更新时间:2024-10-21 GMT+08:00
分享

场景四:动态脱敏典型配置举例

动态脱敏操作流程

数据库加密与访问控制支持配置动态脱敏策略,对数据库资产中的明文数据进行脱敏展示,动态脱敏流程如图1所示。

图1 动态脱敏流程
  1. 添加数据源。

    在使用数据脱敏功能前,您需要将数据资产添加到系统中。具体操作,请参见添加数据资产

  2. (可选)配置行业模板和敏感数据类型。

    系统已经内置满足大部分需求的敏感数据类型和通用行业模板。如果您有特殊需求,也可以自定义敏感数据类型和行业模板。具体操作,请参见新增行业模板新增自定义数据类型

  3. 执行敏感数据发现。

    通过敏感数据发现任务,自动扫描和识别出数据资产中的敏感数据。具体操作,请参见扫描资产的敏感数据

  4. (可选)查看任务执行结果。

    通过查看任务执行结果,查看命中的敏感数据。具体操作,请参见查看扫描任务执行结果

  5. 创建脱敏规则。

    您可以在敏感数据发现任务的结果中,根据敏感数据信息创建加密队列。具体操作,请参见在结果中创建脱敏规则

    同时,也支持在动态脱敏模块直接创建脱敏规则。具体操作,请参见创建脱敏规则

  6. (可选)配置脱敏白名单。

    配置脱敏规则并启用后,默认情况下访问数据库的明文数据时,您只能看到脱敏后的数据。配置脱敏白名单后,白名单中的用户访问数据库可查看到明文数据。具体操作,请参见1.4.8.3 配置脱敏白名单

  7. 配置完成后,您可以代理访问验证脱敏规则配置效果。

动态脱敏典型配置

数据库加密与访问控制支持对数据库中的明文敏感数据进行动态脱敏。本举例展示如何对数据库明文数据进行动态脱敏。

步骤一:添加数据源

在使用前,需要在资产管理中添加目标数据库。

  1. 使用sysadmin用户登录实例Web控制台
  2. 在左侧导航栏,选择“资产管理 > 数据源管理”。
  3. 单击右上角的“添加数据源”。
  4. 在“添加数据源”对话框中,设置资产信息。

    主机信息和日志信息为可选操作,数据库服务器需要开启SSH服务。

    图2 添加数据源
  5. 配置完成后,单击“测试数据库连接”,检查是否能够连上数据库。
  6. 单击“测试账号权限”,检查数据库账号权限是否满足加密要求。
  7. 单击“保存”,保存数据资产的配置信息。

步骤二:执行敏感数据发现任务

  1. 使用sysadmin用户登录实例Web控制台
  2. 在左侧导航栏,选择“敏感数据发现 > 敏感数据扫描”。
  3. 找到目标数据资产,单击“任务配置”。
  4. 在“任务配置”对话框中,设置敏感数据发现任务。
    图3 配置敏感数据发现任务
  5. 单击“保存”,完成敏感数据任务配置。
  6. 找到目标数据资产,单击按钮执行敏感数据发现任务。

执行开始后,系统自动扫描识别敏感数据。扫描时间和需要扫描的数据量有关,数据量越多,需要扫描的时间越长,您可以在页面查看扫描进度。

步骤三:在发现结果中创建脱敏规则

  1. 使用sysadmin用户登录实例Web控制台
  2. 在左侧导航栏,选择“敏感数据发现 > 敏感数据扫描”。
  3. 在扫描任务列表页面,找到目标数据资产,单击“查看”。
  4. 在扫描结果列表页面,找到目标数据库表,单击“添加脱敏规则”。
  5. 在“添加脱敏规则”对话框中,设置脱敏信息。
    图4 添加脱敏规则
  6. 配置规则名称,并在脱敏列表中选择数据类型对应的脱敏算法。
  7. 单击“保存”。

脱敏规则保存后自动启用,访问数据库时查询到的明文数据均为脱敏后的数据。此时可配置脱敏白名单,命中白名单则放行不脱敏。

步骤四:配置脱敏白名单

  1. 使用sysadmin用户登录实例Web控制台
  2. 在左侧导航栏中,选择“动态脱敏 > 脱敏规则”。
  3. 在左侧数据源列表中,单击目标数据源。
  4. 找到目标数据源的脱敏规则列表中,单击“脱敏白名单”。
  5. 在白名单列表页面,单击“添加白名单”。
  6. 在“添加白名单”对话框中,设置白名单范围,完成后单击“保存”。
    图5 添加白名单

    支持配置的白名单参数包括数据库用户名、IP地址范围、开始时间、结束时间,各参数为“且”的关系,若配置多参数个需同时命中,白名单方可生效。

步骤五:通过代理连接数据库

此处以DBeaver工具为例,在实际使用过程中,您需要修改应用系统对接到数据库的连接信息。

本文以DBeaver工具为例,通过代理连接到数据库。

图6 通过代理连接数据库
  1. 单击图标。
  2. 在选择新连接类型对话框中,选中MySQL。
  3. 单击下一步。
  4. 在“设置MySQL连接”对话框中,设置连接信息。

    连接信息说明:

    • 服务器地址:使用数据库加密与访问控制系统的访问IP地址。例如192.xx.xx.54。
    • 端口:使用代理端口,即创建资产时设置的代理端口(14099)。
  5. 单击“测试链接”,测试是否能够连接到数据库。
  6. 测试通过后,单击“下一步”,按照界面提示完成操作。

步骤六:验证脱敏结果

参考步骤五(通过代理连接数据库)操作连接数据库,验证脱敏规则及脱敏白名单是否配置成功:

  1. 用户的IP地址为172.16.215.108(非脱敏白名单中的地址),通过代理方式访问数据库,只能查看到脱敏数据。
    图7 脱敏数据
  2. 用户的IP地址为172.16.215.107(脱敏白名单中的地址),通过代理方式访问数据库,能查看到明文数据。
    图8 明文数据

相关文档