Maskování statických dat se obvykle provádí na produkčních datech v klidu, aby byla bezpečně uložena, nebo při replikaci do neprodukčních prostředí pro účely testování nebo vývoje. Dynamické maskování dat (DDM) se provádí na datech v produkčních tabulkách během dotazů, takže ti, kteří nemají oprávnění vidět původní hodnoty sloupců, uvidí místo toho redigovaná zobrazení hodnot ve své aplikaci.
Je dobře známo, že IRI FieldShield je produkt pro maskování statických dat. Ale lze jej také použít k maskování a odmaskování dat v databázích a plochých souborech dynamičtějším způsobem. Viděli jsme případy použití vyžadující jeden nebo oba, když jsou ohrožená data v klidu (statická) nebo v pohybu (dynamická) a je třeba je chránit.
DDM prostřednictvím ‚redaction in flight‘ je k dispozici od IRI prostřednictvím:maskovacích knihoven volatelných pomocí API, které můžete vytvořit na ověřené, vlastní bázi z aplikací C, C++, Java nebo .NET (viz SDK zde); volání SQL (procedury); a brzy speciální ovladač JDBC spravovaný přes proxy server. Tento článek se zabývá první metodou pro dynamické un maskování ve spojení s maskováním statických dat.
K demonstraci statického i dynamického maskování dat jsme použili IRI Workbench, bezplatný grafický front-end pro FieldShield a další software IRI, postavený na Eclipse™. Ve scénářích zabezpečení dat, dodržování předpisů a testování dat se uživatelé Workbench připojují ke svým zdrojům, provádějí zjišťování a klasifikaci a poté vytvářejí a spouštějí funkce maskování statických dat.
Konkrétněji definují své datové třídy a kritéria vyhledávání a poté k jejich ochraně použijí konzistentní pravidla maskování. To jim pomáhá lépe řídit svá data a zachovat referenční integritu jejich zdrojů. A pomáhá jim dodržovat zákony na ochranu osobních údajů a obchodní potřeby.
Workbench také podporuje skórování rizika re-ID, podmnožiny databáze, generování testovacích dat a jejich naplnění a mnoho dalších možností správy dat povolených na platformě IRI Voracity, která zahrnuje FieldShield.
Být v Eclipse také znamená, že Workbench podporuje vývoj aplikací Java, a tím i vaše programy, které mohou dynamicky maskovat nebo demaskovat data pomocí funkcí knihovny kompatibilních se statickými funkcemi. Rozhraní API je opět zdokumentováno v sadě FieldShield SDK.
Tento článek poskytuje rychlý příklad použití FieldShield v Workbench pro maskování statických dat databázové tabulky a následné dynamické odmaskování těchto dat v programu Java. Vše je nakonfigurováno v IRI Workbench.
Nastavení
Nejprve jsme vytvořili a naplnili ukázkovou tabulku v MySQL pomocí zápisníku SQL zásuvného modulu Data Tools Platform (DTP). Definovali jsme sloupce pro:uživatelské jméno, e-mail, čas a komentáře:
Maskování statických dat
Použili jsme průvodce ‚New Data Masking Job…‘ z nabídky horního panelu nástrojů ve Workbench, abychom rychle získali tuto tabulku a její metadata a vytvořili úlohu pro statické maskování sloupce e-mailů pomocí jedné z funkcí šifrování AES 256 v FieldShield, enc_aes256. Ve skriptu FieldShield, který průvodce vytvořil, můžeme vidět funkci, která má být aplikována na sloupec jednou, a poté na nové řádky v tabulce, když je spuštěna nebo naplánováno její opětovné spuštění.
Po spuštění bude mít tabulka v databázi MySQL sloupec e-mailů zašifrovaný.
Dynamické maskování dat (ne)
Abychom demonstrovali dynamické odmaskování dat nebo v tomto případě dešifrování, zavolali jsme odpovídající dešifrovací funkci, dec_aes256, v knihovně FieldShield API pro Java:
Podobné hovory jsou možné z jazyků .NET. Tato základní aplikace ukazuje, jak se připojit k tabulce MySQL, ověřit uživatele a zobrazit jak staticky zašifrovanou hodnotu šifrovaného textu z tabulky, tak dynamicky dešifrovanou původní hodnotu e-mailu ve formátu prostého textu v konzole:
Samozřejmě jste také mohli provést dešifrování zpět ve Workbench statickým způsobem s podobným samostatným úkolem FieldShield, jako je tento:
Výše uvedený skript dešifruje e-mailové hodnoty zašifrovaného textu zpět na jejich původní prostý text v každém řádku databáze. Výstupem může být samotná zdrojová tabulka (pro její obnovení), jiné cíle (řekněme pro testování) nebo obojí. Vícenásobné skripty úloh řešící maskování nebo odmaskování více tabulek lze vytvořit automaticky pomocí průvodců FieldShield ve Workbench (a zachovat referenční integritu) s nebo bez definovaných datových tříd.
V tomto případě můžete zkontrolovat, že hodnoty byly dešifrovány do své původní podoby, připojením k databázi MySQL a výběrem polí, která chcete vidět, nebo jednoduše zobrazením tabulky ve Workbench. Dešifrovaný pohled je původní tabulka:
Pointa je, že můžete maskovat a demaskovat data staticky nebo dynamicky pomocí IRI FieldShield. Použijte samostatný režim pro statické operace a režim API pro dynamické. Funkce maskování jsou kompatibilní a každé řešení je povoleno ve stejné skleněné tabuli.
- Více funkcí odemknutí/maskování a mnoho dalších funkcí transformace a přeformátování (prostřednictvím licence IRI CoSort nebo Voracity) lze s těmito daty spustit ve stejném skriptu úlohy a průchodu I/O .