Latihan - Mengamankan data Anda saat transit, saat istirahat, dan ditampilkan

  • 8 menit

Database marketplaceDb menyimpan informasi yang sensitif, seperti alamat fisik, alamat email, dan nomor telepon. Jika terekspos, penyerang jahat dapat menggunakan informasi ini untuk membahayakan bisnis Atau pelanggan Anda. Lihat bagaimana Anda dapat menggunakan enkripsi dan masking data untuk meningkatkan keamanan database Anda.

Enkripsi jaringan TLS

Azure SQL Database memberlakukan enkripsi Keamanan Lapisan Transportasi (TLS) selalu untuk semua koneksi, yang memastikan semua data dienkripsi saat transit antara database dan klien. Dengan menggunakan enkripsi TLS, Anda dapat memastikan bahwa siapa pun yang mungkin mencegat lalu lintas antara server aplikasi dan database tidak akan dapat membaca data. Enkripsi TLS adalah standar untuk mengamankan lalu lintas melalui internet, dan dalam hal ini memastikan lalu lintas jaringan Anda ke dan dari Azure SQL Database Anda aman secara default.

Enkripsi data transparan

Azure SQL Database melindungi data tidak aktif Anda menggunakan enkripsi data transparan (TDE). TDE melakukan enkripsi real-time dan dekripsi database, pencadangan terkait, dan file log transaksi saat istirahat tanpa memerlukan perubahan pada aplikasi. Enkripsi data transparan melakukan enkripsi I/O real time dan dekripsi data di tingkat halaman dengan menggunakan kunci enkripsi database. Setiap halaman didekripsi ketika dibaca ke dalam memori, lalu dienkripsi sebelum ditulis ke disk.

Secara default, TDE diaktifkan untuk semua Azure SQL Database yang baru disebarkan. Penting untuk memeriksa bahwa enkripsi data tidak dinonaktifkan. Database Azure SQL Server yang lebih lama mungkin tidak mengaktifkan TDE.

Lihat di portal Azure di mana TDE dikonfigurasi pada database marketplaceDb Anda.

  1. Masuk ke portal Microsoft Azure menggunakan akun yang sama dengan yang Anda aktifkan dengan kotak pasir.

  2. Di bilah pencarian di bagian atas portal Azure, cari marketplaceDb, lalu pilih database.

  3. Di panel menu kiri, di bawah Keamanan, pilih Enkripsi data.

  4. Dalam opsi enkripsi data, pastikan Enkripsi data diatur ke Aktif. Anda seharusnya juga melihat status enkripsi Dienkripsi.

Karena database baru dienkripsi secara default, Anda dapat yakin bahwa data Anda dienkripsi pada disk segera setelah Anda membuat database.

Catatan

Azure memiliki layanan bawaan bernama Pertahanan Microsoft untuk Cloud yang memberikan informasi mengenai keamanan dari lingkungan Anda, mencakup database Azure SQL. Microsoft Defender untuk Cloud menandai database apa pun yang tidak mengaktifkan TDE, memberi Anda kemampuan untuk melaporkan dan mengambil tindakan untuk mengamankan data Anda.

Penyelubungan data dinamis

Anda mungkin melihat bahwa saat menjalankan kueri di unit sebelumnya bahwa beberapa informasi dalam database sensitif. Ada nomor telepon, alamat email, dan informasi lain yang mungkin tidak ingin Anda tampilkan sepenuhnya kepada semua orang yang memiliki akses ke data.

Mungkin Anda tidak ingin pengguna Anda dapat melihat nomor telepon atau alamat email lengkap, tetapi Anda masih ingin membuat sebagian data yang tersedia untuk perwakilan layanan pelanggan untuk mengidentifikasi pelanggan. Dengan menggunakan fitur masking data dinamis Azure SQL Database, Anda dapat membatasi data yang ditampilkan kepada pengguna. Masking data dinamis adalah fitur keamanan berbasis kebijakan yang menyembunyikan data sensitif dalam kumpulan hasil kueri di atas bidang database yang ditunjuk, sementara data dalam database tidak diubah.

