Maschera dati dinamica del database SQLSQL Database dynamic data masking

La funzione Maschera dati dinamica del database SQL limita l'esposizione dei dati sensibili, nascondendoli agli utenti senza privilegi.SQL Database dynamic data masking limits sensitive data exposure by masking it to non-privileged users.

Il mascheramento dei dati dinamici impedisce l'accesso non autorizzato ai dati sensibili consentendo agli utenti di definire la quantità di dati sensibili da rivelare, con un impatto minimo sul livello dell'applicazione.Dynamic data masking helps prevent unauthorized access to sensitive data by enabling customers to designate how much of the sensitive data to reveal with minimal impact on the application layer. Si tratta di una funzionalità di sicurezza basata su criteri che consente di nascondere i dati sensibili nel set di risultati di una query in campi del database designati, senza alcuna modifica dei dati contenuti nel database.It’s a policy-based security feature that hides the sensitive data in the result set of a query over designated database fields, while the data in the database is not changed.

Ad esempio, un addetto all'assistenza in un call center può identificare i chiamanti da alcune cifre del numero di carta di credito, ma tali elementi di dati non devono essere completamente visibili all'addetto all'assistenza.For example, a service representative at a call center may identify callers by several digits of their credit card number, but those data items should not be fully exposed to the service representative. È possibile definire una regola di maschera che renda visibili solo le ultime quattro cifre del numero di carta di credito nel set di risultati di tutte le query.A masking rule can be defined that masks all but the last four digits of any credit card number in the result set of any query. Oppure, è possibile definire una maschera dati appropriata per la protezione di informazioni personali identificabili (PII), in modo che uno sviluppatore possa eseguire una query negli ambienti di produzione a scopi di risoluzione dei problemi senza violare le normative di conformità.As another example, an appropriate data mask can be defined to protect personally identifiable information (PII) data, so that a developer can query production environments for troubleshooting purposes without violating compliance regulations.

Nozioni fondamentali sulla funzione Maschera dati dinamica del database SQLSQL Database dynamic data masking basics

Per impostare un criterio di maschera dati dinamica del database SQL nel portale di Azure, selezionare l'operazione Maschera dati dinamica nel pannello di configurazione o delle impostazioni del database SQL.You set up a dynamic data masking policy in the Azure portal by selecting the dynamic data masking operation in your SQL Database configuration blade or settings blade.

Autorizzazioni per il mascheramento dei dati dinamiciDynamic data masking permissions

Il mascheramento dei dati dinamici può essere configurato dall'amministratore del database di Azure, dall'amministratore del server o dal responsabile della sicurezza.Dynamic data masking can be configured by the Azure Database admin, server admin, or security officer roles.

Criteri di mascheramento dei dati dinamiciDynamic data masking policy

  • Utenti SQL esclusi dalla maschera: set di utenti SQL o identità AAD che visualizzano dati senza maschera nei risultati delle query SQL.SQL users excluded from masking - A set of SQL users or AAD identities that get unmasked data in the SQL query results. Gli utenti con privilegi di amministratore sono sempre esclusi dalla maschera e possono visualizzare i dati originali senza maschera.Users with administrator privileges are always excluded from masking, and see the original data without any mask.
  • Regole di maschera: set di regole che definiscono i campi designati a cui applicare la maschera e la funzione maschera da usare.Masking rules - A set of rules that define the designated fields to be masked and the masking function that is used. I campi designati possono essere definiti tramite uno schema, un nome di tabella e un nome di colonna del database.The designated fields can be defined using a database schema name, table name, and column name.
  • Funzioni maschera : set di metodi che consentono di controllare l'esposizione dei dati per scenari diversi.Masking functions - A set of methods that control the exposure of data for different scenarios.
Funzione di mascheramentoMasking Function Logica di mascheramentoMasking Logic
DefaultDefault Mascheramento completo in base ai tipi di dati dei campi designatiFull masking according to the data types of the designated fields

