Einfache Datenmaskierung mit DataSunrise
Die Datenmaskierungsfunktion bezieht sich auf den Schutz sensibler Daten jeglicher Art, indem sie durch spezielle Zeichen oder fiktive nutzlose Daten ersetzt werden. Dies ist eine häufig vorkommende Maßnahme bei der Arbeit mit Kreditkartennummern. Die meisten Belege zeigen nur die letzten vier Ziffern der Karte und ersetzen andere Ziffern durch Sternchen (*) oder Xs.
Wie der Name schon sagt, wird das DataSunrise-Datenmaskierungswerkzeug verwendet, um die Daten zu maskieren, die eine Datenbank enthält. In diesem Artikel werden wir einige Punkte zur Datenmaskierung hervorheben.
Warum benötigen wir Maskierung?
Der Hauptgrund für die Anwendung der dynamischen Datenmaskierung ist der Schutz persönlich identifizierbarer Daten oder kommerziell sensibler Daten. Unternehmen, die kritische Daten speichern, tragen die Verantwortung für den Datenschutz und die Vertraulichkeit der Daten ihrer Kunden. Bundesgesetze und Vorschriften wie GDPR, SOX, HIPAA und PCI DSS stellen hohe Anforderungen an Organisationen, um die Daten sicher zu halten. Die Datenmaskierung ist eine Möglichkeit, diese Anforderungen zu erfüllen, insbesondere wenn Sie mit Dritten zusammenarbeiten, die auf Ihre Datenbank für Berichtszwecke, Tests oder Entwicklungszwecke zugreifen müssen.
In den meisten Fällen benötigen Softwareentwickler nicht die tatsächlichen Daten aus der Datenbank, eine “Dummy”-Datenbank mit konsistenten fiktiven Daten genügt. Es ist auch ein hilfreiches Werkzeug, wenn Sie nur bestimmte Spalten der Datenbank maskieren müssen. Ausgefeilte Maskierungsalgorithmen machen es unmöglich für einen Benutzer, die Originaldaten durch Reverse-Engineering zu extrahieren.
Im Vergleich zur Verschlüsselung bleiben maskierte Daten teilweise lesbar. Mit Hilfe von Maskierungsmustern können Sie wählen, welche Teile des Inhalts maskiert werden sollen.
Vergleich der Hauptfunktionen der dynamischen und statischen Datenmaskierung
DataSunrise kann statische Datenmaskierung durchführen. Dies sind die Merkmale der statischen Datenmaskierung:
- Eine vollständige Kopie der Datenbank mit maskierten Informationen wird erstellt.
- Zusätzlicher Speicherplatz für die Kopie der Datenbank ist erforderlich.
- Die Datenbank kann veraltet sein, wenn die Originaldaten bearbeitet werden. Es kann notwendig sein, die Kopiedatenbank regelmäßig zu aktualisieren.
- Es ist völlig unmöglich, die Originaldaten wiederherzustellen, da der Inhalt der Datenbank geändert und nicht nur maskiert wird. Aber vor der Maskierung müssen die echten Daten aus der Datenbank extrahiert werden, was ein Expositionsrisiko darstellt.
DataSunrise kann dynamische Datenmaskierung durchführen. Dies sind die Merkmale der dynamischen Datenmaskierung:
- Die Daten werden zum Zeitpunkt der Anfrage “on-the-fly” maskiert. Dynamische Datenmaskierungssoftware fängt die Client-Abfrage ab und ändert die Datenbankantwort.
- Erfordert keine zusätzlichen Serverressourcen.
- Die Datenbank ist immer auf dem neuesten Stand.
- Es ist nicht notwendig, die gesamte Datenbank zu extrahieren. Der ursprüngliche Inhalt wird geändert, bevor er die Datenbank verlässt.
Nachteile der dynamischen und statischen Datenmaskierung
Die dynamische Datenmaskierung hat ihre Nachteile. Gespeicherte Prozeduren können nicht dynamisch maskiert werden, da ihre Ausführungsalgorithmen innerhalb der Datenbank gespeichert sind und Client-Anwendungen nur die Ausführung gemäß einem bereits bestehenden Plan anfordern. Daher erfordert die Maskierung gespeicherter Prozeduren das Umschreiben der Abfrageergebnisse, nicht der Abfrage selbst, wie DataSunrise es derzeit tut.
Der Nachteil der statischen Datenmaskierung besteht darin, dass Daten vor Beginn der Maskierung aus der Datenbank zur Analyse abgerufen werden müssen. Dabei besteht ein Risiko der Dateneinsicht, was das Sicherheitsniveau des Verfahrens verringert. Ein weiterer Nachteil ist, dass die Erstellung einer großen Datenbank kostspielig sein kann, da möglicherweise ein zusätzlicher Server erforderlich ist.
Dynamische Datenmaskierung mit DataSunrise
Wie Sie sehen können, ist die dynamische Maskierungsmethode viel vielseitiger, und deshalb verwenden wir sie in unserem Produkt.
Die DataSunrise Database Security Suite funktioniert als Proxy — sie fängt SQL-Abfragen an die geschützte Datenbank ab und modifiziert diese Abfragen so, dass die Datenbank nicht die tatsächlichen, sondern zufällige oder vordefinierte Daten ausgibt.