Aturan penyelubungan data terdiri atas kolom untuk menerapkan selubung, dan bagaimana data harus di diselubungi. Anda dapat membuat format masker sendiri atau menggunakan salah satu masker standar, seperti:

  • Nilai default, yang menampilkan nilai default untuk tipe data tersebut sebagai gantinya.
  • Nilai kartu kredit, yang hanya menunjukkan empat digit terakhir dari angka, mengonversi semua angka lainnya menjadi huruf kecil x.
  • Email, yang menyembunyikan nama domain dan semua kecuali karakter pertama nama akun email.
  • Angka, yang menentukan angka acak di antara rentang nilai. Misalnya, pada bulan dan tahun kedaluwarsa kartu kredit, Anda dapat memilih bulan acak dari 1 hingga 12 dan mengatur rentang tahun dari 2018 hingga 3000.
  • String kustom, yang memungkinkan Anda mengatur jumlah karakter yang ditampilkan dari awal data, jumlah karakter yang ditampilkan dari akhir data, dan karakter yang akan diulang untuk sisa data.

Saat administrator database mengkueri kolom, mereka masih melihat nilai aslinya. Nonadministrator melihat nilai bertopeng. Anda dapat mengizinkan pengguna lain untuk melihat versi yang tidak dimasak dengan menambahkannya ke pengguna SQL yang dikecualikan dari daftar masking.

Lihat cara kerja masking data di database marketplaceDb Anda.

  1. Saat masih berada di portal pada panel database marketplaceDb, di panel menu sebelah kiri, di bawah Keamanan, pilih Masker Data Dinamis.

    Layar aturan Penyelubungan menampilkan daftar masker data dinamis yang ada, dan rekomendasi untuk kolom yang seharusnya berpotensi memiliki penyelubungan data dinamis yang diterapkan.

    Screenshot of the Azure portal showing a list of the recommended masks for the various database columns of a sample database.

  2. Tambahkan masker untuk nomor telepon yang hanya menampilkan empat digit terakhir. Pilih tombol Tambahkan masker di bagian atas untuk membuka kotak dialog Tambahkan aturan masker.

  3. Pilih nilai berikut.

    Pengaturan Nilai
    Skema SalesLT
    Table Pelanggan
    Kolom Telepon (nvarchar)
    Format bidang penyelubungan String kustom (awalan [padding] akhiran)
    Awalan Terekspos 0
    String Padding XXX-XXX-
    Akhiran Terekspos 4

  4. Pilih Tambahkan untuk menambahkan aturan masking.

    Screenshot of the Azure portal showing the values to add a masking rule.

  5. Tambahkan satu lagi untuk alamat email. Pilih tombol Tambahkan masker di bagian atas lagi untuk membuka kotak dialog Tambahkan aturan masking.

    Pengaturan Nilai
    Skema SalesLT
    Table Pelanggan
    Kolom Alamat Email (nvarchar)
    Format bidang penyelubungan Email (aXXX@XXX.com)

  6. Pilih Tambahkan untuk menambahkan aturan masking.

  7. Setiap masker baru ditambahkan ke daftar aturan masking. Pilih Simpan untuk menerapkan masker.

Lihat bagaimana masking data mengubah kueri Anda.

  1. Sekarang masuk kembali ke database, tetapi sebagai pengguna ApplicationUser .

    sqlcmd -S tcp:serverNNNNN.database.windows.net,1433 -d marketplaceDb -U 'ApplicationUser' -P '[password]' -N -l 30

  2. Jalankan kueri berikut:

    SELECT FirstName, LastName, EmailAddress, Phone FROM SalesLT.Customer;
GO

    Lihat bagaimana output ditutupi.

    FirstName     LastName      EmailAddress         Phone
------------- ------------- -------------------- ------------
Orlando       Gee           oXXX@XXXX.com        XXX-XXX-0173
Keith         Harris        kXXX@XXXX.com        XXX-XXX-0127
Donna         Carreras      dXXX@XXXX.com        XXX-XXX-0130
Janet         Gates         jXXX@XXXX.com        XXX-XXX-0173
...

Dengan aturan masking yang Anda buat, data Anda diselubungi dengan format yang Anda tentukan. Aturan ini memungkinkan perwakilan layanan pelanggan Anda untuk memverifikasi pelanggan dengan empat digit terakhir nomor telepon mereka, tetapi menyembunyikan nomor lengkap dan alamat email pelanggan dari tampilan.