datos.
• Para agregar o editar una máscara en una columna existente, consulte Adición o edición de una máscara en una columna existente.
• Para conceder permisos para ver datos sin enmascarar, consulte Concesión de permisos para ver datos sin enmascarar.
• Para anular una máscara dinámica de datos, consulte Anulación de una máscara dinámica de datos.

Configuración del enmascaramiento de datos dinámicos para la base de datos mediante cmdlets de PowerShell

Directivas de enmascaramiento de datos

• Get-AzSqlDatabaseDataMaskingPolicy
• Set-AzSqlDatabaseDataMaskingPolicy

Reglas de enmascaramiento de datos

• Get-AzSqlDatabaseDataMaskingRule
• New-AzSqlDatabaseDataMaskingRule
• Remove-AzSqlDatabaseDataMaskingRule
• Set-AzSqlDatabaseDataMaskingRule

Configuración del enmascaramiento de datos dinámicos para la base de datos mediante la API de REST

Puede usar las API de REST para administrar las reglas y directivas de enmascaramiento de datos mediante programación. Las API de REST publicadas admiten las siguientes operaciones:

Directivas de enmascaramiento de datos

• Crear o actualizar: crea o actualiza una directiva de enmascaramiento de datos para la base de datos.
• Obtener: obtiene una directiva de enmascaramiento de datos para la base de datos.

Reglas de enmascaramiento de datos

• Crear o actualizar: crea o actualiza una regla de enmascaramiento de datos para la base de datos.
• Lista por base de datos: obtiene una lista de reglas de enmascaramiento de datos para la base de datos.

Permisos

Estos son los roles integrados para configurar el enmascaramiento dinámico de datos:

• Administrador de seguridad SQL
• Colaborador de Base de datos de SQL
• Colaborador de SQL Server

Estas son las acciones necesarias para usar el enmascaramiento dinámico de datos:

Lectura/escritura:

• Microsoft.Sql/servers/databases/dataMaskingPolicies/* Lectura:
• Microsoft.Sql/servers/databases/dataMaskingPolicies/read Escritura:
• Microsoft.Sql/servers/databases/dataMaskingPolicies/write

Para obtener más información sobre los permisos al usar el enmascaramiento dinámico de datos con el comando T-SQL, consulte Permisos.

Vea también

• Enmascaramiento dinámico de datos para SQL Server.
• Episodio de Data Exposed sobre permisos granulares para el enmascaramiento dinámico de datos de Azure SQL en Channel 9.