Enmascaramiento Simple de Datos con DataSunrise
La función de enmascaramiento de datos consiste en proteger datos sensibles de cualquier tipo reemplazándolos con caracteres especiales o datos ficticios inútiles. Es una medida comúnmente empleada al tratar con números de tarjetas de crédito. La mayoría de los comprobantes muestran solo los últimos cuatro dígitos de la tarjeta, sustituyendo los otros números por asteriscos (*) o X.
Como su nombre indica, la herramienta de enmascaramiento de datos de DataSunrise se utiliza para enmascarar la información contenida en una base de datos. En este artículo destacaremos algunos puntos relacionados con el enmascaramiento de datos.
¿Por Qué Necesitamos el Enmascaramiento?
La razón principal para aplicar el enmascaramiento dinámico de datos es proteger la información personal identificable o datos comercialmente sensibles. Las empresas que almacenan datos críticos son responsables de la privacidad y confidencialidad de la información de sus clientes. Las leyes y reglamentos federales, tales como GDPR, SOX, HIPAA y PCI DSS, imponen exigencias rigurosas a las organizaciones para mantener la seguridad de los datos. El enmascaramiento de datos es una de las maneras de cumplir con dichos requisitos. Especialmente cuando se trabaja con empleados externos que necesitan acceder a la base de datos para fines de reporte, pruebas o desarrollo.
En la mayoría de los casos, los desarrolladores de software no necesitan los datos reales de la base de datos, basta con una base de datos “ficticia” con datos coherentes. También es una herramienta útil cuando se necesita enmascarar solo ciertas columnas de la base de datos. Los sofisticados algoritmos de enmascaramiento hacen imposible que un usuario recupere la información original a través de ingeniería inversa.
En comparación con el cifrado, los datos enmascarados permanecen parcialmente legibles. Con la ayuda de patrones de enmascaramiento, se puede elegir qué parte del contenido debe ser enmascarada.
Comparación de las Características Principales del Enmascaramiento Dinámico y Estático de Datos
DataSunrise puede realizar Enmascaramiento Estático de Datos. Estas son las características del enmascaramiento estático de datos:
- Se crea una copia completa de la base de datos con la información enmascarada.
- Se requiere espacio adicional para la copia de la base de datos.
- La base de datos puede quedar desactualizada si se edita la información original. Puede ser necesario actualizar periódicamente la copia de la base de datos.
- Es completamente imposible recuperar la información original, ya que el contenido de la base de datos se modifica y no solo se enmascara. Pero antes de enmascarar, es necesario extraer la información real de la base de datos, lo cual representa una amenaza de exposición.
DataSunrise puede realizar Enmascaramiento Dinámico de Datos. Estas son las características del enmascaramiento dinámico de datos:
- Los datos se enmascaran en tiempo real en el momento de la solicitud. El software de enmascaramiento dinámico intercepta la consulta del cliente y modifica la respuesta de la base de datos.
- No requiere recursos adicionales del servidor.
- La base de datos siempre está actualizada.
- No es necesario extraer la base de datos completa. El contenido original se modifica antes de salir de la base de datos.
Desventajas del Enmascaramiento Dinámico y Estático de Datos
El enmascaramiento dinámico de datos tiene sus desventajas. Los procedimientos almacenados no pueden ser enmascarados dinámicamente porque sus algoritmos de ejecución se almacenan dentro de la base de datos y las aplicaciones cliente solo solicitan la ejecución de acuerdo con un plan ya existente. Por lo tanto, enmascarar procedimientos almacenados requiere reescribir los resultados de la consulta, y no la consulta en sí, como lo hace actualmente DataSunrise.
La desventaja del enmascaramiento estático de datos es la necesidad de extraer información de la base de datos para analizarla antes de iniciar el enmascaramiento. Al mismo tiempo, existe el riesgo de divulgación de la información, lo que reduce el nivel de seguridad del procedimiento. Otra desventaja es que crear una base de datos grande puede resultar costoso, ya que puede ser necesario disponer de un servidor adicional.
Enmascaramiento Dinámico de Datos con DataSunrise
Como se puede observar, el método de enmascaramiento dinámico es mucho más versátil y por ello lo utilizamos en nuestro producto.
DataSunrise Database Security Suite funciona como un proxy; intercepta las consultas SQL a la base de datos protegida y modifica dichas consultas de manera que la base de datos devuelva datos no reales, sino aleatorios o predefinidos.
