Gyakorlat – Átvitel alatt álló, inaktív és megjelenített adatok védelme

  • 8 perc

A marketplaceDb adatbázis bizalmas adatokat tárol, például fizikai címeket, e-mail-címeket és telefonszámokat. Ha nyilvánosságra kerül, rosszindulatú támadók használhatják ezeket az információkat, hogy kárt okoznak a vállalkozásnak vagy az ügyfeleknek. Tekintse meg, hogyan javíthatja az adatbázis biztonságát titkosítással és adatmaszkolással.

TLS hálózati titkosítás

Az Azure SQL Database minden kapcsolat esetében kényszeríti a Transport Layer Security (TLS) titkosítást, amely biztosítja, hogy minden adat titkosítva legyen az adatbázis és az ügyfél közötti átvitel során. TLS-titkosítással gondoskodhat arról, hogy bárki, aki elfogja az alkalmazáskiszolgáló és az adatbázis közötti forgalmat, ne tudja beolvasni az adatokat. A TLS-titkosítás az internetes adatforgalom biztosításának szabványa, ebben az esetben pedig gondoskodik arról, hogy az Azure SQL-adatbázis bejövő és kimenő hálózati forgalma alapértelmezés szerint biztonságos.

Transzparens adattitkosítás

Az Azure SQL Database transzparens adattitkosítással (TDE) védi az inaktív adatokat. A TDE valós időben titkosítja és fejti vissza az adatbázist, a hozzá tartozó biztonsági másolatokat és a tranzakciónapló-fájlokat anélkül, hogy ehhez módosítani kellene az alkalmazást. A transzparens adattitkosítás valós idejű I/O-titkosítást és adatvisszafejtést végez az oldal szintjén egy adatbázistitkosítási kulccsal. Az egyes lapok visszafejtése a memóriába történő beolvasáskor történik, a titkosítás pedig a lemezre írás előtt.

Alapértelmezés szerint a TDE az összes újonnan üzembe helyezett Azure SQL-adatbázis esetében engedélyezve van. Fontos ellenőrizni, hogy az adattitkosítás nincs-e kikapcsolva. Előfordulhat, hogy a régebbi Azure SQL Server-adatbázisokban nincs engedélyezve a TDE.

Tekintse meg az Azure Portalon, hogy hol van konfigurálva a TDE a marketplaceDb-adatbázisban .

  1. Jelentkezzen be az Azure Portalra ugyanazzal a fiókkal, amellyel aktiválta a tesztkörnyezetet.

  2. Az Azure Portal tetején található keresősávon keresse meg a marketplaceDb-t, majd válassza ki az adatbázist.

  3. A bal oldali menüpanel Biztonság területén válassza az Adattitkosítás lehetőséget.

  4. Az adattitkosításnál ellenőrizze, hogy az Adattitkosítás beállítás be van-e kapcsolva. Emellett Titkosított titkosítási állapotot kell látnia.

Mivel az új adatbázisok alapértelmezés szerint titkosítva vannak, az adatbázis létrehozása után biztos lehet abban, hogy az adatok titkosítva vannak a lemezen.

Megjegyzés:

Az Azure tartalmaz egy Felhőhöz készült Microsoft Defender nevű beépített szolgáltatást, amely betekintést nyújt a környezet biztonságába, beleértve az Azure SQL-adatbázisokat is. Felhőhöz készült Microsoft Defender megjelöli azokat az adatbázisokat, amelyeken nincs engedélyezve a TDE, így jelentéskészítést és műveletet hajthat végre az adatok védelme érdekében.

Dynamic data masking

Észreveheti, hogy amikor az előző leckében futtatta a lekérdezést, az adatbázis egyes információi bizalmasak. Vannak telefonszámok, e-mail-címek és egyéb információk, amelyeket nem feltétlenül szeretne teljes mértékben megjeleníteni mindenki számára, aki hozzáfér az adatokhoz.

Előfordulhat, hogy nem szeretné, hogy a felhasználók láthassák a teljes telefonszámot vagy e-mail-címet, de az adatok egy részét továbbra is elérhetővé szeretné tenni az ügyfélszolgálati képviselők számára az ügyfél azonosításához. Az Azure SQL Database dinamikus adatmaszkolási funkciójával korlátozhatja a felhasználó számára megjelenített adatokat. A dinamikus adatmaszkolás egy szabályzatalapú biztonsági funkció, amely elrejti a bizalmas adatokat egy lekérdezés eredményhalmazában a kijelölt adatbázismezők felett, miközben az adatbázisban lévő adatok nem változnak.