Bevor Sie die DataSunrise-Dynamische-Datenmaskierung verwenden, müssen Sie ermitteln, welche Datenbankeinträge geschützt werden müssen und wo sie sich befinden. Beachten Sie, dass DataSunrise eine vollständige Datenbank sowie Daten in einzelnen Spalten maskieren kann. DataSunrise protokolliert alle Aktionen, sodass Sie jederzeit überprüfen können, was passiert.
Die Verwendung des DataSunrise-Maskierungswerkzeugs ist sehr einfach. Alles, was Sie tun müssen, ist, das DataSunrise-Dashboard einzugeben und einige Maskierungsrichtlinien zu erstellen.
Hier müssen Sie die Informationen eingeben, die benötigt werden, um eine Maskierungsregel zu erstellen. Sie können die Anwendung definieren, deren Anfragen von der Firewall verarbeitet werden. Dann müssen Sie SQL-Anweisungen definieren, die gefiltert werden sollen, und den Maskierungstyp auswählen, der implementiert werden soll. Dies bedeutet, dass Sie eine Methode zur Generierung gefälschter Einträge auswählen können.
Dann sollten Sie die zu schützenden Datenbankelemente (Schemas, Tabellen oder Spalten) auswählen. Dies kann manuell über den praktischen Datenbankelement-Explorer oder mittels regulärer Ausdrücke erfolgen.
Und das war’s. Ganz einfach.
Statische Datenmaskierung mit DataSunrise
DataSunrise bietet auch die Möglichkeit der statischen Datenmaskierung.
Wie bereits erwähnt, ermöglicht die statische Maskierung die Erstellung einer voll funktionsfähigen Kopie einer Produktionsdatenbank, jedoch mit maskierten Daten im Inneren. Sie können eine solche Kopie zu Test- oder Entwicklungszwecken verwenden.
Zunächst müssen Sie, um die statische Maskierung einzusetzen, eine leere Kopie der Zieldatenbank erstellen. Öffnen Sie dann die DataSunrise-Webkonsole, Unterabschnitt Statische Datenmaskierung.
Hier müssen Sie angeben, welche Datenbank als Datenquelle und welche als Ziel (die “Dummy”) verwendet werden soll.
Auswahl der zu maskierenden Spalten und der Maskierungsarten. Wenn dies erledigt ist, geben Sie die Tabelle an, die in eine neue Datenbank übertragen werden soll, und die anzuwendenden Maskierungsalgorithmen (“Karte” und “Email”-Spalten hier). Dann können Sie den Maskierungsprozess starten und die Original- und maskierten Daten vergleichen. Original:
| Bestellung | Vorname | Nachname | Adresse | Bundesland | PLZ | Karte | |
|---|---|---|---|---|---|---|---|
| 4667 | Alma | Wade | 21 Green Lane, Newport | NE | 21771 | almwa@nprt.com | 6011-0551-9875-8094 |
| 6768 | Patric | Chang | 7 Marina View, Bergenfield | OR | 46368 | changgg@cheu.com | 5529-9038-2746-5861 |
| 5356 | Mona | Cherry | 31 The Village, Cranford | GA | 60515 | cherry@vill.com | 4539-7765-7903-5426 |
Und mit angewendeter Verschleierung:
| Bestellung | Vorname | Nachname | Adresse | Bundesland | PLZ | Karte | |
|---|---|---|---|---|---|---|---|
| 4667 | Alma | Wade | 21 Green Lane, Newport | NE | 21771 | a****@****.**m | XXXX-XXXX-XXXX-8094 |
| 6768 | Patric | Chang | 7 Marina View, Bergenfield | OR | 46368 | c******@****.**m | XXXX-XXXX-XXXX-XXXX |
| 5356 | Mona | Cherry | 31 The Village, Cranford | GA | 60515 | c*****@****.**m | XXXX-XXXX-XXXX-5426 |
Hinweis: natürlich möchten Sie in der Realität mehr Verschleierung anwenden, aber es ist ein einfaches Beispiel, um die Idee zu verstehen.
Schlussfolgerung
Die DataSunrise-Datenmaskierung bietet Ihnen ein weiteres zuverlässiges Werkzeug zum Schutz Ihrer Daten. Zusammen mit der DataSunrise-Datenbank-Firewall und der SQL-Injection-Präventionsfunktion kann sie eine zusätzliche Verteidigungslinie gegen digitale Bedrohungen darstellen.
DataSunrise unterstützt alle wichtigen Datenbanken und Data Warehouses wie Oracle, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Microsoft SQL Azure, Teradata und mehr. Sie sind herzlich eingeladen, eine kostenlose Testversion herunterzuladen, wenn Sie sie bei sich vor Ort installieren möchten. Falls Sie ein Cloud-Benutzer sind und Ihre Datenbank auf Amazon AWS oder Microsoft Azure betreiben, können Sie es vom AWS Marktplatz oder Azure Marktplatz beziehen.
Für weitere Informationen über die DataSunrise-Datenbanksicherheitsfunktionen lesen Sie bitte das DataSunrise-Benutzerhandbuch oder vereinbaren Sie eine Online-Demo.
