数据屏蔽(Data Masking)
当涉及网络安全时,完全可见性并不总是理想的。有些事情应该保持隐藏。大多数公司都有必须遵守的数据合规性要求。HOPAA、PCI和内部最佳实践政策意味着必须小心处理个人身份信息(PII)。数据屏蔽可帮助组织控制谁有访问权访问这些敏感数据。
什么是数据屏蔽?
数据屏蔽不同于限制数据访问。访问限制使数据不可见。数据屏蔽将易受攻击或敏感数据替换为看起来真实的信息。当数据被屏蔽后,将对其进行更改,以使基本格式保持不便,但键值会更改。例如,长卡号可以按以下方式屏蔽:
1234 5678 1234 5678 ——1234 XXXX XXXX 5678.
数据可以通过多种方式屏蔽或更改:
- 替换——使用外部的、不相关的或随机生成的数据替换部分真实数据时。例如,姓名的随机列别可以用来替换真实的用户身份列表。
- 改组——在数据可内交换或改组数据时
- 加密——使用算法将敏感数据转换为代码时。数据只能用密钥解密。
- 数字/日期差异——集合中的每个数字/日期按照其实际值的最忌百分比进行更改
- 掩码输出——将某些字段或部分数据替换为掩码字符(例如,X)
无论是哪种方法,都必须以无法通过逆向工程获得原始值的方式更改数据。
典型用例
总体而言,数据屏蔽可帮助组织遵守数据保护要求。以下是数据屏蔽功能特别有用的一些具体情况:
测试/外包数据——公司可能需要提供逼真的数据集来开发相关软件。在这种安全性较低的测试环境中,需要真实的数据,但公司不需要通过使用实际的客户来冒数据安全的风险。由于从头创建一个“假的”但真实的数据集非常耗时,公司可以使用他们拥有的真实数据,但未了保护客户,可以通过数据屏蔽对其进行更改。
同样,如果企业将业务IT运营外包给另一个组织,则可以屏蔽数据,以防止将真实数据暴露给过多不必要的人。
网络数据——组织经常需要记录和监控网络数据。但合规性要求以为这他们必须避免存储PII。通过数据屏蔽,公司可以在记录网络数据的同时隐藏敏感信息。
SSL解密——安全套接层(SSL)加密是用于发送私人信息的标准技术。未了安全目的,组织必须解密并检查其网络中的任何SSL流量。SSL解密的危险之一是,它使任何有访问网络监控工具的人都可以访问敏感数据。聪明的网络工具可以解密SSL数据,同时屏蔽不需要公开的数据。
注意事项
根据Enterprise Management Associates在2016年进行的研究调查,数据屏蔽使最常用的5大数据包代理功能之一。因此,如果您在考虑购买数据屏蔽数据,请注意以下几点:
使用屏蔽数据
在购买之前,请确保您了解您打算如何使用这些数据,因为这可以节省您的时间和金钱。例如,您的计划是简单地将数据分发到数据丢失防护(DLP)设备进行分析,还是计划本地访问数据进行搜索?如果您计划本地访问数据,则您的解决方案需要支持正则表达式(Regex)搜索功能。一旦找到于搜索条件匹配的特定信息或信息类型,就可以将该数据发送到工具(如DLP)进行进一步处理。此搜索功能能使您的监控工具更加有效,因为他们需要筛选的数据更少。
轻松访问数据
如果您需要访问Regex搜索的数据,请考虑购买支持数据屏蔽的网络数据包代理。这将允许您轻松地收集数据,进行搜索,然后将其转发到监控设备(例如DLP)以进行高级数据搜索,数据存储设备(例如SAN),或法规遵从性和记录工具。
分发屏蔽数据
一旦数据被屏蔽,您计划如何将其分发到适当的监控工具?这就是数据包代理派上用场的地方,您可以将数据分到到它需要访问的设备。
