Одной их основных функций межсетевого экрана DataArmor Database Firewall является маскировка данных — Data Masking. Как и другие инструменты DataArmor, маскировка служит для защиты важной информации, содержащейся в базе данных (БД), однако, её следует отличать от шифрования или блокирования доступа к информации.

Так, блокировка полностью предотвращает доступ к таблицам БД, а шифрование видоизменяет содержимое записей настолько, что они становятся нечитаемыми для неавторизованного пользователя. При маскировке же доступ к данным сохраняется, но вместо реального содержимого БД клиент получает ложную информацию, не имеющую никакой ценности.

Важно, что структура замаскированных данных сохраняется, а сами записи могут выглядеть «как настоящие». Например, замаскированный список сотрудников фирмы может содержать реалистичные имена и фамилии, но скомбинированные случайным образом, что делает идентификацию человека невозможной. Замаскированные записи при выводе также могут заменяться заранее заданными строками (например, «конфиденциально» или «доступ ограничен»).

Когда применяется маскировка данных

В некоторых случаях компаниям приходится передавать свою БД третьим лицам — например, сторонним IT-специалистам для тестирования. Однако, суть дела в том, что в большинстве случаев аналитикам или программистам не требуются реальные сведения компании — им достаточно «макета» БД, который выглядит и работает как «настоящая» БД. Именно в подобных случаях и используется маскировка.

Методы маскировки данных

Существует две методики маскировки данных, принципиально различающиеся между собой: статическая и динамическая маскировка.

При статической маскировке создается копия корпоративной базы данных, в которой все реальные сведения заменяются на ложные. Поскольку в обработанной таким образом БД полностью отсутствует оригинальный контент, статическая маскировка является основным способом сокрытия информации для организаций, сотрудничающих со сторонними разработчиками ПО (например, аутсорсинговыми компаниями).

Хотя метод статической маскировки надёжен, он имеет и серьёзные недостатки. В частности, перед запуском процедуры маскировки данные необходимо извлечь из базы для анализа и оценки. Очевидно, что подобная ситуация представляет потенциальную угрозу безопасности, поскольку при этом открывается доступ к важным сведениям.

Кроме того, создание копии большой базы данных может быть достаточно затратным, ведь для этого может потребоваться не только выделить свободное место на сервере компании, но и установить дополнительный сервер. Вдобавок, для поддержания макета БД в актуальном состоянии потребуется его периодическое обновление.

Динамическая маскировка, в свою очередь, предусматривает подмену конфиденциальных данных в режиме реального времени при обращении клиента к БД. Таким образом, реальные данные не покидают БД — они заменяются на ложные, фактически, еще на этапе запроса.

Очевидно, что в случае использования динамической маскировки размеры БД не имеют значения. Более того, отпадает необходимость в каких-либо манипуляциях с самой БД или содержащейся в ней информацией.

Поскольку метод динамической маскировки данных является более универсальным и совершенным, в DataArmor используется именно он.

Маскировка данных в DataArmor

Функция маскировки данных в DataArmor работает следующим образом: межсетевой экран перехватывает запросы к БД и модифицирует их согласно заданным администратором правилам. В итоге, получив модифицированный запрос, БД выдает в ответ ложные или предварительно заданные сведения взамен реальных.

Важно, что DataArmor позволяет замаскировать как всю базу данных, так и записи, содержащиеся в отдельных колонках. Поэтому, чтобы замаскировать данные при помощи DataArmor, нужно предварительно выяснить, какую именно информацию нужно защитить и где она находится.

раздел Data Masking

Общий вид главной страницы раздела DataMasking

В целом, процесс работы с инструментом маскировки данных в DataArmor не представляет особой сложности. Для этого достаточно войти в Панель управления DataArmor и в разделе Data Masking создать соответствующие правила.

Процесс создания правил подробно описан в инструкции к DataArmor Database Firewall, поэтому здесь он не рассматривается.

Создание правила маскировки данных в DataArmor

Создание правила маскировки данных в DataArmor

Обратите внимание, что DataArmor позволяет обрабатывать как запросы определённых пользователей, так и запросы, исходящие с заданных ip-адресов.

дерево объектов

Дерево объектов БД (будет замаскирована колонка Salary таблицы test_table)

После внесения необходимых сведений о БД и способах информирования о случаях срабатывания маскировки, следует выбрать объекты, которые необходимо защитить. Это можно сделать вручную в дереве объектов БД или ускорить процесс выбора при помощи регулярных выражений.

пример маскировки данных DataArmor

Пример маскировки DataArmor содержимого таблицы (колонка Salary)

В результате применения созданного правила DataArmor сделает содержимое замаскированных колонок нечитаемым и абсолютно бесполезным для потенциального злоумышленника.

Вывод

Функция маскировки данных DataArmor Database Firewall представляет собой надёжное средство защиты важной информации. Наряду с межсетевым экраном и предотвращением SQL-инъекций, маскировка может стать дополнительной линией защиты Вашей базы данных от угроз цифрового мира.

Комментарии