SQLServer動態掩碼的案例分析

這篇文章給大家分享的是有關SQLServer動態掩碼的案例分析的內容。小編覺得挺實用的，因此分享給大家做個參考。一起跟隨小編過來看看吧。

動態數據掩碼（DDM）是SQL Server 2016引入的一個新功能。目的就是限制沒有權限的人去看到一些隱私信息。管理員用戶能夠決定哪些字段是需要被掩碼的，那么如何在不改變應用程序代碼的基礎上掩碼？還要保證無論如何訪問數據，都是一致的。

這是Azure SQL數據庫中首次引入的特性，它在云上接受用戶的測試，并已遷移到本地產品。我想很多其他的新特性也會遵循這條方式（云--本地）。

需要注意的是與我之前的行級別數據安全一樣，這些都是數據安全相關內容（推薦課程：MySQL教程）

列數據掩碼

首先創建一個在一些數據上帶有掩碼版的表。我將在表定義中開始的一個字段中添加一個掩碼。注意，這樣做的方式是在數據類型之后使用“mask with()”格式，但是在NULL和默認選項之前，要在圓括號內包含FUNCTION = "，它指定了我們的函數。在引號內，我們指定掩碼。CREATE TABLE語句如下

CREATE TABLE MyTable
  ( MySSN VARCHAR (10) MASKED WITH (FUNCTION = 'default()') DEFAULT ('0000000000' )
 , MyName VARCHAR (200) DEFAULT ( ' ')
 , MyEmail VARCHAR (250) DEFAULT ( '')
 , MyInt int
)
GO
INSERT dbo. MyTable
 ( MySSN , MyName, MyEmail , MyInt)
VALUES
 ( '1234567890', 'Steve Jones', 'SomeSteve@SomeDomain.com', 10 )

如果創建者查詢這個表，就會看到一個普通的表。我得到所有的數據，當它被插入時。這是因為我是一個有權限的用戶。同理那些具有dbo特權(db_owner或sysadmin角色)的用戶將不會看到屏蔽數據。現在創建一個正常的用戶沒有高權限的用戶。當然，我需要授予普通的SQL Server權限來查看表中的數據。

CREATE USER mytest WITHOUT LOGIN
GRANT SELECT ON mytable TO mytest

現在我們可以用這個用戶查詢這個表，看一下有什么不同。

我們可以看到第一列包含掩碼數據。只有x出現在數據的位置。這就實現了我想要的，即對非特權用戶隱藏數據。注意，磁盤上的數據沒有更改。數據只有在返回給非特權用戶時才會被屏蔽。
我可以在執行計劃的最后一部分看到這種情況。我需要授予用戶查看計劃的權限，但是當我這樣做時，我看到的是用戶的計劃，使用的是上面相同的查詢。

我可以在表上定義其他類型的掩碼。有一個自定義的掩碼格式，允許控制顯示的內容，一個電子郵件地址的遮罩，和一個隨機的數字遮罩。我們將在另一篇文章中詳細討論這些問題。

現在可以添加掩碼到另一列上面，比如郵件MyEmail列，可以使用郵件掩碼的格式，具體代碼如下：

ALTER TABLE dbo.MyTable
 ALTER COLUMN MyEmail VARCHAR(250) MASKED WITH (FUNCTION='email()')
GO

然后查詢結果如下:

也可以對多個和列進行掩碼

CREATE TABLE MySecondTable (
  MyEmail VARCHAR( 250) MASKED WITH (FUNCTION= 'email()')
, MySSN VARCHAR (10) MASKED WITH (FUNCTION ='default()')
, MyID INT MASKED WITH (FUNCTION ='random(1,4)')
)GOINSERT MySecondTable VALUES
   ( 'myname@mydomain.com', '1234567890', 100 )
 , ( 'abrother@mycorp.com' , '0123456789' , 555)
 , ( 'somesister@somecompany.org' , '9876543210' , 999)

查詢結果如下:

正如我們所看到的，我從不同的行得到不同的掩碼，每個掩碼應用于特定行的數據。

允許用戶看到掩碼真實數據

SQL Server 2016中有一個新的DDM權限。這是UNMASK權限，它和其他任何權限一樣被授予。讓我們來看看這是如何工作的。我將創建一個具有與現有用戶相同權限的新用戶。然后我將查詢該表。

與之前相似的結果，然后我們在給用授權打開掩碼。

現在我們可以看到數據的顯示方式與特權用戶的顯示方式相同。對于NewTester用戶，所有的數據都是“未屏蔽的”。
然而，這也有不利的一面。UNMASK權限在數據庫范圍內授予用戶。沒有按表或列劃分的粒度。如果用戶具有UNMASK，他們可以查看存儲在數據庫中的表中具有SELECT權限的所有數據。我們可以通過使用Newtest查詢第一個表來看到這一點。

移除掩碼

代碼如下：

ALTER TABLE dbo.MySecondTable
  ALTER COLUMN MySSN DROP MASKED;

一旦我這樣做，用戶將直接看到真實數據。

MySSN列的數據是未屏蔽的，但是MyEmail和MyID的數據仍然是屏蔽的

動態數據屏蔽是一個很好的新特性，旨在更容易地保護數據不受非特權用戶的影響。這可以在數據庫中實現，而不需要更改任何應用程序代碼，從而允許您以最小的成本和工作量對應用程序用戶屏蔽敏感數據。我還要提醒您，這并不是真正的安全特性。存儲在磁盤和表中的數據不會以任何方式更改。這仍然是純文本數據，如果用戶能夠查詢系統，他們仍然可以潛在地查詢您的數據并發現其值。

感謝各位的閱讀！關于SQLServer動態掩碼的案例分析就分享到這里了，希望以上內容可以對大家有一定的幫助，讓大家可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！