Masquage des données dynamiques pour Azure SQL Database et Data WarehouseDynamic data masking for Azure SQL Database and Data Warehouse

Le masquage des données dynamiques de base de données SQL limite l’exposition des données sensibles en les masquant aux utilisateurs sans privilège.SQL Database dynamic data masking limits sensitive data exposure by masking it to non-privileged users.

Le masquage des données dynamiques empêche tout accès non autorisé aux données sensibles en permettant aux clients d’indiquer la quantité de données sensibles à faire apparaître, avec un impact minimal sur la couche application.Dynamic data masking helps prevent unauthorized access to sensitive data by enabling customers to designate how much of the sensitive data to reveal with minimal impact on the application layer. Il s’agit d’une fonctionnalité de sécurité basée sur des stratégies qui masque les données sensibles dans le jeu de résultats d’une requête dans les champs de la base de données désignés. Les données de la base de données ne sont pas modifiées.It’s a policy-based security feature that hides the sensitive data in the result set of a query over designated database fields, while the data in the database is not changed.

Par exemple, un représentant du centre d’appel peut identifier les appelants par plusieurs chiffres de leur numéro de carte de crédit, mais ces éléments de données ne doivent pas être divulgués entièrement au conseiller du service.For example, a service representative at a call center may identify callers by several digits of their credit card number, but those data items should not be fully exposed to the service representative. Une règle de masquage peut être définie pour ne faire apparaître que les quatre derniers chiffres du numéro de carte de crédit dans l’ensemble de résultats de chaque requête.A masking rule can be defined that masks all but the last four digits of any credit card number in the result set of any query. Autre exemple, un masque de données approprié peut être défini pour protéger les informations d'identification personnelle (PII), de telle sorte qu'un développeur puisse interroger les environnements de production à des fins de dépannage sans aller à l'encontre des réglementations de conformité.As another example, an appropriate data mask can be defined to protect personally identifiable information (PII) data, so that a developer can query production environments for troubleshooting purposes without violating compliance regulations.

Principes de base du masquage des données dynamiquesDynamic data masking basics

Pour définir une stratégie de masquage de données dynamiques sur le Portail Azure, sélectionnez l’opération de masquage des données dynamiques dans votre panneau de configuration ou de paramètres SQL Database.You set up a dynamic data masking policy in the Azure portal by selecting the dynamic data masking operation in your SQL Database configuration blade or settings blade.

Autorisations du masquage des données dynamiquesDynamic data masking permissions

Le masquage des données dynamiques peut être configuré par les rôles d’administrateur, d’administrateur de serveur ou Gestionnaire de la sécurité SQL Azure SQL Database.Dynamic data masking can be configured by the Azure SQL Database admin, server admin, or SQL Security Manager roles.

Stratégie de masquage des données dynamiquesDynamic data masking policy

  • Utilisateurs SQL exclus du masquage : ensemble d’utilisateurs SQL ou d’identités AAD qui obtiennent des données non masquées dans les résultats de requêtes SQL.SQL users excluded from masking - A set of SQL users or AAD identities that get unmasked data in the SQL query results. Les utilisateurs possédant des privilèges administrateur sont toujours exclus du masquage et voient les données d’origine sans masque.Users with administrator privileges are always excluded from masking, and see the original data without any mask.
  • Règles de masquage : ensemble de règles qui définissent les champs désignés à masquer et la fonction de masquage à utiliser.Masking rules - A set of rules that define the designated fields to be masked and the masking function that is used. Les champs désignés peuvent être définis avec un nom de schéma de base de données, un nom de table et un nom de colonne.The designated fields can be defined using a database schema name, table name, and column name.
  • Fonctions de masquage : ensemble de méthodes qui contrôlent l'exposition des données dans différents scénarios.Masking functions - A set of methods that control the exposure of data for different scenarios.
Fonction de masquageMasking Function Logique de masquageMasking Logic
Par défautDefault Masquage complet en fonction des types de données des champs désignésFull masking according to the data types of the designated fields

