Einfache Datenmaskierung mit DataSunrise
Das Datenmaskierungs-Feature dient dem Schutz sensibler Daten jeder Art, indem diese durch spezielle Zeichen oder fiktive, nutzlose Daten ersetzt werden. Dies ist eine häufig vorkommende Maßnahme beim Umgang mit Kreditkartennummern. Die meisten Quittungen zeigen nur die letzten vier Zahlen der Karte an und ersetzen die anderen Zahlen durch Sternchen (*) oder Xs.
Wie der Name schon sagt, wird das DataSunrise Data Masking Tool verwendet, um die Daten, die eine Datenbank enthält, zu maskieren. In diesem Artikel werden wir einige Punkte zur Datenmaskierung hervorheben.
Warum brauchen wir die Maskierung?
Der Hauptgrund für die Anwendung dynamischer Datenmaskierung ist der Schutz persönlich identifizierbarer oder kommerziell sensibler Daten. Unternehmen, die kritische Daten speichern, tragen die Verantwortung für den Datenschutz und die Vertraulichkeit der Daten ihrer Kunden. Bundesgesetze und Vorschriften wie GDPR, SOX, HIPAA und PCI DSS stellen genaue Anforderungen an Organisationen, die Sicherheit der Daten zu gewährleisten. Datenmaskierung ist eine der Möglichkeiten, diese Anforderungen zu erfüllen, besonders wenn Sie mit externen Mitarbeitern arbeiten, die auf Ihre Datenbank für Berichte, Tests oder Entwicklungszwecke zugreifen müssen.
In den meisten Fällen benötigen Softwareentwickler nicht die tatsächlichen Daten aus der Datenbank, eine „Dummy“-Datenbank mit konsistenten fiktiven Daten reicht aus. Es ist auch ein nützliches Tool, wenn Sie nur bestimmte Spalten der Datenbank maskieren müssen. Hochentwickelte Maskierungsalgorithmen machen es einem Benutzer unmöglich, die Originaldaten durch Reverse-Engineering abzurufen.
Im Vergleich zur Verschlüsselung bleiben maskierte Daten teilweise lesbar. Mit Hilfe von Maskierungsmustern wählen Sie aus, welcher Teil des Inhalts maskiert werden soll.
Vergleich der Hauptmerkmale von Dynamischer und Statischer Datenmaskierung
DataSunrise kann Statische Datenmaskierung durchführen. Dies sind die Merkmale der statischen Datenmaskierung:
- Eine vollständige Kopie der Datenbank mit maskierten Informationen wird erstellt.
- Zusätzlicher Speicherplatz für die Kopie der Datenbank ist erforderlich.
- Die Datenbank kann veraltet sein, wenn die Originaldaten geändert werden. Es kann notwendig sein, die Kopie der Datenbank regelmäßig zu aktualisieren.
- Es ist vollständig unmöglich, die Originaldaten abzurufen, da der Inhalt der Datenbank geändert wird, nicht nur maskiert. Aber bevor die Daten maskiert werden, müssen die echten Daten aus der Datenbank extrahiert werden, was ein Expositionsrisiko darstellt.
DataSunrise kann Dynamische Datenmaskierung durchführen. Dies sind die Merkmale der dynamischen Datenmaskierung:
- Die Daten werden „on-the-fly“ zum Zeitpunkt der Abfrage maskiert. Die Software zur dynamischen Datenmaskierung fängt die Client-Abfrage ab und ändert die Antwort der Datenbank.
- Es sind keine zusätzlichen Serverressourcen erforderlich.
- Die Datenbank ist immer auf dem neuesten Stand.
- Es ist nicht notwendig, die gesamte Datenbank zu extrahieren. Der Originalinhalt wird geändert, bevor die Datenbank verlassen wird.
Nachteile der Dynamischen und Statischen Datenmaskierung
Die dynamische Datenmaskierung hat ihre Nachteile. Gespeicherte Prozeduren können nicht dynamisch maskiert werden, da ihre Ausführungsalgorithmen innerhalb der Datenbank gespeichert werden und Client-Anwendungen nur die Ausführung gemäß einem bereits bestehenden Plan anfordern. Daher erfordert die Maskierung gespeicherter Prozeduren das Umschreiben der Abfrageergebnisse, nicht der Abfrage selbst, wie es DataSunrise derzeit tut.
Der Nachteil der statischen Datenmaskierung besteht darin, dass Daten vor Beginn der Maskierung aus der Datenbank abgerufen werden müssen. Gleichzeitig besteht das Risiko einer Datenoffenlegung, wodurch das Sicherheitsniveau des Verfahrens verringert wird. Ein weiterer Nachteil besteht darin, dass die Erstellung einer großen Datenbank kostspielig sein kann, da möglicherweise ein zusätzlicher Server erforderlich ist.
Dynamische Datenmaskierung mit DataSunrise
Wie Sie sehen können, ist die dynamische Maskierungsmethode viel vielseitiger und deshalb verwenden wir sie in unserem Produkt.
Die DataSunrise Database Security Suite funktioniert als Proxy — sie fängt SQL-Abfragen an die geschützte Datenbank ab und ändert diese Abfragen so, dass die Datenbank nicht die tatsächlichen, sondern zufällige oder vordefinierte Daten ausgibt.
