Sql-Server

通過屏蔽使開發人員可以訪問生產數據

  • April 6, 2020

我們希望為我們組織中的開發人員提供來自生產的屏蔽數據,以幫助解決生產問題。處理它的最佳方法是什麼?

我讀過這篇文章https://docs.microsoft.com/en-us/sql/relational-databases/security/dynamic-data-masking?view=sql-server-ver15

但它似乎採取了與我設想的不同的方法。我的想法是從生產數據庫複製一個單獨的數據庫伺服器,並在復製過程中以某種方式屏蔽數據,以便真實數據永遠不會到達複製的數據庫伺服器。這樣,我們就不必對如何儲存和處理複製的數據庫伺服器有特殊的安全考慮。

這是一個合理的方法嗎?

這是一個合理的方法嗎?

是的。這就是 SSMS 中的(已移除的)“靜態數據屏蔽”組件所做的。實現此目的的一種簡單方法是使用複制數據庫嚮導或自定義腳本使用在生產數據庫上實施動態數據屏蔽的標識從生產複製數據。

您將無法使用內置複製來執行此操作。複製鏈中沒有允許您在數據經過時對其進行操作的掛鉤。

過去對我有用的是複制、屏蔽、發布方法。備份生產數據庫並將其還原為新數據庫。由於這仍然包含敏感數據,我會將其保存在生產環境中。針對這個新恢復的數據庫執行您的屏蔽常式,然後對此進行備份。這是第二個備份,包含被屏蔽的數據,它被恢復到開發中。這個循環可以根據需要重複多次,儘管問問自己你真的需要多新鮮的開發數據。

我研究了將屏蔽放在一個持續執行的 ETL 作業中,但是對於我們的案例來說,額外的工作並不值得。

引用自:https://dba.stackexchange.com/questions/264190