Saat agen call center melakukan kueri terhadap nomor telepon pelanggan, mereka seharusnya melihat ***-***-1234 alih-alih nomor lengkapnya. Saat developer melakukan kueri terhadap data produksi untuk troubleshooting, mereka harus bekerja dengan nilai yang telah disamarkan, bukan PII asli. Di Database Management (DMS), Anda mengonfigurasi algoritma penyamaran data pada bidang sensitif. DMS kemudian menerapkan algoritma tersebut secara otomatis setiap kali bidang tersebut dikueri atau diekspor melalui DMS.
Topik ini menjelaskan cara membuat algoritma penyamaran data dan menerapkannya pada bidang sensitif.
Prasyarat
Sebelum memulai, pastikan bahwa:
Peran sistem Anda adalah administrator, database administrator (DBA), atau security administrator. Untuk memeriksa peran Anda, lihat View system roles.
Fitur perlindungan data sensitif telah diaktifkan untuk instans Anda dan tugas pemindaian data sensitif telah dibuat. Lihat Enable the sensitive data protection feature.
Catatan penggunaan
DMS menerapkan algoritma penyamaran saat Anda:
Menjalankan kueri data di SQL Console.
Mengajukan tiket ekspor database.
Mengakses instans melalui titik akhir proxy dari fitur secure access proxy.
CatatanPenyamaran tidak berlaku saat Anda menjalankan kueri data menggunakan tools di luar DMS.
Pada instans dengan security hosting yang diaktifkan: jika Anda mengonfigurasi aturan penyamaran parsial pada suatu bidang, pengguna harus memiliki izin penyamaran parsial untuk melihat data yang telah diparsialkan. Tanpa izin tersebut, bidang akan ditampilkan sebagai sepenuhnya tersamar. Untuk memberikan izin penyamaran parsial, lihat Manage permissions.
Membuat algoritma penyamaran data tidak serta-merta menerapkannya pada bidang apa pun. Setelah membuat algoritma, ubah penetapan algoritma untuk setiap bidang sensitif target.
Pilih algoritma
Pilih algoritma berdasarkan tingkat sensitivitas bidang:
| Tingkat sensitivitas | Rekomendasi |
|---|---|
| Rendah (S1) | Tidak perlu penyamaran — tampilkan dalam teks biasa |
| Sedang (S2) | Algoritma penyamaran parsial |
| Tinggi (S3) | Algoritma penyamaran penuh |
DMS menyediakan jenis algoritma berikut:
Hash
Mengonversi nilai bidang menjadi digest dengan panjang tetap. Nilai hash tidak dapat dikembalikan.
| Algorithm | Output |
|---|---|
| MD5 | Hash 128-bit (16-byte) |
| SHA1 | Hash 160-bit (20-byte) |
| SHA256 | Hash 256-bit |
| HMAC | Hash yang diautentikasi dengan kunci |
Cover up
Mengganti sebagian atau seluruh nilai bidang dengan string penutup tetap.
| Algoritma | Cara kerja | Contoh |
|---|---|---|
| Full cover | Menyamarkan seluruh nilai | Telepon 1381111**** dengan string penutup *********** → *********** |
| Fixed position cover | Menyamarkan rentang karakter tetap | IP 192.168.255.254, posisi (5,7) → 192.***.255.254 |
| Fixed character mask | Menyamarkan substring tertentu | Email username@example.com, mask example → username@*******.com |
Replacement
Mengganti sebagian nilai bidang dengan nilai lain.
| Algoritma | Cara kerja | Contoh |
|---|---|---|
| Map replacement | Mengganti string tertentu dengan pengganti yang dipetakan. Pisahkan beberapa string sumber dengan koma (,). Jumlah string sumber harus sama dengan jumlah string pengganti. | String abcd, ganti ab dengan mn → mncd |
| Random replacement | Mengganti rentang karakter dengan karakter acak dari himpunan yang ditentukan. Jika Anda menentukan dua karakter atau lebih, hasilnya akan berbeda setiap kali dijalankan. | Email username@example.com, posisi (1,8), karakter acak abc → acbbbbac@example.com |
Transformation
Menyesuaikan nilai numerik atau tanggal untuk mengurangi presisi.
| Algoritma | Cara kerja | Contoh |
|---|---|---|
| Number rounding | Membulatkan ke bawah hingga jumlah digit awal yang ditentukan | 1234.12, simpan 2 digit → 1230 |
| Data rounded | Memotong datetime hingga satuan yang ditentukan | 2021-10-14 15:15:30, bulatkan ke jam → 2021-10-14 15:00:00 |
| Character displacement | Menggeser karakter ke kiri secara siklik | 345678, geser 2 → 567834 |
Encryption
Mengenkripsi nilai bidang menggunakan cipher simetris. Hasilnya disimpan sebagai ciphertext.
