Histórico da Página
Mesmo com proteções na camada de aplicação, uma vez que um usuário tenha acesso direto ao banco de dados, informações sigilosas podem ser acessadas. O acesso pode ser necessário por diversos motivos, sejam referentes à troubleshooting para encontrar a causa de alguma inconsistência ou outras razões que tornem isto necessário.
Nesta situação, o Data Masking (Mascaramento de dados) para o SQL Server mostra-se como uma ferramenta viável para proteger dados que não devem ser expostos, ao limitar a exposição destes para usuários sem os privilégios necessários.
| Aviso | ||
|---|---|---|
| ||
Não são suportadas as versões limitadas e tipicamente classificadas como "Express" para o Protheus. |
| Disponibilidade da feature |
|---|
| SQL Server 2019 Standard, Enterprise |
| SQL Server 2017 Standard, Enterprise |
| SQL Server 2016 Standard, Enterprise |
Configuração da feature
Não é necessário realizar instalações à parte, já que esta feature está disponível nativamente nas versões supracitadas.
Para fins de comparação, dois usuários serão criados, sendo um com permissão para visualização dos dados e outro sem permissão. A criação de um segundo usuário que visualizará apenas os dados necessários é essencial para o uso da feature.
| Expandir | |||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||
Neste exemplo, serão criados dois usuários: TPPRD, que possui permissão total de acesso aos dados e deve ser criado conforme grants mínimos para o funcionamento do DBAccess; e P12133MASK, que visualizará apenas a máscara em dados sigilosos. Usuário TPPRD - Usuário padrãoAs permissões padrão, que devem ser aplicadas, são: db_owner, public. Além destas, aplique também as permissões VIEW SERVER STATE, ALTER ANY CONNECTION e SELECT ON sys.dm_tran_locks:
Usuário TPPRDMASK - Usuário sem visualização à dados sensíveisAlém das permissões acima, aplicar os seguintes grants:
|
| Expandir | ||
|---|---|---|
| ||
Observação: Da mesma forma que foi criado a conexão ODBC do usuário (TPPRD) do banco de dados com todos acessos, realizar a criação da conexão ODBC do usuário (P12133MASK) de banco de dados com acesso restrito aos dados. |
| Expandir | ||
|---|---|---|
| ||
ATENÇÃO: a configuração dos usuários precisa estar no mesmo DBAccess. NÃO coloque os dois usuários em DBAccess separados, exceto se estiver usando o DBAccess em modelo distribuído, pois isso pode gerar DeadLocks no banco de dados. |
| Expandir | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||
Não aplique a máscara de dados à colunas sequenciais. Não utilize colunas sequenciais com máscara. As colunas sequenciais podem travar a rotina que a utilizam. É necessário testar e validar na aplicação todas colunas com máscara, para validar na camada da aplicação o resultado dessa máscara de dados. Exemplo de erro Neste caso, foi utilizada a coluna B1_COD da tabela SB1990:
Como essa tabela é sequencial, gerou o seguinte erro quando foi configurada a máscara de dados. Para remover a Máscara de Dados, realizamos o seguinte comando:
|
| Expandir | ||
|---|---|---|
| ||
Criamos a máscara de dados na coluna: ‘A1_NOME’ na tabela SA1990: ALTER TABLE dbo.SA1990 ALTER COLUMN A1_NOME ADD MASKED WITH (FUNCTION = 'partial(2,"xxxx",0)'); O usuário SEM acesso aos dados, visualiza da seguinte forma os dados: O usuário COM acesso aos dados, visualiza da seguinte forma os dados: Para remover a Máscara de Dados, realizamos o seguinte comando: ALTER TABLE dbo.SA1990 ALTER COLUMN A1_NOME DROP MASKED; |
| Expandir | |||||
|---|---|---|---|---|---|
| |||||
|
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas