数据安全网关(云访问安全代理)(Data Security Gateway(Cloud Access Security Broker),CASB)支持“全部数据脱敏”和“指定元数据脱敏”两种策略类型,本文将为您介绍使用“指定元数据脱敏策略”实现多个应用使用不同数据脱敏策略的实践。
策略类型 | 描述 | 适用场景 |
全部元数据脱敏 | 管控范围:所有数据源、所有代理账号。 脱敏规则:使用脱敏模板。即提前针对分类配置脱敏策略,基于敏感识别结果实时生效脱敏策略。(如配置“手机号-遮盖算法”,所有被识别为手机号的字段都执行遮盖脱敏算法) 特殊加白:针对特别场景,可在策略基础上对账号、数据源进行加白,加白后可不执行脱敏。 | 快速搭建安全防护体系:企业数据资产多,敏感数据分散多数据源,使用该策略可一次配置全局生效,无需对存量字段逐一配置。 敏感数据即时保护:敏感数据识别后自动触发动脱策略生效。 说明: |
指定元数据脱敏 | 管控范围:指定数据源、指定代理账号。 脱敏规则:可选择下列任一种方式。 单字段逐一配置。即对每个字段单独配置不同脱敏算法。 使用脱敏模板。同全部元数据脱敏。 | 账号差异化管控:对同一分类数据在不同账号(内部系统、员工、供应商等)配置不同脱敏规则,适用于个性化管控诉求。 场景差异化管控:对同一分类数据在不同数据源时配置不同脱敏规则,适用于不同业务场景诉求,平衡安全和业务使用。 |
接入场景
不同的应用访问同一份已加密的敏感数据,需返回不同方式处理的脱敏数据。
示例:
表
userinfo中存在两个已加密的敏感字段name和phone。存在三个应用:
user1:核心系统,能访问所有的明文数据。user2:对外展示,仅能使用脱敏后的数据。user3:人员核对,需要获取name字段的信息。
步骤1:接入准备和数据库绑定
说明
本示例中,代理的地址是
172.16.0.30:10100,数据库的地址是 172.16.32.4:3306。步骤2:创建代理账号
步骤3:配置字段的加密策略,并对数据进行加密(可选)
说明
数据脱敏对明文或密文均可生效,非加密的字段也可以配置数据脱敏。
步骤4:配置脱敏策略
1. 为
user1配置指定元数据敏策略。说明
若未配置全部元数据脱敏策略,也未给代理账号配置指定元数据脱敏策略,账号查询数据返回明文。
1.1 新建脱敏策略:参考 创建指定元数据脱敏策略,为
user1创建指定元数据脱敏策略。
1.2 设置脱敏规则:参考 脱敏规则管理,为
name和phone字段设置全保留脱敏算法。
2. 配置
user2的脱敏策略。2.1 新建脱敏策略:参考 创建指定元数据脱敏策略,为
user2创建指定元数据脱敏策略。
2.2 设置脱敏规则:参考 脱敏规则管理,为
name字段设置保留第一个字符脱敏算法,为phone字段设置保留前1后1脱敏算法。说明
3. 配置
user3的脱敏策略。3.1 新建脱敏策略:参考 创建指定元数据脱敏策略,为
user3创建指定元数据脱敏策略。
3.2 设置脱敏规则:参考 脱敏规则管理,为
name字段设置保留第一个字符脱敏算法,为phone字段设置置空脱敏算法。
步骤4:验证脱敏效果
1. 直连数据库查询,数据库内为密文。
2. 使用
user1连接代理查询,name和phone均返回明文。
3. 使用
user2连接代理查询,name和phone均返回脱敏后数据。
4. 使用
user3连接代理查询,name返回脱敏后数据,phone返回空。
