DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Informationstyp: Dateninspirierte Sicherheit Grundlagen

Informationstyp: Dateninspirierte Sicherheit Grundlagen

Einführung

DataSunrise bietet dateninspirierte Sicherheit, die einzigartige und leistungsstarke Funktionen für die schnelle Datenerkennung bei jeder Datenanforderung für eine gegebene Datenquelle bietet. Während dieser Ansatz einige Ausführungszeit-Overheads erzeugt, bietet er einen extrem flexiblen Datenbankschutz.

Informationstypen wurden in DataSunrise erstmals mit der Sensiblen Datenentdeckung eingeführt, die Datenbanken und Speichersysteme wie S3 auf sensible Daten scannt.

Informationstypen bieten Funktionalität über die grundlegende Datenerkennung hinaus. Sie ermöglichen die Echtzeiterkennung von Datentypen und können Schutz- oder Audit-Regeln automatisch auslösen, durch dateninspirierte Sicherheit bei jeder Datenbankanfrage. Außerdem erleichtern sie die Kennzeichnung von Audit-Pfaden, was es einfacher macht, bestimmte Datenzugriffsereignisse sowohl in Transaktionspfaden als auch in Logdateien zu verfolgen.

Informationstypen entdecken

Datenmerkmale müssen in einer Entität für die Analyse gespeichert werden. Manchmal haben diese Daten eine strenge Struktur mit Spaltennamen, Tabellennamen und Typen. Manchmal können sie als JSON, CSV-Dateien, Klartext oder sogar gescannte Dokumentbilder vorliegen. DataSunrise ermöglicht die Suche nach diesen Objekten nach sensiblen Daten.

Dies führt zu einer flexiblen Beschreibung von Informationstypen. Zum Beispiel können E-Mail-Daten mehrere Merkmale haben:

  • Spaltenname enthält “email”
  • Tabellenname enthält “email”
  • Daten entsprechen dem regulären Ausdruck “.*@.*

Um als E-Mail-Information klassifiziert zu werden, müssen die Daten mehrere Anforderungen erfüllen. Dies führt zu einer weiteren wichtigen DataSunrise-Entität namens Informationsattribut. Ein Informationstyp ist im Wesentlichen eine Sammlung von Attributen, die Daten erfüllen müssen, um als spezifischer Typ angesehen zu werden.

Bei der Suche nach sensiblen Daten in einer einfachen Textdatei ohne Spalten und Tabellen kann das Attributset unterschiedlich sein. Zum Beispiel könnte der Klartext-E-Mail-Informationstyp nur einen Regex-Abgleich erfordern, ohne dass zusätzliche Attribute benötigt werden.

Verfügbare Informationstypen in DataSunrise

DataSunrise beinhaltet zahlreiche integrierte Informationstypen, die jeweils mit populären Sicherheitsstandards (GDPR, HIPAA, SOX und andere) assoziiert sind. Während diese Assoziierung für benutzerdefinierte Typen nicht erforderlich ist, hilft sie, Aktivitäten nachzuverfolgen und Nutzungsdaten für Compliance-Audits zu sammeln.

Benutzer können benutzerdefinierte Informationstypen erstellen, die von einfach bis komplex reichen. Der integrierte E-Mail-Typ umfasst zum Beispiel Attribute, die mit Spaltennamen und komplexen Mustern für E-Mail-Inhalte übereinstimmen.

DataSunrise bietet mehrere Datumsinformationstypen, um verschiedene Datumsformatierungskonventionen zu berücksichtigen. Es ist erwähnenswert, dass verschiedene Informationstypen verwendet werden können, um denselben Datentyp zu identifizieren, wenn er in unterschiedlichen Formaten gespeichert ist.

Für einfachere Informationstyp-Abgleiche empfehlen wir die Erstellung benutzerdefinierter Typen mit flexibleren Attributen. In unserer Praxis erstellen die meisten Benutzer einen benutzerdefinierten E-Mail-Datentyp, der nur erfordert, dass der Dateninhalt einem einfachen regulären Ausdrucksmuster wie “@.*” entspricht.

