Enmascaramiento de datos dinámicos (Dynamic Data Masking)

SQL Server 2016 introduce una nueva característica de seguridad llamada Dynamic Data Masking (DDM) que no está destinada a ser una súper medida de
seguridad infalible, como lo es el cifrado, pero se puede considerar como una
ofuscación o bloqueo de información a los usuarios con menos privilegios, y
puede ser fácil de aplicar con restricciones de enmascaramiento.

Para mostrar cómo funciona la característica, vamos a crear una base de
datos con una tabla simple a la que insertaremos 10 filas.

CREATE database TestDataMasking
go
Use TestDataMasking
go
–Creacion de tabla
Create table dbo.Cliente
(Cliente_Codigo int,
Cliente_Nombre varchar(100),
Cliente_FechaInicio datetime,
Cliente_EMail varchar(100),
Cliente_TarjetaCredito Varchar(100)
)
go
 — ingreso de datos de ejemplo
Insert into dbo.Cliente values(101,‘Visoalgt’,‘2016-08-11 00:34:51:090’,‘YoshiTannamuri@visoalgt.com’,‘9135-5555-8798’)
Insert into dbo.Cliente  values(102,‘Cardenas Corp’,‘2016-01-08 19:44:51:090’,‘DanielTonini@cardenas.com’,‘1555-9857-8709’)
Insert into dbo.Cliente values(103,‘Alfreds Futterkiste’,‘2015-08-19 19:44:51:090’,‘PhilipCramer@futterkiste.com’,‘7675-3425-3433’)
Insert into dbo.Cliente values(104,‘Antonio Moreno Taquería’,‘2014-08-19 19:44:51:090’,‘PatriciaMcKenna@tqueria.com’,‘5535-0297-6523’)
Insert into dbo.Cliente values(105,‘Around the Horn’,‘2014-08-04 19:44:51:090’,‘YoshiLatimer@araound.com’,‘1354-2534-4534’)
Insert into dbo.Cliente values(106,‘Berglunds snabbköp’,‘2015-08-10 19:44:51:090’,‘chbrancar@beglunds.com’,‘5203-4560-5455’)
Insert into dbo.Cliente  values(107,‘Bs Beverages’,‘2015-04-17 19:44:51:090’,‘SimonCrowther@beverages’,‘555-9482-3587’)
Insert into dbo.Cliente values(108,‘Bólido  Comidas preparadasCable VGA’,‘2015-08-21 19:44:51:090’,‘FelipeIzquierdo@bolido.com’,‘555-7555-4545’)
Insert into dbo.Cliente  values(109,‘X enterprice’,‘2015-08-06 19:44:51:090’,‘CarlosGonzalez@xenterprice.com’,‘2833-2951-4544’)
Insert into dbo.Cliente  values(110,‘Chop-suey Chinese’,‘2015-08-26 19:44:51:090’,‘JohnSteel@chop.com’,‘5535-1340-3453’)
go
—Consultar la tabla solo para revisión.
 Select * from Cliente

Ahora, vamos a añadir algunas máscaras para algunas de estas columnas para
proteger la privacidad de los datos de los usuarios normales. Hay cuatro tipos de máscaras soportados
actualmente:
  • Default()
    • para cadenas de texto, muestra x para cada carácter (hasta 4)
    • para los tipos numéricos, muestra 0
    • para las fechas, muestra el 1900-01-01
  • email()
    • revela el primer carácter, a continuación, reemplaza el resto con XXX@XXXX.com
  • partial()
    • se puede definir una cadena personalizada para representar la máscara, incluyendo
      cuántos caracteres iniciales y finales se van a mostrar de la cadena original.
  • Random()
    • Una función de enmascaramiento aleatorio que se puede usar con cualquier tipo
      numérico a fin de enmascarar el valor original con uno aleatorio dentro de un intervalo especificado.
Ejemplo:

— Se mostraran los dos primeros caracteres y el ultimo carácter del nombre
 ALTER TABLE dbo.Cliente ALTER COLUMN Cliente_Nombre ADD MASKED WITH (FUNCTION = ‘partial(2,”XXXXXXXX”, 1)’);
— Todas las direcciones de correo se mostraran nXXX@XXXX.com
ALTER TABLE dbo.Cliente ALTER COLUMN Cliente_Email ADD MASKED WITH (FUNCTION = ’email()’);
— Se mostrará el dato de la siguiente manera nXXX-XXXX-XXXXn 
ALTER TABLE dbo.Cliente ALTER COLUMN Cliente_TarjetaCredito ADD MASKED WITH (FUNCTION = ‘partial(1,”XXXX-XXXX-XXXXX”,1)’);
— Todas las fechas las mostrara como 1900-01-01
 ALTER TABLE dbo.Cliente ALTER COLUMN Cliente_FechaInicio ADD MASKED WITH (FUNCTION = ‘default()’);
Para un administrador de sistemas o db_owner, no hay enmascaramiento
aplicado en absoluto, pero para un usuario con los privilegios más básicos al
momento de efectuar la consulta a la tabla los datos se enmascararán, a menos
que conceda el permiso de
UNMASK al usuario.
–creación de usuarios para prueba
Create user VICTOR without login;
–asignación de permisos a los usuarios de prueba
GRANT SELECT ON dbo.Cliente to VICTOR;
–Ejecución de una consulta en nombre del usuario recién creado
Execute (‘SELECT * FROM DBO.Cliente’) as user=‘VICTOR’;
go

 
Limitaciones y restricciones

No se puede definir una regla de enmascaramiento para los siguientes tipos de columnas:
·        Columnas cifradas (siempre cifradas)
·        FILESTREAM
·        COLUMN_SET o una columna dispersa que forme parte de
un conjunto de columnas.

·        No se puede configurar una máscara en una columna
calculada, pero si esta última depende de otra con una máscara, entonces la
columna calculada devolverá datos enmascarados.

·        Una columna con enmascaramiento de datos no puede ser
una clave para un índice FULLTEXT.

Modificar o eliminar un enmascaramiento.
–Modificar una mascara
ALTER TABLE dbo.Cliente ALTER COLUMN Cliente_TarjetaCredito ADD MASKED WITH (FUNCTION = ‘partial(0,”XXXX-XXXX-XXXXX”,4)’);
–Consultar
Select * from dbo.Cliente

 
 

–Eliminar una Mascara
ALTER TABLE dbo.Cliente ALTER COLUMN Cliente_TarjetaCredito DROP MASKED;

 
 

Leave a Reply

Your email address will not be published. Required fields are marked *