【产品技术】创建敏感数据脱敏策略说明
SQL注入攻击会导致数据库中存放的用户各类敏感数据泄露,攻击者通过盗取用户隐私信息获取利益。DBSS提供的敏感数据发现和动态数据脱敏功能,可以确保数据库用户敏感信息不被泄露。
创建敏感数据发现任务
HexaTier内置PCI、HIPAA、SOX、GDPR等合规知识库,用户也可以自定义敏感数据的规则知识库,并通过配置相应敏感数据发现策略来发现数据库中的敏感数据。基于敏感数据发现结果,可生成脱敏规则和防火墙规则。
HexaTier根据用户创建的发现任务,在选定数据库实例的指定范围中,自动识别敏感数据,并对敏感数据进行分类。一旦识别到敏感数据,HexaTier将生成发现结果和GDPR报告。
参数名称 |
说明 |
语言 |
选择适用的模式语言: |
合规 |
应用于该发现任务的合规组。 |
实例名称 |
选择要应用该发现任务的实例。 |
范围 |
选择适用的范围: |
可选项 |
可根据需要选择“可选项”。“二进制类型”支持通过扫描发现二进制列,识别图片和敏感文档。 |
扫描行数 |
支持对选择对象内所包含表中的行进行随机采样,扫描行数就是需要采样的行数。 |
执行计划 |
设置要执行该发现任务的时间计划,选项包括: |
禁用任务 |
勾选该复选框,可以禁用该发现任务。 |
现在:选中该选项,保存后,可以在当前立即执行一次该发现任务。
一次:选择该选项,并设置执行时间,可以在设定的时间执行一次该发现任务。
每天:选中该选项,并设置执行时间,可以在每天的固定时间执行该发现任务。
每周:选中该选项,并设置执行时间,可以在每周的固定时间执行该发现任务。
每月:选中该选项,并设置执行时间,可以在每月的固定日期和时间执行该发现任务。
数据库类型为MySQL时,“范围”不支持选择“Schema”。
只有选择了范围之后,才可以选择具体数据库、schema或表。
Instance:适用于选择的整个数据库实例。
DB:适用于选定数据库实例下的指定数据库,并至少选择一个要应用该发现任务的数据库。
Schema:适用于选定数据库实例下的指定schema,并至少选择一个要应用该发现任务的schema。
Table:适用于选定数据库实例下的指定表,并至少选择一个要应用该发现任务的表。
en-us:适用于待发现数据库信息为英文地域数据信息
zh-cn:适用于待发现数据库信息为中国地域数据信息
all:适用于待发现数据库信息包括以上两种地域数据信息
创建数据脱敏规则
HexaTier提供实时数据脱敏能力,并确保数据库用户敏感信息不被泄露。使用敏感数据脱敏功能,不会更改数据库或应用中的任何内容。
HexaTier支持信用卡脱敏、邮箱脱敏、数字脱敏(显示随机数和隐藏所有数字)、固定字符串脱敏、空白脱敏、脱敏所有六种脱敏算法。
脱敏算法 |
脱敏方式说明 |
信用卡脱敏 |
显示信用卡的最后四位数字,其他字符被脱敏。 |
邮箱脱敏 |
电子邮件地址的用户名和域都被脱敏。例如,“abcdefg@company.com”转换为“XXXXXXX@XXXXXXX.com”。 |
数字脱敏 |
|
固定字符串脱敏 |
用“CONFIDENTIAL”替换列中的所有值。 |
空白脱敏 |
敏感信息以空字符串返回。 |
脱敏所有 |
所有数据都被脱敏。 |
参数名称 |
说明 |
源IP地址 |
通过设置该参数,用户可以将规则应用于来自任何IP的查询,或仅应用于来自特定IP地址、IP范围或IP地址组的查询。用户可以单击“新建”来创建新的源IP地址或IP范围。 |
数据库用户名 |
通过设置该参数,用户可以将规则应用于来自任何数据库用户的查询,或仅应用于特定用户或用户组的查询。 |
活动目录用户 |
通过设置该参数,用户可以将规则应用于来自任何活动目录用户的查询,或仅用于特定活动目录用户或用户组的查询。 只有配置了活动目录之后,该参数才会显示。配置活动目录的详细操作。 |
应用名称 |
通过设置该参数,用户可以将规则应用于来自任何应用的查询,或者来自特定应用或应用组的查询。 |
同时生成(SMTP)告警 |
当该规则定义的事件发生时,通过电子邮件发送告警。要使用该选项,请确保告警已正确配置,且已启用。 |
禁用规则 |
勾选复选框可以禁用该规则。 |
表字段 |
此规则脱敏的字段。如果需要,可以通过单击“新建”使用新列向导添加新列。 只有当用户在承载此数据库的数据库服务器中输入凭证时,才能选择列。 |
脱敏方式 |
根据所选列类型确定应用的数据脱敏类型。 |
应用于所有数据库 |
选中该复选框后,在同一代理中,即使表和字段存在于不同的数据库,该策略也将应用于相同的对象。 |
替代字符 |
如果在“脱敏方式”中选择了“脱敏所有”、“信用卡脱敏”或“全邮箱脱敏”,则用户可以选择对脱敏字符的替代字符。 |
条件 |
针对列中满足定义条件的数据进行脱敏。 |
日志记录 |
确定是否记录数据脱敏事件。 |
如果定义了两种或更多类型的列,则只能选择“脱敏所有”。
如果在“脱敏方式”中选择了“隐藏所有数字”,则需要在每个受保护的数据库上创建存储过程。
- 点赞
- 收藏
- 关注作者
评论(0)