データ管理 (DMS) は、機密データ保護機能を提供します。 この機能を使用して、データベースで機密データをスキャンできます。 次に、機密データの識別を解除して管理することができます。
背景情報
機密データ保護機能は、企業内の機密データ資産を効果的に検出および保護するのに役立ちます。 これにより、機密データの悪用や漏洩を防ぎます。 次の図は、機密データ保護機能のアーキテクチャを示しています。
サポートされるデータベース
リレーショナルデータベース:
MySQL: ApsaraDB RDS for MySQL、PolarDB for MySQL、および他のソースからのMySQLデータベース
SQL Server: ApsaraDB RDS for SQL Serverおよび他のソースのSQL Serverデータベース
PostgreSQL: ApsaraDB RDS for PostgreSQL、PolarDB for PostgreSQL、および他のソースからのPostgreSQLデータベース
MariaDB: 他のソースからのApsaraDB RDS for MariaDBおよびMariaDBデータベース
PolarDB for PostgreSQL (Oracleと互換)
PolarDB for Xscale (PolarDB-X)
OceanBase
Oracle
Db2
ダメン (DM)
Lindorm: Lindorm_CQLおよびLindorm_SQL
openGauss
データウェアハウス
AnalyticDB for MySQL
AnalyticDB for PostgreSQL
データレイク分析 (DLA)
ClickHouse
MaxCompute
Hologres
Hive
使用上の注意
機密データ保護機能は、DMSコンソールでデータベースを管理する場合にのみ適用できます。 この機能は、API操作の呼び出しなど、他の方法を使用してデータベースを管理する場合には適用できません。
機密データ保護機能を使用しても、ソースデータベースのデータは影響を受けません。 たとえば、DMSによって管理されているApsaraDB RDS For MySQLデータベースのデータをマスクした場合、データマスク結果はDMSでのみ表示され、ソースデータベースのデータには影響しません。
特徴
機密データダッシュボード: DMSは、企業が機密データを一元管理するのに役立つ機密データダッシュボードを提供します。
自動データスキャン:
DMSを使用すると、データをスキャンするスケジュールをカスタマイズできます。
DMSは、機密データを自動的に検出および分類できます。 これにより、機密データを効果的に検出および管理できます。
DMSは、組み込みのカスタムデータ分類テンプレートをサポートして、機密データの詳細な分類と管理を実装します。 最小特権の原則に基づいて機密データを管理できます。
機密データマスキング:
DMSは、組み込みおよびカスタムの機密データマスキングルールをサポートします。 これにより、機密データマスキングアルゴリズムを柔軟に管理できます。 ビジネスシナリオに基づいてさまざまなフィールドをマスクし、きめ細かい権限制御を実装し、機密性の低いデータを公開することができます。
DMSは、機密データの検出とマスキングルールを試すことができるテスト環境を提供します。
DMSを使用すると、ユーザーとアプリケーションの機密データへのアクセスを管理できます。
機密データモニタリング: DMSは、機密データの使用をモニタリングし、異常なアクティビティを監査し、アラートを生成します。 これにより、異常なアクティビティとデータリークの原因を追跡できます。
用語
機密レベル: 携帯電話番号やIDカード番号などのビジネスデータは機密です。 機密データを格納するフィールドは、通常のクエリで表示する前に暗号化する必要があります。 DMSは、データの感度に基づいて、次の3つの感度レベルをサポートします。
低感度: 低感度レベルはDMSの内部レベルに由来します。 Security Collaborationモードで管理されているデータベースインスタンスの場合、データベースインスタンスに格納されているデータの機密レベルは、既定ではLow sensitivityです。
中感度: 中感度レベルは、DMSの感度レベルから得られる。
高感度: 高感度レベルはDMSの機密レベルに由来します。
説明データの機密レベルを設定したら、次のルールに注意してください。
SQLConsoleでデータをクエリすると、権限を持たない [中感度] フィールドと [高感度] フィールドがアスタリスク (*) の文字列として、またはカスタムの方法で表示されます。
中感度または高感度フィールドをクエリ、エクスポート、または変更するには、これらのフィールドに対する権限を申請する必要があります。
データベース管理者 (DBA) またはDMS管理者は、Moderate SensitivityまたはHigh Sensitivityフィールドを含むデータをエクスポートまたは変更するための特別な承認プロセスを設定できます。
検出ルール: DMSは、関連する法規制に基づいてさまざまな業界向けに設計された組み込みの機密データ検出ルールを提供します。 データベースのメタデータまたはデータベースに保存されているデータに基づいて機密データを検出する検出ルールをカスタマイズすることもできます。
データ型: DMSは、さまざまな法律や規制に基づいて定義されたデータ型を提供します。 カスタムデータ型を作成することもできます。
レベル1のデータタイプ: 個人情報、企業情報、位置情報などのタイプを含む。
レベル2のデータタイプ: 携帯電話番号、電子メールアドレス、銀行カード番号などのタイプが含まれます。
マスキングアルゴリズム: DMSは、データをマスクするためのハッシュ、編集、置換、変換、および暗号化アルゴリズムをサポートしています。 組み込みのマスキングアルゴリズムに基づいて、カスタムマスキングルールを設定できます。
マスキングポリシー: DMSは、選択した機密フィールドにマスキングルールを設定した後、マスキングポリシーを生成します。