Dynamische gegevensmaskering
VAN TOEPASSING OP: 
Azure SQL Database
Azure SQL Managed Instance
Azure Synapse Analytics
Azure SQL Database, Azure SQL Managed Instance en Azure Synapse Analytics ondersteuning voor dynamische gegevensmaskering. Met dynamische gegevensmaskering wordt de blootstelling van gevoelige gegevens beperkt door deze gegevens te maskeren voor niet-gemachtigde gebruikers.
Dynamische gegevensmaskering helpt onbevoegde toegang tot gevoelige gegevens te voorkomen, doordat klanten kunnen aangeven hoeveel van de gevoelige gegevens mag worden vrijgegeven, met minimale gevolgen voor de toepassingslaag. Dit is een beveiligingsfunctie op basis van beleid. De gevoelige gegevens in de resultatenset van een query die is uitgevoerd op toegewezen databasevelden worden verborgen, terwijl de gegevens in de database niet worden gewijzigd.
Een servicemedewerker in een callcenter kan bijvoorbeeld een aanroeper identificeren door verschillende tekens van zijn of haar e-mailadres te bevestigen, maar het volledige e-mailadres mag niet aan de servicemedewerker worden openbaar gemaakt. Er kan een maskeringsregel worden gedefinieerd die alle e-mailadressen in de resultatenset van een query maskeert. Een ander voorbeeld: er kan een geschikt gegevensmasker worden gedefinieerd om persoonsgegevens te beveiligen, zodat een ontwikkelaar een query kan uitvoeren op productieomgevingen voor het oplossen van problemen zonder nalevingsvoorschriften te schenden.
Basisbeginselen van dynamische gegevensmaskering
U stelt een beleid voor dynamische gegevensmaskering in de Azure Portal door de blade Dynamische gegevensmaskering te selecteren onder Beveiliging in SQL Database configuratievenster. Deze functie kan niet worden ingesteld met behulp van de portal voor SQL Managed Instance. Zie Dynamic Data Masking (Dynamische gegevensmaskering) voor meer informatie.
Beleid voor dynamische gegevensmaskering
- SQL gebruikers die zijn uitgesloten van maskering: een set SQL-gebruikers of Azure AD-identiteiten die niet-gemaskeerde gegevens in de SQL queryresultaten. Gebruikers met beheerdersbevoegdheden worden altijd uitgesloten van maskering en zien de oorspronkelijke gegevens zonder maskering.
- Maskeringsregels: een set regels die de aangewezen velden definiëren die moeten worden gemaskeerd en de maskeringsfunctie die wordt gebruikt. De aangewezen velden kunnen worden gedefinieerd met behulp van een databaseschemanaam, tabelnaam en kolomnaam.
- Maskeringsfuncties: een set methoden die de blootstelling van gegevens voor verschillende scenario's bepalen.
| Maskeringsfunctie | Maskeringslogica |
|---|---|
| Standaard | Volledige maskering op basis van de gegevenstypen van de aangewezen velden • Gebruik XXXX of minder X als de grootte van het veld minder dan 4 tekens is voor tekenreeksgegevenstypen (nchar, ntext, nvarchar). • Gebruik een nulwaarde voor numerieke gegevenstypen (bigint, bit, decimaal, int, geld, numeriek, smallint, smallmoney, tinyint, float, real). • Gebruik 01-01-1900 voor gegevenstypen voor datum/tijd (date, datetime2, datetime, datetimeoffset, smalldatetime, time). • Voor SQL variant wordt de standaardwaarde van het huidige type gebruikt. • Voor XML wordt het document <masked/> gebruikt. • Gebruik een lege waarde voor speciale gegevenstypen (tijdstempeltabel, hierarchyid, GUID, binair, afbeelding, varbinary ruimtelijke typen). |
| Creditcard | Maskeringsmethode, waarmee de laatste vier cijfers van de aangewezen velden beschikbaar worden en een constante tekenreeks als voorvoegsel wordt toegevoegd in de vorm van een creditcard. XXXX-XXXX-XXXX-1234 |
