sql >> Base de Datos >  >> RDS >> Database

Enmascaramiento de datos estáticos y dinámicos en FieldShield

Por lo general, el enmascaramiento de datos estáticos se realiza en datos de producción en reposo para que se almacenen de forma segura, o cuando se replican en entornos que no son de producción con fines de prueba o desarrollo. El enmascaramiento dinámico de datos (DDM) se realiza en los datos de las tablas de producción durante las consultas, de modo que aquellos que no están autorizados a ver los valores de las columnas originales verán en su lugar vistas redactadas de los valores en su aplicación.

Es bien sabido que IRI FieldShield es un producto de enmascaramiento de datos estáticos. Pero también se puede usar para enmascarar y desenmascarar datos en bases de datos y archivos planos de una forma más dinámica. Hemos visto casos de uso que requieren uno o ambos, cuando los datos en riesgo están en reposo (estáticos) o en movimiento (dinámicos) y necesitan protección.

DDM a través de 'redacción en vuelo' está disponible en IRI a través de:bibliotecas de enmascaramiento a las que se puede llamar mediante API que puede crear de forma personalizada y autenticada desde aplicaciones C, C++, Java o .NET (consulte SDK aquí); llamadas SQL (procedimiento); y pronto, un controlador JDBC especial administrado a través de un servidor proxy. Este artículo aborda el primer método para un dinámico enmascaramiento junto con el enmascaramiento de datos estáticos.

Para demostrar el enmascaramiento de datos tanto estáticos como dinámicos, utilizamos IRI Workbench, la interfaz gráfica gratuita para FieldShield y otro software IRI, construido en Eclipse™. En escenarios de seguridad de datos, cumplimiento y datos de prueba, los usuarios de Workbench se conectan a sus fuentes, realizan el descubrimiento y la clasificación, y luego crean y ejecutan funciones de enmascaramiento de datos estáticos.

Más específicamente, definen sus clases de datos y criterios de búsqueda, luego aplican reglas de enmascaramiento consistentes para protegerlos. Esto les ayuda a gobernar mejor sus datos y preservar la integridad referencial de sus fuentes. Y les ayuda a cumplir con las leyes de privacidad de datos y las necesidades comerciales.

Workbench también es compatible con la puntuación de riesgo de reidentificación, subconjuntos de bases de datos, generación y llenado de datos de prueba y muchas otras capacidades de administración de datos habilitadas en la plataforma IRI Voracity, que incluye FieldShield.

Estar en Eclipse también significa que Workbench es compatible con el desarrollo de aplicaciones Java y, por lo tanto, sus programas pueden enmascarar o desenmascarar dinámicamente datos utilizando funciones de biblioteca compatibles con las funciones estáticas. Una vez más, la API está documentada en FieldShield SDK.

Este artículo proporciona un ejemplo rápido del uso de FieldShield en Workbench para enmascarar datos estáticos de una tabla de base de datos y luego desenmascarar esos datos dinámicamente en un programa Java. Todo está configurado en IRI Workbench.

Configuración

Primero, construimos y completamos una tabla de muestra en MySQL usando el álbum de recortes de SQL del complemento Data Tools Platform (DTP). Definimos columnas para:nombre de usuario, correo electrónico, hora y comentarios:

Enmascaramiento de datos estáticos

Usamos el asistente 'Nuevo trabajo de enmascaramiento de datos...' del menú de la barra de herramientas superior en Workbench para adquirir rápidamente esa tabla y sus metadatos, y crear un trabajo para enmascarar estáticamente la columna de correo electrónico usando una de las funciones de cifrado AES 256 en FieldShield, enc_aes256. En la secuencia de comandos de FieldShield que creó el asistente, podemos ver la función que se aplicará a la columna una vez, y luego en filas nuevas en la tabla cuando el mismo trabajo se active o programe para ejecutarse nuevamente.

Una vez ejecutada, la tabla en la base de datos MySQL tendrá la columna de correo electrónico encriptada.

Enmascaramiento (Des) de datos dinámicos

Para demostrar el desenmascaramiento de datos dinámicos, o descifrado en este caso, llamamos a la función de descifrado correspondiente, dec_aes256, en la biblioteca API de FieldShield para Java:

Llamadas similares son posibles desde lenguajes .NET. Esta aplicación básica muestra cómo conectarse a la tabla MySQL, validar al usuario y mostrar tanto el valor de texto cifrado cifrado estáticamente de la tabla como el valor de correo electrónico de texto sin formato original descifrado dinámicamente en la consola:

Por supuesto, también podría haber realizado el descifrado en Workbench de forma estática con una tarea similar e independiente de FieldShield como esta:

La secuencia de comandos anterior descifra los valores de correo electrónico de texto cifrado y los devuelve a su texto sin formato original en cada fila de la base de datos. La salida puede ser la propia tabla de origen (para restaurarla), otros destinos (por ejemplo, para realizar pruebas) o ambos. Los scripts de tareas múltiples que abordan el enmascaramiento o desenmascaramiento de varias tablas se pueden crear automáticamente a través de los asistentes de FieldShield en Workbench (y preservar la integridad referencial) con o sin clases de datos definidas.

En este caso, puede verificar que los valores se hayan descifrado a su forma original conectándose a su base de datos MySQL y seleccionando los campos que desea ver, o simplemente mostrando la tabla en Workbench. La vista descifrada es la tabla original:

La conclusión es que puede enmascarar y desenmascarar datos de forma estática o dinámica utilizando IRI FieldShield. Utilice el modo independiente para operaciones estáticas y el modo API para dinámicas. Las funciones de enmascaramiento son compatibles y todas las soluciones están habilitadas en el mismo panel de vidrio.

  1. Se pueden ejecutar más funciones de desenmascaramiento/desenmascaramiento, además de muchas otras funciones de transformación y reformateo (a través de una licencia IRI CoSort o Voracity), contra esos datos en el mismo script de trabajo y paso de E/S .