Az adatmaszkolási szabályok a maszkolandó oszlopból, valamint a maszkolás módjából állnak. Létrehozhat saját maszkolóformátumot, vagy használhatja a szokásos maszkok egyikét, például:

  • Alapértelmezett érték, amely az adattípus alapértelmezését jeleníti meg.
  • Hitelkártyaérték, amely csak a szám utolsó négy számjegyét jeleníti meg, és az összes többi számot kisbetűs x értékre konvertálja.
  • E-mail, amely elrejti a tartománynevet és az e-mail-fiók nevének összes karakterét az elsőn kívül.
  • Szám, amely véletlenszerű számot ad meg egy adott értéktartományon belül. Például a hitelkártya lejárati időpontjához véletlenszerű számokat rendelhet a hónapnál 1 és 12, az évnél 2018 és 3000 között.
  • Egyéni sztring, amellyel beállíthatja az adatok elejétől vagy végétől számított megjeleníthető karakterek számát, illetve az adatokra emlékeztető ismétlődő karaktereket.

Amikor az adatbázisgazdák lekérdezik az oszlopokat, továbbra is az eredeti értékeket látják. A nemminisztrátorok a maszkolt értékeket látják. A maszkolási listából kizárt SQL-felhasználókhoz való hozzáadással más felhasználók is láthatják a nem maszkolt verziókat.

Tekintse meg, hogyan működne az adatmaszkolás a marketplaceDb-adatbázisban .

  1. Miközben továbbra is a portálon a marketplaceDb adatbázis panelen, a bal oldali menüpanel Biztonság területén válassza a Dinamikus adatmaszkolás lehetőséget.

    A Maszkolási szabályok képernyőn láthatók a meglévő dinamikus maszkolások és azok az oszlopok, amelyeken a javaslat szerint érdemes dinamikus maszkolást alkalmazni.

    Screenshot of the Azure portal showing a list of the recommended masks for the various database columns of a sample database.

  2. Adjon hozzá maszkot a telefonszámhoz, amely csak az utolsó négy számjegyet jeleníti meg. A maszkolás hozzáadása párbeszédpanel megnyitásához válassza a maszkolás hozzáadása gombot a tetején.

  3. Válassza ki a következő értékeket.

    Beállítás Érték
    Séma SalesLT
    Table Vevő
    Oszlop Telefon (nvarchar)
    Maszkolási mezőformátum Egyéni sztring (előtag [kitöltés] utótag)
    Közzétett előtag 0
    Kitöltő sztring XXX-XXX-
    Közzétett utótag 4

  4. A maszkolási szabály hozzáadásához válassza a Hozzáadás lehetőséget.

    Screenshot of the Azure portal showing the values to add a masking rule.

  5. Adjon hozzá még egyet az e-mail-címhez. A Maszkolás hozzáadása párbeszédpanel megnyitásához kattintson ismét a maszkolás hozzáadása gombra felül.

    Beállítás Érték
    Séma SalesLT
    Table Vevő
    Oszlop E-mail-cím (nvarchar)
    Maszkolási mezőformátum E-mail (aXXX@XXX.com)

  6. A maszkolási szabály hozzáadásához válassza a Hozzáadás lehetőséget.

  7. Minden új maszk bekerül a maszkolási szabályok listájába. A maszkok alkalmazásához válassza a Mentés lehetőséget.

Tekintse meg, hogyan módosítja az adatmaszkolás a lekérdezést.

  1. Most jelentkezzen be újra az adatbázisba, de ApplicationUser-felhasználóként.

    sqlcmd -S tcp:serverNNNNN.database.windows.net,1433 -d marketplaceDb -U 'ApplicationUser' -P '[password]' -N -l 30

  2. Futtassa az alábbi lekérdezést.

    SELECT FirstName, LastName, EmailAddress, Phone FROM SalesLT.Customer;
GO

    Nézze meg, hogyan van maszkolva a kimenet.

    FirstName     LastName      EmailAddress         Phone
------------- ------------- -------------------- ------------
Orlando       Gee           oXXX@XXXX.com        XXX-XXX-0173
Keith         Harris        kXXX@XXXX.com        XXX-XXX-0127
Donna         Carreras      dXXX@XXXX.com        XXX-XXX-0130
Janet         Gates         jXXX@XXXX.com        XXX-XXX-0173
...

A létrehozott maszkolási szabályokkal az adatok maszkolása az Ön által megadott formátumban történik. Ezek a szabályok lehetővé teszik az ügyfélszolgálati ügyfelek számára, hogy a telefonszámuk utolsó négy számjegyével ellenőrizzenek egy ügyfelet, de elrejtik a teljes számot és az ügyfél e-mail-címét a nézetből.