Bevor Sie die dynamische Datenmaskierung von DataSunrise verwenden, müssen Sie bestimmen, welche Datenbankeinträge geschützt werden müssen und wo sie sich befinden. Beachten Sie, dass DataSunrise eine vollständige Datenbank sowie Daten in einzelnen Spalten maskieren kann. DataSunrise protokolliert alle Aktionen, sodass Sie jederzeit überprüfen können, was gerade passiert.
Die Verwendung des DataSunrise Maskierungstools ist sehr einfach. Alles, was Sie tun müssen, ist, das DataSunrise Dashboard aufzurufen und einige Maskierungsrichtlinien zu erstellen.
Hier müssen Sie die Informationen eingeben, die erforderlich sind, um eine Maskierungsregel zu erstellen. Sie können die Anwendung definieren, deren Anfragen von der Firewall verarbeitet werden sollen. Dann müssen Sie die SQL-Anweisungen definieren, die gefiltert werden sollen, und den zu implementierenden Maskierungstyp auswählen. Das bedeutet, dass Sie eine Methode zur Generierung von Fake-Einträgen auswählen können.
Dann sollten Sie die zu schützenden Datenbankelemente (Schemata, Tabellen oder Spalten) auswählen. Dies kann manuell über den praktischen Datenbankelemente-Explorer oder durch die Verwendung von regulären Ausdrücken erfolgen.
Und das war’s. Ganz einfach.
Statische Datenmaskierung mit DataSunrise
DataSunrise verfügt auch über die Fähigkeit zur statischen Datenmaskierung.
Wie bereits erwähnt, ermöglicht die statische Maskierung das Erstellen einer voll funktionsfähigen Kopie einer Produktionsdatenbank, jedoch mit maskierten Daten im Inneren. Sie können eine solche Kopie zu Test- oder Entwicklungszwecken verwenden.
Zuerst müssen Sie, um statische Maskierung zu verwenden, eine leere Kopie der Zieldatenbank erstellen. Dann öffnen Sie die DataSunrise-Webkonsole, Unterabschnitt Statische Datenmaskierung.
Hier müssen Sie angeben, welche Datenbank als Datenquelle und welche als Ziel (die „Dummy“-Datenbank) verwendet werden soll.
Spalten zur Maskierung und Maskierungstypen auswählen. Sobald das erledigt ist, geben Sie eine Tabelle an, die in eine neue Datenbank übertragen werden soll, und die anzuwendenden Maskierungsalgorithmen („Karten“- und „E-Mail“-Spalten hier). Dann können Sie den Maskierungsprozess starten und die Original- und maskierten Daten vergleichen. Original:
| Bestellung | Vorname | Nachname | Adresse | Bundesland | PLZ | Karte | |
|---|---|---|---|---|---|---|---|
| 4667 | Alma | Wade | 21 Green Lane, Newport | NE | 21771 | almwa@nprt.com | 6011-0551-9875-8094 |
| 6768 | Patric | Chang | 7 Marina View, Bergenfield | OR | 46368 | changgg@cheu.com | 5529-9038-2746-5861 |
| 5356 | Mona | Cherry | 31 The Village, Cranford | GA | 60515 | cherry@vill.com | 4539-7765-7903-5426 |
Und mit angewendeter Obfuskierung:
| Bestellung | Vorname | Nachname | Adresse | Bundesland | PLZ | Karte | |
|---|---|---|---|---|---|---|---|
| 4667 | Alma | Wade | 21 Green Lane, Newport | NE | 21771 | a****@****.**m | XXXX-XXXX-XXXX-8094 |
| 6768 | Patric | Chang | 7 Marina View, Bergenfield | OR | 46368 | c******@****.**m | XXXX-XXXX-XXXX-XXXX |
| 5356 | Mona | Cherry | 31 The Village, Cranford | GA | 60515 | c*****@****.**m | XXXX-XXXX-XXXX-5426 |
Hinweis: natürlich möchten Sie in der Realität eine stärkere Obfuskierung verwenden, aber dies ist ein einfaches Beispiel, um die Idee zu verdeutlichen.
Fazit
Die Datenmaskierung von DataSunrise bietet Ihnen ein weiteres zuverlässiges Tool zum Schutz von Daten. Zusammen mit der DataSunrise-Datenbank-Firewall und den SQL-Injection-Präventionsmöglichkeiten kann es eine zusätzliche Verteidigungslinie gegen digitale Bedrohungen darstellen.
DataSunrise unterstützt alle wichtigen Datenbanken und Data Warehouses wie Oracle, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Microsoft SQL Azure, Teradata und mehr. Sie können eine kostenlose Testversion herunterladen, wenn Sie es vor Ort installieren möchten. Falls Sie ein Cloud-Nutzer sind und Ihre Datenbank auf Amazon AWS oder Microsoft Azure betreiben, können Sie es aus dem AWS-Marktplatz oder dem Azure-Marktplatz beziehen.
Für weitere Informationen über die Sicherheitsfunktionen der DataSunrise-Datenbank lesen Sie bitte das Benutzerhandbuch von DataSunrise oder vereinbaren Sie eine Online-Demo.
