SQL Server 2016 的「動態資料遮罩 (Dynamic Data Masking)」

一些特別注重資訊安全、個人資料的公司或產業 (如: 金融、保險業)，通常「測試用資料庫」的資料，會加上「遮蔽；去識別化」的功能，避免個資外洩。以往必須自己撰寫 SQL 語句或 Stored Procedure 來處理，且遇到不同的資料庫使用者，要給予不同瀏覽權限時，寫起來就更麻煩。現在 SQL Server 2016 已內建「動態資料遮罩 (Dynamic Data Masking)」功能，除了資料可針對自訂邏輯來遮蔽，還可針對不同的資料庫使用者，給予不同的瀏覽權限。

 --建立測試資料表
 CREATE TABLE Employee(
  EmpNo int identity primary key,
  [Name] nvarchar(5),
  ID varchar(10),
  Hireday date,
  Birthday date,
  Age as datediff(year,Birthday,getdate())+1,
  Gender bit,
  Email varchar(50),
  Tel varchar(20),
  Salary money,
  CreditCard varchar(20))

 --新增測試資料
 INSERT Employee
 VALUES (N'王二','A123456789','','',0,'aaa@wizard.com','02-12345678',100500,'1234-5678-9012-3456')
       ,(N'李二三','B123456789','','',1,'bbb@wizard.com','03-12345678',88000,'7890-1234-5678-9012')
       ,(N'陳二三四','C123456789','','',1,'ccc@wizard.com','04-12345678',723456,'3456-7890-1234-5678')

建立測試資料

 --測試 default 遮罩，在 varchar 型別
 ALTER TABLE Employee ALTER COLUMN Tel ADD MASKED WITH(FUNCTION='default()')
 GO
 --測試 default 遮罩，在 bit 型別 (bit會全為零)
 ALTER TABLE Employee ALTER COLUMN Gender ADD MASKED WITH(FUNCTION='default()')
 GO
 --測試 default 遮罩，在 money 型別
 ALTER TABLE Employee ALTER COLUMN Salary ADD MASKED WITH(FUNCTION='default()')
 GO
 --測試 default 遮罩，在 date 型別
 ALTER TABLE Employee ALTER COLUMN Hireday ADD MASKED WITH(FUNCTION='default()')
 GO
 --測試 email 遮罩，在 varchar 型別
 ALTER TABLE Employee ALTER COLUMN Email ADD MASKED WITH (FUNCTION = 'email()')

 --建立一般使用者 user1
CREATE USER user1 WITHOUT LOGIN
GRANT SELECT ON Employee TO user1

--以 sa (最高權限者) 瀏覽 (無遮罩)
SELECT * FROM Employee (NOLOCK);

--以 user1 瀏覽 (有遮罩)
EXEC AS USER='user1'
      SELECT * FROM Employee (NOLOCK);
 REVERT

圖 1　使用者 sa 和 user1 看到的結果，前者無遮罩，後者有遮罩

--------------------------------------------

 --測試自訂遮罩
 ALTER TABLE Employee ALTER COLUMN [Name] ADD MASKED WITH (FUNCTION = 'partial(1,"X",1)')  --Name 保留第一個和最後一個字，其他用 X 取代
 ALTER TABLE Employee ALTER COLUMN CreditCard ADD MASKED WITH (FUNCTION = 'partial(0,"xxxx-xxxx-xxxx-",4)') --信用卡，只顯示最後四碼
 ALTER TABLE Employee ALTER COLUMN ID ADD MASKED WITH (FUNCTION = 'partial(2,"________",0)')  --ID 保留前兩個字，其他用 8 個底線符號取代

 --測試亂數遮罩
 ALTER TABLE Employee ALTER COLUMN Salary ADD MASKED WITH(FUNCTION = 'random(10000,100000)')  --Salary 顯示介於 10000 到 100000 的亂數

圖 2　使用者 sa 和 user1 看到的結果，前者無遮罩，後者有遮罩

--------------------------------------------

--查詢有啟用 Dynamic Data Masking 功能的資料表和欄位

SELECT m.name, t.name, c.user_type_id, m.is_masked, m.masking_function
 FROM sys.masked_columns (NOLOCK) m
 JOIN sys.tables (NOLOCK) t ON m.[object_id]=t.[object_id]
 JOIN sys.columns (NOLOCK) c ON m.[object_id]=c.[object_id] AND m.name=c.name
 WHERE m.is_masked=1;

--------------------------------------------

--希望某個使用者 user2 瀏覽時，不受遮罩影響
GRANT UNMASK TO user2

--------------------------------------------

--針對某個資料表或欄位，移除 Dynamic Data Masking 功能
ALTER TABLE Employee ALTER COLUMN CreditCard DROP MASKED

--測試是否已移除 Dynamic Data Masking 功能
exec('SELECT * FROM Employee (NOLOCK)') as user='user1'

--------------------------------------------
--------------------------------------------
參考書籍：

[1] Microsoft SQL Server 2016 資訊安全實戰, ch6, 悅知出版社
http://www.delightpress.com.tw/book.aspx?book_id=SKUD00027
--------------------------------------------
相關文章：

[1] 動態資料遮罩
https://msdn.microsoft.com/zh-tw/library/mt130841.aspx

[2] SQL2016-動態資料遮罩
https://dotblogs-testslot.azurewebsites.net/ricochen/2016/12/02/222254

[3] sql server 里面的 dynamic Data Masking
http://www.cnblogs.com/Gin-23333/p/5412028.html

[4] Dynamic Data Masking筆記(SQL Server 2016新功能)
https://dotblogs.com.tw/stanley14/2016/03/19/090752

[5] CP2-新功能-Dynamic Data Masking
https://dotblogs.com.tw/colinlin/2015/06/16/151581

[6] SQL Server 2016 Security Roadmap Session Notes
https://www.brentozar.com/archive/2015/05/sql-server-2016-security-roadmap-session-notes-msignite/
--------------------------------------------
--------------------------------------------