Benutzerdefinierte Typen ermöglichen es Ihnen, sowohl neue Informationstypen zur Erkennung hinzuzufügen als auch zu steuern, wie streng diese Informationstypen mit Ihren Datenmustern übereinstimmen. Sie können Informationstypen erstellen, die mehrere Attribute erfordern, die jeweils Spaltennamen und Datenmuster enthalten, oder alternativ einfachere Informationstypen mit lediglich einem einzigen Attribut erstellen, das nur das Datenmuster überprüft.

Wie man einen benutzerdefinierten Informationstyp erstellt

Schritt 1 – Neuen Informationstyp hinzufügen

  1. Navigieren Sie zu Datenentdeckung – Informationstypen
  1. Drücken Sie die Schaltfläche „+ Informationstyp hinzufügen“ und geben Sie einen geeigneten Namen für Ihren benutzerdefinierten Informationstyp ein.
  1. Nachdem Sie den Namen des Informationstyps festgelegt haben, wird er in der Liste auf der Seite „Informationstypen“ angezeigt. Klicken Sie auf den neuen Informationstyp, um seine internen Parameter und Attribute zu bearbeiten. Lassen Sie uns den ‚Benutzerdefinierten E-Mail-Informationstyp‘ als Beispiel verwenden.

Die Informationsseiten-Bearbeitungsseite enthält drei Hauptabschnitte:

  • Im Abschnitt Attribute können Sie die tatsächlichen Abgleichsparameter für den Informationstyp festlegen. Sie können ein oder mehrere Attribute erstellen, und jedes Attribut kann Anforderungen für das Datenbankobjekt, den Spaltennamen und das Datenmuster enthalten. Der Informationstyp stimmt überein, wenn ein einzelnes Attribut übereinstimmt. Für eingeschlossene Attribute müssen alle Bedingungen (Objekt, Spaltennamenmuster und Datenmuster) erfüllt sein, falls angegeben.
  • Der Abschnitt Sicherheitsstandards ermöglicht es Ihnen, den Informationstyp mit Sicherheitsstandard(-en) zu verknüpfen. Dies wird von der Compliance-Funktion während der Entdeckungsaufgaben verwendet, da die Compliance-Funktion auf Sicherheitsstandards basiert.
  • Der Abschnitt Tags verwalten hilft Ihnen, Regelprotokolleinträge in Protokollen oder Berichten einfach zu finden. Sie können benutzerdefinierte Tags für diesen Zweck erstellen.

Schritt 2 – Attribut zum Informationstyp hinzufügen

  1. Erstellen wir ein einfaches Attribut für den „Benutzerdefinierten E-Mail-Informationstyp“. Drücken Sie die Schaltfläche „+ Attribut hinzufügen“, um zu beginnen. Wir werden es so einstellen, dass Daten abgeglichen werden, die einem einfachen E-Mail-Muster folgen: „.*@.*

Hinweis: Dieses Muster ist allzu simpel und wird fälschlicherweise ungültige Einträge wie „@.“ oder „!!!@…“ als Übereinstimmung erkennen. Ein robusteres E-Mail-Validierungsmuster sollte in produktiven Umgebungen verwendet werden.

Der neue Attributdialog erscheint mit zwei Panels: „Attribut“ links und „Testen“ rechts. Das Attribut-Panel wird verwendet, um Ihre neuen Attribut-Einstellungen zu konfigurieren, während das Test-Panel es Ihnen ermöglicht, diese Einstellungen während der Erstellung zu überprüfen.

Konzentrieren wir uns als Nächstes auf zwei Hauptbereiche: Attributfilter und Standardsicherungsmethode.