• Usare XXXX o un numero minore di X se la dimensione del campo è inferiore a 4 caratteri per i tipi di dati di stringa (nchar, ntext, nvarchar).• Use XXXX or fewer Xs if the size of the field is less than 4 characters for string data types (nchar, ntext, nvarchar).
• Usare un valore pari a zero per i tipi di dati numerici (bigint, bit, decimal, int, money, numeric, smallint, smallmoney, tinyint, float, real).• Use a zero value for numeric data types (bigint, bit, decimal, int, money, numeric, smallint, smallmoney, tinyint, float, real).
• Usare 01-01-1900 per i tipi di dati data/ora (date, datetime2, datetime, datetimeoffset, smalldatetime, time).• Use 01-01-1900 for date/time data types (date, datetime2, datetime, datetimeoffset, smalldatetime, time).
• Per sql_variant viene usato il valore predefinito del tipo corrente.• For SQL variant, the default value of the current type is used.
• Per XML viene usato il documento .• For XML the document is used.
• Usare un valore vuoto per i tipi di dati speciali (timestamp table, hierarchyid, GUID, binary, image, varbinary spatial types).• Use an empty value for special data types (timestamp table, hierarchyid, GUID, binary, image, varbinary spatial types).
Carta di creditoCredit card Metodo di mascheramento che espone le ultime quattro cifre dei campi designati e aggiunge una stringa costante come prefisso sotto forma di carta di credito.Masking method, which exposes the last four digits of the designated fields and adds a constant string as a prefix in the form of a credit card.

XXXX-XXXX-XXXX-1234XXXX-XXXX-XXXX-1234
Indirizzo di posta elettronicaEmail Metodo di mascheramento che rende visibile la prima lettera e sostituisce il dominio con XXX.com usando un prefisso stringa costante sotto forma di indirizzo di posta elettronica.Masking method, which exposes the first letter and replaces the domain with XXX.com using a constant string prefix in the form of an email address.

aXX@XXXX.com
Numero casualeRandom number Metodo di mascheramento che genera un numero casuale secondo i limiti selezionati e i tipi di dati effettivi.Masking method, which generates a random number according to the selected boundaries and actual data types. Se i limiti designati sono uguali, la funzione maschera è un numero costante.If the designated boundaries are equal, then the masking function is a constant number.

Riquadro di spostamentoNavigation pane
Testo personalizzatoCustom text Metodo di mascheramento che rende visibile il primo e l'ultimo carattere e aggiunge una stringa di riempimento personalizzata al centro.Masking method, which exposes the first and last characters and adds a custom padding string in the middle. Se la stringa originale è più corta del prefisso e del suffisso visibili, viene usata solo la stringa di riempimento.If the original string is shorter than the exposed prefix and suffix, only the padding string is used.
prefisso[riempimento]suffissoprefix[padding]suffix

Riquadro di spostamentoNavigation pane

Il motore di raccomandazioni DDM evidenzia determinati campi del database come potenzialmente sensibili e quindi come ottimi candidati per l'applicazione della maschera.The DDM recommendations engine, flags certain fields from your database as potentially sensitive fields, which may be good candidates for masking. Nel pannello Maschera dati dinamica nel portale saranno visibili le colonne consigliate per il proprio database.In the Dynamic Data Masking blade in the portal, you will see the recommended columns for your database. È sufficiente fare clic su Aggiungi maschera per una o più colonne e quindi su Salva per applicare una maschera a questi campi.All you need to do is click Add Mask for one or more columns and then Save to apply a mask for these fields.

Configurare il mascheramento dei dati dinamici per il database usando i cmdlet di PowerShell.Set up dynamic data masking for your database using Powershell cmdlets

Vedere Cmdlet del database SQL di Azure.See Azure SQL Database Cmdlets.

Configurare il mascheramento dei dati dinamici per il database usando l'API RESTSet up dynamic data masking for your database using REST API

Vedere Operazioni per i database SQL di Azure.See Operations for Azure SQL Databases.