Dynamische Datenmaskierung
Dynamische Datenmaskierung mit DataSunrise
Dynamische Datenmaskierung, oder DDM, ist eine Technik, die hauptsächlich zum Schutz von Daten vor unautorisiertem Zugriff verwendet wird, aber auch für Softwaretests und Schulungen genutzt wird. Das Hauptziel der Datenmaskierung im Allgemeinen besteht darin, Daten zu generieren, die funktional und strukturell ähnlich den echten Daten sind, ohne jedoch letztere zu offenbaren. Da die meisten Organisationen strenge Vorschriften bezüglich der Offenlegung von sensiblen Informationen haben, ist die Implementierung der dynamischen Datenmaskierung unerlässlich für den Schutz von Unternehmen.
In diesem Artikel werden wir die Feinheiten der DDM, wie sie sich von der SDM unterscheidet und was DataSunrise in Bezug auf dieses Thema zu bieten hat, untersuchen.
Unterschiede zwischen dynamischer und statischer Datenmaskierung
Beide Techniken dienen demselben Zweck, nämlich der Maskierung sensibler Daten, unterscheiden sich jedoch im Ansatz. Die statische Datenmaskierung wird verwendet, um eine separate, maskierte Kopie der Quelle zu erstellen, bei der sensible Daten durch realistische, aber fiktive Informationen ersetzt werden. Dieser Ansatz ist sicherer, da keine Spur der Originaldaten in der maskierten Kopie verbleibt. Er ist äußerst nützlich in Situationen, in denen einer externen Partei zu Forschungs- und Analysezwecken Zugriff auf eine Datenbank gewährt werden muss.
Die dynamische Maskierung hingegen maskiert die Daten in Echtzeit, wenn sie aus einer Datenbank abgefragt werden, und speichert die maskierten Daten nirgendwo. Es ist ein leichterer Ansatz zur Datenmaskierung, da keine Kopie einer ganzen Datenbank erstellt werden muss, sondern nur einzelne Abfrageergebnisse. Es kann auch mit RBAC integriert werden, um Produktionsdatenbanken innerhalb der Organisation noch besser abzusichern.
Integrierte dynamische Datenmaskierungsmethoden
Die Mehrheit der DMBS bietet Mittel zur Datenmaskierung, einige einfacher, andere komplizierter. Beispielsweise ist PostgreSQL aufgrund seiner Open-Source-Natur reich an Plugins. Eines solcher Plugins ist pg_maskdata. Ebenso verfügt ein kommerzielles DBMS wie OracleDB über eine integrierte Data Redaction-Funktion speziell zur Maskierung.
Auch wenn ein DBMS kein spezifisches Maskierungstool hat, besitzt SQL selbst Trigger, mittels derer ein Benutzer seine eigenen Maskierungstools schreiben kann, obwohl dies mühsam und oft auch umgebungsabhängig sein kann.
DataSunrise, eine Datenbanksicherheitslösung, fungiert hingegen als Proxy für jede Datenbank gleichzeitig, sodass jede Maskierungsregel universell für alle unterstützten DBMS ist. Dies vereinfacht den Prozess der dynamischen Maskierung für den Endbenutzer erheblich.
Wie DataSunrise dynamische Datenmaskierung implementiert
DataSunrise, eine Datenbanksicherheitslösung, bietet Benutzern viele Werkzeuge zur Sicherung ihrer Daten für eine sehr breite Vielfalt von DBSM, einschließlich SQL Server, Oracle, PostgreSQL, NoSQL’s MongoDB und sogar Cloud-basierte DBs wie Amazon Redshift. Mit der intuitiven Oberfläche von DataSunrise kann man DDM leicht in ihre Projekte implementieren, ohne eine einzige Änderung an der Quelldatenbank vornehmen zu müssen. DataSunrise fungiert ausschließlich als Proxy, daher sind keine Änderungen erforderlich, nur der Zugriff auf die DB und die ordnungsgemäße Konfiguration des DS-Servers. Ein Benutzer kann DDM durch die Angabe von Maskierungsregeln konfigurieren.
Jede Maskierungsregel besteht aus drei Hauptabschnitten: Aktionseinstellungen, Filtereinstellungen und Maskierungseinstellungen.
Aktionseinstellungen
Dieser Abschnitt enthält alle zugehörigen Einstellungen, wie z.B. ob das Maskierungsereignis protokolliert werden soll, ob darüber benachrichtigt werden soll und wen zu benachrichtigen, ob Updates von Zeilen mit maskierten Daten blockiert werden sollen und so weiter.