| Maskeringsmethode, waarbij de eerste letter beschikbaar wordt gemaakt en het domein wordt vervangen door XXX.com met behulp van een constant tekenreeks voorvoegsel in de vorm van een e-mailadres. aXX@XXXX.com |
|
| Willekeurig getal | Maskeringsmethode, waarmee een willekeurig getal wordt gegenereerd op basis van de geselecteerde grenzen en de werkelijke gegevenstypen. Als de aangewezen grenzen gelijk zijn, is de maskeringsfunctie een constant getal. |
| Aangepaste tekst | Maskeringsmethode, waarmee de eerste en laatste tekens worden blootstellen en in het midden een aangepaste opvullingstekenreeks wordt toegevoegd. Als de oorspronkelijke tekenreeks korter is dan het beschikbaar gemaakt voorvoegsel en achtervoegsel, wordt alleen de opvullingsreeks gebruikt. voorvoegsel[padding]achtervoegsel  |
Aanbevolen velden die moeten worden gemaskeerd
De engine voor DDM-aanbevelingen markeert bepaalde velden uit uw database als mogelijk gevoelige velden, wat goede kandidaten kan zijn voor maskering. Op de blade Dynamische gegevensmaskering in de portal ziet u de aanbevolen kolommen voor uw database. U hoeft alleen maar op Masker toevoegen te klikken voor een of meer kolommen en vervolgens op Opslaan om een masker voor deze velden toe te passen.
Dynamische gegevensmaskering beheren met T-SQL
- Zie Creating a Dynamic Data Mask (Een dynamisch gegevensmasker maken) als u een dynamisch gegevensmasker wilt maken.
- Zie Een masker toevoegen of bewerken voor een bestaande kolom als u een masker wilt toevoegen aan of bewerken voor een bestaande kolom.
- Zie Granting Permissions to View Unmasked Data(Machtigingen verlenen om niet-gemaskeerde gegevens weer te geven) als u machtigingen wilt verlenen om niet-gemaskeerde gegevens weer te geven.
- Zie Een dynamisch gegevensmasker verwijderen als u een dynamisch gegevensmasker wilt verwijderen.
Dynamische gegevensmaskering instellen voor uw database met behulp van PowerShell-cmdlets
Beleidsregels voor gegevensmaskering
Regels voor gegevensmaskering
- Get-AzSqlDatabaseDataMaskingRule
- New-AzSqlDatabaseDataMaskingRule
- Remove-AzSqlDatabaseDataMaskingRule
- Set-AzSqlDatabaseDataMaskingRule
Dynamische gegevensmaskering instellen voor uw database met behulp van de REST API
U kunt de REST API om het beleid en de regels voor gegevensmaskering programmatisch te beheren. De gepubliceerde REST API ondersteunt de volgende bewerkingen:
Beleidsregels voor gegevensmaskering
- Maken of bijwerken:hiermee wordt een maskeringsbeleid voor databasegegevens gemaakt of bijgewerkt.
- Get:haalt een beleid voor databasegegevensmaskering op.
Regels voor gegevensmaskering
- Maken of bijwerken:hiermee wordt een regel voor het maskeren van databasegegevens gemaakt of bijgewerkt.
- List By Database:haalt een lijst met regels voor het maskeren van databasegegevens op.
Machtigingen
Dit zijn de ingebouwde rollen voor het configureren van dynamische gegevensmaskering:
Dit zijn de vereiste acties voor het gebruik van dynamische gegevensmaskering:
Lezen/schrijven:
- Microsoft.Sql/servers/databases/dataMaskingPolicies/* Read:
- Microsoft.Sql/servers/databases/dataMaskingPolicies/read Write:
- Microsoft.Sql/servers/databases/dataMaskingPolicies/write
Zie Machtigingen voor meer informatie over machtigingen bij het gebruik van dynamische gegevensmaskering met T-SQL opdracht
Zie ook
- Dynamische gegevensmaskering voor SQL Server.
- Beschikbaar gemaakt gegevens over gedetailleerde machtigingen voor Azure SQL Dynamische gegevensmaskering op Channel 9.