Dinamik veri maskeleme

AŞAĞıDAKILER IÇIN GEÇERLIDIR: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Azure SQL Veritabanı, azure SQL yönetilen örneği ve azure Synapse Analytics dinamik veri maskeleme 'yi destekler. Dinamik veri maskeleme, hassas verilerin görünürlüğünü ayrıcalık sahibi olmayan kullanıcılardan gizler.

Dinamik veri maskeleme müşterilerin uygulama katmanını çok az etkileyerek hassas verilerin ne kadarının gösterileceğini belirlemelerini sağlar ve hassas verilere yetkisiz erişimin engellenmesine yardımcı olur. Bu özellik, hassas verileri belirlenen veritabanı alanlarına yapılan sorgunun sonuç kümesinde gizleyen ancak veritabanındaki verileri değiştirmeyen ilke tabanlı bir güvenlik özelliğidir.

Örneğin, bir çağrı merkezindeki bir hizmet temsilcisi, kendi e-posta adreslerinin birkaç karakterini onaylayan bir çağrıyı tanımlayabilir, ancak e-posta adresinin tamamı hizmet temsilcisine görmemelidir. Herhangi bir sorgunun sonuç kümesindeki tüm e-posta adreslerini maskele alan bir maskeleme kuralı tanımlanabilir. Başka bir örnek olarak, bir geliştiricinin uyumluluk düzenlemelerini ihlal etmeden üretim ortamlarını, sorun giderme amacıyla sorgulayabilmesi için, kişisel verileri korumak üzere uygun bir veri maskesi tanımlanabilir.

Dinamik veri maskeleme temelleri

SQL Veritabanı yapılandırma bölmesinizdeki güvenlik altında dinamik veri maskeleme dikey penceresini seçerek Azure portal dinamik veri maskeleme ilkesi ayarlarsınız. bu özellik SQL yönetilen örnek için portal kullanılarak ayarlanamaz. Daha fazla bilgi için bkz. dinamik veri maskeleme.

Dinamik veri maskeleme ilkesi

  • maskelemeden dışlanan SQL kullanıcılar -SQL sorgu sonuçlarında maskelenmemiş veriler alan SQL kullanıcılar veya Azure AD kimlikleri kümesi. Yönetici ayrıcalıklarına sahip kullanıcılar her zaman maskelemeden çıkarılır ve herhangi bir maske olmadan özgün verileri görür.
  • Maskeleme kuralları -maskelenecek belirlenen alanları ve kullanılan maskeleme işlevini tanımlayan bir kurallar kümesi. Belirlenen alanlar bir veritabanı şeması adı, tablo adı ve sütun adı kullanılarak tanımlanabilir.
  • Maskeleme işlevleri -farklı senaryolara yönelik verilerin görünürlüğünü denetleyen bir yöntemler kümesi.
Maskeleme işlevi Maskeleme mantığı
Varsayılanını Belirlenen alanların veri türlerine göre tam maskeleme

• Alanın boyutu dize veri türleri için 4 karakterden azsa XXXX veya daha az XS kullanın (nchar, ntext, nvarchar).
• Sayısal veri türleri için sıfır değeri kullanın (BigInt, bit, Decimal, INT, Money, numeric, smallint, smallmoney, tinyint, float, Real).
• Tarih/saat veri türleri için 01-01-1900 kullanın (Date, datetime2, DateTime, DateTimeOffset, smalldatetime, Time).
• SQL variant için geçerli türün varsayılan değeri kullanılır.
• XML için belge <masked/> kullanılır.
• Özel veri türleri (timestamp tablosu, HierarchyID, GUID, binary, Image, varbinary uzamsal türler) için boş bir değer kullanın.
Kredi kartı Belirlenen alanların son dört basamağını sunan maskeleme yöntemi ve bir kredi kartı biçiminde önek olarak bir sabit dize ekler.

XXXX-XXXX-XXXX-1234
E-posta İlk harfi kullanıma sunan maskeleme yöntemi ve bir e-posta adresi biçiminde bir sabit dize öneki kullanarak etki alanını xxx.com ile değiştirir.

aXX@XXXX.com
Rastgele sayı Maske yöntemi, seçilen sınırlara ve gerçek veri türlerine göre rastgele bir sayı üretir . Belirlenen sınırlar eşitse, maskeleme işlevi sabit bir sayıdır.

Rastgele bir sayı oluşturmak için maskeleme yöntemini gösteren ekran görüntüsü.
Özel metin İlk ve son karakterlerin ortaya çıkardığı ve ortadaki özel bir doldurma dizesi ekleyen maskeleme yöntemi. Özgün dize, gösterilen önek ve sonek değerinden kısaysa, yalnızca doldurma dizesi kullanılır.
önek [Padding] soneki

Gezinti bölmesi

DDM öneriler altyapısı, veritabanınızdaki belirli alanları potansiyel olarak hassas alanlar olarak bayraklar ve bu, maskeleme için iyi adaylar olabilir. Portaldaki dinamik veri maskeleme dikey penceresinde veritabanınız için önerilen sütunları görürsünüz. Yapmanız gereken tek şey, bir veya daha fazla sütun için maske Ekle ' ye tıkladıktan sonra bu alanlar için bir maske uygulamak üzere kaydedilir .

T-SQL kullanarak dinamik veri maskeleme yönetme

PowerShell cmdlet 'lerini kullanarak veritabanınız için dinamik veri maskeleme ayarlama

Veri maskeleme ilkeleri

Veri maskeleme kuralları

REST API kullanarak veritabanınız için dinamik veri maskeleme ayarlayın

Veri maskeleme ilkesini ve kurallarını programlı bir şekilde yönetmek için REST API kullanabilirsiniz. Yayımlanan REST API aşağıdaki işlemleri destekler:

Veri maskeleme ilkeleri

Veri maskeleme kuralları

İzinler

Dinamik veri maskeleme 'yi yapılandırmak için yerleşik roller şunlardır:

Dinamik veri maskeleme kullanmak için gereken eylemler şunlardır:

Okuma/yazma:

  • Microsoft. SQL/Servers/veritabanları/dataMaskingPolicies/* okuma:
  • Microsoft. SQL/Servers/veritabanları/dataMaskingPolicies/okuma yazma:
  • Microsoft. SQL/Servers/veritabanları/dataMaskingPolicies/Write

T-SQL komutuyla dinamik veri maskeleme kullanırken izinler hakkında daha fazla bilgi için, bkz. izinler

Ayrıca bkz.