• Utilisez XXXX ou moins de X si la taille du champ est inférieure à 4 caractères pour les types de données String (nchar, ntext, nvarchar).• Use XXXX or fewer Xs if the size of the field is less than 4 characters for string data types (nchar, ntext, nvarchar).
• Utilisez la valeur zéro pour les types de données numériques (bigint, bit, decimal, int, money, numeric, smallint, smallmoney, tinyint, float, real).• Use a zero value for numeric data types (bigint, bit, decimal, int, money, numeric, smallint, smallmoney, tinyint, float, real).
• Utilisez 01-01-1900 pour les types de données date/heure (date, datetime2, datetime, datetimeoffset, smalldatetime, time).• Use 01-01-1900 for date/time data types (date, datetime2, datetime, datetimeoffset, smalldatetime, time).
• Pour la variante SQL, la valeur par défaut du type actuel est utilisé.• For SQL variant, the default value of the current type is used.
• Pour XML, le document <masked/> est utilisé.• For XML the document <masked/> is used.
• Utilisez une valeur vide pour les types de données spéciaux (table timestamp, hierarchyid, GUID, binary, image, varbinary spatial).• Use an empty value for special data types (timestamp table, hierarchyid, GUID, binary, image, varbinary spatial types).
Carte de créditCredit card Méthode de masquage qui affiche les quatre derniers chiffres des champs de masquage désignés et ajoute une chaîne constante comme préfixe sous la forme d’une carte de crédit.Masking method, which exposes the last four digits of the designated fields and adds a constant string as a prefix in the form of a credit card.

XXXX-XXXX-XXXX-1234XXXX-XXXX-XXXX-1234
E-mailEmail Méthode de masquage qui affiche la première lettre et remplace le domaine par XXX.com avec en préfixe une chaîne constante sous la forme d’une adresse de messagerie.Masking method, which exposes the first letter and replaces the domain with XXX.com using a constant string prefix in the form of an email address.

aXX@XXXX.com
Nombre aléatoireRandom number Méthode de masquage qui génère un nombre aléatoire selon les limites sélectionnées et les types de données réels.Masking method, which generates a random number according to the selected boundaries and actual data types. Si les limites désignées sont égales, la fonction de masquage est un nombre constant.If the designated boundaries are equal, then the masking function is a constant number.

Volet de navigationNavigation pane
Texte personnaliséCustom text Méthode de masquage qui affiche le premier et le dernier caractères et ajoute une chaîne de remplissage personnalisée entre les deux.Masking method, which exposes the first and last characters and adds a custom padding string in the middle. Si la chaîne d’origine est plus courte que le préfixe et le suffixe affichés, seule la chaîne de remplissage est utilisée.If the original string is shorter than the exposed prefix and suffix, only the padding string is used.
préfixe[remplissage]suffixeprefix[padding]suffix

Volet de navigationNavigation pane

Le moteur de recommandations DDM signale certains champs de votre base de données en tant que champs potentiellement sensibles, qui peuvent être de bons candidats au masquage.The DDM recommendations engine, flags certain fields from your database as potentially sensitive fields, which may be good candidates for masking. Dans le volet Masquage des données dynamiques du portail, vous verrez les colonnes recommandées pour votre base de données.In the Dynamic Data Masking blade in the portal, you will see the recommended columns for your database. Il vous suffit de cliquer sur Ajouter un masque pour une ou plusieurs colonnes, puis de cliquer sur Enregistrer pour appliquer un masque à ces champs.All you need to do is click Add Mask for one or more columns and then Save to apply a mask for these fields.

Configurer le masquage des données dynamiques pour votre base de données à l’aide des cmdlets PowerShellSet up dynamic data masking for your database using PowerShell cmdlets

Consultez Applets de commande Azure SQL Database.See Azure SQL Database Cmdlets.

Configuration du masquage des données dynamiques pour votre base de données à l’aide de l’API RESTSet up dynamic data masking for your database using REST API

Voir Opérations pour Azure SQL Database.See Operations for Azure SQL Database.