Filtereinstellungen
Dieser Abschnitt ermöglicht es Benutzern, ein leistungsstarkes RBAC für ihre Datenbanken zu konfigurieren. Es erlaubt die Konfiguration des Zugriffs basierend auf:
- Anwendung, die auf die DB zugreift
- Anwendungsbenutzer oder Benutzergruppen
- DB-Benutzer oder Benutzergruppen
- OS-Benutzer oder Benutzergruppen
- Host
- Netzwerkschnittstelle
- Welcher Proxy für die Abfrage versucht wurde
Der Filter kann mehrere dieser Bedingungen umfassen, die erfüllt werden müssen. Dies ermöglicht ein sehr vielseitiges Zugriffsmanagement.
Maskierungseinstellungen
Hier wird die eigentliche Maskierung konfiguriert. Dieser Abschnitt erlaubt die Auswahl der zu maskierenden Schemata, Tabellen, Zeilen oder Spalten und die Methode der Maskierung. Es gibt eine Vielzahl von Standard-Maskierungsmethoden für jeden Datentyp, aber der Benutzer kann auch seine eigenen Methoden mit verschiedenen Mitteln wie beispielsweise Lua-Skripten schreiben.
Dynamische Maskierungsereignisse
Wann immer eine Regel mit aktivierter Option “Ereignis im Speicher protokollieren” ausgelöst wird, kann das Ergebnis im Abschnitt “Dynamische Maskierungsereignisse” überprüft werden. Es ist einfach, die Aktionen der Benutzer in einer Datenbank nachverfolgen, was den Administratoren mehr Sicherheitsoptionen bietet.
Erfahrungen mit der Datenmaskierung mit DataSunrise
Angenommen, wir haben eine PostgreSQL-Datenbank mit einer “users” Tabelle, die den Namen der Benutzer, die Kreditkartennummer und die E-Mail-Adresse enthält. Die Kreditkartennummer würde als sensible Information betrachtet werden, daher muss eine Maskierung durchgeführt werden. Derzeit sieht die Abfrage der Daten so aus:
Um DataSunrise mit der Datenbank zu integrieren, müssen wir es nur als Proxy mit DS verbinden. Danach erstellen wir eine Maskierungsregel speziell für die Spalte “Kartennummer”:
Nach Anwendung der Regel und Durchführung einer Select-Abfrage über den nun Proxy erhalten wir dies:
Die Kreditkartennummer ist ordnungsgemäß maskiert. Da die Protokollierungsoption für die Regel aktiviert ist, können wir die Protokolle in der DS-Oberfläche überprüfen.
Vorteile von DDM mit DataSunrise
Durch die Nutzung der dynamischen Datenmaskierung mit DataSunrise können Organisationen:
- Sensible Daten schützen: Schützen Sie PII, finanzielle Informationen und andere sensible Daten vor unbefugtem Zugriff und verringern Sie das Risiko von Datenverletzungen.
- Vorschriften einhalten: Erfüllen Sie Datenschutzvorschriften wie GDPR, HIPAA, CCPA und PCI DSS, indem Sie sensible Daten maskieren und den Zugriff darauf kontrollieren. Dank der Datenkonformitätsfunktion helfen KI-Tools von DataSunrise dabei, sensible Daten automatisch gemäß diesen Vorschriften zu entdecken.
- Datenfunktionalität mit RBAC beibehalten: Ermöglichen Sie autorisierten Benutzern die Arbeit mit originalen, unmaskierten Daten, während sensible Informationen vor unbefugtem Zugriff geschützt sind, um die Datenfunktionalität für legitime Zwecke zu erhalten.
- Implementierung vereinfachen: Implementieren Sie dynamische Datenmaskierung schnell und einfach mit der intuitiven Oberfläche und den vorgefertigten Maskierungsfunktionen von DataSunrise, ohne dass umfangreiche Codierung oder Datenbankänderungen erforderlich sind.
Schlussfolgerung
Die dynamische Datenmaskierung ist ein wichtiges Werkzeug für Organisationen, die sensible Daten vor unbefugtem Zugriff schützen möchten. DataSunrise hilft Unternehmen, sensible Informationen zu schützen und Datenschutzvorschriften zu erfüllen, indem es dynamische Datenmaskierung für Sicherheit und Datenschutz verwendet. DataSunrise ist eine großartige Option für Organisationen, die ihre Datensicherheit verbessern möchten. Kontaktieren Sie unser Expertenteam, um eine Demo zu vereinbaren und entdecken Sie die Möglichkeiten, die es jetzt bietet.