  1. Für Attributfilter lassen Sie sowohl die Felder Objektname als auch Spaltenname unverändert. Klicken Sie nur auf die Option Spaltendaten. Dies bedeutet, dass unser Attribut die Datenbankmuster Objektname und Spaltenname ignoriert und sich nur darauf konzentriert, zu überprüfen, ob die Datenzeichenfolge ein E-Mail-ähnliches Muster (mit einem @-Zeichen) enthält.
  2. Setzen Sie den Spaltendatentyp auf ‚Nur Strings‘ und die Suchmethode auf ‚Unstrukturierter Text‘.
  3. Geben Sie “.*@.*” in das Feld „Vorlage für Spalteninhalte (beginnen Sie jede Vorlage in neuer Zeile)“ ein. Bevor Sie das Attribut speichern oder es in Regeln oder Aufgaben verwenden, können wir testen, ob es E-Mail-Muster korrekt erkennt.
  1. Verwenden wir nun das Test-Panel auf der rechten Seite. Lassen Sie alle vorherigen Felder unverändert und geben Sie eine Beispiel-E-Mail wie “[email protected]” im Feld Spaltenwert ein. Klicken Sie auf die Test-Schaltfläche – die Ergebnisse sollten zeigen, dass das Attribut erfolgreich E-Mails in den Spaltendaten erkennt.

Schritt 3 – Attributmaskierungseinstellungen

  1. Klicken Sie auf „2. Standardsicherungsmethode“, um mit der Einrichtung der Sicherungsmethode fortzufahren. Dies wechselt das Attribut-Panel zur Sicherungseinrichtung.
  1. Setzen Sie das Sicherungsmethoden-Dropdown auf E-Mail-Maskierung. Die Standardsicherungsmethode wird im Daten-Compliance-Tool, in der dateninspirierten dynamischen Maskierung und in der statischen Maskierung verwendet. DataSunrise wendet diese Sicherungsmethode an, wenn keine Schlüsselbeschränkungen vorliegen, die aufrechterhalten werden müssen, um die Integrität der maskierten Datenbank zu bewahren.
  2. Setzen Sie das Dropdown-Menü für alternative Maskierungsmethoden auf FP Encryption FF3 Email. Alternative Maskierungsmethoden sind notwendig, um die referenzielle Integrität der Tabelle aufrechtzuerhalten. Sie können Fremdschlüssel nicht einfach mit zufälligen Zeichenketten maskieren, da dies die Referenzen zwischen Tabellen brechen würde. Die Maskierung muss sicherstellen, dass Referenzen aus anderen Tabellen nach der Anwendung der Maskierung weiterhin auf die richtigen Zeilen zeigen. Ähnlich müssen Primärschlüssel auch nach der Maskierung einzigartig bleiben und ihre referenziellen Beziehungen zu anderen Tabellen aufrechterhalten.

Das folgende Beispiel zeigt die statische Maskierung mit der Standard- und alternativen Maskierungsmethode. Die ’email’- und ‘contact_email’-Spalten werden aufgrund von Schlüsselbeschränkungen unterschiedlich maskiert. Zum Beispiel wird John Does E-Mail-Adresse, die über eine Fremdschlüsselbeschränkung verfügt, als ‘[email protected]’ maskiert. Unterdessen wird seine contact_email, die keine Beschränkungen aufweist, mit der Standardmethode maskiert und erscheint als ‘j***.***@.**m’.

Wichtig: Während dieses Setup mit herkömmlichen Datenbanken kompatibel ist, folgen einige Speichersysteme wie Amazon S3 und unstrukturierte Textdateien nicht der typischen Datenbankorganisation mit Spalten und Objekten. Bei diesen Speichertypen sollten Sie vorsichtig bei der Verwendung von Objekt- und Spaltennamensfiltern sein, da sie eine ordnungsgemäße Datenzuordnung verhindern können.