Antes de utilizar el enmascaramiento dinámico de datos de DataSunrise, es necesario determinar qué entradas de la base de datos requieren protección y dónde se encuentran. Tenga en cuenta que DataSunrise puede enmascarar una base de datos completa, así como únicamente los datos de columnas separadas. DataSunrise registra todas las acciones, por lo que se puede comprobar lo que ocurre en cualquier momento.
Utilizar la herramienta de enmascaramiento de DataSunrise es muy sencillo. Todo lo que se necesita es acceder al panel de control de DataSunrise y crear algunas políticas de enmascaramiento.
Aquí se debe ingresar la información requerida para crear una regla de enmascaramiento. Se puede definir qué aplicaciones harán solicitudes que serán procesadas por el firewall. Luego, es necesario definir las sentencias SQL que se filtrarán y seleccionar el tipo de enmascaramiento a implementar. Esto significa que se puede elegir un método para generar entradas ficticias.
Luego se deben seleccionar los elementos de la base de datos (esquemas, tablas o columnas) que se van a proteger. Esto se puede hacer manualmente mediante un práctico explorador de elementos de la base de datos o usando expresiones regulares.
Y eso es todo. Bastante sencillo.
Enmascaramiento Estático de Datos con DataSunrise
DataSunrise también cuenta con la capacidad de enmascaramiento estático de datos.
Como se mencionó anteriormente, el enmascaramiento estático permite crear una copia completamente funcional de una base de datos de producción, pero con datos enmascarados en su interior. Se puede utilizar dicha copia para fines de prueba o desarrollo.
Primero, para emplear el enmascaramiento estático es necesario crear una copia vacía de la base de datos objetivo. Luego, abra la Consola Web de DataSunrise, subsección de Enmascaramiento Estático de Datos.
Aquí se debe especificar qué base de datos se utilizará como fuente de datos y cuál es la base de datos objetivo (la “ficticia”).
Seleccione las columnas a enmascarar y los tipos de enmascaramiento. Una vez hecho esto, especifique una tabla que debe transferirse a una nueva base de datos y los algoritmos de enmascaramiento a aplicar (aquí, las columnas “Card” y “Email”). Luego, puede iniciar el proceso de enmascaramiento y comparar los datos originales con los enmascarados. Original:
| Orden | Nombre | Apellido | Dirección | Estado | Código postal | Card | |
|---|---|---|---|---|---|---|---|
| 4667 | Alma | Wade | 21 Green Lane, Newport | NE | 21771 | [email protected] | 6011-0551-9875-8094 |
| 6768 | Patric | Chang | 7 Marina View, Bergenfield | OR | 46368 | [email protected] | 5529-9038-2746-5861 |
| 5356 | Mona | Cherry | 31 The Village, Cranford | GA | 60515 | [email protected] | 4539-7765-7903-5426 |
Y con la ofuscación aplicada:
| Orden | Nombre | Apellido | Dirección | Estado | Código postal | Card | |
|---|---|---|---|---|---|---|---|
| 4667 | Alma | Wade | 21 Green Lane, Newport | NE | 21771 | a****@****.**m | XXXX-XXXX-XXXX-8094 |
| 6768 | Patric | Chang | 7 Marina View, Bergenfield | OR | 46368 | c******@****.**m | XXXX-XXXX-XXXX-XXXX |
| 5356 | Mona | Cherry | 31 The Village, Cranford | GA | 60515 | c*****@****.**m | XXXX-XXXX-XXXX-5426 |
Nota: por supuesto, en la realidad se desearía utilizar una mayor ofuscación, pero este es un ejemplo sencillo para ilustrar la idea.
Conclusión
El enmascaramiento de datos de DataSunrise le proporciona otra herramienta confiable para la protección de la información. Junto con el firewall de bases de datos de DataSunrise y su capacidad para prevenir inyecciones SQL, puede convertirse en una línea de defensa adicional contra las amenazas digitales.
DataSunrise es compatible con todas las principales bases de datos y almacenes de datos, como Oracle, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Microsoft SQL Azure, Teradata y más. Se le invita a descargar una prueba gratuita si desea instalarlo en sus instalaciones. En caso de que sea un usuario de la nube y ejecute su base de datos en Amazon AWS o Microsoft Azure, puede obtenerlo en el AWS Marketplace o en el Azure Marketplace.
Para más información sobre las capacidades de seguridad de bases de datos de DataSunrise, consulte la guía de usuario de DataSunrise o programe una demostración en línea.
