
Format-Preserving Encryption (FPE) nel Mascheramento dei Dati
Ogni giorno le aziende affrontano diversi compiti riguardanti i dati sensibili. Variano dal proteggere i dati a riposo fino a come garantire la sicurezza nello scambio di dati sensibili con terze parti. Tipi diversi di dati sensibili richiedono tipi differenti di protezione. E questo può diventare un problema serio per un’azienda. Quando le aziende hanno bisogno di proteggere i dati sensibili, è richiesto un metodo adeguato. La scelta del metodo appropriato può essere molto impegnativa. Di solito le aziende scelgono tra tre metodi comuni di protezione dei dati: crittografia, mascheramento, tokenizzazione.
La scelta dipenderà dalle esigenze dell’azienda, dalle sue risorse, dal tipo di informazioni e dal motivo per cui devono essere protette. Il mascheramento può essere molto utile quando è necessario fornire dati per i tester e mascherare le informazioni sensibili. La tokenizzazione può essere utilizzata quando si elaborano dati nei sistemi di pagamento. La crittografia può essere utilizzata per proteggere dati strutturati e non strutturati a riposo o quando vengono condivisi con terze parti.
Conoscete già il nostro mascheramento dei dati (se no, leggete di più qui). In questo articolo, imparerete la nostra nuova capacità nella protezione dei dati chiamata Format-Preserving Encryption (FPE).
Cos’è FPE?
La crittografia è uno dei metodi più popolari per proteggere i dati sensibili. Può essere utilizzata in vari casi, dalla crittografia dei dati a riposo alla sicurezza nello scambio di dati. La Format-Preserving Encryption è progettata per conservare il formato originale dei dati sensibili crittografati. Significa che FPE prende il testo in chiaro e lo trasforma in testo cifrato dello stesso formato. Permette di mantenere il formato di dati come email, SSN, o numeri di carta di credito.
Perché a volte le aziende hanno bisogno di mantenere il formato e la lunghezza dei dati sensibili crittografati? Alcuni sistemi legacy e applicazioni richiedono un determinato formato di dati. Queste infrastrutture sono diffuse in settori come finanza, sanità e governo. Queste applicazioni e sistemi hanno formati e lunghezze predefiniti per alcuni tipi di dati. Significa che se il formato cambia durante il processo di offuscamento, questi sistemi e applicazioni non saranno in grado di lavorare con tali dati. Ulteriori azioni non saranno disponibili. In questi casi, sono necessari cambiamenti nei dati mascherati. Le aziende potrebbero spendere molto tempo, denaro e risorse per sistemare tutto correttamente se non è stato fatto dall’inizio. Ma se si utilizza FPE, si può risparmiare tempo e essere sicuri che, mantenendo il formato, le informazioni sensibili siano sicure e possano essere utilizzate in diverse applicazioni e sistemi.
Un altro vantaggio di FPE è che, nonostante il fatto che i dati siano crittografati, è ancora possibile riconoscerli perché il formato è preservato. Può essere utile, soprattutto quando si lavora con numeri di carte di credito o numeri di previdenza sociale. Vi dà la possibilità di elaborare i dati crittografati anche se sono cifrati. Quindi, se avete bisogno di dati sensibili per alcune ricerche statistiche, FPE sarà utile in tali casi.
Inoltre, con la tecnologia di crittografia, è possibile decrittare i dati cifrati in qualsiasi momento sia necessario. Ad esempio, quando è necessario fornire dati reali per un audit o in situazioni in cui sono richiesti dati reali.
Come Funziona FPE in DataSunrise
In DataSunrise FPE sostituisce i caratteri mascherati con caratteri casuali utilizzando l’algoritmo di crittografia AES (Advanced Encryption Standard). Questo algoritmo utilizza una chiave di mascheramento unica generata al momento della prima installazione di DataSunrise. FPE è un metodo di offuscamento più sicuro rispetto a FPT (Format-Preserving Tokenization). Ma bisogna tenere conto che FPE richiede tempo per crittografare i dati sensibili, quindi è un po’ più lento rispetto a qualsiasi altro tipo di crittografia.
Ora vediamo come funziona FPE in DataSunrise. Per ora, FPE funziona per email, SSN, numeri di carte di credito e valori di tipo STRING. Abbiamo una tabella con i seguenti dati: nome, email, genere, indirizzo IP e carta di credito.
SELECT id, first_name, last_name, email, gender, ip_address, credit_card, ssn FROM mock_data; ----+------------+-----------+----------------------------+--------+-----------------+------------------+------------- 1 | Lebbie | Beevors | [email protected] | Male | 123.49.80.88 | 5018715045943588 | 625-35-0313 2 | Celestyn | Wyne | [email protected] | Female | 177.250.185.201 | 5602244144668261 | 132-88-3239 3 | Carley | Mapstone | [email protected] | Female | 180.241.252.227 | 5438561696462060 | 722-63-7340 (3 rows)
Per prima cosa, dobbiamo andare su Mascheramento e scegliere Mascheramento Dinamico. Dopodiché, è necessario indicare le impostazioni di base nella sezione principale, come nome, tipo di database, istanza, se sarà sottoposto ad audit o meno.

Dopodiché, è necessario creare una nuova Regola di Mascheramento. Qui occorre scegliere la tabella e la colonna dove risiedono i dati sensibili. Dopo aver fatto ciò, si potrà scegliere il metodo di offuscamento. Dopodiché, basta cliccare su Salva Regola e il gioco è fatto. In seguito, si può applicare quando necessario.

Come abbiamo detto prima, ci sono email, numeri di carte di credito, SSN e STRING per FPE.

Quando si applica questa regola di mascheramento, si otterrà il seguente risultato. Come vediamo, la colonna con l’email è stata mascherata, ma il formato dell’email è preservato. Lo stesso può essere fatto per altre colonne.
SELECT id, first_name, last_name, email, gender, ip_address, credit_card, ssn FROM mock_data; ----+------------+-----------+----------------------------+--------+-----------------+------------------+------------- 1 | Lebbie | Beevors | [email protected] | Male |D=4g=0f | 5018002067318837 | 625-99-0299 2 | Celestyn | Wyne | [email protected] | Female | bx6Xs`>`4r Grazie alla Format-Preserving Encryption, è possibile mantenere la struttura dei vostri database e delle applicazioni. Anche se può sembrare qualcosa di molto difficile, con DataSunrise potete essere sicuri che non c'è nulla da fare. Solo pochi clic e i dati sensibili che avete sono protetti. Dopodiché, non dovrete preoccuparvi che qualcuno senza accesso possa vedere qualcosa di importante.
In DataSunrise FPE ha un altro vantaggio. La Format-Preserving Encryption può essere utile quando è necessario offuscare le chiavi primarie e straniere nei database. La cosa più importante in questi casi è mantenere l'integrità referenziale. Senza di essa, i dati possono essere restituiti incompleti. Se si utilizzano metodi di offuscamento ordinari, l'integrità referenziale andrà persa a causa dei diversi valori delle chiavi primarie e straniere. Con DataSunrise, è possibile crittografare queste chiavi senza perdere l'integrità referenziale. La logica è semplice. Quando si crittografano le chiavi primarie e straniere, i loro valori rimangono gli stessi. È possibile perché quando si utilizza FPE per la crittografia delle chiavi, i risultati del mascheramento dipendono dal valore di origine. Se i valori di origine sono simili, significa che anche i valori crittografati rimarranno gli stessi. Potete usarli senza alcun rischio di perdita di informazioni.
Riducete il tempo e gli sforzi per proteggere i dati sensibili con DataSunrise e la protezione dei vostri dati diventa più facile e veloce.