| Algoritma | Panjang kunci | Panjang output |
|---|---|---|
| DES | 8 karakter | 16 karakter |
| AES | 16 karakter | 32 karakter |
| AES encryption-enhanced | Tidak terbatas | 32 karakter |
Decryption
Mendekripsi ciphertext yang sebelumnya dienkripsi oleh DMS.
| Algoritma | Mendekripsi |
|---|---|
| AES decryption | Data yang dienkripsi dengan AES |
| AES decryption-enhanced | Data yang dienkripsi dengan AES encryption-enhanced |
Plaintext
Menampilkan nilai bidang tanpa penyamaran apa pun. Gunakan ini untuk bidang dengan sensitivitas rendah (S1) di mana Anda perlu secara eksplisit mengonfigurasi algoritma.
Buat algoritma penyamaran data
Login ke DMS console V5.0.
Arahkan pointer ke ikon
di pojok kiri atas dan pilih All Features > Security and Specifications (DBS) > Sensitive Data > Rule Configurations.CatatanDalam mode normal, pilih Security and Specifications (DBS) > Sensitive Data > Rule Configurations dari bilah navigasi atas.
-
Arahkan pointer ke ikon
di pojok kiri atas dan pilih . CatatanJika Anda menggunakan DMS console dalam mode normal, pilih di bilah navigasi atas.
Klik tab Data Masking Algorithm, lalu klik Add Data Masking Algorithm.
Pada panel New Algorithm, pilih jenis algoritma dan konfigurasikan parameternya.
Uji algoritma sebelum menyimpan: Contohnya: nilai mentah
345678, jenis Transformation > Character displacement, geser2→ hasil yang diharapkan567834.Masukkan nilai mentah contoh di bidang uji.
Klik Test.
Verifikasi apakah output yang tersamar sesuai dengan ekspektasi Anda.
Klik Submit.
CatatanSecara default, DMS menerapkan aturan bawaan DEFAULT pada data sensitif. Untuk menerapkan algoritma kustom Anda pada bidang tertentu, selesaikan prosedur berikutnya. Lihat juga Manage sensitive data.
Terapkan algoritma pada bidang sensitif
Setelah membuat algoritma, tetapkan algoritma tersebut pada bidang sensitif tempat algoritma tersebut harus berlaku.
Login ke DMS console V5.0.
Arahkan pointer ke ikon
di pojok kiri atas dan pilih All Features > Security and Specifications (DBS) > Sensitive Data > Sensitive Data Assets.CatatanDalam mode normal, pilih Security and Specifications (DBS) > Sensitive Data > Sensitive Data Assets dari bilah navigasi atas.
-
Arahkan pointer ke ikon
di pojok kiri atas dan pilih . CatatanJika Anda menggunakan DMS console dalam mode normal, pilih di bilah navigasi atas.
Pada bagian Instance List, temukan instans Anda dan klik Sensitive Data List di kolom Operation.
Di tab Field Control, pilih bidang yang ingin Anda perbarui.
Klik Adjust Data Masking Algorithm di pojok kiri atas.
Pada kotak dialog Data Masking Algorithm must be selected, pilih Default desensitization algorithm atau semi-desensitization algorithm, tentukan algoritma, lalu klik Save.
CatatanUntuk mengatur ulang bidang ke algoritma DEFAULT, klik Reset Data Masking Algorithm di kolom Operation untuk bidang tersebut.
FAQ
Algoritma mana yang digunakan DMS ketika algoritma penyamaran default dan algoritma penyamaran parsial dikonfigurasi untuk bidang yang sama?
DMS menggunakan algoritma penyamaran parsial. Jika pengguna yang melihat data tidak memiliki izin untuk mengakses bidang sensitif yang diparsialkan atau dalam teks biasa, DMS akan menggunakan algoritma penyamaran default sebagai fallback.
Bagaimana cara memilih antara algoritma penyamaran parsial dan algoritma penyamaran penuh?
Sesuaikan algoritma dengan tingkat sensitivitas bidang. Untuk bidang dengan sensitivitas rendah (S1), tidak diperlukan penyamaran — tampilkan dalam teks biasa. Untuk bidang dengan sensitivitas sedang (S2), seperti alamat email dan nomor telepon, gunakan algoritma penyamaran parsial agar pengguna dapat mengenali pola umum tanpa melihat nilai lengkapnya. Untuk bidang dengan sensitivitas tinggi (S3), seperti kata sandi atau data finansial, gunakan algoritma penyamaran penuh sehingga seluruh nilainya disembunyikan.