  1. Klicken Sie auf die Schaltfläche „Hinzufügen“, um das Attribut mit dem Informationstyp zu verknüpfen.

Testen von Informationstypen mit alternativen Maskierungsmethoden

Das folgende Beispiel zeigt, wie DataSunrise sowohl die Standard- als auch alternative Maskierungsmethoden implementiert. Lassen Sie uns dies anhand der Erstellung von Beispieltabellen betrachten:

-- Erstellung der E-Mails Tabelle (Elterntabelle)
CREATE TABLE emails (
    email VARCHAR(50) PRIMARY KEY,
    email_type VARCHAR(20),
    created_date DATE
);
-- Erstellung der Mitarbeiter-Tabelle mit zusätzlichem contact_email
CREATE TABLE employees (
    employee_id INT PRIMARY KEY,
    first_name VARCHAR(30),
    last_name VARCHAR(30),
    email VARCHAR(50),
    contact_email VARCHAR(50),
    hire_date DATE,
    FOREIGN KEY (email) REFERENCES emails(email)
);
-- Daten in die E-Mails Tabelle einfügen
INSERT INTO emails VALUES
('[email protected]', 'corporate', '2023-01-15'),
('[email protected]', 'corporate', '2023-02-20'),
…
('[email protected]', 'corporate', '2023-05-01');
-- Daten in die Mitarbeiter-Tabelle mit Kontakt-E-Mails einfügen
INSERT INTO employees VALUES
(1, 'John', 'Doe', '[email protected]', '[email protected]', '2023-01-16'),
(2, 'Sarah', 'Smith', '[email protected]', '[email protected]', '2023-02-21'),
…
(5, 'Peter', 'Jones', '[email protected]', '[email protected]', '2023-05-02');

Statische Maskierung mit Standard- und alternativer Maskierung

Statische Maskierung ermöglicht es Benutzern, automatisch sensible Daten zu maskieren, die während des Entdeckungsprozesses identifiziert wurden. Dieser automatisierte Ansatz, bekannt als Automatischer Modus, bestimmt, welche Quelltabellen übertragen werden sollen und welche Spalten maskiert werden. Das System implementiert zwei unterschiedliche Maskierungsstrategien: eine für Standarddatenfelder und eine andere für relationale Datenkomponenten (wie Fremd- und Primärschlüssel). Dieser doppelte Ansatz gewährleistet Datenkonsistenz bei gleichzeitiger Aufrechterhaltung der referenziellen Integrität innerhalb der Datenbankbeziehungen.

Während der Ausführung der Statistiken-Maskierungsaufgabe auf der Tabelle „employees“ wurden unterschiedliche Maskierungsmethoden auf die E-Mail-Felder angewendet. Die beschränkte ’email’-Spalte, die als Fremdschlüssel dient, behielt ihr Format durch formatbewahrende Maskierung. Unterdessen wurde die unbeschränkte ‘contact_email’-Spalte einer einfachen Zeichnermaskierung unterzogen, bei der nur der mittlere Teil der E-Mail-Adressen verdeckt wurde.

Fazit

Dieser Artikel bot eine ausführliche Erkundung der DataSunrise-Informationstypen. Wir führten Sie durch die Hauptschritte zur Erstellung von Informationstypen und zur Definition ihrer Attribute. Informationstypen werden hauptsächlich in der Datenentdeckung verwendet, um sensible Daten basierend auf spezifischen Eigenschaften zu identifizieren, die durch ihre Attribute definiert sind. Darüber hinaus werden diese Informationstypen aktiv während des Datenzugriffs durch eine Funktion namens Dateninspirierte Sicherheit verwendet, die Datenmaskierung, Blockierung und Ereignisprotokolltagging ermöglicht.

Wir untersuchten auch Anwendungsfälle für die Standardsicherung und diskutierten, wie alternative Sicherungsmethoden angewendet werden können, wenn statistische Maskierungsaufgaben auf Schlüsselbeschränkungen in der maskierten Datenbank treffen.

Nächste

Database Audit für Azure SQL

Database Audit für Azure SQL

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Vertrieb:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]